目 錄

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)臺灣國有能源公司CPC遭受勒索軟件攻擊

　　(二)小米瀏覽器跟蹤用戶行為

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)加拿大電力公司NTPC遭受勒索軟件Netwalker攻擊

　　(二)委內瑞拉電力系統遭受攻擊致使全國大面積停電

　　(三)施耐德電氣軟件中發現類似Stuxnet漏洞

　　(四)CODESYS工業控制器軟件中存在嚴重遠程代碼執行漏洞

　　(五)以黑客威脅為由美國將限制部分電力系統設備進口

　　(六)新型惡意軟件Kaiji以物聯網設備為攻擊目標

　　(七)超過30家公司成立聯盟制定開放式5G系統

　　(八)歐洲刑警組織逮捕InfinityBlack黑客組織

　　(九)4400萬巴基斯坦移動用戶數據泄漏

　　(十)英美聯合發布安全警告稱APT組織正試圖竊取新冠病毒相關信息

　　(十一)法國日報泄露74億用戶個人信息

　　(十二)歐洲最大私立醫院Fresenius遭受勒索軟件Snake攻擊

　　(十三)澳大利亞航運公司Toll再次遭受勒索軟件攻擊

　　(十四)微軟預以1.65億美元收購以色列工控安全公司CyberX

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)臺灣國有能源公司CPC遭受勒索軟件攻擊

　　5月5日，臺灣國有能源公司CPC的計算機系統遭受了勒索軟件攻擊。該公司已恢復了部分IT電腦和服務器。 雖然這次攻擊沒有影響到公司的能源生產，但卻使一些客戶無法使用CPC公司的支付卡購買天然氣。

　　CPC公司是負責運輸石油產品和進口液化天然氣的重要國有資產。在臺灣，CPC惡意黑客的高價攻擊目標。臺灣嚴重依賴進口來滿足能源需求，該公司還投資了許多海上石油和天然氣項目。

　　CPC的官方聲明中沒有提及勒索軟件，但一份私人分析報告顯示，攻擊中使用的兩個惡意文件被檢測為勒索軟件，它們位于公共惡意軟件分析庫VirusTotal上。這份5月5日發給臺灣安全專家的報告中提到了一起針對國有企業的網絡攻擊。一位熟悉這份文件的消息人士透露，這份文件包括一張明顯的勒索信截圖，該公司是就是CPC。

　　5月5日，跨國網絡安全公司趨勢科技在向客戶發出警告時，也提到了這一事件。該公告提到了同樣的勒索軟件樣本，警告趨勢科技客戶當前對臺灣公司的勒索軟件威脅不斷，并告訴他們如果發現有人企圖闖入其系統就尋求幫助。臺灣當局尚未指出攻擊CPC的罪魁禍首。

　　大部分時間里，CPC公司的網站都處于癱瘓狀態，但當該公司最終能夠在網上發布聲明時，它發出了反抗的語氣，承諾將引入更嚴格的安全檢測系統。

　　美國政府此前曾試圖加強臺灣的網絡安全防御。去年11月，美國駐臺灣研究所(事實上是美國駐臺灣大使館)主辦了一場模擬攻擊臺灣公共和私人組織的演習。

　　天地和興工控安全研究院編譯，參考來源：cyberscoop http://dwz.date/a5MJ

　　(二)小米瀏覽器跟蹤用戶行為

　　最新研究表明，使用小米及紅米上的Mi瀏覽器將導致小米跟蹤其敏感信息并將其發送至其服務器。

　　安全研究機構Gabi Cirlig 在《福布斯》上發表的 一份報告指出，小米的Mi Browser應用程序會將互聯網搜索信息(包括隱身模式會話)發送到新加坡和俄羅斯的小米服務器。更令人擔憂的是，Cirlig指出，正在設置的數據可以輕松地與特定用戶相關聯，從而允許公司可以挑選出他們希望跟蹤的用戶。

　　雖然所有這些數據都被上傳到新加坡和俄羅斯的遠程服務器上，但這些域名本身已經注冊到北京的一個組織。

　　此外，研究人員注意到，小米手機記錄了用戶打開的文件夾、用戶查看的屏幕以及配置的設置。小米的音樂播放器應用程序還記錄了用戶播放歌曲的時間和內容。

　　應《福布斯》的要求，網絡安全研究員Andrew Tierney也對調查結果進行了調查，據報道，他發現Mi Browser Pro和Mint Browser收集了相同的數據。

　　如下所示，當訪問站點時，瀏覽器會將被訪問的URL發送回遠程主機。此URL不會以任何方式混淆。根據Play商店的數據，該瀏覽器的下載量超過1500萬。

　　針對這些說法，總部位于中國的小米發表了一篇長篇博文，并稱：“研究聲稱不真實”，并且“嚴格遵循并完全符合當地有關用戶數據隱私事項的法律法規”?！靶∶卓吹礁２妓棺罱奈恼潞苁?。我們認為他們誤解了我們就數據隱私原則和政策所傳達的信息。小米將我們用戶的隱私和互聯網安全放在首位;我們有信心嚴格遵守并完全遵守當地法律和法規。我們已與《福布斯》聯系，以澄清這種不幸的誤解?！?/span>

　　小米表示，收集到的數據是匿名的，公司發言人否認小米瀏覽器在用戶處于匿名模式時記錄瀏覽數據。

　　安全研究人員Cirlig制作了一段視頻，證明即使在瀏覽器處于匿名模式下，小米瀏覽器的搜索結果也會發送到遠程服務器，這表明小米的說法并非如此。福布斯向小米提供了該視頻，但小米為自己的隱私協議辯護。

　　小米認為視頻顯示了匿名瀏覽數據的收集，并且“是互聯網公司采用的最常見的解決方案之一”，因此其用戶不必擔心。

　　小米印度副總裁兼董事總經理Manu Kumar Jain也在視頻中回應了安全指控。

　　小米印度負責人指出，隱私和安全是他們的首要任務：一則新聞報道稱，Mi Browser在瀏覽時會收集不必要的信息，并將用戶數據發送到其他國家。小米印度副總裁兼董事總經理Manu Jain在一份聲明中表示，“這是不正確的，也不是事實?！?/span>

　　天地和興工控安全研究院編譯，參考來源：BleepingComputer http://dwz.date/a5T2

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)加拿大電力公司NTPC遭受勒索軟件Netwalker攻擊

　　4月30日早，加拿大電力生產商和分銷商西北地區電力公司(NTPC)遭受勒索軟件NetWalker攻擊。為應對該事件影響，該公司被迫關閉其IT服務，影響了部分系統操作。NTPC正在調查發電、輸電、配電系統是否受到影響，目前所有電力系統都在工作。

　　作為預防措施，NTPC已關閉其電子郵件系統，直到確認該系統是否遭到破壞為止。被攻擊后，NTPC使用的在線支付門戶網站MyNTPC無法正常工作，并且該公司的客戶收到了四份文件，其中一份文本文件內容顯示“您的文件已被Netwalker加密，解密文件的唯一方法是與我們合作并獲取解密程序。不要在沒有解密程序的情況下嘗試恢復文件，否則可能會損壞文件，然后將永久無法恢復?！?/span>

　　Netwalker是一個相對較新的勒索軟件，去年夏天首次被發現。該軟件曾經攻擊過其他地區的政府機構和公司，包括澳大利亞的一家運輸公司和伊利諾伊州的一家政府衛生機構。Netwalker的傳播最近通常與以新冠病毒為主題的網絡釣魚電子郵件有關。

　　為了防范勒索軟件攻擊，建議：

　　請勿打開任何可疑或無關的電子郵件，尤其是帶有附件的電子郵件。避免打開包含誘人的優惠或令人難以置信的新聞條目的電子郵件，尤其是來自未訂閱代理商的電子郵件。

　　避免從非官方和不可信的下載網站，對等共享網絡以及其他第三方下載器下載任何軟件。始終僅信任官方和經過驗證的來源。

　　保持操作系統和所有應用程序更新與供應商發布的最新補丁程序，以避免利用任何已知的漏洞。

　　天地和興工控安全研究院編譯，參考來源：Cabin Radio http://dwz.date/a4ZZ

　　(二)委內瑞拉電力系統遭受攻擊致使全國大面積停電

　　委內瑞拉副總統羅德里格斯宣布，5月5日委內瑞拉國家電網干線遭到攻擊，造成全國大面積停電。委國家電力公司正組織人力全力搶修，部分地區已經恢復供電。

　　羅德里格斯表示，國家電網的765干線遭到攻擊。這也是在委挫敗雇傭兵入侵委內瑞拉數小時后發生的。除首都加拉加斯外，全國11個州府均發生停電。

　　然而這并不是委內瑞拉第一次經歷斷電事件。2019年3月7日，包括加拉加斯在內的委內瑞拉多地開始停電，開始了該國家自2012年以來時間最長、影響地區最廣的停電史。該事件持續到13日全國范圍內的供水、供電才基本恢復。該事件波及了委內瑞拉全國23個州中的18個州，而停電原因是古里水電站遭反對派蓄意破壞。委內瑞拉電力供應超過六成來自水力發電，而古里水電站是主要提供電力提供點。

　　本文版權歸原作者所有，參考來源：人民網 http://dwz.date/a4Tj

　　(三)施耐德電氣軟件中發現類似Stuxnet漏洞

　　5月7日，安全公司Trustwave的安全研究人員發現施耐德電氣軟件中存在一個類似于臭名昭著的Stuxnet惡意軟件所利用的漏洞。

　　Stuxnet是十年前美國和以色列用來破壞伊朗核計劃的惡意軟件，其設計目標是西門子的SIMATIC S7-300和S7-400可編程邏輯控制器(PLC)。該惡意軟件通過替換與Siemens STEP7控制器編程軟件關聯的DLL文件，將惡意代碼加載到目標PLC上。

　　3月份，空中客車網絡安全公司(Airbus Cybersecurity)報告表示，其研究人員在施耐德電氣的EcoStruxure Control Expert工程軟件中發現了類似漏洞，該軟件以前稱為Unity Pro。該漏洞編號為CVE-2020-7475，可通過替換與工程軟件關聯的DLL文件之一來利用惡意代碼將惡意代碼上傳到Modicon M340和M580 PLC，這可能導致流程中斷和其他損壞。

　　Trustwave的研究人員也發現了Schneider軟件中的一個類似漏洞，特別是EcoStruxure Machine Expert(以前稱為SoMachine)，該漏洞使用戶可以在Modicon M221控制器上開發項目。第二個漏洞編號CVE-2020-7489，在Schneider的通報中與CVE-2020-7475具有大致相同的描述，并且CVSS評分為8.2，為高危漏洞。

　　Schneider已發布了針對這兩個漏洞的補丁程序，但在第一個安全漏洞公告中指出，其他供應商的產品也可能容易受到此類攻擊。

　　Trustwave的SpiderLabs的高級安全研究經理Karl Sigler表示，利用CVE-2020-7489需要訪問托管SoMachine軟件和目標PLC的環境。Sigler表示，“特別是對于SoMachine DLL注入漏洞(CVE-2020-7489)，攻擊者將需要使用與被授權運行該軟件的本地用戶相同的用戶上下文來執行注入。除非安裝了SoMachine并將其鎖定為管理帳戶，否則不需要進行管理訪問。盡管這些系統可能存在差距，但我們在Stuxnet中看到這不一定是開發的障礙?！?/span>

　　Trustwave研究人員還發現了一個影響Schneider Electric軟件的舊漏洞。在2017年，施耐德將CVE-2017-6034告知客戶，該漏洞是一個嚴重漏洞，允許黑客使用重播攻擊將運行、停止、上載和下載命令發送到PLC。Trustwave的研究人員去年發現，利用EcoStruxure Machine Expert和PLC之間的現有會話仍然可以發起攻擊。由于Trustwave的調查結果，施耐德于2019年8月更新了其原始咨詢。

　　Sigler表示，“原始的CVE-2017-6034漏洞允許捕獲數據包并將其重放到PLC。例如，攻擊者可能會重放帶有“停止”命令并發送到PLC的數據包，以隨時停止PLC。雖然此重播漏洞已于2017年修復，但Trustwave發現，只要攻擊者在控制軟件和PLC之間的現有會話之上進行攻擊，則仍然可以執行攻擊。換句話說，雖然修補了數據包重播漏洞，但仍然可以執行中間人攻擊，以實現對PLC的相同濫用?！?/span>

　　天地和興工控安全研究院編譯，參考來源：SecurityWeek http://dwz.date/a573

　　(四)CODESYS工業控制器軟件中存在嚴重遠程代碼執行漏洞

　　5月6日，思科Talos威脅情報和研究小組公開發布，其研究人員在CODESYS Control SoftPLC工業控制器軟件中發現了一個嚴重遠程代碼執行漏洞。特制的網絡請求可能導致遠程執行代碼，攻擊者可以發送惡意數據包以觸發此漏洞。

　　CODESYS Control SoftPLC是一個運行時系統，可將任何PC或嵌入式設備轉換為符合IEC 61131-3的工業控制器。該系統還包括重要的附加功能，因此控制器可以與自動化環境中的其他組件進行通信。

　　思科Talos的一名研究人員發現，該軟件的PLC_Task功能受到一個漏洞的影響，該漏洞可通過在網絡上發送特制數據包來用于遠程執行代碼。該漏洞編號為CVE-2020-6081，其CVSS評分為9.9，屬于嚴重漏洞。

　　從編程軟件發送時，CODESYS的應用程序代碼被編譯為本機代碼。該機器碼僅在單獨的線程中的codesys3二進制文件的上下文中執行之前，要進行CRC32檢查。通過使用具有適當體系結構的Shellcode構建.app文件，攻擊者可以遠程執行代碼，并具有上載項目的能力?？梢允褂脤Ｓ袇f議通過SSH或Codesys端口11740進行此上傳。為了通過CRC檢查，必須使用整個.app文件的CRC32創建一個.crc文件。

　　由于缺少對上載的二進制Blob強制進行密碼驗證的原因，因此存在此漏洞。由于可以禁用用于將PLC應用程序上載到設備的端口11740的身份驗證，因此需要加密簽名才能驗證二進制文件是否來自受信任的源。如果沒有加密驗證，則在將設備配置為阻止所有直接訪問該設備(除遵循IEC 61131標準的所需應用邏輯之外)時，可以使用與Codesys運行時相關的特權直接在該設備上執行任意代碼。

　　Talos在3S-Smart Software Solutions GmbH CODESYS Runtime 3.5.14.30 版本中發現了該漏洞，并于2月5日報告給Codesys。許多工業解決方案提供商都使用CODESYS軟件，并且某些漏洞影響了數十個供應商的數百個工業控制系統(ICS)。

　　天地和興工控安全研究院編譯，參考來源：思科Talos http://dwz.date/a4Xf

　　(五)以黑客威脅為由美國將限制部分電力系統設備進口

　　以國家安全及資產安全為由，美國總統特朗普1日發布行政命令，未來美國電力公司將不能購買、轉讓與安裝任何進口大容量電力系統設備，只能購買特定、符合標準的設備與廠商。

　　只要有網路就會有黑客出沒，因此除了電腦和網絡，電網的安全性也不容忽視。而特朗普認為，大容量電力系統(bulk-power system)支撐美國國防、重要緊急服務、關鍵基礎設備、經濟與民生運作，但是來自國外的敵對勢力正持續制造并利用漏洞。

　　這些惡意攻擊會對經濟、人民健康與安全構成重大威脅，進而降低美國與同盟國的自我防衛行動力。特朗普指出，偏偏在美國可以不受限制地購買或是使用外國對手擁有、控制、設計、開發與制造的大容量電力系統，若對手建立漏洞并攻擊，可能會造成災難性地影響。

　　盡管對于美國經濟整體成長來說，自由開放的投資環境相當重要，但特朗普認為，那也要考量到美國國安。因此特朗普政府決定，未來能源業者將不能自行購買、進口、移轉或安裝任何由外國勢力控制的公司，所設計、制造、銷售、安裝與維運的大容量電力系統設備。

　　特朗普也授權能源部與其他機構負責人一同協商，制定并發布全新的大容量電力設備標準與限制，未來就可依照這些標準審查設備和廠商清單，同時也成立將成立專門小組制定采購流程，而專門小組得在命令發布之日起一年內向總統提交報告。

　　那么哪些設備會受影響呢?彭博新聞指出，包括變壓器、電容和用輸電系統的量測設備(metering equipment)。美國能源部長Dan Brouillette 對此表示，必須確保大容量電力系統不會受到外國攻擊，這項行政命令可提升關鍵電力基礎建設的防御力。

　　近年來美國國會議員和特朗普政府不斷關注電力系統的資安問題，同時相當憂心自家的電網，美國國家情報總監2019 年才警示，中國與俄羅斯有能力向電網與天然氣管線發動網路攻擊。

　　而這也不是美國第一次下手出擊，2019年2月時，美國民主黨與共和黨11名參議員聯合致信給美國國土安全部及能源部，指出一旦太陽能系統遭黑客攻擊，就會影響用電安全，希望政府禁用華為的太陽能逆變器。同年5月17日，美國更對華為發出禁售令，如果美國公司要售賣零部件給華為，必須取得美國商務部工業和安全局(BIS)批準，這又再次影響華為的聲譽。美國能源部高級官員指出，行政明令推出后，可能會大幅提高美國制造比例。

　　本文版權歸原作者所有，參考來源：technews http://dwz.date/a5Ta

　　(六)新型惡意軟件Kaiji以物聯網設備為攻擊目標

　　近日，安全研究人員MalwareMustDie及Intezer Labs團隊發現了一個名為Kaiji的新型惡意軟件，該軟件專門用來感染Linux服務器和智能物聯網(IoT)設備，然后濫用這些系統發起DDoS攻擊。

　　該惡意軟件與其他IoT惡意軟件種類有很大不同，是使用Go編程語言編寫的，而不是使用C或C ++編寫的，C或C++是當今大多數IoT惡意軟件所使用的兩種語言。Go惡意軟件很少見，不是因為效率不高，而是因為在GitHub和黑客論壇上已經免費提供了許多C或C ++項目，使創建IoT僵尸網絡變得簡單。

　　如今，很少有IoT惡意軟件作者從頭開始花費時間編寫僵尸網絡。實際上，絕大多數IoT僵尸網絡只是從多個方面提取的不同部分和模塊的組合，并結合到同一舊僵尸網絡代碼庫的新變體中。

　　Intezer的惡意軟件分析師Paul Litvak表示：“安全專家對物聯網僵尸網絡生態系統進行了相對詳細的記錄，很少看到僵尸網絡的工具是從頭開始編寫的?！?/span>

　　根據Litvak和MalwareMustDie的研究結果，Kaiji已經在野外被發現，并在世界范圍內蔓延，制造新的受害者。

　　Intezer研究人員表示，目前僵尸網絡無法使用漏洞感染未修補的設備。相反，Kaiji僵尸網絡IoT設備和Linux服務器執行暴力攻擊，這些設備和服務器的 ssh 端口暴露在互聯網上。Litvak表示，只有root帳戶是攻擊目標，因為僵尸網絡需要對受感染的設備進行root訪問，以便操縱原始網絡數據包，以應對他們想要執行的DDoS攻擊以及他們想要執行的其他操作。一旦獲得對設備根帳戶的訪問權限，Kaiji將以三種方式使用該設備。首先，針對DDoS攻擊。其次，對其他設備進行更多的SSH暴力破解攻擊。第三，它會竊取任何本地SSH密鑰，并傳播到根帳戶過去管理過的其他設備。

　　Litvak表示，僵尸網絡盡管具有發起六種不同類型的DDoS攻擊的能力，但顯然仍在開發當中。與其他較完善的僵尸網絡相比，該代碼缺乏特性，在某些地方包含“ demo”字符串，并且rootkit模塊通常會自我調用太多次并耗盡設備的內存，從而導致崩潰。

　　此外，Kaiji的命令和控制服務器也經常會離線，使受感染的設備沒有任何主服務器，并且容易被其他僵尸網絡劫持。雖然這個僵尸網絡現在不是威脅，但并不意味著將來不是。MalwareMustDie和Litvak現在都在跟蹤其發展過程。

　　兩位研究人員還一致認為，該僵尸網絡是由中國開發人員開發的，因為代碼中的許多功能，盡管是用英語編寫的，僅僅是中文術語的音譯。

　　Kaiji現在是出現在IoT惡意軟件領域的最新IoT僵尸網絡，在最近幾個月出現了一些有趣的進展。僵尸網絡感染超過100,000或500,000設備的日子已經一去不復返了。如今，大多數物聯網僵尸網絡很少會感染超過15,000-20,000臺受感染的設備，而這些設備只是成功的設備。

　　由于開源僵尸網絡工具包的普及，現在每天有數百個僵尸網絡在活動，它們都在為感染和控制相同數量的IoT設備而斗爭。結果，整個物聯網僵尸網絡市場現在分散了，并被眾多較小的參與者所分割。

　　天地和興工控安全研究院編譯，參考來源：ZDNet http://dwz.date/a5E3

　　(七)超過30家公司成立聯盟制定開放式5G系統

　　5月5日，30多家技術和電信公司宣布成立開放式RAN政策聯盟(Open RAN Policy Coalition)，旨在敦促開發“開放且可互操作的”5G無線系統，從而消除了對單個供應商的需求。之所以成立該聯盟，是因為以中國的華為、歐洲的諾基亞和愛立信為首的市場上部署超高速第五代網絡的政治敏感性引起了全球激烈辯論。

　　該聯盟表示，要建立一個具有競爭性的對“無線電接入網絡”中各個組件進行招標的開放標準系統，避免依賴任何單一技術供應商。聯盟執行董事戴安娜·里納爾多表示，由31家公司組成的聯盟正在“讓無線供應商知道有選擇權”，而不是“具有封閉專有系統的單個供應商”。

　　該聯盟成員包括微軟、谷歌、IBM、思科等大型技術公司，以及美國的AT&T和Verizon以及全球運營商Vodafone、Rakuten、Telefonica等運營商，以及硬件和芯片制造公司高通、英特爾、三星。

　　里納爾多表示，“聯盟成立并不是為了解決對任何一家特定公司的擔憂，而是在討論建立穩健的供應鏈并防止任何一家公司獨占市場?！?/span>

　　然而，在華盛頓禁止華為進入美國網絡之際，美國官員表示，這是出于國家安全考慮，并敦促美國盟國效仿。

　　里納爾多表示：“從當前的疫情全球大流行中可以看出，從安全和性能的角度來看，下一代網絡部署中的供應商選擇和靈活性是必要的。通過促進標準化和開發開放接口的政策，我們可以確保不同參與者之間的互操作性和安全性，并有可能降低新創新者進入的門檻?！崩锛{爾多表示，該聯盟正在促進美國私人部署的網絡，聯邦政府幫助建立了多元化的供應鏈，并資助了對這些開放網絡的研究。

　　該聯盟指出，大多數移動網絡通常是使用完全集成的系統部署的，其中無線電、硬件、軟件由單個制造商提供。該聯盟指出，只要標準是一致的，開放的系統就可以工作。

　　里納爾多補充表示，在日本、印度和世界其他地區，已經有使用開放標準成功進行4G或5G網絡移動部署的示例?！斑@個概念已經存在，我們的聯盟旨在幫助擴大這一方面的信息?！?/span>

　　天地和興工控安全研究院編譯，參考來源：SecurityWeek http://dwz.date/a3PR

　　(八)歐洲刑警組織逮捕InfinityBlack黑客組織

　　近日，歐洲刑警組織宣布在波蘭逮捕了Infinity Black黑客組織的五名黑客。該組織成立于2018年底，主要運營Infinity[.]black網站，并在網站上出售用戶憑證盈利。該組織不僅參與了被盜憑據的分發，還參與了惡意軟件和黑客工具以及詐騙工具的開發和分發。

　　Infinity Black是一個網站，黑客可以在其中共享被盜的用戶憑據。歐洲刑警組織表示，該網站由黑客組織運營，該組織建立了多個平臺，專門銷售受損的登錄憑據。這些憑據以所謂的組合列表出售，其中包括許多可用于憑據填充攻擊的用戶名和密碼組合。

　　4月29日，波蘭警方沒收了黑客的電子設備、外部硬盤驅動器和多個硬件加密貨幣錢包，價值約10萬歐元。 警方還關閉了兩個托管數據庫的平臺，這些平臺擁有超過1.7億個條目。

　　InfinityBlack組織的主要收入來源是出售忠誠度計劃的憑證，該組織將賬戶出售給其他技術程度較低的犯罪團伙，這些團伙隨后利用被盜的忠誠度積分兌換成昂貴的電子產品。

　　網絡犯罪分子使用復雜的腳本來訪問大量瑞士帳戶，這些帳戶存儲著價值超過600,000歐元的忠誠度積分，最終實際損失估計為50,000歐元。

　　歐洲刑警組織表示：“ InfinityBlack被有效地分成三個確定的團隊，開發人員創建了工具來測試被盜數據庫的質量，而測試人員則分析了授權數據的適用性，然后目經理分發針對加密貨幣付款的訂閱?！?/span>

　　天地和興工控安全研究院編譯，參考來源：SecurityWeek http://dwz.date/a3M4

　　(九)4400萬巴基斯坦移動用戶數據泄漏

　　據外媒報道，近日有4400萬巴基斯坦移動用戶的詳細信息泄露到網上，而這些只是前些日期黑客出售的1.15億用戶數據的一部分。

　　上個月，一名黑客試圖以210萬比特幣價格出售一個包含1.15億巴基斯坦移動用戶記錄的軟件包。對比這兩組數據，發現這4400萬數據是1.15億數據的一部分。對泄漏的文件進行分析，數據包含個人可識別信息和電話相關信息，包括：客戶姓名、家庭住址(城市，地區，街道名稱)、國家身份證號(CNIC)、手機號碼、座機號碼、 訂閱日期。該數據包括巴基斯坦家庭用戶和當地公司的詳細信息。

　　根據訂閱日期，泄露文件中最早的條目是2013年底，這表明黑客要么獲得了一個較舊的備份文件，要么就在2013年發生了該漏洞，直到現在才在網上出現。

　　泄露文件中的絕大多數條目包含屬于巴基斯坦移動運營商Jazz的手機號碼(以前稱為Mobilink)。但是，研究人員也發現了其他移動運營商的電話號碼。因此，目前無法根據實際和有形的證據，得出數據是從Jazz服務器上獲取的結論。目前尚不清楚數據是來自Jazz本身，還是政府機構，Jazz合作伙伴或電話銷售公司。Jazz發言人未回復置評請求。但是，該公司此前曾質疑數據來自其服務器。

　　該事件已在巴基斯坦展開調查，自上個月黑客首次試圖在黑客論壇上出售整批1.15億產品以來，巴基斯坦電信管理局(PTA)和聯邦調查局(FIA)一直在調查此事。

　　天地和興工控安全研究院編譯，參考來源：ZDNet http://dwz.date/a5Gw

　　(十)英美聯合發布安全警告稱APT組織正試圖竊取新冠病毒相關信息

　　英國國家網絡安全中心(NCSC)和美國國土安全部(DHS)網絡安全和基礎設施安全局(CISA)聯合發布警告稱，政府支持的黑客組織正將目標對準醫療和其它參與對冠狀病毒流行做出國家和國際反應的組織。

　　APT組織，即通常與某個國家有關的復雜黑客團體，正在尋找有關國家新冠病毒響應、醫療研究或其他與冠狀病毒有關的其他敏感數據的信息，攻擊目標是醫療保健、制藥、學術界、醫學研究和地方政府等部門的組織。針對這些目標(尤其是與冠狀病毒研究有關的目標)的網絡攻擊，對于國家支持的行動非常有用，因為它們有可能為協助國內研究冠狀病毒相關藥物提供一條途徑。

　　安全機構警告表示，國際供應鏈是作為攻擊切入點的一個特別領域。報告警告稱：“行動者將供應鏈視為薄弱的一環，可以利用它們來獲得更好保護的目標。供應鏈的許多環節也將受到遠程工作的轉移以及由此產生的新漏洞的影響”。

　　NCSC和DHS先前的聯合警告稱，網絡攻擊者如何掃描易受攻擊的VPN,以便對遠程工作人員發起攻擊，這種情況似乎仍在繼續。未打補丁的軟件是這些攻擊的特別有吸引力的目標，該警告指出，Citrix漏洞CVE-2019-197811是與民族國家有關的黑客組織希望利用的漏洞。

　　針對醫療保健和其他基本服務的APT組織也在試圖使用大規模的password spraying活動，利用通用密碼對英國、美國和其他國家的醫療保健提供商進行暴力攻擊。NCSC和CISA都在調查這些攻擊。該警告表示，“ APT參與者在尋求回答與大流行有關的其他情報問題時，將繼續利用COVID-19?！?/span>

　　為了幫助保護帳戶免受密碼噴霧攻擊，NCSC建議使用強大且重要的唯一的密碼。為了減少更高級的攻擊，聯合警告建議使用最新的安全更新來更新遠程工作環境中使用的VPN，網絡基礎結構和設備，以使攻擊者不能利用已知的漏洞作為入侵手段。還建議組織采用多因素身份驗證作為額外的防御層，因此，如果帳戶或網絡受到威脅，則攻擊不會造成太大的損失。

　　天地和興工控安全研究院編譯，參考來源：ZDNet http://dwz.date/a5N7

　　(十一)法國日報泄露74億用戶個人信息

　　近日，Security Detectives的安全研究人員發現法國發行量最大綜合性日報費加羅報(Le Figaro)出現數據泄露事件。泄露的數據量超過8TB，涉及74億條記錄，包括Le Figaro網站注冊用戶的登陸憑證。

　　泄露的數據包括從2020年4月至2020年2月的3個月的臺式機和移動網站版本的API日志。這些日志中記錄了在上述時間段內注冊的那些用戶和在此時間段內登錄的現有用戶。

　　對新用戶而言，記錄包括登陸憑證和個人身份信息。對之前就注冊的用戶，登陸憑證仍然是隱藏的，但是個人身份信息已經暴露了。

　　泄露的的個人身份信息包括：郵件地址、姓名、家庭地址、新用戶的口令，包括明文和md5哈希后的結果、居住地和郵編、IP地址、外部服務器訪問token。

　　研究人員估計2月到4月之間有至少42000個新用戶注冊。其中泄露的個人身份信息也包括Le Figaro網站的記者和雇員，包括郵箱地址和全名。

　　此外，泄露的數據庫中也含有大量關于Le Figaro服務器的技術日志信息，這些敏感數據對黑客入侵企業的數據基礎設施是非常有價值的。包括：SQL查詢錯誤、不同服務器之間的流量、通信協議、對admin賬戶的潛在訪問。

　　許多泄露的信息都指向一個AGORA系統，可能是該公司使用的CRM系統。安全研究人員發現該數據庫是沒有密碼保護的，直接暴露在公網上。任何人只要有數據庫的IP地址就可以訪問。

　　天地和興工控安全研究院編譯，參考來源：hackread http://dwz.date/a5PX

　　(十二)歐洲最大私立醫院Fresenius遭受勒索軟件Snake攻擊

　　費森尤斯Fresenius是歐洲最大的私家醫院運營商，也是血液透析產品和服務的主要提供商。由于新冠病毒疫情的爆發，該產品的需求量很高，但該公司的技術系統遭到勒索軟件網絡攻擊。 該公司表示這次事件影響了其一些業務運營，但患者護理仍在繼續。

　　費森尤斯集團總部位于德國，旗下有4家獨立企業: 為腎衰竭患者提供醫療服務的領先費森尤斯醫療保健公司(Fresenius Medical Care)、歐洲最大的私營醫院運營商Fresenius Helios、提供藥品和醫療設備的Fresenius Kabi、以及管理醫療設施的VAMED?？傮w而言，費森尤斯在100多個國家雇傭了近30萬名員工，在全球2000大上市企業排行榜上名列第258位。公司為透析、醫院和門診和住院提供產品和服務，在美國透析市場占有率接近40%。然而因為新冠病毒導致許多患者出現腎衰竭，從而導致透析機和用品的短缺。

　　5月5日，一位不愿透露姓名的人士表示，一位為 fresenius kabi 美國行動部門工作的親戚報告稱，他公司大樓里的電腦已經被勒索，一場網絡攻擊已經影響了該公司在全球的所有業務。

　　這位人士表示，攻擊者是Snake勒索軟件，一種新型勒索軟件，于今年早些時候首次被發現，目前正被用來對大型企業進行敲詐，用它們的IT系統和數據作為人質，以換取比特幣等數字貨幣。

　　Fresenius發言人Matt Kuhn證實，該公司正在努力應對計算機病毒爆發。

　　Kuhn在書面聲明中表示：“我可以確認Fresenius的IT安全檢測到公司計算機上的電腦病毒。作為根據我們為這類個案制訂的保安程序而采取的預防措施，我們已采取措施防止疫情進一步蔓延。我們也通知了相關調查部門，雖然公司內部的某些職能目前受到限制，但病人護理仍在繼續。我們的IT專家正繼續致力于盡快解決問題，并確保運營盡可能順利地進行?！?/span>

　　針對弗雷森尤斯的襲擊發生之際，正值針對醫療服務提供者的襲擊越來越有針對性，這些服務提供者處于應對 covid-19疫情的第一線。今年4月，國際刑警組織警告表示，已發現針對參與病毒響應的主要組織和基礎設施的勒索軟件攻擊數量大大增加。網絡犯罪分子正在使用勒索軟件，以數字方式扣押醫院和醫療服務，從而阻止他們訪問重要的文件和系統，直到勒索贖金為止。

　　5月5日，美國國土安全部的網絡安全和基礎設施安全局(CISA)與英國國家網絡安全中心一起發布警告稱，由國家支持的黑客團隊，正在積極攻擊參與國家和國際COVID-19應對措施的組織。該警報表示，“ APT攻擊者經常以組織為目標，以收集符合國家優先事項的大量個人信息，知識產權和情報。大流行可能使APT攻擊者更加關注收集與COVID-19相關的信息。例如，攻擊者可能尋求獲取有關國家和國際醫療政策的情報，或獲取與COVID-19相關的研究的敏感數據?！?/span>

　　勒索軟件泛濫一度被許多人認為只是勒索攻擊，但對許多受害公司來說，已成為事實上的數據泄露。這是因為一些更活躍的勒索軟件團伙已經開始從目標下載大量數據，然后再在他們的系統內啟動勒索軟件。這些數據的一部分或全部隨后被公布在勒索軟件團伙設立的網站上，以此來迫使受害者公司付款

　　安全研究人員表示，Snake勒索軟件有點獨特，因為它試圖識別與企業管理工具和大規模工業控制系統(ICS)相關的IT流程，如生產和制造網絡。

　　盡管一些針對企業的勒索軟件集團已公開承諾，在疫情爆發期間不會單獨挑出醫療服務提供商，但針對醫療機構的攻擊仍在繼續。4月下旬，位于科羅拉多州普韋布洛的Parkview Medical Center遭到勒索軟件攻擊，據報道該勒索軟件使醫院存儲患者信息的系統無法運行。

　　Fresenius拒絕回答有關攻擊細節的問題，稱其未提供有關IT安全問題的詳細信息或評論。目前尚不清楚該公司是否會支付贖金。但據悉，Fresenius之前曾花費150萬美元來解決勒索軟件事件。

　　天地和興工控安全研究院編譯，參考來源：Krebs on Security http://dwz.date/a5QJ

　　(十三)澳大利亞航運公司Toll再次遭受勒索軟件攻擊

　　澳大利亞航運業公司Toll 5月5日告知其客戶，其服務器上存在異?；顒?，并發現了勒索軟件Nefilim。目前已關閉了部分IT系統，這是Toll今年披露的第二起勒索軟件事件。

　　該公司表示，不打算支付任何贖金要求，并聲稱沒有發現證據表明已經從其網絡中竊取了數據。但是在3月份的報告中稱，Nefilim的作者確實聲稱竊取數據，并威脅說除非他們收到贖金，否則將公開這些數據。

　　由于該事件，Toll關閉了MyToll門戶，公司目前正在清理受影響的系統并從備份中還原文件。該公司表示，它正在使用人工流程繼續提供服務，但是一些客戶報告說，服務出現延誤或中斷。

　　最新消息顯示，Toll表示貨運和包裹運送基本上沒有受到影響，該公司還透露，將優先運送重要物品，如冠狀病毒爆發期間所需的醫療和保健用品。

　　Toll表示 ，“我們正在與服務受到影響的大型企業客戶緊密合作，對于我們的中小型企業客戶和消費者，我們正在通過我們的數字和社交渠道(包括Toll 's company和MyToll網站)提供有關工作流程的最新信息 。我們希望在本周內保持當前的業務連續性和人工處理安排，并就調查和恢復過程與澳大利亞網絡安全中心(ACSC)保持定期聯系?！?/span>

　　這是Toll今年第二次遭到勒索軟件攻擊。該公司先前1月下旬在某些系統上發現Mailto勒索軟件，但表示這些事件與此無關。據報道，早些時候的事件影響了澳大利亞、印度和菲律賓的運營，一些未經證實的報道稱，惡意軟件已經感染了1000多臺服務器。

　　Toll隸屬于Japan Post，擁有40,000多名員工，擁有遍布50多個國家的1,200個地點的全球物流網絡。

　　Toll并不是近年來唯一一家遭受勒索的大型航運公司。受害者名單還包括Pitney Bowes、地中海航運公司(MSC)和中遠集團。

　　天地和興工控安全研究院編譯，參考來源：SecurityWeek http://dwz.date/a5Sb

　　(十四)微軟預以1.65億美元收購以色列工控安全公司CyberX

　　據以色列商業新聞媒體Globes報道，微軟預收購以色列網絡安全公司CyberX。據知情人士透露，該交易已到了最后階段，收購金額為1.65億美元。

　　CyberX由以色列精英網絡安全部門的資深人士Omer Schneider和CTO NirGiller于2013年創立，總部位于波士頓，其開發中心位于赫茲里亞。迄今為止，該公司完成了5輪融資，已經從包括Qualcomm、Inven、Norwest Venture Partners、Glilot Capital Partners、Flint Capital、ff Venture Capital和OurCrowd在內的投資者處籌集了4,800萬美元。最新一輪融資于2019年3月籌集了1800萬美元。

　　CyberX從事工業命令和控制系統的物聯網(IoT)網絡安全。通過分析網絡傳輸并為能源、水、制藥、化學、天然氣和制造行業的國際客戶識別機器對機器(M2M)通信中的異常的算法來實現保護。

　　2020年初，CyberX宣布與Microsoft Azure安全中心的IoT的新API級集成，使客戶能夠查看托管和非托管IoT設備之間的安全性。CyberX還確認已加入微軟智能安全協會，該協會是一組將其技術與Microsoft工具集成在一起的公司。

　　天地和興工控安全研究院編譯，參考來源：Globes http://dwz.date/a3SR