目 錄

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)數十種C-Data光纖寬帶設備中存在后門

　　(二)關鍵信息基礎設施安全保護條例今年將審議

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)德國Rittal公司多款產品存在嚴重漏洞

　　(二)加拿大金斯頓皇家軍事學院遭受網絡攻擊致網絡中斷

　　(三)思科小型企業路由器中存在嚴重漏洞

　　(四)阿塞拜疆黑客泄露亞美尼亞軍事機構文件及公民個人信息

　　(五)黑客組織Ghost Squad Hackers攻擊歐洲航天局ESA網站

　　(六)美國CIA秘密策劃針對APT34及FSB的攻擊

　　(七)特朗普承認在2018年授權對俄羅斯機構發起網絡攻擊

　　(八)美國特勤局成立網絡欺詐工作隊

　　(九)以色列供水設施再次遭受網絡攻擊

　　(十)IOT僵尸網絡Mirai的新變體利用Comtrend路由器中的命令注入漏洞

　　(十一)伊朗國家黑客泄露其服務器40GB文件

　　(十二)黑客入侵安全公司DataViper服務器竊取數十億用戶信息

　　(十三)俄羅斯組織APT29企圖竊取多國新冠病毒疫苗研究成果

　　(十四)英國和丹麥將互聯互通共享765公里可再生電力

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)數十種C-Data光纖寬帶設備中存在后門

　　安全研究人員發現，中國廠商C-Data有29臺光纖到戶(FTTH)光纖線路終端(OLT)設備受到后門的影響。

　　該公司的OLT可在各種品牌下購買，包括Bly、OptiLink、V-SOL CN和C-Data，為眾多客戶機提供連接(在某些情況下可達1024個)，其中一些受影響的設備甚至支持多個萬兆上行鏈路。

　　安全研究人員Pierre Kim和Alexandre Torres 發現 FD1104B和FD1108SN OLT受多個漏洞的影響，包括可從WAN和FTTH LAN接口訪問的telnet服務器。后門憑證在固件版本(識別的對包括suma123/panger123、guest/[empty]、root/root126、debug/debug124)和供應商之間存在差異，但它們確實提供了對受影響設備的訪問。

　　研究人員還發現，通過后門訪問OLT的攻擊者可以通過命令行界面(CLI)提取管理員憑據。然后，攻擊者可以利用正在工作的CLI訪問權限以根用戶身份執行命令，并使用嵌入式Web服務器來過濾信息。

　　在調查過程中，研究人員發現，在設備上運行并可從廣域網接口訪問的telnet服務器可能被濫用來遠程重啟設備，而無需進行身份驗證。

　　此外，他們還發現，無需身份驗證就可以提取web和telnet憑據以及SNMP社區，并且憑據以明文形式存儲。用于存儲密碼的加密算法使用硬編碼值的XOR，遠程管理不支持SSL/TLS連接。

　　通過靜態分析，研究人員確定了其他受影響的模型，即72408A，9008A，9016A，92408A，92416A，9288、97016、97024P，97028P，97042P，97084P，97168P，FD1002S，FD1104，FD1104S，FD1104SN，FD1204S-R2，FD1204S-R2，FD1204S-R2 FD1204SN-R2，FD1208S-R2，FD1216S-R1，FD1608GS，FD1608SN，FD1616GS，FD1616SN和FD8000。

　　這些漏洞是在2019年12月發現的，研究人員決定本周公開披露他們的發現，因為他們認為一些后門是“供應商故意設置的”。

　　天地和興工業網絡安全研究院編譯，參考來源：SecurityWeek http://dwz.date/b6rC

　　(二)關鍵信息基礎設施安全保護條例今年將審議

　　國務院辦公廳7月8日印發《國務院2020年立法工作計劃》，其中涉及多個網絡安全法律法規，包括提請全國人大常委會制定未成年人網絡保護條例、審議關鍵信息基礎設施安全保護條例等。

　　國務院2020年立法項目作出安排：圍繞堅持和完善繁榮發展社會主義先進文化的制度，鞏固全體人民團結奮斗的共同思想基礎，提請全國人大常委會審議著作權法修訂草案，制定未成年人網絡保護條例，修訂水下文物保護管理條例。文化產業促進法草案預備提請全國人大常委會審議。圍繞堅持和完善共建共治共享的社會治理制度，保持社會穩定、維護國家安全，提請全國人大常委會審議治安管理處罰法修訂草案、安全生產法修正草案、海上交通安全法修訂草案、監獄法修訂草案，制定社會組織登記管理條例、關鍵信息基礎設施安全保護條例、無人駕駛航空器飛行管理暫行條例，修訂地名管理條例。

　　其中，網信辦擬起草《未成年人網絡保護條例》，網信辦、工業和信息化部、公安部擬起草《關鍵信息基礎設施安全保護條例》。

　　本文版權歸原作者所有，參考來源：中國政府網 http://dwz.date/b6qE

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)德國Rittal公司多款產品存在嚴重漏洞

　　奧地利網絡安全公司SEC Consult發現，德國Rittal公司生產的CMC III工業和IT監視系統、LCP CW冷卻系統、配電單元(PDU)的整個產品組合都受到六種漏洞的影響，受影響的產品均使用相同的基本固件。

　　Rittal已于1月下旬獲悉此漏洞，并且已發布受影響產品的補丁程序(PDU除外)。SEC Consult表示，由于廠商準備發布新產品，目前尚不清楚這些設備是否會得到修復。SEC Consult已將這些漏洞描述為嚴重漏洞，可利用這些漏洞繞過限制、獲得提升的權限并執行任意命令。

　　其中一個漏洞與命令行界面(CLI)菜單有關，在該菜單中，用戶可以在通過SSH連接到設備時對其進行配置。攻擊者可以避開菜單，使用用于SSH登錄的帳戶訪問整個文件系統，這對于進行進一步攻擊很有用。

　　SEC Consult研究人員還發現，任何經過身份驗證的用戶都可以讀取和修改重要的操作系統文件，如/etc/dow和/etc/passwd。例如，對設備具有低權限訪問權限的攻擊者可以修改影子文件以將權限提升到root。

　　研究人員還注意到，這些設備對root帳戶使用相同的密碼。這是根據影子文件中包含的密碼哈希確定的，但哈希尚未被破解，這就是為什么供應商說它不能被利用。

　　Rittal產品還受到Web界面中的命令注入漏洞的影響，特別是NTP服務器IP地址設置。具有管理員特權的攻擊者可以利用此特權以root用戶權限執行命令。

　　另一個問題是Web服務器以root權限運行，這意味著此類命令插入漏洞將允許攻擊者將權限提升為整個設備的root權限。還發現Rittal產品使用了過時的第三方軟件版本，包括OpenSSL和Linux內核，這些軟件可能包含嚴重的漏洞。

　　SEC Consult僅發布了針對命令插入漏洞的概念驗證(PoC)代碼，因為這是所有受影響產品中唯一修復的問題。

　　受影響的設備通常無法從互聯網進行訪問，但是Shodan發現了一些暴露于互聯網的設備，這些設備可能是有意為之或由于配置錯誤而可以訪問的。

　　有權訪問目標設備的攻擊者可以利用命令插入漏洞獲得根權限。雖然攻擊需要訪問產品的管理面板，但攻擊者可以嘗試使用默認憑據獲取此訪問權限。這些默認憑證(如ADMIN-ADMIN和PDU-PDU)在產品文檔中提到，并且SEC咨詢在其測試過程中發現，在大多數情況下默認值沒有更改。

　　攻擊者還可以嘗試使用默認管理員用戶名通過SSH登錄，并暴力破解超級用戶密碼。SEC Consult解釋說，然后他們可以使用su(替代用戶)命令來提升權限。

　　天地和興工業網絡安全研究院編譯，參考來源：SecurityWeek http://dwz.date/b6g3

　　(二)加拿大金斯頓皇家軍事學院遭受網絡攻擊致網絡中斷

　　位于加拿大安大略省金斯敦的皇家軍事學院(RMC)于7月3日發現，其遭受了神秘的網絡攻擊，致使該校的在線網絡暫時癱瘓。此前加拿大其他軍事訓練學校也遭受了網絡攻擊，分別為魁北克的RMC Saint-Jean、多倫多的加拿大部隊學院、羅伯特奧西德研究院首席準尉?；屎蟠髮W計算機系教授大衛·斯基里康表示，似乎該校所有的核心系統都遭受了攻擊。

　　根據RMC工程學院院長兼軟件工程副教授Greg Phillips在7月6日發布的博客文章，該惡意軟件利用安全漏洞進行自我安裝，然后對磁盤內容進行加密，從而使其無法訪問。斯基里康表示，“RMC已經關閉了所有功能，因此感染不會傳播。這似乎是外部發生的事情?！?/p>

　　Phillips將該事件認定為勒索軟件攻擊，黑客要求付費以恢復被破壞網絡上的內容，但斯基利康表示，這一消息尚未得到證實。他表示，“我認為我們不確定它是否是勒索軟件。更為有趣的問題是：是否要求他們支付贖金?如果不是這樣，那可能是其他一些國家使加拿大政府難堪而不是為了賺錢?！?/p>

　　盡管問題仍然存在，但Phillip在RMC計算機網絡上向其他用戶的指示對事件的嚴重性毫不懷疑。其在更新中寫道：“不要對連接到RMC網絡的計算機做任何事情。請勿開啟，請勿關閉，請勿重新啟動，請勿嘗試登錄以及請勿連接外部驅動器或USB閃存盤。這些措施中的任何一種都可能使情況惡化?！?/p>

　　Phillips表示，學院的核心服務將在接下來的幾天內重新上線，一次恢復一點，但完全恢復可能需要數周時間。在最好的情況下，該學院的數據將不受影響，教師將恢復工作，好像什么也沒發生。在最壞的情況下，數據將是不可恢復的，教師將不得不依靠他們擁有的任何備份?！叭绻覀兲貏e幸運，則有可能恢復加密的數據。但是這需要時間?！?/p>

　　加拿大RMC學院信息服務和共享服務部門正在與加拿大部隊網絡運營中心的一個團隊合作，該團隊已派往金斯敦提供協助。Phillips還指出，RMC計算機安全實驗室的成員正在提供咨詢支持。

　　天地和興工業網絡安全研究院編譯，參考來源：Kingston ist http://dwz.date/b5x4

　　(三)思科小型企業路由器中存在嚴重漏洞

　　思科7月15日發布安全公告，以告知一些關鍵漏洞，這些漏洞可被遠程利用，來破解不再出售的小型企業路由器和防火墻。

　　一個高危漏洞為CVE-2020-3330，CVSS評分為9.8，會影響Cisco Small Business RV110W Wireless-N VPN防火墻，它允許遠程未經身份驗證的攻擊者通過連接來完全控制設備使用默認和靜態密碼。

　　另一個高危漏洞CVE-2020-3323影響小型企業RV110W，RV130，RV130W和RV215W路由器。它允許遠程黑客通過向其發送特制的HTTP請求，從而以root特權在目標設備上執行任意代碼。剝削不需要身份驗證。

　　思科在小型企業路由器中修復的第三個漏洞是CVE-2020-3144，可以通過向設備發送惡意HTTP請求來利用該漏洞繞過身份驗證并以管理員權限執行任意命令。RV110W Wireless-N VPN防火墻和RV130 VPN，RV130W Wireless-N多功能VPN和RV215W Wireless-N VPN路由器受到影響。

　　最后一個漏洞CVE-2020-3331影響RV110W Wireless-N VPN防火墻和RV215W Wireless-N VPN路由器。遠程攻擊者可以通過發送目標設備惡意請求，而無需身份驗證即可利用它以root特權執行任意代碼。

　　受影響的路由器和防火墻思科不再出售，但顯然這些設備還沒有達到終止支持的年齡，因此該公司仍在修補它們。

　　此次發布了針對影響思科Prime License Manager(PLM)軟件的關鍵特權升級漏洞的補丁程序。具有有效用戶名的攻擊者可以在系統上獲得管理員特權。

　　思科還告知客戶有關影響其SD-WAN解決方案和某些小型企業路由器的高嚴重性漏洞補丁程序的可用性?？梢岳眠@些缺陷從目標系統獲取敏感文件，發起DoS攻擊以及執行任意代碼或命令。盡管無需身份驗證即可遠程利用某些高嚴重性問題，但其中一些漏洞需要身份驗證和/或訪問目標系統或網絡。

　　沒有證據表明這些漏洞中的任何漏洞已被惡意攻擊利用，并且在思科發布修補程序之前，似乎都沒有公開披露這些漏洞。

　　F-Secure在周三透露，它已識別出兩臺偽造的Cisco交換機，對偽造設備的分析導致發現了一個漏洞，該漏洞似乎也影響了正版Cisco設備。思科已經發起了一項調查，并承諾將其調查結果告知客戶。

　　天地和興工業網絡安全研究院編譯，參考來源：SecurityWeek http://dwz.date/b633

　　(四)阿塞拜疆黑客泄露亞美尼亞軍事機構文件及公民個人信息

　　信息安全專家Samvel Martirosyan于7月8日發表聲明表示，在過去三天內，阿塞拜疆黑客在網絡上泄露了包括軍事人員在內的數百名亞美尼亞公民的護照數據以及與國家軍事單位有關的文件。

　　Martirosyan指出，在過去的一個月里，感染新冠病毒的亞美尼亞公民的個人信息已六次泄漏到網絡中。然而，犯罪分子掌握的信息可能比他們公布的信息要多得多。

　　這是一種極其危險的情況，因為文件中包含諸如軍事單位的車輛數量之類的信息，并且攻擊者可以使用護照數據來發放貸款。

　　Martirosyan認為，阿塞拜疆黑客主要利用電子郵件來獲取官方信息，這是由于亞美尼亞人民的計算機知識水平較低。這些信息的很大一部分是通過個人電子郵件發送的，黑客可以輕松地對其進行黑客攻擊。為了解決該問題，專家建議就如何使用信息和培訓人員制定明確的說明。

　　國家安全局(NSS)指出，他們沒有有關上次數據泄漏的信息，但確認了前兩個數據的事實。

　　早些時候，眾所周知，阿塞拜疆黑客再次發布了感染了新冠病毒的亞美尼亞公民的數據。6月24日，發布了兩個包含名稱、地址和手機的文件，但沒有護照數據。兩周前，阿塞拜疆黑客公布了大約3500名確診冠狀病毒感染的亞美尼亞公民以及與患者接觸的居民數據。NSS表示，“其中一個區域門診醫療中心的電子郵件被黑客入侵，并有人試圖提取信息?！?/p>

　　天地和興工業網絡安全研究院編譯，參考來源：ehackingnews http://dwz.date/b5zB

　　(五)黑客組織Ghost Squad Hackers攻擊歐洲航天局ESA網站

　　一個名為Ghost Squad Hackers的黑客組織近日攻擊了歐洲航天局ESA的網站https://business.esa.int/。該組織表示，他們此次攻擊不是針對性的，只是出于娛樂的目的使該網站拒絕訪問。

　　該組織成員s1eg表示，“我們是黑客主義者，我們通常會為與激進主義有關的多種原因進行黑客攻擊，而這次攻擊純粹是問了好玩?！?/p>

　　該組織聲稱多年來入侵了許多組織和政府機構，包括美國軍方、歐盟、華盛頓特區、以色列國防軍、印度政府和一些中央銀行。該小組似乎主要集中于針對政府機構的行動。

　　關于攻擊的更多細節，該黑客解釋，他們利用服務器中的服務器端請求偽造(SSRF)遠程代碼執行漏洞，然后獲得了對business.esa.int域的訪問權并對其進行了破壞。

　　服務器端請求偽造(SSRF)是一個網絡安全漏洞，允許攻擊者導致服務器端應用程序來進行HTTP請求到攻擊者指定的任意域。在典型的SSRF示例中，攻擊者可能導致服務器重新連接到自身，或組織基礎結構中的其他基于Web的服務或外部第三方系統建立連接。

　　成功的SSRF攻擊通常會導致易受攻擊的應用程序本身或應用程序可以與之通信的其他后端系統上的未經授權的操作或對組織內數據的訪問。在某些情況下，SSRF漏洞可能允許攻擊者執行任意命令。

　　該黑客組織表示，他們的行為不是出于政治原因，還強調他們對泄漏數據沒有任何興趣。他們的目的是破壞網站，以表明該網站是容易受到攻擊的。Ghost Squad Hackers并未嘗試將問題報告給ESA。

　　天地和興工業網絡安全研究院編譯，參考來源：securityaffairs http://dwz.date/b53m

　　(六)美國CIA秘密策劃針對APT34及FSB的攻擊

　　雅虎新聞獨家報道稱，美國中情局CIA在全球范圍內策劃了至少12起黑客攻擊行動，包括針對APT34和FSB的黑客攻擊。

　　2018年，美國總統特朗普賦予中央情報局(CIA)更多權力，對包括伊朗和俄羅斯APT組織和情報機構在內的敵對威脅行為體進行秘密進攻性網絡行動。

　　這項活動由總統秘密授權，使間諜機構在其開展的各種行動和針對誰的行動上都有了更多的自由，從而取消了先前政府實施的許多限制。特朗普總統擴大中情局的權力，中情局參與了攻擊性網絡行動以及監視和數據收集活動。

　　這項由美國國家安全委員會(National Security Council)推動、中情局(CIA)精心制定的總統指令，重點是在網絡空間進行秘密行動的可能性。

　　美國網絡間諜的目標是對網絡空間的侵略和危險行為負責的敵對國家，如中國、伊朗、朝鮮和俄羅斯。

　　報告中援引的另一名官員明確將這些掩護行動與“黑客入侵”的概念聯系起來。

　　雅虎新聞的報道將幾項活動與中情局的秘密行動聯系起來，包括：

　　·伊朗APT 34(又名石油鉆井APT集團)使用的工具在Telegram上泄露(2019年3月)。

　　·電報泄露了與伊朗伊斯蘭革命衛隊有關聯的三家伊朗銀行客戶1500萬張借記卡的詳細信息(2019年11月)。

　　·在Telegram上搗毀伊斯蘭革命衛隊(IRGC)特工。中央情報局的網絡間諜被懷疑泄露了伊朗特工的網上個人詳細信息，包括全名，家庭住址，電話號碼和社交媒體資料。

　　·俄羅斯聯邦安全局(FSB)承包商SyTech遭到黑客入侵，以及有關內部項目的數據被盜。根據俄羅斯媒體的說法，SyTech自2009年以來一直與FSB合作，特別是他們為FSB部門71330和合作伙伴Quantum的多個項目做出了貢獻。

　　盡管消息人士不愿透露中情局是否是伊朗泄密的幕后黑手，但調查結果將中情局的權限擴大到金融機構，例如泄露銀行卡數據的行動，代表著美國網絡行動的顯著升級。前官員表示，在上屆政府中，財政部高級官員成功地反對泄露或抹殺銀行業數據，因為這可能會破壞全球金融體系的穩定。中情局一直知道這些行動是一種選擇，但總是太遠了。

　　中情局官員贊揚特朗普將其定義為“必要改革”以提高中情局能力的決定。

　　天地和興工業網絡安全研究院編譯，參考來源：SecurityAffairs http://dwz.date/b6vF

　　(七)特朗普承認在2018年授權對俄羅斯機構發起網絡攻擊

　　美國總統特朗普承認，2018年美國網絡軍隊對俄羅斯一家公司發動了網絡攻擊，據信這家公司是一些重大造謠活動的幕后黑手，其中包括旨在影響選舉的造謠活動。

　　據《華盛頓郵報》報道，攻擊的目標是總部位于圣彼得堡的互聯網研究機構(IRA)，該機構被懷疑是克里姆林宮安排的虛假宣傳活動的來源。攻擊發生在2018年2月，由美國網絡司令部在美國國家安全局的支持下發動，美國黑客使該公司下線。

　　攻擊是為了干擾2018年中期選舉而發起的，與2016年總統選舉相似。針對IRA的行動是由特朗普總統授權的，特朗普還聲稱Barack Obama總統在2016年總統大選之前沒有采取任何行動來制止俄羅斯的虛假宣傳運動。

　　雖然眾所周知，美國確實在進行進攻性的網絡行動，但政府承認具體攻擊的情況很少見。

　　2018年2月，特別檢察官Robert Mueller指控13名俄羅斯國民篡改2016年總統選舉，并指控他們陰謀反美。根據檢察官的調查結果，互聯網研究機構和這13名俄羅斯人早在2014年就開始針對美國。俄羅斯國民利用竊取的美國身份和當地電腦基礎設施影響2016年總統大選，該組織故意詆毀候選人克林頓支持特朗普。

　　天地和興工業網絡安全研究院編譯，參考來源：security affairs http://dwz.date/b6cj

　　(八)美國特勤局成立網絡欺詐工作隊

　　美國聯邦調查局近日在新聞稿中宣布，隨著聯邦調查人員認識到網絡犯罪與傳統金融犯罪之間的聯系，美國特勤局已經建立了一個打擊犯罪的機構。電子犯罪工作隊和金融犯罪工作隊將合并為網絡欺詐工作隊(CFTF)。

　　特勤局稱，其任務是預防、偵查和減輕復雜的網絡金融犯罪，以逮捕和定罪最有害的罪犯。

　　自大流行以來，國土安全部下屬的特勤局表示，其重點是制止與大流行有關的犯罪活動，并從美國人那里追回贓款。該機構在新聞稿中說，在CFTF模式下進行合作可以改善數據共享和調查技能的開發。

　　美國特勤局(Secret Service)擊破了數百種與冠狀病毒相關的在線騙局，調查了網絡欺詐案件，制止了銷售被盜的COVID-19測試套件，防止了數千萬美元的欺詐行為發生，并在全美處于領先地位特勤局在新聞稿中說，努力打擊失業支付欺詐。

　　美國特勤局助理局長Michael D'Ambrosio表示，“新成立的網絡欺詐工作隊將提供一支專門的代理商和分析人員隊伍，接受最新的分析技術培訓，并配備最前沿的技術。CFTF與我們的合作伙伴一道，隨時準備打擊所有基于網絡的金融犯罪?！?/p>

　　在合并之前，網絡犯罪調查人員需要額外的培訓來進行計算機取證調查、考試、追蹤互聯網地址以及與科技公司合作。與此同時，傳統金融犯罪調查人員通過追蹤欺詐性電匯、偽造支票和打擊假幣，努力保護和保護美國的金融基礎設施。但是，調查人員在不了解金融和在線行業以及為每個行業提供動力的技術和機構的情況下，無法進行金融或網絡犯罪調查。

　　如今，特勤局在美國擁有42個CFTF辦事處，在倫敦設有1個辦事處，在羅馬設有1個辦事處。該機構計劃將該網絡擴展到全球160個辦事處。

　　天地和興工業網絡安全研究院編譯，參考來源：NationalCyberSecurity http://dwz.date/b6ut

　　(九)以色列供水設施再次遭受網絡攻擊

　　Ynet新聞網站7月16日透露，最近發生了兩起有關以色列供水設施的網絡攻擊。其中一次襲擊是針對Upper Galilee的水泵，第二次襲擊是在Mateh Yehuda地區。水務局證實了這兩次襲擊，并強調它們并未造成任何損害。

　　水務管理局表示，事件發生地點是農業部門的兩個小型污水設施，由當地集體農場和設施負責人立即修復，沒有中斷服務或造成實際影響。

　　該報告是在4月份被認為是伊朗發動的網絡攻擊之后發布的，該攻擊試圖滲透到運行以色列農村供水系統的計算機。一個月后，伊朗的一個港口設施成為網絡攻擊的目標，美國和外國政府官員表示，攻擊似乎源自以色列。

　　2019年12月，伊朗電信部長表示，該國已經化解了一次旨在對政府情報進行間諜活動的網絡攻擊。

　　2019年夏天，有報道稱美國對伊朗發動了一次秘密的網絡攻擊。據報道，這次襲擊摧毀了伊朗準軍事部門用來策劃襲擊油輪的一個關鍵數據庫，并削弱了德黑蘭秘密瞄準波斯灣航運交通的能力。

　　在2000年代末，Stuxnet計算機病毒破壞了其核站點中成千上萬個伊朗離心機之后，伊朗已將其大部分基礎設施從互聯網斷開。

　　天地和興工業網絡安全研究院編譯，參考來源：israel national news http://dwz.date/b63b

　　(十)IOT僵尸網絡Mirai的新變體利用Comtrend路由器中的命令注入漏洞

　　趨勢科技安全研究人員發現，IOT僵尸網絡Mirai的新變體中包含一個命令注入漏洞CVE-2020-10173，該漏洞影響了Comtrend路由器。

　　Mirai 最初于2016年發現，其源代碼于同年10月在網上發布，現已成為眾多分布式拒絕服務(DDoS)僵尸網絡的基礎，其中僅在過去的幾個月中就出現了數個僵尸網絡，其中包括SORA，UNSTABLE和Mukashi。Mirai的每一個變體在目標設備或入侵技術方面都帶來了一些新的東西，最新檢測到的迭代也是一樣。

　　根據趨勢科技安全研究人員稱，這是第一個利用CVE-2020-10173的僵尸網絡版本，CVE-2020-10173是Comtrend VR-3033路由器中的一個漏洞。該問題是一個經過身份驗證的命令注入漏洞，可以被遠程攻擊者利用，以破壞由路由器管理的網絡。針對該漏洞的概念驗證(PoC)代碼已公開發布，但Mirai變體是嘗試全面利用此漏洞的第一個惡意軟件。

　　但是，CVE-2020-10173只是此惡意軟件迭代所針對的漏洞之一。實際上，它包含了總共9個漏洞的漏洞利用程序，其中包括Netlink GPON路由器中相對較新的漏洞。該安全漏洞是一個遠程代碼執行錯誤，已于今年早些時候被發現，但已被添加到Hoaxcalls僵尸網絡的武器庫中。

　　除了這兩個漏洞外，新的Mirai變體還針對一系列以前已被其他各種僵尸網絡濫用的較舊的安全問題，包括影響LG SuperSign EZ CMS，AVTECH設備，D-Link設備，MVPower DVR，Symantec的漏洞。Web Gateway 5.0.2.8和ThinkPHP。

　　趨勢科技表示，“在此變體的代碼中使用CVE-2020-10173表明，僵尸網絡開發人員如何繼續擴展其武器庫以感染盡可能多的目標，并利用未修補設備提供的開放性。特別是新發現的漏洞為網絡犯罪分子提供了更好的機會。用戶甚至不知道該漏洞是否存在，因此可能在為時已晚之前無法對設備進行修補?！?/p>

　　研究人員指出，影響Comtrend路由器的漏洞可能會被其他DDoS僵尸網絡濫用，因為它們傾向于相互復制技術。

　　天地和興工業網絡安全研究院編譯，參考來源：SecurityWeek http://dwz.date/b56h

　　(十一)伊朗國家黑客泄露其服務器40GB文件

　　一個有伊朗國家資助的黑客組織意外地暴露了其一臺服務器，使研究人員可以訪問約40GB的視頻和其他與威脅者的行動相關的文件。

　　該服務器由IBM X-Force事件響應情報服務(IRIS)的研究人員于5月發現，屬于組織ITG18、Charming Kitten、Posphorous、APT35和NewsBeef。該設備托管了黑客使用的許多域，由于基本配置錯誤，因此可以訪問三天。

　　研究人員分析了在服務器上找到的文件，并發現了該小組成員錄制的將近五個小時的培訓視頻。一些視頻向觀眾展示了如何從各種在線帳戶中竊取數據，包括聯系人，圖像和來自相關云存儲服務的文件。

　　ITG18至少從2011年就開始活躍起來，它的目標是廣泛的實體，包括世界衛生組織(WHO)，政府機構，記者，活動家，甚至總統競選。

　　IBM在暴露的服務器上發現的一些視頻顯示，對美國海軍一名成員和希臘海軍希臘海軍的一名官員進行了成功襲擊。視頻顯示，黑客設法收集了有關兩個目標的大量信息，包括媒體文件，個人信息和財務詳細信息，并且黑客入侵了數十個受害者的在線帳戶。

　　IBM在博客中說：“IBM X-Force IRIS沒有發現這兩名軍人的專業網絡憑證受到損害的證據，而且似乎也沒有提供任何專業信息。但是，威脅行動者有可能在軍人的個人檔案中搜索特定信息，這將使ITG18將其網絡間諜活動進一步擴展到美國和希臘海軍?！?/p>

　　除兩名海軍成員外，暴露的文件顯示，Charming Kitten還針對一名伊朗裔美國人的慈善家和美國國務院的官員。但是，這些嘗試顯然失敗了。

　　IBM的研究人員指出，黑客似乎并不介意嘗試訪問受雙因素身份驗證保護的帳戶。在某些情況下，拍攝培訓視頻的個人似乎使用了他們創建的賬戶，在某些情況下，可以看到帶有+98國家代碼(伊朗國家代碼)的電話號碼，這使得人們相信ITG18很可能在伊朗境外運營。

　　不管動機如何，ITG18運營商的錯誤都讓IBM X-Force IRIS獲得了寶貴的信息，以了解到這個團隊如何能夠實現目標，并以其他方式培訓其運營商。 IBM X-Force IRIS認為ITG18是一個具有確定威脅的組織，在其運營方面投入了大量資金。盡管多次公開披露和廣泛報告其活動，但該集團仍表現出堅持不懈的經營和不斷創建新的基礎設施。

　　2019年，微軟報告稱，它控制了ITG18使用的99個域名，此前他們對黑客提起訴訟，指控他們使用模仿微軟和其他公司服務的域名。

　　天地和興工業網絡安全研究院編譯，參考來源：SecurityWeek http://dwz.date/b6zZ

　　(十二)黑客入侵安全公司DataViper服務器竊取數十億用戶信息

　　近日，黑客攻擊了美國網絡安全公司NightLion的數據泄露監視服務DataViper的后端服務器，并從其數據泄漏檢測服務中竊取了8200多個數據庫，其中包含其他公司泄漏的數十億用戶的信息。

　　這些數據庫是在DataViper內部收集的，DataViper是一家數據泄露監控服務公司，由美國網絡安全公司NightLion Security的安全研究員Vinny Troia管理。數據泄漏監視服務是網絡安全公司提供的一種常見服務。安全公司掃描暗網、黑客論壇，粘貼站點和其他位置，以收集有關其數據在線泄漏的公司的信息。安全公司在私有后臺編譯“黑客數據庫”，允許客戶搜索數據，并在員工數據在線泄露時進行監控，然而，公司本身也遭受安全漏洞的影響。

　　7月13日，一個名叫NightLion的黑客(即安全公司的名稱)，通過電子郵件向數十名網絡安全記者發送了一個暗網的鏈接，他們在該暗網中發布了有關黑客的信息。該網站包含一個電子雜志(電子雜志)，詳細介紹了對DataViper后端服務器的入侵。黑客聲稱在竊聽Troia為DataViper數據泄漏監視服務建立索引的數據庫時，已在DataViper服務器中花費了三個月的時間。

　　黑客還發布了Troia設法在DataViper服務中建立索引的8,225個數據庫的完整列表，482個可下載JSON文件的列表，這些文件包含他們聲稱從DataViper服務器竊取的數據中的樣本，并證明他們可以訪問DataViper的后端。

　　此外，黑客還在Empire暗網市場上發布了廣告，將DataViper后端發現的50個最大的數據庫出售。

　　黑客列出的8200多個數據庫中，大多數是原先就泄露的，這些違規源于幾年前發生的入侵事件，并且已經在多個位置被已知并已在線泄漏。

　　Troia承認黑客可以訪問其中一臺DataViper服務器。但是，Night Lion Security的創始人說該服務器只是一個測試實例。Troia相信黑客實際上是在出售他們自己的數據庫，而不是他們從服務器中竊取的任何信息。他表示，這些數據已經公開了很多年，或者在某些情況下，Troia從泄漏者所在的同一批黑客社區中獲得了該數據。

　　Troia認為泄密者與TheDarkOverlord，ShinyHunters和GnosticPlayers等多個黑客組織有關。所有這些團體都有著多產的黑客歷史，是造成數百起漏洞的原因，其中Troia在其DataViper數據庫中建立了索引。

　　天地和興工業網絡安全研究院編譯，參考來源：ZDNet http://dwz.date/b57W

　　(十三)俄羅斯組織APT29企圖竊取多國新冠病毒疫苗研究成果

　　英國國家網絡安全中心NCSC 7月16日指控一個黑客組織，試圖竊取對潛在冠狀病毒疫苗的研究，并且幾乎可以肯定該組織是俄羅斯情報部門的一部分。

　　國家網絡安全中心NCSC表示，APT29團體的攻擊仍在進行中，到目前為止，目標是包括英國、美國和加拿大的疫苗研究與開發組織。NCSC評估了APT29，也被稱為Dukes或Cozy Bear，幾乎可以肯定是俄羅斯情報服務的一部分。

　　外交大臣Dominic Raab對調查結果表示憤慨，這些調查結果與關于組織如何幫助保護自己免受網絡攻擊的咨詢同時發布。

　　Raab表示：“俄羅斯情報部門的目標是那些與冠狀病毒大流行作斗爭的人，這是完全不能接受的。當其他國家不計后果地追求自己的私利時，英國及其盟友卻在繼續努力尋找疫苗，保護全球健康。英國將繼續反擊那些實施此類網絡攻擊的人，并與我們的盟友合作，追究肇事者的責任?！?/p>

　　NCSC表示，政府、外交、智囊團、醫療保健和能源集團是主要目標，目的是竊取寶貴的知識產權。

　　天地和興工業網絡安全研究院編譯，參考來源：SecurityWeek http://dwz.date/b6yW

　　(十四)英國和丹麥將互聯互通共享765公里可再生電力

　　英國和丹麥本月已開始建設世界上最長的電力互聯系統，使英國和丹麥可共享電力，并有助于降低碳排放。該項目英國方面本月開始動工，計劃在2023年啟用換流站。

　　耗資18億英鎊的Viking Link項目是國家電網公司與丹麥電力系統所有者和運營商Energinet的合資企業。

　　建成后的1.4GW高壓直流(HVDC)電力互連器將是世界上最長的，將在林肯郡的比克芬和日德蘭半島南部的Revsing之間延伸765公里的海底和陸地，以實現清潔能源共享。

　　國家電網表示，考古和生態調查已經完成了初步的基礎工作，但道路工程的開始是該項目的一個重要里程碑。

　　此類項目越來越受歡迎，作為平衡有時不穩定的可再生能源發電的一種方式，這種能源可能取決于天氣等因素。2018年，一個連接比利時和英國能源系統的類似項目啟動，耗資6億英鎊，延伸約140公里。

　　英國國家電網公司(National Grid Ventures)將擁有并運營這條連接線，該公司的項目總監Mike Elmer表示：“Viking Link將在幫助英國電力供應脫碳、實現凈零碳能源系統的征程中發揮至關重要的作用。它將使人們獲得更清潔、更環保的電力供應，這將使能源更加安全，消費者也能負擔得起?！?/p>

　　能源部長Kwasi Kwarteng表示：“該計劃不僅將在全縣創造本地綠領工作，而且還將加強我們的能源安全，減少消費者的賬單，并使我們本土的可再生能源發電機有更大的機會向全世界輸出零碳電力?！?/p>

　　一旦完成，互聯系統將有能力為150萬英國家庭提供可再生能源。 人們希望，到2030年，通過國家電網互聯系統進口的電力中，90%將來自零碳源。

　　天地和興工業網絡安全研究院編譯，參考來源：Engineering and Technology http://dwz.date/b6xW