目 錄

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)哈佛研究稱中國網絡力量與美國并駕齊驅

　　(二)中國愿發起《全球數據安全倡議》

　　(三)FCC要求美國電信業完全替換中興和華為設備

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)巴基斯坦電力供應商K-Electric遭受勒索軟件Netwalker攻擊

　　(二)以色列芯片制造商Tower Semiconductor遭受網絡攻擊

　　(三)阿根廷移民局遭受勒索軟件Netwalker攻擊

　　(四)數據托管中心Equinix遭受勒索軟件Netwalker攻擊

　　(五)CodeMeter產品中存在六個嚴重漏洞可致工控系統遠程攻擊

　　(六)美國政府發布太空系統網絡安全政策

　　(七)CISA發布指令要求美國聯邦機構需執行《漏洞披露政策》

　　(八)FBI警告稱勒索式DOS攻擊正席卷全球

　　(九)五眼聯盟聯合發布事件響應指南

　　(十)多國CERT警告Emotet木馬攻擊

　　(十一)黑客組織TeamTNT濫用合法工具Weave Scope進行云攻擊

　　(十二)澳大利亞政府遭受網絡釣魚攻擊 泄露738 GB數據

　　(十三)智利銀行BancoEstado遭受REVil勒索軟件攻擊

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)哈佛研究稱中國網絡力量與美國并駕齊驅

　　按照傳統觀點，就網絡空間的實力而言，專家傾向于將美國排在中國、英國、伊朗、朝鮮和俄羅斯之前。但哈佛大學貝爾弗中心的一項新研究顯示，中國已經在三個關鍵領域縮小了與美國的差距：監控、網絡防御以及建立商業網絡領域。

　　哈佛大學貝爾弗中心聯席主任埃里克·羅森巴赫(Eric Rosenbach)表示，“很多人，特別是美國人，會認為美國、英國、法國和以色列在網絡實力方面比中國更先進。我們的研究表明事實并非如此，中國非常發達，幾乎與美國處于同等水平?！?/p>

　　該項研究表明，總體而言，中國的網絡實力僅次于美國。但研究還發現，幾個目前不被認為是傳統網絡強國的國家正在世界舞臺上崛起。

　　衡量網絡實力往往是一項復雜的工作，因為許多細節都隱藏在世界各地的絕密政府文件或隱晦的外交信息中。參與創建該框架的研究人員來自谷歌威脅分析小組和英國政府的網絡政策團隊，他們著手提供一個衡量標準，以揭示網絡安全生態系統更真實的圖景。

　　國防部負責網絡事務的前國防部助理部長羅森巴赫表示，“無論是在學術界還是政治界，人們往往會遵循傳統的智慧。在美國政府，每個人都在談論‘四大’，首先是俄羅斯和中國，然后是朝鮮和伊朗，但這種想法真的太簡單化了，他們沒有更全面地考慮網絡力量，這可能會導致錯誤的政策決定和不良的戰略成果。我們希望有一種更嚴格的方式來評估國家層面的網絡力量?！?/p>

　　該框架跟蹤旨在衡量國家網絡能力的27個指標和旨在衡量國家因此而使用其網絡能力的意圖的32個指標。為了獲得多樣化的網絡力量圖景，研究人員將其測量結果分為七個類別，包括國家的防御、進攻性的網絡行動、外國情報收集、監視和信息環境的控制。該研究小組還評估了各國在定義國際網絡規范方面的能力和意圖，以及它們為發展其國內網絡部門所做的努力。

　　根據這份報告，美國是世界舞臺上最有權勢的網絡參與者。它在七個類別中的五個中名列前茅，包括控制信息環境、塑造國際網絡規范、情報、以及攻擊性和破壞性的網絡行動。

　　但羅森巴赫表示，研究表明，有一些國家正在變得更有能力成為網絡強國，包括阿聯酋、越南和新加坡。馬來西亞、瑞典和瑞士在包括情報、監視、信息控制和商業增長在內的多個類別中也躋身前10名。NCPI發現，總的來說，美國、中國、英國、俄羅斯和荷蘭是最強大的網絡強國。前十名依次是法國、德國、加拿大、日本和澳大利亞。

　　該研究的共同作者表示，其他研究團隊先前的網絡能力指數并未全面了解誰在世界舞臺上上升和下降。例如，經濟學人智庫和布茲·艾倫·漢密爾頓(Booz Allen Hamilton)的“網絡力量指數”并不衡量進攻能力，而是關注經濟指標。研究人員說，波托馬克研究所的網絡就緒指數研究了一個國家對確保其基礎設施安全的承諾。

　　近幾個月來，中國政府黑客一直在加強其網絡行動，打擊被認為是反對政府的人，包括香港、維吾爾穆斯林和臺灣的抗議活動。NCPI顯示，雖然這些行動可能會登上頭條，但在中國，有一個更廣泛的網絡力量生態系統在發揮作用。根據這項研究，中國在對國內組織的監控、信息控制、外國情報收集以及國防方面排名靠前。

　　根據美國國防部上周發布的一份對中國軍事實力的評估，中國人民解放軍一直在努力增強其能力。中國人民解放軍在歷史上曾有過一次截然不同的網絡行動。它專門通過其戰略支持部隊(Strategic Support Force)做到了這一點，這是近年來成立的一個戰區指揮級組織，正在努力將其網絡偵察、網絡攻擊和防御能力集中到一個部隊中。

　　國防部的報告指出：“中國人民解放軍顯然對其網絡能力與美國之間的差距感到擔憂，這是推動SSF成立的動力之一。中國對網絡力量的關注是由追趕美國網絡行動的目標推動的。中國認為自己的網絡能力和網絡人員落后于美國，它正在努力改善培訓，支持國內創新，克服這些公認到的不足，以推進網絡空間運營?！?/p>

　　參考來源：cyberscoop http://dwz.date/cz25

　　(二)中國愿發起《全球數據安全倡議》

　　中國國務委員兼外長王毅9月8日在全球數字治理研討會上表示，中國建設性參與聯合國、二十國集團、金磚國家、東盟地區論壇等多邊平臺的數據安全討論，致力于為加強全球數字治理貢獻中國智慧。為應對新問題新挑戰，中國愿發起《全球數據安全倡議》，歡迎各方積極參與。

　　這一倡議的主要內容包括：

　　一是客觀理性看待數據安全，致力于維護全球供應鏈開放、安全和穩定。

　　二是反對利用信息技術破壞他國關鍵基礎設施或竊取重要數據。

　　三是采取措施防范和制止侵害個人信息的行為，不得濫用信息技術對他國進行大規模監控，或非法采集他國公民個人信息。

　　四是要求企業尊重當地法律，不得強制要求本國企業將境外產生、獲取的數據存儲在本國境內。

　　五是尊重他國主權、司法管轄權和對數據的管理權，不得直接向企業或個人調取位于他國的數據。

　　六是應通過司法協助等渠道解決執法跨境數據調取需求。

　　七是信息技術產品和服務供應企業不應在產品和服務中設置后門，非法獲取用戶數據。

　　八是信息技術企業不得利用用戶對產品依賴，謀取不正當利益。

　　本文版權歸原作者所有，參考來源：中國新聞網 http://dwz.date/cyBV

　　(三)FCC要求美國電信業完全替換中興和華為設備

　　美國聯邦通訊委員會(Federal Communication Committee，FCC)6月指責中國電信廠商華為、中興為國家安全威脅后，外界也預估下一步就會要求電信業者拆除現有設備。9月4日FCC宣布完成美國國內電信業者的使用調查，準備要求業者淘汰替換兩家中國公司的電信網絡設備，估計需要經費約18億美元。

　　這項調查是起自去年11月FCC主席Ajit Pai一項在白宮反中氣氛中做出的提議，包括禁止美國電信業者以國家“普及服務基金”預算，采購華為與中興的網絡設備及服務，并要求當地電信商拆除現已引入的兩家公司設備。為此，FCC要求電信業者清查已經用國家補助采購了多少華為與中興的設備，也將補助他們移轉到其他公司產品。

　　今年6月底，FCC正式指稱華為、中興的產品對美國構成國家安全威脅，FCC委員也說不會到此為止，暗示會有進一步動作。上周FCC表示，根據搜集的資料顯示，移除并淘汰替換現有電信業者網絡中華為和中興設備估計耗資18.4億美元，包括初階段符合補助審查的企業需要的16.2億美元，剩余則提供給尚未參加調查的企業后續參加補助審查。

　　FCC主席Pai指出，FCC的首要任務是提升國家通訊網絡的安全，這也是FCC調查電信業者網絡中安裝“不可信賴廠商”的設備和服務的原因，而在完成辨識美國網絡中有多少不安全設備后，就可以開始著手協助他們，特別是小型及偏遠地區電信業者改用可信賴業者的設備。不過經費至今仍是問題，他再次呼吁美國國會通過補助淘汰替換的預算。

　　美國為首的五眼聯盟中，澳洲、新西蘭已經明確抵制在5G網絡中使用華為設備。英國則是于7月宣布于2027年前，淘汰清除所有正在使用的華為電信設備。歐洲另一大國德國仍保持觀望，并未表達其最終決定。

　　參考來源：iThome http://dwz.date/czvM

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)巴基斯坦電力供應商K-Electric遭受勒索軟件Netwalker攻擊

　　巴基斯坦卡拉奇市電力供應商K-Electric遭受了勒索軟件Netwalker攻擊，影響了計費和在線服務。

　　K-Electric(KE)(前身為卡拉奇電力供應公司/卡拉奇電力供應有限公司)是一家巴基斯坦投資者所有的公用事業公司，管理著生產和向消費者輸送能源的所有三個關鍵階段：發電、輸電和配電。K-Electric是該國最大的電力供應商，擁有250萬客戶和約1萬名員。

　　從9月7日開始，該公司的客戶無法使用其賬戶服務，電力供應沒有受到影響。作為對這一事件的回應，K-Electric試圖通過登臺站點重新引導用戶，但問題尚未解決。

　　在得知此次勒索軟件攻擊后，安全研究人員證實了Netwalker勒索軟件運營商是此次攻擊的幕后黑手。Netwalker勒索軟件運營商要求支付價值385萬美元的比特幣。與往常一樣，如果公司不在七天內支付贖金，贖金將增加到770萬美元。

　　該組織還在他們的Tor泄密網站的“被盜數據”頁面上聲稱，他們在加密K-Electric系統之前竊取了未加密文件。目前還不清楚有多少文件被盜，以及其中包含哪些信息。

　　最近，Netwalker勒索軟件運營商攻擊了阿根廷官方移民機構Dirección Nacional de Migraciones，攻擊導致進出該國的邊境口岸中斷4個小時。另一個受害者是加州大學舊金山分校(UCSF)，他們決定支付114萬美元的贖金以恢復其檔案。

　　最近，聯邦調查局發布了針對美國和外國政府組織的Netwalker勒索軟件攻擊的安全警報。聯邦政府建議受害者不要支付贖金，并向當地的聯邦調查局外地辦事處報告事件。該警報還包括Netwalker勒索軟件的危害指標以及緩解措施。FBI警告稱，從6月份開始的新一波Netwalker勒索軟件攻擊，受害者名單包括加州大學舊金山分校醫學院和澳大利亞物流巨頭Toll Group。自3月份以來，Netwalker勒索軟件運營商一直非?；钴S，還利用正在進行的新冠肺炎疫情攻擊目標組織。

　　威脅參與者最初利用提供Visual Basic腳本(VBS)加載程序的網絡釣魚郵件，但從2020年4月開始，Netwalker勒索軟件運營商開始利用易受攻擊的虛擬專用網(VPN)設備、Web應用程序中的用戶界面組件或遠程桌面協議連接的弱密碼來訪問受害者的網絡。最近，Netwalker勒索軟件運營商正在尋找新的合作者，為他們提供對大型企業網絡的訪問。

　　以下是FBI提供的建議緩解措施：

　　l 離線備份關鍵數據;

　　l 確保關鍵數據的副本位于云中或外部硬盤或存儲設備上;

　　l 保護備份，并確保無法從數據所在的系統訪問該數據以進行修改或刪除;

　　l 在所有主機上安裝并定期更新防病毒或防惡意軟件;

　　l 只使用安全網絡，避免使用公共Wi-Fi網絡;

　　l 考慮安裝和使用VPN;

　　l 使用具有強密碼的雙因素身份驗證;

　　l 保持計算機、設備和應用程序修補程序為最新。

　　參考來源：SecurityAffairs http://dwz.date/cz6U

　　(二)以色列芯片制造商Tower Semiconductor遭受網絡攻擊

　　以色列芯片制造商Tower Semiconductor 9月6日宣布，該公司的IT安全系統已確定由于網絡事件而在其某些系統上發生安全事件。作為預防措施，該公司停止了部分服務器，并主動停止了某些制造工廠的運營，并采取了逐步、有組織的方式。一位不愿透露姓名的知情人士表示，Tower Semiconductor準備向黑客支付數十萬美元的贖金以釋放其服務器。Tower有一項針對網絡攻擊的保險單，保險公司將承擔相關費用。

　　與許多公司支付贖金并竭盡全力將事件保密的公司不同，Tower已向以色列證券管理局報告了該黑客事件，并與執法機構以及由其全球專家組成的領導團隊與其保險提供商進行緊密合作，以盡快恢復受影響的系統。公司已采取具體措施來防止此事件的擴大。目前，尚無對公司實際影響的評估。該公司并表示，作為預防措施，它關閉了部分服務器，并部分停止了生產設備。

　　Tower位于以色列北部的Migdal HaEmek，擁有5,000多名員工。Tower Semiconductor是高價值模擬半導體代工解決方案的領導者，為消費、工業、汽車、移動、基礎設施、醫療、航空航天和國防等日益增長的市場為集成電路提供技術和制造平臺。Tower Semiconductor致力于通過長期合作伙伴關系及其先進和創新的模擬技術產品，對世界產生積極和可持續的影響，產品包括各種可定制的處理平臺，例如SiGe、BiCMOS、混合信號/ CMOS、RF CMOS、CMOS圖像傳感器、非成像傳感器、集成電源管理(BCD和700V)和MEMS。Tower Semiconductor還提供世界一流的設計支持，以實現快速，準確的設計周期，并為IDM和無晶圓廠公司提供轉移優化和開發過程服務。

　　根據以色列網絡安全公司Skybox Security的數據，與2019年前六個月相比，2020年上半年勒索軟件攻擊增加了72%。該公司預計，到2020年，將有大約20,000起此類攻擊的報告，今年已經報告了9,000起。

　　停產對于像Tower這樣的芯片公司來說是沉痛的打擊。除財務損失外，該公司還必須應對對其形象和制造造成的打擊。由于勒索軟件攻擊而關閉生產線的成本可能高達數百萬美元，具體取決于持續時間。對于非制造公司，從勒索軟件攻擊中恢復要簡單得多。

　　Cybereason安全研究主管Yossi Rachman表示：“我們通常建議不付錢給黑客。我們假設在這種情況下，公司遭受的損失使公司別無選擇，只能付款，這是它的風險管理案例。公司關閉的每一分鐘要付出的代價比勒索贖金的代價。執法部門也不建議支付贖金。如果一家公司準備好了定期備份和附屬系統，則無需支付贖金?！?/p>

　　根據以色列網絡安全巨頭Check Point的說法，有兩種類型的勒索攻擊：常規攻擊和重點攻擊。雖然全球每25家公司中就有一家受到一般贖金攻擊，而且通常會造成不影響生產或運營能力的局部損害，但針對性攻擊的目的是使公司的活動癱瘓。黑客通?；ㄙM數周的時間精心策劃這種攻擊，以感染盡可能多的計算機。這些攻擊通常在大多數員工在家中的周末進行，只有在已經造成嚴重破壞后才發現。贖金要求和與攻擊者的聯系通常會在所有受感染計算機的屏幕上顯示。

　　目前尚不清楚黑客如何攻破Tower的防御，但是由于Covid-19而導致的在家工作模式的轉變為攻擊者提供了千載難逢的機會。大多數安全防御系統已經適應了這種新的工作模式，但是毫無疑問，在家工作的員工比位于公司總部的集中式計算機系統更容易受到攻擊。

　　參考來源：Calcalist http://dwz.date/cyDa

　　(三)阿根廷移民局遭受勒索軟件Netwalker攻擊

　　阿根廷移民局八月底遭受黑客發動勒索軟件Netwalker攻擊，被勒索400萬美金，并一度造成系統混亂，迫使阿根廷關閉邊境通關審查工作長達4小時。

　　根據當地媒體報導，事情發生在8月27日當地早上7時左右，該國IT主管機關接到多起邊境檢查關口通報系統無法使用，并且接到黑客留下的勒索軟件信息，要求當局支付贖金以取回解密密鑰。

　　根據阿根廷網絡犯罪防治主管單位的文件，攻擊者是以名為NetWalker的勒索軟件入侵阿根廷移民局(Dirección Nacional de Migraciones)的SICaM(Integral System of Migratory Capture)系統，該系統專門處理出入、境證件審查。該惡意程序主要加密Windows機器系統文檔，包括ADAD SYSVOL和SYSTEM CENTER DPM(data protection manger)，以及使用者硬盤及共享文件夾中的Microsoft Office文件，包括Word及Excel檔。

　　為免勒索軟件危害擴大，當局立即切斷出入境管理相關網絡及系統，也使海關審查工作被迫中斷長達4小時。之后在搶修下受影響的服務器恢復上線。

　　阿根廷當局說此次攻擊并未影響重要基礎設施，也沒有敏感資料，包括個人或企業信息受到影響。報導同時引述消息來源指出，阿根廷政府并不愿和黑客交涉交付贖款，但也不擔心搶修系統的問題。

　　根據相關報導，攻擊者原本只要求200萬美元的贖金，但7天過后因為阿根廷政府不愿付款，因此決定將贖金提高為400萬美元，約355比特幣。黑客也在地下論壇上張貼了證實他們持有隸屬于阿根廷移民局的資料擷圖，而從截圖來看，似乎也包含了敏感內容。

　　Netwalker去年8月開始在網絡上流傳，已經被許多黑客組織用來發動勒索攻擊。美國FBI今年7月也警告美國政府及企業小心此勒索軟件。長期從事COVID-19研究的加州大學舊金山分校6月初，承認支付了114萬美元以贖回被Netwalker加密的資料，但該校強調相關研究資料不受影響。Netwalker迄今勒索到的金額高達2500萬美元，直逼Ryuk、Darma及REvio/Sodinokibi。

　　參考來源：iThome http://dwz.date/czve

　　(四)數據托管中心Equinix遭受勒索軟件Netwalker攻擊

　　數據托管中心Equinix近日宣布其遭受了勒索軟件Netwalker攻擊，勒索450萬美元的贖金來換取解密器，以防止被盜數據泄露。

　　該公司在其網站上發布的聲明中披露了這一事件，證實了此次勒索軟件攻擊襲擊了許多內部系統，幸運的是，其主要核心服務客戶并未受到影響而未受影響。

　　此攻擊中使用的勒索信件是專為Equinix設計的，其中包含指向被盜數據的屏幕截圖的鏈接。Netwalker勒索軟件運營商共享的屏幕截圖顯示了來自受感染系統的文件夾，據稱包含公司數據，包括財務信息和數據中心報告。Netwalker勒索軟件團伙要求受害者在3天內聯系他們，以避免被盜數據泄露。勒索信件還包括Netwalker Tor支付網站的鏈接，威脅參與者要求450萬美元(455比特幣)的贖金。如果公司不及時付款，贖金將翻一番。

　　文件夾上的最新時間戳為9/7/20，這種情況表明該安全漏洞是最近發生的。

　　Netwalker勒索軟件團伙在此期間非?；钴S，在幾天內，它宣布了對巴基斯坦主要電力供應商K-Electric和阿根廷官方移民機構Dirección Nacional de Migraciones的黑客攻擊。

　　最近，聯邦調查局發布了針對美國和外國政府組織的Netwalker勒索軟件攻擊的安全警報。以下是FBI提供的建議緩解措施：

　　l 離線備份關鍵數據;

　　l 確保關鍵數據的副本位于云中或外部硬盤或存儲設備上;

　　l 保護備份，并確保無法從數據所在的系統訪問該數據以進行修改或刪除;

　　l 在所有主機上安裝并定期更新防病毒或防惡意軟件;

　　l 只使用安全網絡，避免使用公共Wi-Fi網絡;

　　l 考慮安裝和使用VPN;

　　l 使用具有強密碼的雙因素身份驗證;

　　l 保持計算機、設備和應用程序修補程序為最新。

　　參考來源：SecurityAffairs http://dwz.date/cz7E

　　(五)CodeMeter產品中存在六個嚴重漏洞可致工控系統遠程攻擊

　　工業網絡安全公司Claroty 9月8日警告稱，德國Wibu-Systems公司制造的一款流行的許可和DRM解決方案中存在的漏洞可能會使工業系統遭受遠程攻擊。

　　CodeMeter旨在保護軟件不受盜版和反向工程的影響，它提供許可管理功能，并包括保護軟件免受篡改和其他攻擊的安全功能。CodeMeter可用于廣泛的應用，但它經常出現在工業產品中，包括工業PC、IIoT設備和控制器。CodeMeter是DRM解決方案WibuKey的后繼產品由于存在潛在的嚴重漏洞，該解決方案會使西門子和其他供應商的工業產品受到攻擊。

　　Claroty的研究人員在CodeMeter中發現了六個漏洞，其中一些可被利用來對工業控制系統(IC)發起攻擊，包括關閉設備或進程、交付勒索軟件或其他惡意軟件，或者執行進一步的攻擊。其中兩個安全漏洞已被歸類為超高危漏洞，其余被認為是高危漏洞。

　　Claroty在2019年2月和4月向供應商報告了調查結果，在2019年全年發布的更新修補了一些漏洞。Claroty表示，CodeMeter 7.10于2020年8月發布，已修補了所有報告的問題。

　　Claroty的研究人員在CodeMeter中發現了各種類型的漏洞，包括內存損壞漏洞和可被利用來更改或偽造許可證文件的加密漏洞。他們展示了如何在沒有身份驗證的情況下遠程利用某些漏洞來發起拒絕服務(DoS)攻擊或實現任意代碼執行。

　　在研究人員描述的一種攻擊場景中，攻擊者建立了一個網站，旨在將惡意許可證推送到被引誘到該網站的用戶的設備上。當CodeMeter處理無管理許可證時，可能會生成DoS條件或允許攻擊者執行任意代碼。在不同的攻擊場景中，研究人員通過創建CodeMeter API和客戶端來實現遠程代碼執行，這使他們能夠向任何運行CodeMeter的設備發送命令。

　　Wibu-Systems和美國網絡安全和基礎設施安全局(CISA)已發布針對CodeMeter漏洞的安全建議。西門子和羅克韋爾自動化也發布了公告，描述了這些漏洞對其產品的影響。Claroty創建了一個在線工具，允許用戶檢查他們是否正在運行易受攻擊的CodeMeter版本。該公司還為這個項目設立了GitHub頁面。

　　參考來源：SecurityWeek http://dwz.date/czz3

　　(六)美國政府發布太空系統網絡安全政策

　　特朗普政府9月4日宣布了首個針對外太空和近太空系統的全面網絡安全政策。太空政策指令-5(SPD-5)明確了國土安全部(DHS)和網絡安全與基礎設施安全局(CISA)在加強國家在空間的網絡防御方面發揮的主導作用，特別是在用于全球通信、導航、天氣監測和其他關鍵服務的關鍵系統方面。

　　代理國土安全部部長查德·F·沃爾夫(Chad F.Wolf)表示：“從2018年成立CISA，到今天發布保護美國在最后一個領域的利益的指令，特朗普總統正在授權國土安全部保衛國家免受不斷演變的網絡威脅。國土安全取決于我們太空系統的安全、利益和在太空中的行動自由。今天公布的政策是建立網絡安全基準標準的關鍵一步，因為美國在太空和網絡空間都處于領先地位?！?/p>

　　傳統的空間系統、網絡和信道可能容易受到惡意網絡活動的攻擊，這些惡意網絡活動可能會拒絕、降級或中斷空間系統操作，甚至會摧毀衛星，對關鍵基礎設施部門產生潛在的連鎖效應。在空間系統中建立安全和彈性對于最大限度地發揮它們的潛力和支持美國人民、經濟和國土安全事業至關重要。

　　SPD-5確立了空間系統的以下關鍵網絡安全原則：

　　·空間系統及其輔助基礎設施，包括軟件，應使用基于風險的、網絡安全知情的工程來開發和運行;

　　·航天系統運營商應制定或整合空間系統的網絡安全計劃，包括確保運營商或自動控制中心系統能夠保持或恢復對航天器的積極控制，并核實關鍵功能及其提供的任務、服務和數據的完整性、保密性和可用性;

　　·空間系統網絡安全要求和條例應利用廣泛采用的最佳做法和行為規范;

　　·空間系統所有者和經營者應在法律和法規允許的范圍內合作，促進最佳做法和緩解措施的發展;

　　·太空系統安全要求的設計應是有效的，同時允許太空運營者管理適當的風險容忍度，并最大程度地減少民用，商業和其他非政府太空系統運營者的不必要負擔。

　　代理國務卿沃爾夫總結稱：“國土安全部期待與合作機構伙伴一起實施這些原則，以幫助保護美國人民?！?/p>

　　參考來源：美國國土安全部 http://dwz.date/czpy

　　(七)CISA發布指令要求美國聯邦機構需執行《漏洞披露政策》

　　網絡安全和基礎設施安全局(CISA)9月2日發布了一項指令，該具有約束力的操作指令是針對美國聯邦、行政部門和機構的強制性指示，旨在保護聯邦信息和信息系統。該指令要求美國聯邦機構需要在2021年3月前實施漏洞披露政策(VDP)。

　　漏洞披露政策(VDP)的主要目的是確保以及時、準確、完整，易懂、方便且負擔得起的方式披露所需信息(機密業務信息除外)，并與相關方共享。此舉旨在為政府機構提供一種正式的機制，以從安全研究人員和白帽黑客那里接收有關其基礎設施漏洞的報告。漏洞披露政策通過鼓勵聯邦機構與公眾之間的有意義的合作，可以增強政府基礎設施的彈性。

　　在該指令中CISA表示，“當機構將漏洞報告整合到他們現有的網絡安全風險管理活動中時，他們可以權衡并解決更廣泛的問題。這有助于保護公眾已委托給政府的信息，并為聯邦網絡安全團隊提供更多數據，以保護其代理機構。此外，確保整個執行部門的策略一致，可以為舉報漏洞的人員提供同等的保護和更統一的體驗?！?/p>

　　漏洞披露政策將規定覆蓋哪些系統是該流程的一部分，包括那些沒有故意在網上公開的系統。該指令要求組織實施VDP時，應明確說明哪些系統在范圍內，并保證進行誠信安全研究。

　　該指令草案于2019年12月首次發布，公開征求公眾意見，此后，該機構收到了40多名安全專家、學者、聯邦機構、民間社會和國會議員的200多項建議。在接下來的60天內，CISA將在其信息安全計劃中發布有關VDP實施的進一步指南，并且所有機構必須在180天內發布其漏洞披露政策。在240天內，各機構必須報告VDP的重要階段，以涵蓋所有政府信息系統，并且CISA必須開始協調實施漏洞披露所實施的流程。

　　該指令表示?！盀榱思胁糠止ぷ?，CISA將于明年春季提供漏洞披露平臺服務。我們希望這將減輕機構的操作，減輕該指令下的報告負擔，并提高漏洞報告者的可發現性?！?/p>

　　參考來源：SecurityAffairs http://dwz.date/czg2

　　(八)FBI警告稱勒索式DOS攻擊正席卷全球

　　美國聯邦調查局(FBI)及以色列網絡安全公司Radware近日相繼警告，勒索式的分散式服務阻斷攻擊(Ransom DDoS，RDoS)正在席卷全球企業，估計從今年8月12日開始，全球就有數千家不同產業的公司收到勒索信件，黑客要求受害企業支付贖金，否則就會發動DDoS攻擊，勒索金額從10個比特幣(約11.3萬美元)到20個比特幣(22.6萬美元)不等。

　　根據FBI與Radware的調查，黑客是通過電子郵件聯系這些受害企業，宣稱自己是知名的Fancy Bear、Armada Collective或Lazarus Group集團，并在信件中附上受害者所使用的自治系統號碼(ASN) 、服務器的IP位址，以及準備攻擊的服務，針對亞太區、歐洲、中東、非洲及北美地區的金融、旅游以及電子商務企業。

　　今年黑客的胃口很大，一般會提出10個比特幣到20個比特幣不等的勒索金額，遠高于去年所提出的1或2個比特幣，威脅企業若不支付贖金，就會發動規模高超過2Tbps的DDoS攻擊，為了證明所言不虛，通常會指定一個日期發動小型的攻擊來展現自己的實力。一旦受害企業未在期限內付款，黑客每次都會漲價10個比特幣，并表示自己情愿收到贖金也不愿發動攻擊。

　　調查顯示，若企業拒絕付款，黑客實際發動的DDoS攻擊規模介于50Gbps至200Gbps之間，有時是UDP或UDP Flood洪水攻擊，有時則會采用WS-Discovery放大攻擊，再輔以TCP SYN、 TCP out-of-state或ICMP洪水攻擊。

　　FBI明確指出，他們并不鼓勵企業支付贖金，因為這將讓黑客繼續攻擊其它的企業或是吸引別的黑客集團加入，而且黑客也可能利用不法所得來進行非法行為。此外，FBI也警告，支付贖金并不保證黑客就不會展開攻擊，建議受害企業在面臨威脅或遭受攻擊時最好選擇報警。

　　參考來源：iThome http://dwz.date/cznd

　　(九)五眼聯盟聯合發布事件響應指南

　　五眼聯盟成員澳大利亞、加拿大、新西蘭、英國和美國聯合發布報告，重點介紹了發現惡意活動的技術方法，并包括根據最佳實踐的緩解步驟。該報告的目的是增強合作伙伴和網絡管理員之間的事件響應能力，并充當事件調查手冊。

　　該報告指出，最佳實踐事件響應程序首先收集工件、日志和數據，并將其移除以進行進一步分析，然后繼續實施緩解步驟，而不讓對手知道已檢測到它們存在于受威脅的環境中。

　　此外，該聯合報告還鼓勵組織與第三方IT安全組織協作，以獲得技術支持，確保已將對手從網絡中移除，并避免因后續妥協而導致的問題。聯合報告“強調了揭露惡意活動的技術方法，并包括根據最佳做法采取的緩解措施。該報告的目的是加強合作伙伴和網絡管理員對事件的響應，并作為事件調查的行動指南?！?/p>

　　發現惡意活動的技術方法包括搜索危害指示(IoC)、分析網絡和主機系統中的流量模式、分析數據以發現重復模式以及異常檢測。建議組織在進行網絡調查或主機分析時查找各種工件，包括DNS流量、RDP、VPN和SSH會話、欺詐進程、新應用程序、注冊表項、開放端口、已建立的連接、用戶登錄數據、PowerShell命令等。

　　在處理事件時，組織還應避免常見錯誤，例如在發現受危害的系統后立即采取行動(這可能會泄露給對手)、在保護和恢復工件之前緩解系統、訪問/阻止對手的基礎設施、先發制人地重置憑據、擦除日志數據或未能解決攻擊的根本原因。

　　組織在尋求防止常見攻擊媒介時應采取的緩解步驟包括限制或停止FTP、Telnet和未經批準的VPN服務;刪除未使用的服務和系統;隔離受危害的主機;關閉不必要的端口和協議;禁用遠程網絡管理工具;重置密碼;以及及時修補漏洞等。

　　該報告還詳細介紹了組織在尋求改善安全立場和防止網絡攻擊發生時應應用的建議和最佳實踐，但強調了這樣一個事實，即沒有任何單一的技術、計劃或一套防御措施可以完全防止入侵。

　　正確實施的防御技術和程序使威脅行為者更難獲得網絡訪問權限，并保持持久但不被發現。當一個有效的防御計劃到位時，攻擊者應該會遇到復雜的防御障礙。攻擊者的活動還應該觸發檢測和預防機制，使組織能夠快速識別、遏制和響應入侵。

　　網絡分段、敏感數據的物理隔離、采用最低權限原則以及跨網段和層應用建議和實施安全配置應有助于降低發生攻擊時的危害。

　　參考來源：SecurityWeek http://dwz.date/czux

　　(十)多國CERT警告Emotet木馬攻擊

　　近日法國、新西蘭、日本多國網絡安全機構發布多個安全警報，警惕基于電子郵件的Emotet惡意軟件攻擊。

　　新西蘭計算機緊急響應小組(CERT)表示：“電子郵件中包含建議接收者下載的惡意附件或鏈接。這些鏈接和附件可能看起來像真實的發票、財務文件、運輸信息、履歷表、掃描的文件或有關COVID-19的信息，但它們是偽造的?！?/p>

　　與此擔憂相似的是，日本的CERT(JPCERT/CC)警告稱，其發現國內域(.jp)電子郵件地址數量迅速增加，這些地址已被惡意軟件感染，并可能被濫用發送垃圾郵件，試圖進一步傳播感染。

　　Emotet 于2014年首次被發現，并由威脅組織TA542(或Mummy Spider)進行分發，此后從最初的原始木馬演變為模塊化的“Swiss Army knife”，可以用作下載程序、信息竊取程序、spambot，具體取決于其部署方式。

　　在最近幾個月中，惡意軟件壓力已經與僵尸網絡驅動的多個惡意垃圾郵件活動相關聯，甚至能夠通過將其受感染機器的僵尸網絡租借給其他惡意軟件組來提供更危險的有效負載，例如Ryuk勒索軟件。Emotet活動的新一輪上升與7月17日的回歸相吻合，在經歷了自今年2月7日以來的長時間開發之后，這些惡意軟件在所有工作日都會發送多達50萬封針對歐洲組織的電子郵件。

　　Binary Defense 上個月在一份報告中概述了Emotet在2月7日左右進入停止發送垃圾郵件并開始開發其惡意軟件的時期，其中詳細介紹了一種可防止惡意軟件影響新系統的漏洞(稱為EmoCrash)。

　　通常，該攻擊通常通過涉及惡意Microsoft Word或受密碼保護的ZIP文件附件的大規模網絡釣魚電子郵件活動進行傳播，最近的攻擊浪潮利用了一種稱為電子郵件線程劫持的技術，利用該技術感染TrickBot和QakBot銀行木馬病毒。

　　它的工作原理是從受感染的郵箱中竊聽電子郵件對話和附件，以誘人的網絡釣魚誘餌，這些誘餌采取對受感染受害者和其他參與者之間現有的，正在進行的電子郵件線程進行惡意響應的形式，以使電子郵件看起來更可信。

　　法國國家網絡安全局(ANSSI)表示：“TA542還會根據郵箱受損期間收集的信息來構造網絡釣魚電子郵件，然后將其發送到被竊取的聯系人列表中，或更簡單地說，是欺騙實體，受害者的形象?！?/p>

　　除了使用JPCERT / CC的EmoCheck工具檢測Windows計算機上是否存在Emotet木馬外，建議定期掃描網絡日志以查找與已知Emotet 命令與控制(C2)基礎結構的任何連接。

　　Proofpoint在上個月對Emotet 進行的詳盡分析中說：“自從放長假回來后，TA542電子郵件活動再次成為最普遍的郵件發送方式，只有少數幾個參與者接近。他們已經對其惡意軟件進行了代碼更改，例如電子郵件發送模塊的更新，并選擇了一個新的會員有效載荷進行分發(Qbot)，并使用本地語言誘餌擴展了針對國家/地區的定位?！?/p>

　　參考來源：TheHackerNews http://dwz.date/czy9

　　(十一)黑客組織TeamTNT濫用合法工具Weave Scope進行云攻擊

　　威脅檢測和響應公司Intezer9月8日稱其觀察到一個黑客組織TeamTNT使用合法工具來獲得對受威脅的云環境的可見性和控制權。

　　該組織被稱為TeamTNT，之前有人發現該組織利用蠕蟲攻擊Docker和Kubernetes系統，以搜索和滲透本地憑據，包括AWS登錄信息。黑客在受影響的機器上部署加密貨幣挖掘器。然而，在最近的一次攻擊中，對手不再將惡意軟件部署到受攻擊的系統上。取而代之的是使用Weave Scope來映射云環境并執行命令。Weave Scope為Docker、Kubernetes、分布式云操作系統(DC/OS)和AWS彈性計算云(ECS)提供監控、可視化和控制功能，并與所有這些功能無縫集成。

　　Intezer解釋說，TeamTNT的攻擊通常是從托管在Docker Hub上的惡意Docker圖像開始的，但也涉及到使用密碼挖掘器和惡意腳本。新的攻擊還暴露了合法的開源Weave Scope工具被濫用來接管受害者的云基礎設施。

　　暴露的Docker API端口被濫用來創建一個新的特權容器，在該容器上運行干凈的Ubuntu鏡像。攻擊者對容器進行配置，以便將其文件系統掛載到受害服務器的文件系統上，從而獲得對服務器上文件的訪問權限。

　　接下來，攻擊者指示容器下載并運行加密挖掘器，之后他們試圖通過在主機服務器上設置本地特權用戶‘Hilde’并通過SSH連接來將權限提升到root。此時，下載并安裝Weave Scope，以控制受害者的云環境。Weave Scope儀表板顯示Docker基礎設施的可視化地圖，允許攻擊者在不安裝惡意軟件的情況下執行shell命令。

　　Intezer表示，“據我們所知，這種情況不僅非常罕見，而且這是攻擊者首次下載合法軟件作為Linux操作系統上的管理工具?！?/p>

　　為保持保護，建議組織關閉暴露的Docker API端口(攻擊者通過錯誤配置的Docker API獲得訪問權限)，并阻止到端口4040的傳入連接(用于訪問Weave Scope儀表板)。他們在保護Docker環境時也應該遵循最佳實踐，并安裝安全解決方案來保護Linux云服務器和容器。

　　對工作負載采用零信任執行(ZTE)策略還應防止TeamTNT攻擊，因為它創建了工作負載的基線，并監視和阻止任何未經授權的代碼或應用程序執行。雖然Weave Scope是一個合法的工具，但ZTE會將其標記為偏離可信基準。

　　參考來源：SecurityWeek http://dwz.date/cz4M

　　(十二)澳大利亞政府遭受網絡釣魚攻擊 泄露738 GB數據

　　澳洲新南威爾斯州服務處(NSW Service)9月8日公告稱，5個月前發生了網絡釣魚郵件攻擊，造成數百GB資料泄露，涉及該組織曾經服務過的人員將近18.6萬人。新南威爾斯州服務處是提供所有該州政府服務的一站式服務單位。事件發生于今年4月底，并經過4個月的調查，于近日完成調查。

　　根據澳洲政府公布的信息，該組織47名員工電子郵件信箱被黑，并因此造成服務處服務過的人員資料泄露。調查顯示，黑客經由這些員工的信箱竊取了738GB民眾資料，包括380萬份文件，其中50萬文件包含個人信息，受害人數高達18.6萬。

　　據報導，一名員工點擊了釣魚郵件鏈接而釀禍，新南威爾斯州啟動調查后發現，事態超出想像地嚴重。報導指出，受影響的民眾包括親自到過服務處、打電話尋求市民服務、以及以App和網站進行交易的使用者。澳洲媒體報導稱，泄露的文件包含手填的文件和表格、交易紀錄和掃描文檔。該州政府于上周獲知后，已經報警并展開調查，同時在本周分別通知受影響的人員。

　　參考來源：iThome http://dwz.date/cz5T

　　(十三)智利銀行BancoEstado遭受REVil勒索軟件攻擊

　　智利最大的銀行之一智利銀行(BancoEstado)遭受了勒索軟件攻擊，迫使其所有分支機構自9月7日以來一直關閉。勒索軟件對公司的大部分服務器和工作站進行了加密。

　　該銀行通過其Twitter賬戶披露了此次攻擊事件，并決定關閉分支機構，以調查這起事件并恢復其系統，并將調查結果報告給智利警察。

　　智利CSIRT還發布了 有關針對私營部門的勒索軟件活動的網絡安全警報。

　　一位參與調查的消息人士稱，智利銀行遭到了Revil勒索軟件運營商的攻擊，但該銀行的數據尚未公布在該團伙的泄密網站上。該調查人員認為，在周五至周六的晚上，黑客利用后門進入銀行的網絡并安裝勒索軟件，銀行周末輪班的員工在周六無法查看自己的工作文件時發現了這次攻擊。威脅行為者利用惡意Office文件在銀行的基礎設施上提供后門，并將其用作入口點。攻擊媒介是一系列使用武器化Office文檔的垃圾郵件。

　　據該銀行稱，得益于BancoEstado基礎設施的良好設計，其網站、銀行門戶、移動應用程序和ATM網絡均未受到影響。

　　REvil勒索軟件組織是最活躍的組織之一，該軟件已將Pulse Secure和Citrix VPN和企業網關系統作為入口點。受害者的名單包括阿根廷電信、斯里蘭卡電信、Valley健康系統、澳大利亞公司Lion、Brown-Forman、電力公司Light S.A.和電氣中間人Elexon。

　　參考來源：SecurityAffairs http://dwz.date/czpK

　　(如未標注，均為天地和興工業網絡安全研究院編譯)