目 錄

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)印度又禁止了43款中國移動應用程序

　　(二)百度兩款安卓應用程序因泄露用戶信息從Google Play應用商店下架

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)羅克韋爾FactoryTalk Linx中存在三個嚴重漏洞

　　(二)日本三菱電機再次遭受網絡攻擊

　　(三)十月份印度孟買發生電力中斷事件，疑似由網絡攻擊所致

　　(四)工業電纜制造商Belden遭受網絡攻擊并泄露數據

　　(五)特斯拉Model X可在幾分鐘內被黑客盜走

　　(六)FBI發布警告稱黑客偽造與其相關的詐騙域名

　　(七)英國成立國家網絡部隊以打擊有組織的犯罪和敵對國家活動

　　(八)移動應用程序Muslim Pro開發商將用戶數據出售給美軍

　　(九)新型竊聽攻擊方法LidarPhone利用掃地機器人進行竊聽

　　(十)FBI發布關于勒索軟件Ragnar Locker的活動警報

　　(十一)丹麥通訊社Ritzau遭受黑客攻擊并拒絕支付勒索贖金

　　(十二)曼聯俱樂部遭受網絡攻擊

　　(十三)韓國零售巨頭E-Land遭受勒索軟件攻擊致門店關閉

　　(十四)巴基斯坦國際航空公司數據庫信息在暗網上出售

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)印度又禁止了43款中國移動應用程序

　　根據11月24日印度政府發布的禁令，印度政府以國家安全為由，又禁止了43款中國手機應用程序，包括全球速賣通及淘寶直播。自6月份以來，中國被禁的手機應用程序總數已達220個。

　　印度電子和信息技術部表示，“這一行動是基于有關這些應用程序參與損害印度主權和完整、國防、國家安全和公共秩序的活動的信息?！?/p>

　　自今年6月以來，印度一直禁止印度公民使用中國移動應用程序。此前，印度和中國士兵在邊境發生沖突。造成20名印度士兵死亡，受傷人數超過75人。這起事件發生兩周后，印度發布了第一批禁令，其中包括TikTok、UC瀏覽器、微博和微信等59款中國移動應用程序。今年9月，印度將禁令擴大到另外118款國內移動應用，新增的應用包括百度、支付寶、絕地求生和企業微信。

　　隨著24日發布的最新一輪禁令，中國移動應用被禁的總數現在為220個。此次被屏蔽的應用程序的完整名單如下：

　　AliSuppliers Mobile App、Alibaba Workbench、AliExpress - Smarter Shopping, Better Living、Alipay Cashier、 Lalamove India - Delivery App、Drive with Lalamove India、Snack Video、CamCard - Business Card Reader、CamCard - BCR (Western)、Soul- Follow the soul to find you、Chinese Social - Free Online Dating Video App & Chat、Date in Asia - Dating & Chat For Asian Singles、WeDate-Dating App、Free dating app-Singol, start your date!、Adore App、TrulyChinese - Chinese Dating App、TrulyAsian - Asian Dating App、ChinaLove: dating app for Chinese singles、DateMyAge: Chat, Meet, Date Mature Singles Online、AsianDate: find Asian singles、FlirtWish: chat with singles、Guys Only Dating: Gay Chat、Tubit: Live Streams、WeWorkChina、First Love Live- super hot live beauties live online、Rela - Lesbian Social Network、Cashier Wallet、MangoTV、MGTV-HunanTV official TV APP、WeTV - TV version、WeTV - Cdrama, Kdrama&More、WeTV Lite、Lucky Live-Live Video Streaming App、Taobao Live、DingTalk、Identity V、Isoland 2: Ashes of Time、BoxStar (Early Access)、Heroes Evolved、Happy Fish、Jellipop Match-Decorate your dream island、Munchkin Match: magic home building、Conquista Online II。

　　參考來源：ZDNet http://dwz.date/du3f

　　(二)百度兩款安卓應用程序因泄露用戶信息從Google Play應用商店下架

　　據Palo Alto Networks UNIT42研究人員11月24日發布的研究報告，百度的兩款應用程序百度地圖及百度搜索包含收集用戶信息的代碼，會泄露用戶敏感信息及跟蹤用戶位置，故這兩款應用程序已于10月底從Google Play官方應用商店下架。

　　據Palo Alto Networks稱，數據收集代碼位于百度Push SDK中，用于顯示兩個應用程序內的實時通知。Palo Alto Networks兩位識別數據收集行為的研究人員Stefan Achleitner和Chengcheng Xu表示，代碼收集了手機型號、MAC地址、運營商信息和IMSI(國際移動用戶身份)號碼等詳細信息。

　　Achleitner和Xu表示，雖然所收集的某些信息“相當無害”，但諸如IMSI代碼之類的某些數據“可以用于唯一地識別和跟蹤用戶，即使該用戶切換到另一部電話也是如此”。

　　研究人員表示，雖然在向Google報告問題后，谷歌針對安卓應用的政策并未特別禁止收集個人用戶詳細信息，但Google Play應用商店安全團隊證實了他們的發現，并在這兩款百度應用中“發現了其他未指明的違規行為”，最終導致這兩款應用程序于10月28日從官方商店下架。

　　百度發言人在一封電子郵件中表示，雖然最初的Palo Alto Networks報告中心的數據收集行為引發了Google團隊的調查，但數據收集行為并不是這兩個應用被從Play商店中刪除的原因，因為百度已獲得用戶的許可，可以從用戶那里收集此類信息。

　　盡管如此，谷歌團隊還發現了其他問題，百度團隊表示正在努力解決。截至目前百度搜索應用已恢復到Play商店中。百度表示，百度開發者修復了報告的問題后，百度地圖應用也將卷土重來。在下架之前，這兩個應用的下載量總計超過600萬。

　　但是除了百度推送SDK，Palo Alto Networks團隊還說，他們還在中國廣告技術巨頭MobTech開發的ShareSDK中發現了類似的數據收集代碼。

　　Achleitner和Xu表示，該SDK已被37,500多個應用程序使用，該SDK還允許應用程序開發人員收集數據，例如電話型號信息、屏幕分辨率、MAC地址、Android ID、廣告ID、運營商信息和IMSI(國際移動訂戶身份)以及IMEI(國際移動設備識別碼)代碼。

　　Achleitner和Xu表示：“對Android惡意軟件的分析表明，惡意應用程序經常使用SDK(例如百度Push SDK或ShareSDK)來提取和傳輸設備數據。盡管這些SDK可能是出于合法目的而開發的，例如在社交媒體上推送通知和共享內容，它們經常被惡意應用程序的開發人員濫用?！?/p>

　　總而言之，這不僅是安卓生態系統的一個常規問題，而且對于整個在線應用程序世界也是一個常規問題，許多應用程序在沒有專門禁止此類行為的法規的情況下不受限制地收集敏感的用戶詳細信息。

　　參考來源：ZDNet http://dwz.date/dumz

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)羅克韋爾FactoryTalk Linx中存在三個嚴重漏洞

　　CISA 11月24日發布資訊報告稱羅克韋爾 FactoryTalk Linx中存在三個嚴重漏洞，分別為輸入驗證錯誤漏洞及兩個緩沖區堆溢出漏洞，漏洞編號分別為CVE-2020-27253、CVE-2020-27251及CVE-2020-27255。成功利用這些漏洞可能導致拒絕服務情況、遠程執行代碼或泄漏信息，這些信息可以用來繞過地址空間布局隨機化(ASLR)。

　　FactoryTalk?Linx包含在大多數FactoryTalk軟件中，作為主要數據服務器，將Allen?Bradley控制產品的信息傳輸到控制系統。FactoryTalk Linx是為通訊提供驅動的軟件，負責實現控制系統和硬件產品直接的數據傳輸。受影響的產品版本為6.11及更低版本。

　　CVE-2020-27253為輸入驗證錯誤漏洞，CVSS評分為8.6，此漏洞可能允許未經身份驗證的遠程攻擊者精心制作惡意數據包，從而導致設備上的服務拒絕狀況。

　　CVE-2020-27251為緩沖區堆溢出漏洞，CVSS評分為9.8，此漏洞可能允許未經身份驗證的遠程攻擊者發送惡意端口范圍，這可能導致遠程執行代碼。

　　CVE-2020-27255為緩沖區堆溢出漏洞，CVSS評分為5.3，此漏洞可能允許未經身份驗證的遠程攻擊者發送惡意的集合屬性請求，這可能導致敏感信息泄漏，此信息公開可能導致地址空間布局隨機化(ASLR)的繞過。

　　羅克韋爾自動化建議受影響的FactoryTalk Linx用戶更新可用的軟件版本，以解決相關風險。此外，用戶可以遷移到在PCDC上可用的v6.20版本。

　　羅克韋爾自動化建議無法更新以下緩解措施或解決方法的用戶進一步降低風險。鼓勵用戶在可能的情況下，將這些與一般安全指南結合起來，同時采用多種策略：

　　1、以“用戶”(而不是“管理員”)身份運行所有軟件，以盡量減少惡意代碼對受感染系統的影響。

　　2、使用Microsoft AppLocker或其他類似的白名單應用程序可以幫助降低風險。

　　3、確認遵循了最小權限用戶原則，并且僅根據需要授予用戶/服務帳戶對共享資源(如數據庫)的訪問權限。

　　4、使用受信任的軟件、軟件修補程序、防病毒/反惡意軟件程序，并僅與受信任的網站和附件進行交互。

　　5、盡量減少所有控制系統設備和/或系統的網絡暴露，并確認無法從互聯網訪問這些設備和/或系統。

　　6、將控制系統網絡和設備定位在防火墻后面，并將它們與業務網絡隔離。

　　7、當需要遠程訪問時，請使用安全方法，如虛擬專用網絡(VPN)，認識到VPN可能存在漏洞，應將其更新為可用的最新版本。還要認識到VPN只和連接的設備一樣安全。

　　參考來源：CISA http://dwz.date/duqD

　　(二)日本三菱電機再次遭受網絡攻擊

　　三菱電機公司官員11月20日表示，其再次遭受了新一輪網絡攻擊，該攻擊可能導致與其商業伙伴有關的信息泄漏。

　　據《朝日新聞》報道，“公司官員在11月20日稱，他們正在檢查與之進行業務往來的8,653個賬戶，以確定是否與其他方的銀行賬戶有關的信息以及其他信息是否泄漏?！?/p>

　　在遭受攻擊后，該公司安裝了改進的防御系統，以防止未來遭受攻擊，該公司還創建了一個新部門，直接向公司總裁報告，以實施新的網絡安全措施。

　　據當地媒體報道，此次網絡攻擊事件很可能是由一個APT組織策劃的，因為三菱電機在支持日本國家安全和基礎設施方面發揮著重要作用。

　　三菱電機證實，黑客破壞了承包商運營的云存儲系統后，與數千個銀行帳戶相關聯的信息已泄露。該公司確認該事件發生在16日星期一，并且業務合作伙伴持有的8,635個銀行帳戶已遭到泄露。該事件泄露的數據包括帳戶持有人的姓名、地址和電話號碼。

　　三菱電機一直是黑客的攻擊目標，在2018年，一個涉嫌與中國有關的網絡間諜組織通過利用趨勢科技OfficeScan的零日漏洞攻擊了該公司的服務器。大約在八個月前，即2019年6月28日，該漏洞才被檢測到，延遲的原因是攻擊者刪除了活動日志導致調查的復雜性增加。入侵事件發生在2019年6月28日，該公司于2019年9月啟動了調查。三菱電機僅在兩家當地報紙《朝日新聞》和《日經新聞》報道了安全漏洞后才披露了這起安全事件 。國防部門、鐵路和電力供應機構的高度機密信息已被盜。

　　這兩家媒體將該網絡攻擊歸因于一個與中國有聯系的網絡間諜組織Tick，又名 Bronze Butler。至少從2012年起，黑客組織就一直將攻擊目標對準了日本重工業、制造業和國際關系。據專家稱，該組織疑似與中國有關，主要竊取機密數據。

　　參考來源：朝日新聞 http://dwz.date/dtAB

　　(三)十月份印度孟買發生電力中斷事件，疑似由網絡攻擊所致

　　10月13日，印度孟買市區發生了大規模嚴重停電事件，導致交通管理系統部分中斷，鐵路交通癱瘓，也影響了證券交易所的工作?；A電力服務在兩個小時內得以恢復，而其他電力服務在12個小時內分階段恢復。印度政府經過一個月的調查認為，該事件可能是由黑客造成的。

　　據印度Mumbai Mirror報道稱，“據國家警察網絡小組進行的一項調查顯示，上個月孟買大都會地區(MMR)的停電事件可能是一次涉及外國實體的復雜破壞企圖的結果?！睋﨧umbai Mirror稱，該事件可能是由網絡攻擊引起的，網絡警察已經找到證據表明這一假設。自2月份以來，外國黑客似乎一直試圖入侵該國的電力公司。

　　據《今日印度》報道，參與調查的專家在負載調度中心發現了惡意軟件，該中心負責確保電網運行、監控電網運行、以及電力調度?！皳蟮?，停電的主要原因是位于塔恩區的Padgha負荷調度中心跳閘，該中心為孟買、塔內和馬維孟買地區配電?！笨梢傻卿浺炎匪莸叫录悠潞推渌蟻唶?。

　　“一位不愿透露姓名的消息人士稱，自2月份以來，黑客一直在試圖針對該國的電力公司。今年6月，稱來自中國的非國家組織發動了4萬多起黑客攻擊，利用一種惡意軟件訪問并加密了目標私人和公共實體的敏感數據。Jammu以及Kashmir的一家電力供應商也遭受了黑客攻擊?！?/p>

　　據媒體推測，這些攻擊是由出于經濟動機的外國黑客發起的，他們對印度公用事業公司發起了多次攻擊，包括網絡釣魚活動、勒索軟件和DDoS攻擊，以及BGP劫持。此類事件非常危險，電網是關鍵基礎設施，網絡攻擊可能會影響參與應對疫情流行的醫院和研究機構。

　　參考來源：Mumbai Mirror http://dwz.date/dtAK

　　(四)工業電纜制造商Belden遭受網絡攻擊并泄露數據

　　全球領先的專業網絡解決方案供應商百通公司(Belden)11月24日宣布，其已采取果斷措施來調查和解決一起數據泄露事件，該事件涉及未經授權的訪問和復制某些現員工和前員工數據以及有關某些業務合作伙伴的有限公司信息。

　　Belden IT專業人員最近檢測到涉及某些公司服務器的異?；顒?。該公司立即啟動了網絡安全事件響應計劃，部署了內部IT專家團隊，并聘請了領先的第三方網絡安全鑒定專家和其他顧問來識別和減輕此事件的影響。

　　取證專家確定，Belden是公司外部的一個復雜攻擊的目標，攻擊者訪問了有限數量公司文件服務器。該問題不會百通制造廠的生產、質量控制或運輸，工廠都在正常運行。

　　盡管調查仍在繼續，但該公司認為，它已經停止了對其服務器上的個人和商業伙伴公司數據的進一步未經授權的訪問。百通目前正在與監管和執法人員合作調查此事，還聘請了外部法律顧問來幫助公司通知全球各地的相關監管機構。

　　被訪問和被盜的個人信息可能包含以下信息：姓名、生日、政府簽發的身份證號碼(如社會保險/國民保險)、Belden工資單上的北美員工的銀行帳戶信息、家庭住址、電子郵件地址和其他與就業有關的一般信息。與該公司的一些業務合作伙伴相關的有限公司信息包括銀行賬戶數據，對于美國合作伙伴而言還包括納稅人識別號。

　　公司總裁兼首席執行官Roel Vestjens表示，“在百通，安全始終是至關重要的，我們非常重視對個人和公司信息隱私的威脅。對于此事件可能造成的任何復雜性或不便，我們深表歉意，并為可能受到影響的個人提供幫助?！?/p>

　　百通已開始通知可能受到影響的個人，并正在采取措施提供免費的監視和支持服務，以使受影響的個人更加安心。百通正在積極聯系受到影響的業務合作伙伴。

　　除了不斷發展強大的網絡安全實踐和支持外，百通還致力于利用所有可用的手段來保護其運營以及員工，客戶和業務信息。

　　百通是美國網絡和工業電纜產品制造商，在全球各大洲設有辦事處，生產用于交通、石油和天然氣以及其他行業的光纜和網絡設備。

　　參考來源：Belden http://dwz.date/duf8

　　(五)特斯拉Model X可在幾分鐘內被黑客盜走

　　比利時魯汶大學(KU Leuven)計算機安全和工業密碼學(COSIC)研究人員Lennert Wouters博士發現了特斯拉Model X無鑰匙進入系統中的重大安全漏洞，可在幾分鐘內就偷走特斯拉Model X，該攻擊方法所需的設備僅需200美元。對此特斯拉發布了無線軟件更新以緩解這些問題。

　　這是多年來Wouters對Tesla發起的第三次攻擊，Wouters分貝在2018年及2019年分別對特斯拉發起過攻擊。根據11月23日發布的報告，Wouters表示，第三次攻擊之所以有效，是因為Tesla Model X密鑰卡的固件更新過程中存在漏洞。

　　該漏洞可通過從舊款Model X車輛中回收的電子控制單元(ECU)進行攻擊，該電子控制單元可在eBay等網站或出售特斯拉二手車零部件的任何商店或論壇上輕松獲得。

　　Wouters表示，攻擊者可以修改舊版的電子控制單元，以誘騙受害者的遙控鑰匙，使其相信該電子控制單元屬于其配對車輛，然后通過BLE(藍牙低能耗)協議對遙控鑰匙進行惡意固件更新。Wouters表示，“由于這種更新機制沒有得到適當的保護，因此能夠以無線方式破壞密鑰卡并對其進行完全控制。隨后我們可以獲得有效的解鎖消息來稍后解鎖汽車?！?/p>

　　具體攻擊步驟如下：

　　1、攻擊者接近特斯拉Model X車輛車主。攻擊者需要與受害者保持5米的距離，以使較舊的改裝ECU喚醒并誘捕受害者的遙控鑰匙卡。

　　2、然后，攻擊者將惡意固件更新推送到受害者的密鑰卡上。這部分需要大約1.5分鐘的時間來執行，但射程也可以達到30米，這使攻擊者可以與目標Tesla車主保持距離。

　　3、一旦密鑰卡被黑客入侵，攻擊者就會從密鑰卡中提取汽車解鎖消息。

　　4、攻擊者使用這些解鎖消息進入受害者的汽車。

　　5、攻擊者將較舊的ECU連接到被入侵的特斯拉汽車的診斷連接器，這通常由特斯拉技術人員用來維修汽車。

　　6、攻擊者使用此連接器將自己的智能鑰匙與汽車配對，隨后他們使用它們啟動汽車并駕駛離開。這部分還需要幾分鐘才能執行。

　　這種攻擊方法的唯一弊端是相對龐大的攻擊裝備，除非隱藏在背包、書包或其他汽車內，否則很容易發現。盡管如此，攻擊設備并不昂貴，僅需要一臺帶有CAN防護罩的(30美元)Raspberry Pi計算機(35美元)、改裝的密鑰卡、一個的舊ECU(在eBay上100美元)和一塊鋰電池(30美元)。

　　Wouters表示，他于今年夏天初發現了該漏洞，并于8月中旬將其報告給特斯拉的安全團隊。在特斯拉本周開始對其所有Model X汽車進行無線軟件更新后，Wouters 23日發布了他的研究成果。據Wouters稱，已修復此錯誤的軟件更新為2020.48。

　　參考來源：ZDNet http://dwz.date/dtBD

　　(六)FBI發布警告稱黑客偽造與其相關的詐騙域名

　　美國FBI 11月23日發布警告，警告公眾避免使用與其官方網站www.fbi.gov相似的詐騙互聯網域名。該警告涉及數十個網站，未知網絡參與者注冊了許多與FBI合法網站相似的域名，這表明未來可能發生潛在的欺詐運營活動。

　　偽造的域名和電子郵件帳戶被外國行為者和網絡犯罪分子利用，很容易被誤認為合法網站或電子郵件。攻擊者可以使用欺騙性域名和電子郵件帳戶傳播虛假信息;收集有效的用戶名、密碼和電子郵件地址;收集個人身份信息;并傳播惡意軟件，從而導致進一步的威脅和潛在的財務損失。

　　網絡參與者創建的欺騙性域名的合法域名的特征稍有變化。欺騙性偽造域名可能包含單詞的替代拼寫，或使用替代頂級域名，例如合法的“[. gov”網站的“[.]com”版本。公眾可能會在不知不覺中訪問偽造的域名，同時尋求有關FBI任務、服務或新聞報道的信息。此外，網絡參與者可能會使用看似合法的電子郵件帳戶來誘使公眾點擊惡意文件或鏈接。

　　FBI敦促所有美國公眾嚴格評估他們訪問的網站，以及發送到其個人和企業電子郵件帳戶的消息，以尋找可靠且經過驗證的FBI信息。

　　FBI建議用戶始終檢查網站和電子郵件地址的拼寫，以確保其操作系統和應用程序始終保持更新，并使用最新的反惡意軟件。此外，FBI建議用戶除非絕對必要且僅在使用防病毒應用程序掃描文件后才對通過電子郵件接收的文檔啟用宏，并避免打開來自未知個人的電子郵件或附件。切勿通過電子郵件提供個人信息，應盡可能實施嚴格的兩因素身份驗證，并且應使用域白名單來僅允許訪問被認為安全的網站。此外FBI還建議用戶禁用或刪除不再使用或不需要的軟件，并驗證訪問的網站是否具有SSL證書，盡管眾所周知威脅參與者也使用加密來提高其網站的合法性。

　　以下為已識別的與FBI有關的欺詐域名：

　　參考來源：FBI http://dwz.date/dtD7

　　(七)英國成立國家網絡部隊以打擊有組織的犯罪和敵對國家活動

　　英國首相鮑里斯約翰遜19日宣布，英國組建了一支攻擊性網絡作戰部隊，致力于在網絡空間瓦解英國對手。這支名為國家網絡部隊(NCF)的部隊能夠針對對手發起有針對性的行動，從干擾恐怖分子的通信設備和手機到支持英國軍事行動。英國政府已經發展這支部隊大約兩年了。

　　NCF預計將在未來幾年增長到3000人，由來自該國信號情報機構、政府通信總部(GCHQ)、國防部、該國秘密情報局(MI6)和國防科技實驗室的人員組成。這支部隊與GCHQ的防御性網絡部門國家網絡安全中心并駕齊驅，目前只有幾百名工作人員。

　　這一聲明與英國在世界各地的盟友在網絡空間對抗對手的努力不謀而合。例如，美國國防部進攻性網絡部隊網絡司令部就曾試圖干擾俄羅斯政府對互聯網的訪問，防止他們干擾2018年美國中期選舉。據《華盛頓郵報》報道，就在上個月，網絡司令部還對伊朗進行了網絡行動，以保護2020年的總統選舉。

　　澳大利亞信號局(ASD)最近還通過魚叉式釣魚運動和其他騙局，對利用冠狀病毒大流行的黑客進行了攻擊性的網絡行動。澳大利亞國防部長Linda Reynolds表示，ASD的活動包括破壞黑客的基礎設施，阻止他們獲取被盜信息。

　　據倫敦《泰晤士報》(Times Of London)報道，近幾個月來，英國一直在開展網絡行動，以應對俄羅斯有關冠狀病毒疫苗的虛假信息。英國的攻擊性網絡力量的宣布不是英國第一次承認它使用攻擊性的網絡攻擊對手。例如，英國與其他一些歐洲國家和美國一起，曾提議向北約提供進攻性的網絡能力。就在上個月，英國前國家安全顧問透露，該國針對莫斯科的漏洞開展了一次攻擊性網絡行動。

　　與網絡司令部和ASD一樣，GCHQ此前也承認，英國在過去幾年里利用網絡行動破壞了ISIS。GCHQ局長Jeremy Fleming表示，這是英國首次“系統地、持續地削弱對手的網絡努力，作為更廣泛軍事行動的一部分”。

　　NCF的確認是在議會情報和安全委員會(負責監督英國的間諜機構)進行了嚴厲的評估之后做出的。該委員會在7月份的結論是，英國沒有進行認真的調查，以評估俄羅斯干預英國政治的努力。

　　參考來源：CyberScoop http://dwz.date/du43

　　(八)移動應用程序Muslim Pro開發商將用戶數據出售給美軍

　　據報道，當地移動應用程序Muslim Pro在全球范圍內下載量超過9850萬次，據稱已向美國軍方出售了“位置數據”，但是該追蹤程序Muslim Pro否認了這一指控，稱這只是與合作伙伴共享匿名數據，目前該事件正由新加坡個人數據保護委員會進行調查。

　　個人數據保護委員會(PDPC)確認其正在對指控進行調查，并向Muslim Pro開發商Bitsmedia尋求更多信息。該監管機構告訴當地媒體：“我們提醒用戶要注意他們的權限和個人數據以及使用方法。如有疑問，用戶不應下載或使用任何應用程序?！?/p>

　　成立于2009年，總部位于新加坡的Bitsmedia在馬來西亞和印度尼西亞設有辦事處，Muslim Pro應用程序會跟蹤祈禱時間，并有顯示前往Mecca的方向等功能，已經被200個國家的用戶下載。

　　據報道，該應用程序已將位置數據出售給X-Mode，這是美國第三方數據聚合商，向其客戶出售服務，其中包括美國國防承包商。美國-加拿大新聞媒體Vice Media在報告中爆料說，Muslim Pro是向美國軍方出售數據的移動應用程序之一，包括時間戳、電話型號詳細信息和Wi-Fi網絡的連接位置。Bitsmedia否認了這些指控，并在星期二和星期四發表了兩份聲明，認為該報告“不正確且不真實”。

　　Bitsmedia表示其符合歐盟GDPR(通用數據保護法規)和加利福尼亞消費者隱私法案(CCPA)等全球數據隱私法律和法規，稱其“收集、處理和使用其用戶提供的信息”開發人員在訪問其應用程序以“改善我們的服務”并促進其應用程序的“研究與開發”(R&D)工作時訪問開發者。這可能包括分析數據以更好地了解用戶行為，從而可以“改善其服務的整體功能”。位置數據用于祈禱時間的計算，并有助于規劃和設計功能，以及改善整體用戶體驗。

　　Bitsmedia開發人員還堅持認為，它不會共享任何敏感的個人信息，例如姓名、電話號碼和電子郵件?！芭c合作伙伴共享的任何數據都是匿名的，這意味著我們的數據不會歸因于任何特定的個人。我們采用行業標準的安全措施和保護措施，并選擇領先的技術合作伙伴，以確保我們的數據在我們的云基礎架構上的安全。我們對收集、存儲和處理的個人信息也保持公開和透明?！?/p>

　　雖然它駁斥了Vice Media的主張，但Bitsmedia表示已經終止了與數據合作伙伴包括X-Mode在內的所有關系，并“立即生效”。

　　該公司表示，它與“選定的技術合作伙伴”合作，以改善其應用程序的質量，并與合作伙伴共享數據，以實現“廣告等常見目的”，這是它的主要收入來源。這樣做是“完全遵守”所有相關法律的，并實施了“嚴格的數據治理政策”以保護其用戶數據。

　　Bitsmedia稱，它與社交媒體網絡和數據分析公司等第三方合作，并在其用戶同意下共享數據。它還指出，除了“社區”部分外，Muslim Pro中提供的功能都可以使用，而無需用戶登錄該應用程序?！斑@有助于我們收集和處理的數據的匿名性?！?/p>

　　如果它被發現違反了新加坡的個人數據保護法(PDPA)，Bitsmedia可能面臨 嚴重的經濟處罰，高達其年營業額10%或100萬新加坡元。新加坡本月剛剛更新了數據保護法規，以允許本地企業未經事先同意就出于某些目的(例如業務改進和研究)使用消費者數據。修正案還允許對數據泄露處以更嚴厲的罰款，超過先前100萬新加坡元上限。

　　新加坡通信和信息部長伊斯瓦蘭(S. Iswaran)在 討論修正案的講話中表示，數據是數字經濟中的關鍵經濟資產，因為它提供了有價值的見解，可為企業提供信息并提高效率。 Iswaran表示，它還將增強創新能力并增強產品，并成為具有變革潛力的新興技術(如AI)的重要資源 。

　　PDPA的主要變化之一是“同意的例外”要求，該要求現在允許企業出于“合法目的”，業務改進和更廣泛的研發范圍使用、收集和披露數據。除了用于調查和應對緊急情況外，還包括打擊欺詐、增強產品和服務以及開展市場研究以了解潛在客戶群的工作。此外，PDPA“視為同意”下定義的進一步修訂現在將允許組織與外部承包商共享數據，以履行客戶合同。這迎合了“現代商業安排”和包括安全在內的基本目的。

　　參考來源：ZDNet http://dwz.date/du4s

　　(九)新型竊聽攻擊方法LidarPhone利用掃地機器人進行竊聽

　　新加坡五名學術研究人員設計了一種名為LidarPhone的新型竊聽攻擊方法，可利用商用機器人吸塵器中的激光雷達傳感器。

　　LidarPhone攻擊方法依靠從激光反射中提取的聲音信號的痕跡來捕捉隱私敏感信息，包括在電話會議期間的講話。它還可以用來監視受害者的電視習慣，或許還能確定他們的政治取向。

　　這種攻擊方法由新加坡國立大學和馬里蘭大學學院公園分校的五名研究人員設計，當用于收集語音數字和音樂時，平均準確率分別大約達到了91%和90%的水平。

　　這種新型的聲學側通道攻擊之所以成為可能，是因為真空清潔機器人，配備了激光雷達傳感器，通過發射激光光和測量其反射，幫助它測量到不同物體的距離。

　　研究人員解釋說，聲音是通過介質振動傳播的壓力波，它被感應到周圍的物體上。因此，細微的物理振動在固體材料中產生?！癓idarPhone的基本概念在于，利用真空機器人的激光雷達傳感器，感應室內物體的這種感應振動，然后對記錄的振動信號進行處理，以恢復聲音的痕跡?！?/p>

　　激光傳聲器也采用同樣的方法，基本上LidarPhone將真空吸塵機器人上的激光雷達傳感器轉換成麥克風。然而，新攻擊所面臨的挑戰包括反射信號的低信噪比(SNR)和由于機器人旋轉運動而導致的激光雷達低采樣率。

　　據研究人員稱，這種攻擊的一些主要局限性包括：當物體不與揚聲器直接接觸時，聲音振動的強度較低：而且機器人在操作時不斷移動，因此，在機器人空閑時發動攻擊更為合理。

　　研究人員在小米機器人吸塵機器人上實現了LidarPhone，并得出結論，它可以實現數字和音樂分類的高精度。他們還認為，與最先進的竊聽攻擊不同，部署監視設備需要物理存在，LidarPhone省去了這一步驟，攻擊者只需以某種方式破壞目標真空。

　　研究人員表示，“LidarPhone允許對手從位于受害者計算機揚聲器或電視條形音箱附近的微小振動物體(例如垃圾桶或外賣袋)反射的激光束中獲得隱私敏感的語音信息。雖然我們以機器人吸塵器上的激光雷達為例進行研究，但我們的發現可能會擴展到許多其他有源光傳感器，包括智能手機飛行時間傳感器?！?/p>

　　參考來源：SecurityWeek http://dwz.date/dusq

　　(十)FBI發布關于勒索軟件Ragnar Locker的活動警報

　　美國聯邦調查局(FBI)11月19日發布緊急警報，警告私營行業合作伙伴，自2020年4月以來勒索軟件Ragnar Locker的活動激增，該警報內容包括檢測與該勒索軟件團伙相關聯的IoC。

　　聯邦調查局在2020年4月首次觀察到勒索軟件Ragnar Locker，當時不明身份的人用它加密了一家大公司的文件，獲得了大約1100萬美元的贖金，并威脅要釋放10 TB的公司敏感數據。從那時起，Ragnar Locker被部署攻擊越來越多的受害者，包括云服務提供商、通信、建筑、旅游和企業軟件公司。FBI正在提供Ragnar Locker勒索軟件的詳細信息，以幫助理解密碼和識別活動。

　　Ragnar Locker勒索軟件背后的威脅參與者首先獲得對目標網絡的訪問權限，然后執行偵察以定位網絡資源和備份，試圖過濾敏感數據。一旦完成偵察階段，操作員手動部署勒索軟件并開始加密受害者的數據。

　　Ragnar Locker勒索軟件背后的運營商經常改變混淆技術以避免被發現，他們還使用VMProtect、UPX和自定義打包算法來處理惡意代碼。操作員還可以使用在目標站點上的自定義WindowsXP虛擬機中部署Ragnar Locker，以避免被檢測到。

　　該警報包含了勒索軟件的其他技術細節，并提供了以下減輕威脅的建議：

　　1、離線備份關鍵數據。

　　2、確保關鍵數據的副本在云或外部硬盤驅動器或存儲設備上。這些信息不能從受損的網絡訪問。

　　3、確保備份的安全，并確保不能從數據所在的系統中訪問數據進行修改或刪除。

　　4、在所有主機上安裝并定期更新防病毒或防惡意軟件。

　　5、只使用安全網絡，避免使用公共Wi-Fi網絡。

　　6、考慮安裝和使用VPN。

　　7、使用強密碼的多因素身份驗證。

　　8、保持電腦、設備和應用程序的補丁和更新。

　　參考來源：SecurityAffairs http://dwz.date/dsqX

　　(十一)丹麥通訊社Ritzau遭受黑客攻擊并拒絕支付勒索贖金

　　丹麥最大的新聞社Ritzau自11月24日遭受黑客攻擊后，網絡中斷了至少一天，并拒絕了黑客的勒索要求。

　　Ritzau的首席執行官Lars Vesterloekke沒有透露贖金的需求有多大，因為“專業攻擊”的幕后黑手留下了“一份帶有勒索信息的文件”，然而Ritzau并沒有按照顧問的指示打開該文件。Ritzau已通過六個實時社交媒體向客戶緊急發布了關于該事件的概述。

　　Vesterloekke表示，“如果按預期進行，那么我們可以在11月26如逐漸恢復正常。由于Ritzau的100臺服務器中約有四分之一遭到損壞，此次攻擊迫使其編輯系統被迫關閉?！?/p>

　　除了該機構自己的IT部門之外，Ritzau還聘請了一家外部安全公司，專門從事黑客攻擊后的清理工作，而其保險公司則在協助專家。目前還不知道此次攻擊事件的幕后主使。

　　自1866年以來，總部位于哥本哈根的Ritzau便為丹麥媒體、組織和公司分發信息并制作新聞。

　　參考來源：APNews http://dwz.date/dupw

　　(十二)曼聯俱樂部遭受網絡攻擊

　　英格蘭足球俱樂部曼徹斯特聯隊11月20日證實其系統遭受了網絡攻擊。該俱樂部已迅速采取行動來遏制此次攻擊，目前正與專家顧問合作調查事件，并最大程度地減少持續的IT網絡中斷。

　　盡管這是有組織的網絡犯罪分子的一項復雜的行動，但俱樂部已針對此類事件制定了廣泛的規程和程序，并為此類事件進行了預演。該俱樂部的網絡防御系統發現了此次攻擊，并關閉了受影響的系統以控制損害并保護數據。

　　俱樂部媒體渠道、網站及移動應用程序均不受影響，并且目前沒有發現與球迷或客戶相關的任何個人數據泄露狀況。在老特拉福德進行比賽所需的所有關鍵系統都保持安全和正常運行，21日對陣西布羅姆維奇的比賽將繼續進行。

　　參考來源：BusinessWire http://dwz.date/dudX

　　(十三)韓國零售巨頭E-Land遭受勒索軟件攻擊致門店關閉

　　韓國時裝及零售業巨頭E-Land 11月22日表示，其遭受了勒索軟件攻擊，導致其23家零售店在應對攻擊期間暫停運營。

　　E-Land擁有60個零售品牌，主要專注于服裝，通過5000家特許零售店銷售。此外，E-Land在韓國擁有并經營酒店和餐廳。

　　23日，E-Land零售公司首席執行官Seok chango - hyun證實了網絡攻擊，并表示勒索軟件是于11月22日上午發生在在E-Land總部。為了防止勒索軟件攻擊的蔓延，E-Land關閉了一部分IT系統，這影響了其零售網點的運營。Seok表示，客戶和其他敏感數據在不同的服務器上加密，是安全的。 根據實施攻擊的勒索軟件操作，未加密的文件和數據可能被盜。

　　自2019年11月以來，大多數勒索軟件公司越來越多地竊取未加密的文件，并威脅稱，如果不支付贖金，就會將其泄露。這種雙重勒索的策略是為了向受害者施加壓力，以應對政府罰款、數據泄露通知、潛在訴訟和名譽受損的風險。

　　不幸的是，除非公司公開披露數據被盜，否則員工和客戶可能永遠不知道是否支付了贖金。如果不支付贖金，被盜數據通常會發布在勒索軟件數據泄露網站上，旨在羞辱受害者。目前，還沒有任何勒索軟件組織聲稱對E-Land的攻擊負責。

　　參考來源：BleepingComputer http://dwz.date/dutn

　　(十四)巴基斯坦國際航空公司數據庫信息在暗網上出售

　　據報道，巴基斯坦國際航空公司(PIA)遭受了重大數據泄露事件，其網絡訪問及數據庫在暗網上正以4000美元的價格出售。

　　據一家媒體報道，以色列公司KELA發現一名威脅參與者以4000美元的價格提供該航空公司的域名管理訪問權。KELA跟蹤勒索軟件的趨勢并識別對國際組織和政府機構的威脅。KELA監測到有兩個俄羅斯人和一個英國人正在暗網論壇上出售該數據。一周后，攻擊者還將會出售該該航空公司網絡中的所有數據庫。

　　這些網絡罪犯發布了一個樣本，據他們稱，這些樣本包含“所有使用PIA的人的數據，包括姓名、電話號碼和護照號”。

　　KELA表示，攻擊者提到正在銷售的大約有15個數據庫，所有數據庫都有不同數量的記錄，有些大約有50萬條記錄，有些大約有6萬到5萬條記錄，但是他們網絡中存儲的所有記錄都包括在內。此外，KELA還透露，自今年7月以來，同一個攻擊者已經將38個數據庫出售，累計價格至少為11.87萬美元。

　　參考來源：BOL News http://dwz.date/du3B

　　(如未標注，均為天地和興工業網絡安全研究院編譯)