目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）工信部印發《工業互聯網創新發展行動計劃（2021年-2023年）》

（二）中國初創公司Socialarks泄露400GB數據影響2億用戶
 

第二章 國外關鍵信息基礎設施安全動態

（一）Pepperl + Fuchs Comtrol工業網關中存在六個漏洞

（二）羅克韋爾產品中存在四個高危DoS漏洞

（三）美國短線鐵路運營商OmniTRAX遭受勒索軟件Conti攻擊

（四）飛機制造商達索獵鷹遭受勒索軟件Ragnar Locker攻擊

（五）哥倫比亞能源及冶金企業遭受木馬攻擊

（六）F5 BIG-IP產品中存在DoS漏洞

（七）SolarWinds供應鏈攻擊中發現第三種惡意軟件Sunspot

（八）美國國家安全局發布《網絡安全年度回顧報告》

（九）美國太空部隊加入美國國家情報體系

（十）聯合國環境規劃署超10萬員工數據泄露

（十一）歐洲刑警組織搗毀最大暗網市場DarkMarket

（十二）新西蘭中央銀行遭受網絡攻擊

（十三）加拿大共享汽車服務商Communauto遭受網絡攻擊

（十四）美國技術供應商Ubiquiti因未授權訪問泄露用戶數據

第一章 國內關鍵信息基礎設施安全動態

（一）工信部印發《工業互聯網創新發展行動計劃（2021年-2023年）》

1月13日，工信部官網發布《工業互聯網創新發展行動計劃（2021-2023年）》（以下簡稱《行動計劃》），提出5項發展目標，明確11項重點工作任務，這也是工業互聯網的第2個三年行動計劃。

據了解，該《行動計劃》已在工業互聯網專項工作組第二次會議審議通過，旨在深入實施工業互聯網創新發展戰略，推動工業化和信息化在更廣范圍、更深程度、更高水平上融合發展。

《行動計劃》指出，2021-2023年是我國工業互聯網的快速成長期。到2023年，工業互聯網新型基礎設施建設量質并進，新模式、新業態大范圍推廣，產業綜合實力顯著提升。

一是新型基礎設施進一步完善。覆蓋各地區、各行業的工業互聯網網絡基礎設施初步建成，在10個重點行業打造30個5G全連接工廠。標識解析體系創新賦能效應凸顯，二級節點達到120個以上。打造3～5個具有國際影響力的綜合型工業互聯網平臺?；窘ǔ蓢夜I互聯網大數據中心體系，建設20個區域級分中心和10個行業級分中心。

二是融合應用成效進一步彰顯。智能化制造、網絡化協同、個性化定制、服務化延伸、數字化管理等新模式新業態廣泛普及。重點企業生產效率提高20%以上，新模式應用普及率達到30%，制造業數字化、網絡化、智能化發展基礎更加堅實，提質、增效、降本、綠色、安全發展成效不斷提升。

三是技術創新能力進一步提升。工業互聯網基礎創新能力顯著提升，網絡、標識、平臺、安全等領域一批關鍵技術實現產業化突破，工業芯片、工業軟件、工業控制系統等供給能力明顯增強?；窘⒔y一、融合、開放的工業互聯網標準體系，關鍵領域標準研制取得突破。

四是產業發展生態進一步健全。培育發展40個以上主營業務收入超10億元的創新型領軍企業，形成1～2家具有國際影響力的龍頭企業。培育5個國家級工業互聯網產業示范基地，促進產業鏈供應鏈現代化水平提升。

五是安全保障能力進一步增強。工業互聯網企業網絡安全分類分級管理有效實施，聚焦重點工業領域打造200家貫標示范企業和100個優秀解決方案。培育一批綜合實力強的安全服務龍頭企業，打造一批工業互聯網安全創新示范園區?；窘ǔ筛采w全網、多方聯動、運行高效的工業互聯網安全技術監測服務體系。
 

本文版權歸原作者所有，參考來源：工業互聯網世界 http://dwz.date/dTRm
 

（二）中國初創公司Socialarks泄露400GB數據影響2億用戶

SafetyDetectives研究人員發現，中國初創公司Socialarks（笨鳥社交）遭遇了一次大規模數據泄露事件，導致超過400 GB的個人數據泄露，超過3.18億條記錄，其中包括多名知名人士和社交媒體影響力人士。

該公司不安全的ElasticSearch數據庫包含來自世界各地至少2.14億社交媒體用戶的個人身份信息(PII)，這些用戶既使用Facebook和Instagram等消費者平臺，也使用LinkedIn等專業網絡。

在Socialarks的案例中，安全公司Safety Detectives團隊發現ElasticSearch服務器在對可能不安全的數據庫進行常規IP地址檢查時，在沒有口令保護或加密的情況下被公開。該公司的服務器上沒有安全設備，這意味著任何擁有服務器IP地址的人都可以訪問一個包含數百萬人私人信息的數據庫。

Safety Detectives團隊負責人Anurag Sen表示，受影響的數據庫中包含了“海量”的敏感個人信息，總計達408GB，超過3.18億條記錄。

考慮到數據泄露的巨大規模，研究團隊要全面了解造成的潛在損害，一直是一個嚴峻的挑戰。但是能夠確定，所有泄露的數據都是從社交媒體平臺上“竊取”的，這既是不道德的，也違反了Facebook、Instagram和LinkedIn的服務條款。

此外，值得注意的是，Socialarks在2020年8月遭遇了類似的數據泄露，導致1.5億LinkedIn、Facebook和Instagram用戶的數據被曝光。8月份的數據庫泄露事件，泄露了6600萬LinkedIn用戶、1160萬Instagram賬戶和8150萬Facebook賬戶的大量個人數據。

從發現的泄露數據中，有可能確定人們的全名、居住國、工作地點、職位、訂戶數據和聯系信息，以及到他們個人資料的直接鏈接。

該數據庫包含超過408GB的數據和超過3.18億條記錄，包括11,651,162 Instagram用戶個人資料、66,117,839領英用戶個人資料、81,551,567 Facebook用戶個人資料。

研究團隊發現的受數據泄漏影響的配置文件數量與8月數據泄漏中提到的數量相同。但是，存在很大的差異，例如數據庫的大小，托管這些服務器的公司以及索引的數量。

由騰訊托管的受影響服務器被細分為索引，以便存儲從每個社交媒體源獲取的數據。研究團隊從3個主要社交媒體平臺上發現了記錄：Instagram，Facebook和LinkedIn。

Instagram索引包含各種受歡迎的人物和在線名人。研究團隊在公開的數據庫中發現了幾位備受矚目的網紅，包括著名的美食博客、名人和其他社交媒體網紅。

每條記錄都包含從Instagram帳戶中竊取的公共數據，包括其履歷、個人資料圖片、關注者總數、位置設置以及個人信息，例如電子郵件地址和電話號碼的聯系方式。

Instagram記錄公開了以下詳細信息：姓名、600多萬用戶的電話號碼、所有1100多萬用戶的電子郵件地址、配置文件鏈接、用戶名、資料圖片、概要描述、平均評論數、關注者數量和關注人數、所在國、某些情況下的特定位置、常用標簽。

Facebook的記錄暴露了以下細節：姓名、“關于”文本、電子郵件地址、電話號碼、所在地國家/地區、點贊，關注和收視率計算、ID、帶有個人資料圖片的Facebook鏈接、網站鏈接、配置文件描述。

LinkedIn的記錄暴露了以下細節：姓名、電子郵件地址、工作概況，包括職稱和資歷級別、LinkedIn個人資料鏈接、用戶標簽、域名、互聯社交媒體帳戶登錄名，例如Twitter、公司名稱和收入利潤率。

值得注意的是，Socialarks總部位于中國，于2014年由私人風險投資創立，而易受攻擊的服務器位于香港。目前尚不清楚該公司如何設法從多個安全來源獲取私人數據。
 

參考來源：SafetyDetectives http://dwz.date/dUWR
 

第二章 國外關鍵信息基礎設施安全動態

（一）Pepperl + Fuchs Comtrol工業網關中存在六個漏洞

奧地利網絡安全咨詢公司SEC Consult研究人員發現了Pepperl + Fuchs Comtrol IO-Link Master工業網關中存在六個漏洞，包括跨站點請求偽造（CSRF）、反射跨站點腳本（XSS）、命令注入、拒絕服務（DoS）等問題。受影響的產品利用了已知具有漏洞的第三方組件的過時版本，包括PHP、OpenSSL、BusyBox、Linux內核和lighttpd。這些漏洞可被利用來獲得設備的root訪問權限并創建后門。

Pepperl+Fuchs在1月4日發布的一份公告中表示，這些漏洞可以讓遠程攻擊者訪問目標設備，執行“任何程序”，并獲取信息。
首席安全顧問、SEC Consult漏洞實驗室負責人Johannes Greil表示，如果攻擊者能夠訪問其中一個受影響的控制設備，例如通過使用XSS攻擊或口令猜測，他們可能能夠以root權限在設備上執行命令，并實現永久后門。

IO-Link是一種用于數字傳感器和執行器的工業通信協議。Pepperl+Fuchs表示，其IO-Link Master產品線“將IO-Link標準的優點與以太網/IP和Modbus TCP協議結合在一起。IO-Link Master通過處理IO-Link本身的復雜性，有效地使PLC程序員免受IO-Link復雜性的影響?！?/span>

該供應商在被告知存在漏洞幾個月后，修補了SEC Consulting發現的漏洞。該公司表示，十幾款IO-Link Master產品受到影響，并敦促客戶更新U-Boot引導加載程序、系統映像和應用程序基礎，以防止利用漏洞。SEC Consult發布了一份公告，其中包含每個漏洞的概念驗證(PoC)代碼。
 

參考來源：SecurityWeek http://dwz.date/dUWN

 

（二）羅克韋爾產品中存在四個高危DoS漏洞

研究人員發現，羅克韋爾FactoryTalk Linx和RSLinx Classic產品中存在四個DoS漏洞。根據羅克韋爾12月底發布的一份咨詢報告，網絡安全公司Tenable的研究人員總共發現了四個DoS漏洞，其中三個影響FactoryTalk Linx，一個影響FactoryTalk服務平臺。
FactoryTalk Linx(前身為RSLinx Enterprise)是一款廣泛使用的產品，設計用于將Allen Bradley PLC連接到羅克韋爾應用程序，包括編程、數據采集和HMI交互。

影響FactoryTalk Linx的兩個安全漏洞是由DLL文件中未經處理的異常引起的，它們允許遠程未經驗證的攻擊者通過發送巧盡心思構建的數據包來造成DoS情況，從而導致RSLinxNG.exe進程終止。這些漏洞被評為高危漏洞，漏洞編號為為CVE-2020-5801和CVE-2020-5802。

影響FactoryTalk Linx的另一個漏洞是DLL文件中的緩沖區溢出，它還可能通過發送導致RSLinxNG.exe進程終止的惡意數據包來造成DoS情況。然而，根據羅克韋爾的建議，雖然利用不需要身份驗證，但它確實需要本地訪問，而Tenable已證實了這一點。

通過說服目標用戶打開日志文件，可利用影響FactoryTalk服務平臺的漏洞進行DoS攻擊?！爱敱镜赜脩舸蜷_惡意日志文件時，它可能導致FactoryTalk Services Platform中的緩沖區溢出，從而導致暫時的拒絕服務狀況。用戶可以通過重新打開受影響的軟件來從狀況中恢復過來?！?/span>

羅克韋爾尚未發布針對這些漏洞的修補程序。然而，它分享了一些風險緩解建議，包括網絡、軟件、社會工程和一般緩解策略。

Tenable研究工程師David Wells表示：“在大多數情況下，RSLinx組件中的拒絕服務不會影響PLC的運行；但是，它會阻止管理員對PLC應用新的配置和更改，并在PLC的運行中失去可見性?！?/span>

思科Talos透露，它的一名研究人員在Rockwell的RslinxClassic中發現了一個嚴重程度很高的漏洞，攻擊者可以利用該漏洞造成DoS情況。RslinxClassic是一種廣泛用于工業自動化產品的通信服務器。該漏洞編號為CVE-2020-13573，與產品的以太網/IP服務器功能有關，可以通過發送網絡請求加以利用。羅克韋爾告訴Talos，該問題在11月份就解決了，但似乎羅克韋爾還沒有發布安全建議。Talos發布了一份公告，解釋了如何利用該漏洞。
 

參考來源：SecurityWeek http://dwz.date/dRZU

 

（三）美國短線鐵路運營商OmniTRAX遭受勒索軟件Conti攻擊

總部位于美國科羅拉多州的短途鐵路運營商和物流供應商OmniTRAX近日遭受了針對其母公司Broe Group的勒索軟件攻擊和數據竊取。

OmniTRAX證實，網絡攻擊事件發生在勒索軟件組織Conti在泄漏站點發布竊取的數據后。然而，該公司沒有提供有關這起事件的細節，也沒有提供它是否影響了任何運營。

OmniTRAX首席法律官兼法律總顧問約翰·斯皮格勒曼（John Spiegleman）在一份聲明中說：“我們完全清楚目前的情況，但是公司政策要求我們不要對安全協議發表評論。OmniTRAX繼續照常營業?！?/span>

OmniTRAX的總部位于丹佛，在美國經營21條短線鐵路，在加拿大經營一條。盡管沒有跡象表明會對運營產生影響，但短線鐵路通過將托運人與較大的鐵路網連接起來，在北美供應鏈中發揮了至關重要的作用。

根據勒索軟件團伙發布帖子的時間，攻擊發生在12月24日之前。泄密事件本身表明，擁有OmniTRAX的Broe Group拒絕支付黑客的贖金要求。OmniTRAX是OmniTRAX投資組合的一部分，總部設在同一地點。

泄露的70GB樣本文件包括OmniTRAX內部文件，包括雇員個人工作計算機的明顯內容。目前尚不清楚其中是否包括與OmniTRAX的鐵路運營或其客戶有關的數據。

這是已知的第一起針對美國貨運鐵路運營商的所謂雙重勒索軟件攻擊案例。包括Forward Air在內的多家卡車和物流公司一直是一系列勒索軟件組織的目標。他們采用的策略是竊取數據，然后對數據進行加密，然后要求支付贖金，以換取解鎖系統，并承諾永遠不會公開這些數據。

一位熟悉鐵路行業的網絡安全專家表示，這次可能的攻擊對OmniTRAX的鐵路運營幾乎沒有造成干擾。但這位專家表示，公開披露員工數據令人不安。

近年來，隨著鐵路行業數字化程度的不斷提高，但缺乏適當的網絡安全，人們對鐵路網絡攻擊的擔憂與日俱增。人們的擔憂主要集中在供應鏈可能出現大規模中斷，或黑客破壞機車車輛系統，可能導致列車停運或安全系統癱瘓。

勒索軟件攻擊通常是一種更直截了當的工具，目的是讓黑客組織賺錢。但正如最近的Forward Air攻擊所證明的那樣，數據鎖定可能會影響運輸操作。

鐵路制造商Greenbrier的首席執行官比爾·弗曼（Bill Furman）對金融分析師表示，該公司正在加大其網絡安全工作，以應對高威脅水平。Furman表示，“這對我們運營的所有公司而言都是越來越大的風險，如果滲透進我們的公司中，我們會有一些漏洞，我們都已經關注了這些頭條。因此，我們的董事會對此表示關注。我們很擔心，我們正在投資保護自己?！?/span>
 

參考來源：FreightWaves http://dwz.date/dUQj

 

（四）飛機制造商達索獵鷹遭受勒索軟件Ragnar Locker攻擊

飛機制造商達索獵鷹（Dassault Falcon Jet，DFJ）12月30日披露其遭受了一起數據泄露事件，泄露了現員工及前員工的個人信息，及員工配偶和家屬的信息。

法國達索航空公司（Dassault Aviation）美國子公司已向客戶發送了數據泄露通知。該公司擁有2453名員工，2019年收入超過73億歐元。

DFJ發布的通知顯示，“在2020年12月6日，DFJ發現了一其數據安全事件，影響了我們的一些系統和我們的一些子公司。在發現此安全事件后，我們立即將所有受影響的系統脫機，并聘請第三方網絡安全專家協助我們進行調查，同時我們努力以保護您信息安全的方式安全恢復我們的系統?！?/span>

泄露的數據包括現任及前任員工的信息，包括姓名、個人和公司電子郵件地址、個人郵寄地址、員工身份證號、駕駛證號、護照信息、財務賬號、社會保險號、出生日期、工作地點、薪酬和福利登記信息以及就業日期。數據泄露通知稱，有關事件中暴露的現任或前任雇員的配偶和受撫養人的信息可能包括姓名、地址、出生日期、社會保險號和福利登記信息。

據媒體報道，數據泄露是Ragnar Locker勒索軟件共計的結果，該勒索軟件也影響了達索獵鷹噴幾家子公司的系統。

研究人員在Ragnar組織的泄密網站上發現了一些特定的部分，其中包含所謂被盜文件檔案的鏈接。

該公司正在FBI的支持下調查此事件，并宣布將采取措施加強其安全計劃，以防止將來發生類似事件。

該數據泄露通知顯示，“在此事件中，我們重新構建了系統，以便在調查繼續進行的同時維持我們的運作。在恢復和重建系統的同時，我們也在加強現有的安全保護措施，以保護這些系統及其上存儲的數據?！?/span>

2020年11月，美國聯邦調查局（FBI）發出了緊急警報（MU-000140-MW），以警告私營行業合作伙伴，自2020年4月起確認攻擊后，Ragnar Locker勒索軟件活動有所增加。
 

參考來源：SecurityAffairs http://dwz.date/dU5Z

 

（五）哥倫比亞能源及冶金企業遭受木馬攻擊

ESET研究人員1月12日透露，其發現一項名為Spalax活動的黑客攻擊活動，攻擊者針對哥倫比亞能源及冶金企業使用了三種遠程訪問木馬來竊取敏感機密數據。

ESET在博客中表示，哥倫比亞政府及私有企業是威脅行為者的攻擊目標，攻擊者對能源及冶金行業特別感興趣。ESET在2020年下半年開始跟蹤該黑客行動，當時至少有24個IP地址與一起攻擊有關，可能是受攻擊的設備充當攻擊者的命令和控制（C2）服務器的代理。

為了開始針對目標實體的感染鏈，威脅參與者使用傳統方法：網絡釣魚電子郵件。這些欺詐性信息的主題包括要求參加法庭聽證會、凍結銀行帳戶警告、采取強制COVID-19測試的通知。在一些樣本中，包括總檢察長辦公室（Fiscalia General de la Nacion）和國家稅務和海關總署（DIAN）在內的機構被假冒。

每封電子郵件都附帶一個.PDF文件，該文件鏈接到.RAR文檔。如果受害者下載了該軟件包（位于OneDrive，MediaFire和其他托管服務上），則其中的可執行文件將觸發惡意軟件。

威脅行為者使用各種投放程序和打包程序來部署特洛伊木馬有效載荷，所有目的都是通過將RAT注入合法進程來執行RAT。

這三種有效載荷都可以通過商業途徑獲得，并且不是由網絡攻擊者自行開發的。第一個是Remcos，一種在地下論壇上只需58美元就能買到的惡意軟件。第二個是njRAT，這是最近在使用Pastebin作為C2結構替代的活動中發現的特洛伊木馬，第三個是AsyncRAT，一種開源遠程管理工具。

ESET指出：“投放程序和有效負載之間沒有一對一的關系，因為我們已經看到不同類型的投放程序運行相同的有效負載，并且還有一種類型的投放程序連接到不同的有效負載。但是，我們可以說，NSIS dropper主要投放Remcos，而Agent Tesla和AutoIt包裝員通常會投放njRAT?！?/span>

RAT能夠提供對威脅行為者的遠程訪問控制，并且還包含用于鍵盤記錄、屏幕捕獲、剪貼板內容收集、數據泄露以及其他惡意軟件的下載和執行以及其他功能的模塊。

根據ESET的說法，沒有具體的歸因線索，但是與APTC36（也稱為Blind Eagle）存在一些重疊。該APT與2019年針對哥倫比亞實體的攻擊有關，目的是竊取敏感信息。攻擊者對動態DNS服務的使用意味著該活動的基礎結構也在不斷變化，定期注冊新域名以供哥倫比亞公司使用。

ESET還指出了與趨勢科技在2019年進行的研究的聯系。網絡釣魚的策略相似，但是趨勢科技的報告涉及間諜活動，并可能涉及金融帳戶，但ESET并未檢測到網絡間諜活動以外的任何有效載荷使用。但是，ESET承認，當前活動的某些目標，包括彩票代理機構，似乎僅出于間諜活動是不合邏輯的。

ESET還補充說，由于該活動的基礎設施龐大且瞬息萬變，預計在可預見的未來，這些攻擊將在該地區繼續發生。
 

參考來源：ZDNet http://dwz.date/dUw7

 

（六）F5 BIG-IP產品中存在DoS漏洞

Positive Technologies安全研究人員Nikita Abramov發現了F5 BIG-IP產品中的一個DoS漏洞，攻擊者可利用該漏洞發起拒絕服務攻擊。該漏洞編號為CVE-2020-27716，會影響一些版本的F5 BIG-IP訪問策略管理器（APM）。

F5 BIG-IP訪問策略管理器是一種安全、靈活、高性能的訪問管理代理解決方案，可為用戶、設備、應用程序和應用程序編程接口（API）提供統一的全局訪問控制。該漏洞位于流量管理微內核（TMM）組件中，該組件處理BIG-IP設備上的所有負載平衡的流量。

F5發布的漏洞公告顯示，“當BIG-IP APM虛擬服務器處理未公開的流量時，流量管理微內核（TMM）停止響應并重新啟動，該漏洞編號為CVE-2020-27716。TMM重新啟動時，通信處理中斷。如果受影響的BIG-IP系統被配置為設備組的一部分，系統將觸發故障轉移到對等設備?！?/span>

攻擊者只需向承載BIG-IP配置實用程序的服務器發送巧盡心思構建的HTTP請求即可觸發該漏洞，這足以在一段時間內阻止對控制器的訪問（直到它自動重新啟動）。

Positive Technologies的安全研究人員Nikita Abramov解釋表示，“此類漏洞在代碼中很常見，發生這些錯誤的原因可能多種多樣，例如開發人員無意識地忽略了這些原因，或者是由于沒有進行足夠的額外檢查。我在二進制分析過程中發現了此漏洞。此類漏洞可以通過使用非標準請求和分析邏輯和邏輯不一致來檢測?！?/span>

該漏洞影響版本14.x和15.x，供應商已經發布了解決該漏洞的安全更新。

今年6月，F5 Networks的研究人員解決了另一個漏洞，編號為CVE-2020-5902，該漏洞位于BIG-IP產品的流量管理用戶界面(TMUI)的未公開頁面中。攻擊者可利用該漏洞獲得對TMUI組件的訪問權限，以執行任意系統命令、禁用服務、執行任意Java代碼以及創建或刪除文件，并可能接管BIG-IP設備。

CVE-2020-5902漏洞的CVSS得分為10，這意味著該漏洞很容易被利用。通過向托管用于BIG-IP配置的通信量管理用戶界面(TMUI)實用程序的服務器發送HTTP請求，可以攻擊該漏洞。

在該漏洞被公開披露之后，立即發布了幾個漏洞PoC，其中一些非常易于使用。在F5 Networks BIG-IP產品漏洞被披露幾天后，威脅行為者開始在野外利用該漏洞進行攻擊。威脅分子利用CVE-2020-5902漏洞獲取口令、創建Web Shell、并使用各種惡意軟件感染系統。
 

參考來源：SecurityAffairs http://dwz.date/dUVG

 

（七）SolarWinds供應鏈攻擊中發現第三種惡意軟件Sunspot

參與調查SolarWinds供應鏈攻擊的網絡安全公司CrowdStrike 1月12日發布報告稱，其發現了直接參與黑客攻擊的惡意軟件Sunspot，是繼Sunburst和Teardrop后發現的第三款惡意軟件。

不過，雖然Sunspot是SolarWinds供應鏈攻擊活動中最新發現的惡意軟件，但Crowdstrike表示，該惡意軟件實際上是第一個使用的惡意軟件。

在報告中Crowdstrike稱，Sunspot于2019年9月部署，當時黑客首次入侵了SolarWinds的內部網絡。Sunspot惡意軟件安裝在SolarWinds構建服務器上，這是開發人員用來將較小的組件組裝到較大的軟件應用程序中的一種軟件。

CrowdStrike表示，Sunspot有一個獨特的目的，即監視構建服務器的構建命令，該命令將Orion組裝在一起。Orion是SolarWinds的頂級產品之一，是一個IT資源監視平臺，在全球有33,000多個客戶使用。

一旦檢測到構建命令惡意軟件就會悄悄地用加載Sunburst惡意軟件的文件替換Orion應用程序內的源代碼文件，從而導致Orion應用程序版本也安裝了Sunburst惡意軟件。這些木馬化的Orion客戶最終成為了SolarWinds的官方更新服務器，并安裝在該公司許多客戶的網絡上。

一旦發生這種情況，Sunburst惡意軟件將在公司和政府機構的內部網絡內部激活，收集受害者的數據，然后將信息發送回給SolarWinds黑客。然后，威脅行為者將決定受害者是否足夠重要，是否可以妥協，并在這些系統上部署功能更強大的Teardrop后門木馬，同時指示Sunburst將自己從其認為無關緊要或風險過高的網絡中刪除。

SolarWinds在其博客上發布的另一項公告中還公布了黑客攻擊的時間表。這家位于德克薩斯州的軟件提供商表示，在2020年3月至2020年6月之間向用戶部署Sunburst惡意軟件之前，黑客還在2019年9月至11月間進行了一次測試。

SolarWinds首席執行官Sudhakar Ramakrishna今天表示：“隨后于2019年10月發布的Orion平臺版本似乎包含了一些修改，旨在測試攻擊者在構建中插入代碼的能力?！?/span>

最重要的是，卡巴斯基還在另一份報告中發表了自己的調查結果?？ò退够鶝]有參與對SolarWinds攻擊的正式調查，但仍在分析該惡意軟件?？ò退够硎?，它調查了Sunburst惡意軟件的源代碼，發現Sunburst和Kazuar之間存在代碼重疊，Kazuar是與俄羅斯最先進的國家贊助的網絡間諜組織Turla Group有關的惡意軟件。

卡巴斯基的措詞非常謹慎，指出它只發現“代碼重疊”，但不一定認為它相信Turla組織策劃了SolarWinds攻擊?？ò退够暦Q，此代碼重疊可能是由于SolarWinds黑客使用相同的編碼思想，從相同的編碼器購買惡意軟件，編碼者在不同的威脅行為者之間移動而造成的，或者僅僅是虛假的標志操作，旨在引導安全公司走上錯誤的道路。

但是，盡管卡巴斯基一直在盡力避開指責，但上周，美國政府官員正式將SolarWinds黑客歸咎于俄羅斯，稱這些黑客“很可能來自俄羅斯”。

美國政府的聲明并未將黑客行為歸咎于某個特定組織。一些新聞媒體將這次攻擊固定在一個名為APT29（或Cozy Bear）的組織上，但所有參與該黑客攻擊的安全公司和安全研究人員都表示謹慎，而且在調查初期就非常膽怯地正式將黑客攻擊歸咎于某個特定組織。

目前，SolarWinds黑客追蹤的名稱各不相同，如UNC2452（FireEye、Microsoft），DarkHalo（Volexity）、StellarParticle（CrowdStrike），但是一旦公司了解更多，這種名稱將有望改變。

目前，還有一個謎團，那就是SolarWinds黑客如何首先設法破壞公司的網絡并安裝Sunspot惡意軟件。它是未打補丁的VPN，電子郵件魚叉式網絡釣魚攻擊，還是在服務器上暴露了可猜口令的服務器？
 

參考來源：ZDNet http://dwz.date/dUyJ
 

（八）美國國家安全局發布《網絡安全年度回顧報告》

美國國家安全局（NSA）1月8日發布了《2020年網絡安全年度回顧報告》，該報告總結了NSA網絡安全局首個全年完整運營情況。

網絡安全局于2019年7月正式宣布成立，重點保護國家安全網絡和國防工業基礎。在網絡安全主任Anne Neuberger女士領導下，該局還致力于通過伙伴關系改進網絡安全工作。

報告稱，網絡安全局在整個2020年都忠于其目標，通過將威脅情報和密碼學知識與漏洞分析和防御行動相結合，努力預防和消除網絡威脅。

吸取2016年總統選舉和2018年中期選舉的經驗教訓，國安局全面參與政府保護2020年選舉不受外國干涉和影響的整個工作。網絡安全是國家安全局整個選舉防御工作的一個基本組成部分。

去年，美國國家安全局幫助美國國防部（DoD）消除了弱口令技術，并批準了抗量子口令算法，以確保國防部的口令技術足夠現代，能夠抵御量子計算攻擊。

在COVID-19大流行的背景下，美國國家安全局幫助國防部向遠程工作過渡，為大約10萬名用戶提供了遠程安全工作的解決方案。此外，該機構還參與了旨在加速開發COVID-19疫苗的“快速行動”(OWS)。

自該局成立以來，美國國家安全局提供了30種獨特、及時和可操作的網絡安全產品，以向國家安全系統（NSS）、國防部和國防工業基地（DIB）網絡所有者發出網絡威脅警報。

該機構在2020年共享的一些情報包括Windows 10漏洞和Drovorub惡意軟件的詳細信息、與俄羅斯有關聯的SandWorm團隊以Exim郵件服務器為目標的IOC、漏洞威脅參與者濫用在網絡服務器上安裝網絡外殼惡意軟件的細節、以及中國威脅參與者通常攻擊的25個漏洞的清單。

美國國家安全局表示，盡管網絡安全建議(CSA)主要針對NSS、國防部和DIB的所有者，但美國和海外的私營部門也可以利用這些情報來加強安全態勢。

此外，NSA還發布了有關正確配置IPsec VPN(IP安全虛擬專用網絡)、如何自定義統一可擴展固件接口(UEFI)安全引導以及如何在遠程工作期間保護網絡和員工安全的指南。

去年，美國國家安全局的網絡安全合作中心致力于推進公私合作，并將持久安全框架(ESF)的努力重新聚焦于5G部署的安全。該機構還啟動了網絡安全標準中心(CCSS)，旨在與標準機構接觸。

國家安全局還繼續通過批準的政府內部程序發現網絡安全漏洞，并向私營企業發布。在過去的三年里，美國國家安全局披露的漏洞呈上升趨勢，因為該機構致力于實現美國政府、軍隊、企業和公民所依賴的商業技術的安全性。
 

參考來源：SecurityWeek http://dwz.date/dUTA

 

（九）美國太空部隊加入美國國家情報體系

美國國家情報總監約翰·拉特克利夫1月8日宣布，美國太空部隊正式加入美國情報體系，成為國家情報體系的第18個成員，是加入情報體系的第九個國防部部門。

美國太空部隊（USSF）是負責在太空領域執行任務和作戰的軍事部門，是自1947年美國空軍成立以來在過去70年中首次建立的新軍種，也是自2006年以來加入情報體系（IC）的第一個新情報部門。

太空作戰負責人約翰·雷蒙德（John W. Raymond）表示：“今天，我們采取行動提升了太空情報任務、貿易和協作，以確保太空部隊及情報界的成功，并最終確保我們國家安全。這是一個重要的里程碑，明確表明，美國致力于建立一個安全和無障礙的太空領域?！?/span>

拉特克利夫補充表示，“這一加入重申了我們對確保外層空間成為美國利益的安全和自由領域的承諾?！?/span>

美國太空部隊是加入IC的第十八個成員，將與其他17個IC成員合力開展情報活動，最終目的是支持外交政策和捍衛美國的國家安全。美國情報體系的其他八個國防部成員是國防情報局（DIA）、國家安全局（NSA）、國家地理空間情報局（NGA）、國家偵察局（NRO）以及陸軍、海軍、海軍陸戰隊和空軍的情報人員。IC的其他成員是FBI、CIA、NSA、以及能源部、國土安全部、國務院和財政部的部門。

拉特克利夫表示，“通過共享與太空有關的信息和情報，情報局和國防部加強了我們情報活動的整合和協調，以在執行我們的任務中取得最佳效果和價值。這一舉動不僅強調了太空作為國家安全的優先情報和軍事行動領域的重要性，而且確保了互操作性、未來能力的發展和運行以及真正的全球戰略警報意識?！?/span>

國會眾議員亞當·希夫（Adam Schiff）于2020年7月30日提出的《2021財年情報授權法》中暗示了將USSF添加到IC中的意圖。該法案要求國家情報局與太空作戰負責人和空軍部長協調，提交一份計劃，在美國空軍內部建立一個情報中心。

一名美國情報官員告訴路透社，USSF 在2019年發表公開聲明，描述了“俄羅斯在太空的活動，測試美國在太空中的反應，并威脅美國的航天器”，美國也意識到“中國在建立反太空能力方面所做的努力”。

美國國防部負責情報和安全事務的副部長埃茲拉·科恩（Ezra Cohen）表示：“今天的變化使我們的最新服務與國防情報事業部的其他成員保持一致，將有助于確保我們在所有戰役領域的努力得到協調和同步?！?/span>
 

參考來源：BleepingComputer http://dwz.date/dUtg

 

（十）聯合國環境規劃署超10萬員工數據泄露

Sakura Samurai安全研究人員在聯合國環境規劃署(UNEP)的一個子域名上發現了公開的GitHub證書，從而使他們能夠訪問大量數據，包括超過10萬名員工的記錄。

在研究聯合國漏洞披露計劃范圍內資產的安全漏洞時，Sakura Samurai的研究人員發現了一個暴露.git內容的ilo.org子域名。這使他們能夠接管SQL數據庫，并在國際勞工組織的調查管理平臺上進行帳戶接管。然而，盡管這些是關鍵的漏洞，這兩種資源都被發現被放棄了，因此包含很少的使用數據。

然而，進一步的調查將研究人員引向了聯合國環境規劃署的一個子域名，該子域名泄露了GitHub的證書，從而使他們能夠訪問和下載“許多受私人口令保護的GitHub項目”。

Sakura Samurai表示，這些項目包含多個數據庫，以及聯合國環境規劃署生產環境的申請憑證?？偣泊_定了7個憑據，提供了對更多數據庫的未經授權訪問。

在其中一份文件中，確認了兩份文件，其中包含超過102,000名雇員的旅行記錄。這些記錄包括姓名、員工ID號、員工團體、旅行理由、旅行開始和結束日期、批準狀態、停留時間和目的地。

研究人員還發現了兩份包含7000多份人力資源國籍人口統計記錄的文件：包括員工姓名和組別、身份證號碼、員工國籍和性別、員工工資等級、組織工作單位識別號和單位文本標簽。在另一個文檔中發現了超過1000個通用的員工記錄：包括索引號、員工姓名和電子郵件、以及員工工作子區域。

另一份文件披露了超過4000份項目和資金來源記錄，包括受影響地區、贈款和共同籌資數額、資金來源、項目識別號、執行機構、國家、項目期限和批準狀態。載有評價報告的一份文件載有關于283個項目的資料，包括評估和報告的總體描述、評估進行的時期、以及報告的鏈接。
 

參考來源：SecurityWeek http://dwz.date/dURa

 

（十一）歐洲刑警組織搗毀最大暗網市場DarkMarket

歐洲刑警組織(Europol)1月12日宣布展開大范圍調查，逮捕了被指控的DarkMarket運營商，并沒收了該市場的基礎設施，包括20多臺服務器。

1月12日，歐洲刑警組織宣布取締黑市（DarkMarket），根據執法機構的說法，黑市是“世界上最大的暗網非法市場”。DarkMarket是網絡犯罪分子買賣毒品、假鈔、盜竊或偽造信用卡數據、匿名SIM卡和惡意軟件的市場。根據歐洲刑警組織(Europol)的數據，黑市關閉時擁有近50萬名用戶和逾2400名賣家。

除了關閉黑市的基礎設施外，位于德國奧爾登堡的中央刑事調查局在德國和丹麥邊境附近逮捕了一名澳大利亞公民。歐洲刑警組織表示，這名公民是所謂的黑市運營商，但沒有透露更多細節。

IntSights的網絡威脅情報顧問Paul Prudhomme表示，未來“不清楚這個黑市的關閉會在多大程度上影響網絡犯罪活動，除了對當前用戶的短期干擾?！彼赋?，新的暗網市場最終會出現，取代那些已經關閉的暗網市場，用戶只是轉移到這些新網站和現有的競爭對手那里。盡管如此，逮捕該網站的一名運營者并沒收其基礎設施可能會為執法部門提供有用的調查線索，以便對其個人用戶采取行動，這可能會產生更持久的影響。該網站使用烏克蘭和摩爾多瓦的基礎設施并不令人意外，因為許多罪犯更愿意在這兩個國家托管他們認為相對安全而不受執法影響的基礎設施。

然而，歐洲刑警組織表示，執法部門查獲的服務器中存儲的數據將為調查人員提供新的線索，以進一步調查版主、賣家和買家。歐洲刑警組織是歐盟的執法機構，此前曾協助各種網絡犯罪調查和瓦解各種黑客組織。

參與國際行動的有德國(牽頭)、澳大利亞、丹麥、摩爾多瓦、烏克蘭、英國(國家犯罪局)和美國(緝毒局、聯邦調查局和國稅局)。Threatpost已經聯系聯邦調查局，要求對這次行動發表進一步評論。

執法部門繼續打擊網絡犯罪分子交換非法商品所使用的地下論壇和平臺。2019年，世界各地的執法機構關閉了一個憑據市場(XDedic Marketplace)，并繼續對Webstallser[.]org DDoS-for-See網站的前用戶采取行動。

受疫情影響，地下市場總體上呈直線上升趨勢，Flashpoint研究人員最近表示，暗網市場對惡意和非法商品、服務和數據的需求“達到了新高”。研究人員稱，在網絡犯罪分子中流行的商品包括支付款卡、訪問微軟的遠程桌面協議(RDP)和租用DDoS服務。

根據歐洲刑警組織的數據，僅在黑市上，該平臺就進行了32萬筆非法交易，轉移了4650多枚比特幣，總價值超過1.7億美元。
Prudhomme稱，“像這個現已停業的網站這樣的暗網市場是網絡犯罪的關鍵推手。他們為犯罪分子提供了購買和銷售惡意軟件、惡意基礎設施以及泄露數據、賬戶和設備的場所。這種交換對網絡犯罪行動至關重要，因為很少有犯罪分子只依賴自己的資源，而且很多犯罪分子實際上并不使用他們竊取的數據?！?/span>
 

參考來源：ThreatPost http://dwz.date/dUZe

 

（十二）新西蘭中央銀行遭受網絡攻擊

新西蘭中央銀行1月10日表示，其正在緊急應對一個數據系統遭受惡意入侵事件。該數據系統是一家存儲“敏感信息”的第三方文件共享服務。

該銀行使用Accellion公司的FTA（文件傳輸應用程序）文件共享服務與外部利益相關者共享信息。該服務存儲了商業和個人敏感信息，但無法提供可能已訪問的數據類型的具體細節。

新西蘭儲備銀行行長Adrian Orr表示，入侵已得到控制，系統已離線，但需要時間來確定哪些信息被訪問了。

Orr表示：“我們正在與國內外網絡安全專家和其他相關機構密切合作，作為我們調查和應對這起惡意攻擊的一部分?？赡鼙辉L問的信息的性質和范圍仍在確定中，但可能包括一些商業和個人敏感信息。了解此次入侵的全部影響需要時間，我們正在與信息可能被訪問的系統用戶合作?！?/span>

在其最新報告中，政府機構計算機應急響應小組CERT表示，新西蘭的網絡攻擊同比增加了33%。去年8月，新西蘭證券交易所成為持續分布式拒絕服務DDoS攻擊的目標，迫使交易連續四天暫停。
 

參考來源：SecurityWeek http://dwz.date/dU3X

 

（十三）加拿大共享汽車服務商Communauto遭受網絡攻擊

加拿大蒙特利爾汽車共享服務公司Communauto成為了網絡攻擊的目標。該公司的多臺服務器的訪問已被鎖定，數據已被加密。

該公司成立于1994年，黑客沒有獲得用戶口令和信用卡號碼，但是卻設法竊取了姓名、街道地址和電子郵件地址。

在1月8日發給用戶戶的一封信中，Communauto的總裁兼首席執行官Beno?t Robert解釋稱，該公司已經設法獲得了“合理的保證，即本可以被訪問的數據已經被銷毀”。他表示，這次攻擊“使我們的許多活動陷入癱瘓，并解釋了應付賬款和發票管理方面的一些延誤”。

針對此事件的調查仍在繼續，以更準確地確定哪些數據被盜。
 

參考來源：CanadaLive http://dwz.date/dRZQ

 

（十四）美國技術供應商Ubiquiti因未授權訪問泄露用戶數據

美國技術供應商Ubiquiti Networks近日披露，其遭受了數據泄露事件，正在向其客戶發送通知電子郵件，要求他們更改口令，并為其賬戶啟用2FA。

該公司發現了對第三方云服務提供商管理的部分系統的未經授權的訪問。該公司不知道有人可以訪問任何包含用戶數據的數據庫。

Ubiquiti在發送給客戶的數據泄露通知中表示，“最近發現，有人未經授權訪問我們由第三方云提供商托管的某些信息技術系統。沒有跡象表明存在針對任何用戶帳戶的未經授權的活動。我們目前并未察覺到有證據顯示有人訪問過任何托管用戶數據的數據庫，但不能確定用戶數據是否未被暴露。這些數據可能包括您的姓名、電子郵件地址和帳戶的單向加密口令。這些數據還可能包括您的地址和電話號碼?！?/span>

攻擊者可以訪問服務器，其中包含與門戶網站ui.com的用戶帳戶相關的信息，泄露的記錄包括姓名、電子郵件地址以及加密的口令哈希。

對于一些用戶來說，家庭地址和電話號碼也可能被曝光。該公司沒有提供有關數據泄露的更多細節，包括有多少用戶受到了影響。
 

參考來源：SecurityAffairs http://dwz.date/dUXF

 

（如未標注，均為天地和興工業網絡安全研究院編譯）