目   錄
 

第一章 國內關鍵信息基礎設施安全動態

（一）中國限制軍方及政府官員使用特斯拉

（二）臺灣計算機廠商宏碁遭受勒索軟件Revil勒索5000萬美元

第二章 國外關鍵信息基礎設施安全動態

（一）TBox RTU中存在漏洞，可使工業組織遭受遠程攻擊

（二）巴西電力公司CELG遭受網絡攻擊

（三）GAO警告電網配電系統面臨重大網絡安全風險

（四）CISA警告通用電氣電源管理設備中存在安全漏洞

（五）美國眾議院委員會推進工業控制系統法案

（六）美國能源部宣布增強能源部門安全性和彈性的網絡安全計劃

（七）霍尼韋爾IT系統遭受惡意軟件攻擊

（八）捷克鐵路管理部門遭受黑客攻擊

（九）美國軍事承包商PDI集團遭受勒索軟件攻擊

（十）能源公司Shell因使用Accellion FTA設備泄露數據

（十一）航空服務提供商Solairus遭受數據泄露

（十二）英國國防科學院遭受外國勢力重大網絡攻擊

（十三）美國服務器制造商Stratus遭受勒索軟件攻擊

（十四）物聯網設備制造商Sierra Wireless遭受勒索軟件攻擊致工廠停產

（十五）美國紐約州多縣遭受勒索軟件攻擊

 

第一章 國內關鍵信息基礎設施安全動態

（一）中國限制軍方及政府官員使用特斯拉

華爾街日報引述消息來源報導，中國政府已開始限制軍方、政府組織、以及國營企業的員工駕駛特斯拉（Tesla）電動汽車，原因是擔心特斯拉內建的攝影機及感應器會把所搜集的資料傳送回美國，可能危及中國的國家安全。不過，不管是中國政府或是特斯拉都未對此事作出回應。

中國不僅是特斯拉的重要生產基地，也是特斯拉在全球的第二大市場。根據特斯拉提交給美國證券管理委員會的年度財報，特斯拉在全球有五大生產基地，其中有3個位于美國，一個位于德國，還有一個就在中國上海；而在特斯拉于2020年所締造的295.4億美元營收中，美國占了152億美元，中國則以66.6億美元居次。

華爾街日報則指出，特斯拉車上的攝影機隨時都在拍攝周遭的畫面，不僅知道車子自何時何地開往哪里，還能取得與行動電話同步的通訊錄，使得中國政府擔心特斯拉會把固定搜集的資料傳回美國服務器，影響中國的國家安全。

消息來源向該報透露，已有一些政府機關接到通知，要求員工不要開特斯拉去上班，且特斯拉還被禁止開往任職于機密產業或政府機構的員工住所，相關禁令適用于所有軍方產業、政府機構、以及特定國營企業的員工。

中國商務部在去年9月公布了《不可靠實體清單規定》，準備把危害中國主權、安全與發展利益的外國組織或個人列入黑名單。目前中國政府或特斯拉都未證實此一消息，然而就算此事為真，對特斯拉的限制似乎尚未達到黑名單的程度。
 

本文版權歸原作者所有，參考來源：iThome http://dwz.date/e97d
 

（二）臺灣計算機廠商宏碁遭受勒索軟件Revil勒索5000萬美元

據報導，勒索軟件黑客組織REvil宣稱他們攻擊了臺灣電腦大廠宏基，并公布疑似內有竊取資料的屏幕截圖，黑客向宏基勒索5千萬美元贖金，約相當于新臺幣14億元。這些圖片所透露的泄露內容，包含了財務報表、帳戶余額，以及與銀行之間往來的相關文件。

針對這項傳聞，宏碁指出，類似他們這種公司經常受到網路攻擊，宏基已經向多個國家相關的執法單位與資料保護部門通報近期察覺到的異常情況。而對于進一步的細節，該公司表示尚有正在進行的調查，但基于安全考量，暫時無法透露細節。

法國新聞網站LegMagIT指出，這次的針對宏基的REvil勒索軟件攻擊，黑客疑似索要約5千萬美元，是目前為止REvil開出最高的贖金金額。Bleeping Computer隨后也找到可能是勒索信息的屏幕截圖。該新聞網站推測，宏基與REvil疑似于3月14日開始進行對話，而從屏幕截圖來看，黑客威脅要是沒有在期限內付錢，贖金就會翻倍到約1億美元。

威脅情報公司Advanced Intelligence執行長暨董事長Vitali Kremez表示，他們觀察到REvil黑客組織近期鎖定一臺位于宏基網域的Exchange服務器，而且疑似濫用ProxyLogon漏洞。而勒索軟件攻擊行動利用這種Exchange漏洞的手法，已有名為DearCry的勒索軟件出現，假若REvil黑客組織真的運用ProxyLogon，那么這將是首度濫用相關漏洞的大型勒索軟件攻擊。
 

本文版權歸原作者所有，參考來源：iThome http://dwz.date/e9k6

 

第二章 國外關鍵信息基礎設施安全動態

（一）TBox RTU中存在漏洞，可使工業組織遭受遠程攻擊

英國工業自動化公司Ovarro近日修補了其TBox遠程終端單元（RTU）中的一系列漏洞，這些漏洞可能給組織帶來嚴重風險。

Ovarro的TBox RTU是一種遠程遙測解決方案，用于遠程自動化和監視關鍵資產。這些設備在全球范圍內使用，包括水利、石油和天然氣、電力、運輸和加工工業。

工業網絡安全公司Claroty研究人員去年發現，TBox RTU以及相關的TWinSoft工程軟件受到五種類型的漏洞影響。這些漏均為高危漏洞。這些漏洞允許攻擊者繞過保護功能，導致拒絕服務（DoS）狀態，并在目標設備上執行任意代碼。

Claroty在其博客文章中表示，“與這些漏洞相關的風險不僅威脅自動化流程的完整性，而且在某些情況下還威脅著公共安全。利用這些安全缺陷，我們能夠找到類似于HMI的基于Web的界面，該界面可以監視過程級別和其他工業活動。過去，我們已經看到過這樣的接口在沒有安全保護的情況下暴露于互聯網上會出現什么問題。此類界面在線公開的事實為各種類型的對手消除了許多進入壁壘?！?/span>

Claroty對TBox RTU進行了搜索，發現超過62％的暴露于互聯網的系統不需要身份驗證。Claroty上個月報告說，與往年相比，2020年工業控制系統（ICS）產品中發現的漏洞數量大大增加，去年披露了近900個漏洞。
 

參考來源：SecurityWeek http://dwz.date/e8RU

 

（二）巴西電力公司CELG遭受網絡攻擊

巴西電力公司CELG 3月19日報告稱，該公司在凌晨遭受了一次網絡攻擊，導致整個公司的應用程序和文件無法訪問。
目前尚無法確定損壞的程度，甚至無法確定攻擊的來源，但是從當天凌晨以來，信息技術總監表示，該公司正在遵循所有安全協議，包括中止其計算機環境的運行，以保護信息的完整性，并同時保護備份。

與此同時，專門從事該領域的專業人員尋求確定犯罪攻擊的模式，并尋求公司解決方案。在工作結束時，隨著系統的完全恢復，該公司將研究適當的法律措施，并將與警察當局聯系以確認網絡犯罪分子。

該公司指出，已經保留了該公司員工的電子郵件服務，而不影響其使用或泄漏個人信息。但是，電子郵件必須在公司外部的環境中使用，就像公司在家庭辦公室的各個工作區域中已經發生的那樣。

CELG是一家巴西進行發電和輸電業務的技術和商業開發公司，成立于1999年，研究、規劃、建造和運營發電裝置。
 

參考來源：Jornal Opcao http://dwz.date/e8t9

 

（三）GAO警告電網配電系統面臨重大網絡安全風險

美國政府問責局（GAO）最新發布的一份報告描述了電網配電系統遭受網絡攻擊的風險，以及此類攻擊的潛在影響規模。

在2019年9月至2021年3月期間進行的性能審計之后，GAO發現，電網的配電系統越來越容易受到網絡攻擊，此類攻擊的潛在影響尚不清楚。

據GAO稱，能源部門的牽頭機構能源部（DOE）尚未在其電網網絡安全計劃中納入全面應對配電系統風險的必要措施。在美國政府問責局發布2019年電網網絡安全問題報告后，能源部更新了計劃。

GAO在新報告中指出，能源部的計劃沒有解決分銷系統與供應鏈相關的漏洞。根據官員們的說法，能源部在其計劃中沒有完全解決這些風險，因為它已經優先處理電網發電和傳輸系統的風險。

在對38個與電網配電系統網絡安全相關的關鍵聯邦和非聯邦實體進行了半結構化訪談，并審閱了美國能源部和國土安全部(DHS)的報告以及其他相關文件后，GAO得出結論，在實施國家網絡安全戰略的計劃中，美國能源部需要全面解決電網配電系統的網絡風險。

GAO表示，電網的配電系統面臨著重大的網絡安全風險，即威脅、漏洞和影響，并且越來越容易受到網絡攻擊。威脅行為者越來越善于利用這些漏洞進行網絡攻擊。然而，這種網絡攻擊對電網分配系統的潛在影響的規模尚不清楚。

GAO指出，越來越多的網絡風險暴露是配電系統中監測和控制技術越來越多使用的結果，例如工業控制系統(ICS)中的遠程控制功能、用于電網運營的全球定位系統(GPS)、以及聯網的消費設備和分布式能源與配電系統網絡的連接。

報告寫道，與越來越多地使用技術進步相關的漏洞“對于分發系統來說是復雜的，因為系統的巨大規模和分散性質構成了一個巨大的攻擊面”。威脅行為者可能會針對工業控制系統中的漏洞進行初始訪問，然后采用其他策略來站穩腳跟，進入受威脅的環境，并橫向轉移到其他系統。

此類漏洞可能是由于使用沒有必要的網絡安全保護的遺留系統(有些系統從未設計為連接到互聯網)、缺乏傳統的IT漏洞掃描，以及由于需要使系統或組件脫機以應用安全修補程序而未及時打補丁造成的。

GAO表示，攻擊者可能會利用這些問題來“操縱、中斷或擾亂配電設施的物理控制過程或工業控制系統，從而造成中斷”。GPS用于同步多個設備之間的實時測量，容易受到干擾和欺騙的攻擊，這可能導致測量不同步、設備誤操作和停電。

消費者聯網設備(其中一些是高功率系統)容易受到網絡攻擊，一旦連接到配電系統，它們就會帶來漏洞，使電網暴露在攻擊之下，在攻擊中，對手會增加或減少電力需求，以擾亂電網運營。

分布式能源，如屋頂太陽能單元和電池存儲單元，也可能帶來漏洞，特別是通過它們的控制和通信要求-其中一些設備可能會遠程更新，不適當的更新過程也可能影響電網。

GAO還指出，越來越多的網絡參與者越來越有能力瞄準電網的配電系統，包括民族國家、網絡犯罪集團、恐怖分子、黑客和黑客活動家以及內部人士。

然而，網絡攻擊對分銷系統的影響還不是很清楚。雖然美國報告的網絡安全事件中沒有一起擾亂了電網的配電系統，但對外國電網系統的攻擊已經導致了局部停電。然而，如果這樣的攻擊目標是美國的一個大城市，停電可能會對全國產生影響。

各州和工業界都已采取行動改善配電系統的網絡安全，一些州將網絡安全納入監管職責，一些州甚至聘請了網絡安全人員，但這些行動在不同司法管轄區并不統一。

根據GAO的說法，能源部為能源電網實施網絡安全戰略的計劃和評估確實解決了與電網分配系統相關的一些風險，但與工業控制系統、供應鏈、使用GPS的設備和聯網的消費設備相關的脆弱性沒有得到解決。

除非美國能源部在其實施電網國家網絡安全戰略的計劃中更充分地解決網絡攻擊對電網配電系統的風險，包括其潛在影響，否則文件在確定聯邦支持的優先順序以幫助各州和行業改善電網分配系統的網絡安全方面的作用可能有限。
 

參考來源：SecurityWeek http://dwz.date/e97D

 

（四）CISA警告通用電氣電源管理設備中存在安全漏洞

美國CISA發布警告稱，通用電氣電源管理設備中存在漏洞，攻擊者可利用這些漏洞在Universal Relay（UR）系列的系統上進行多種惡意活動。這些漏洞可被利用來訪問敏感信息、重新啟動設備、觸發拒絕服務條件以及獲得特權訪問。

影響設備的漏洞類型包括加密強度不足、會話固定、將敏感信息暴露給未經授權的參與者、不正確的輸入驗證、不受限制地上載具有危險類型的文件、不安全的默認變量初始化、使用硬編碼憑據。CISA發布的警報中表示，“成功利用這些漏洞可使攻擊者訪問敏感信息、重新啟動UR、獲得特權訪問或造成拒絕服務情況?！?/span>

GE的UR設備用于控制和保護各種設備的功耗。受影響的UR系列包括B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35、T60。通用發布了所有這些設備的安全更新，并敦促客戶更新其安裝，還發布了緩解措施以解決這些漏洞。GE強烈建議固件版本受影響的用戶將其UR設備更新到UR固件版本8.10或更高版本，以解決這些漏洞。

最嚴重的漏洞是CVE-2021-27426不安全的默認變量初始化漏洞，CVSS評分為9.8分。遠程攻擊者可以利用該漏洞繞過安全限制。GE UR系列可讓遠程攻擊者繞過由UR IED中不安全的默認變量初始化引起的安全限制。通過發送精心構建的請求，攻擊者可以利用此漏洞繞過訪問限制。

另一個高危漏洞是CVE-2021-27430硬編碼憑證漏洞，CVSS評分為8.4分。UR引導加載程序二進制版本7.00、7.01和7.02包括未使用的硬編碼憑據。此外，擁有UR IED物理訪問權限CVE-2021-27422的用戶可以通過重新啟動UR來中斷啟動順序。

另一個高危漏洞是CVE-2021-27422，將敏感信息泄露給未經授權的參與者，CVSS評分為7.5分。UR over HTTP協議支持Web服務器接口。它允許在沒有身份驗證的情況下暴露敏感信息。

GE建議實施網絡縱深防御實踐，以保護UR IED，包括將UR IED置于控制系統網絡安全周界內，并實施訪問控制、監控（如入侵檢測系統）和其他緩解技術。

CISA建議用戶采取防御措施，盡量減少這些漏洞被利用的風險。具體而言，用戶應：

1、將所有控制系統設備和/或系統的網絡暴露降至最低，并確保無法從互聯網訪問這些設備和/或系統；

2、找到防火墻后面的控制系統網絡和遠程設備，并將它們與企業網絡隔離；

3、當需要遠程訪問時，請使用安全方法，如虛擬專用網VPN，但是VPN也可能存在漏洞，應更新到最新的可用版本。

CISA提醒各組織在部署防御措施之前進行適當的影響分析和風險評估。
 

參考來源：SecurityAffairs http://dwz.date/e9Fq

 

（五）美國眾議院委員會推進工業控制系統法案

美國眾議院國土安全委員會3月18日提出的一項新法案將賦予網絡安全和基礎設施安全局新的職責，即檢測和緩解對工業控制系統的網絡威脅。

該委員會資深成員、紐約州共和黨眾議員約翰·卡特科(John Katko)提出的《2021年國土安全部工業控制系統能力增強法案》，賦予CISA局長在聯邦政府“識別和減輕”對計算機系統的風險和威脅的領導角色，這些計算機系統控制著關鍵的工業系統和流程，如發電和配電、水處理和輸送、石油和天然氣生產等。

該法案還要求CISA局長向系統用戶和制造商提供技術援助，并與利益相關者共享漏洞信息。該法案明確規定，CISA局長的職責涉及“監督控制和數據采集系統”。這項法案是在佛羅里達州一家水處理廠遭到黑客攻擊后提出的。

本月早些時候該法案提出時，Katko在一份聲明中表示,“這些系統運行著我們國家關鍵基礎設施的許多重要組成部分，仍在不斷受到網絡罪犯和民族國家行為者的攻擊。正如我們最近看到的，當佛羅里達州的一家水處理設施成為襲擊目標時，這些襲擊可能會帶來毀滅性的現實后果?！?/span>

在2月份的一次委員會聽證會上，CrowdStrike的聯合創始人、前CTO Dimitri Alperovitch作證稱，政府需要更多地關注工業控制系統。他表示，“我們沒有把重點放在保護這些系統上。我們需要一種不同的方法來保護企業網絡或筆記本電腦和服務器，就像我們保護與現實世界互動的系統一樣，這絕對需要成為政府的重點?！?/span>

眾議員Jim Langevin的一項修正案將行業風險管理機構添加到利益相關者團體名單中，這些利益相關者團體將就工業控制系統風險和漏洞與CISA局長進行磋商。該法案沒有要求系統所有者和制造商向CISA報告漏洞。

紐約州民主黨眾議員Richie Torres的修正案，要求提交一份政府問責官報告，說明CISA識別和緩解對工業控制系統的威脅的能力以及機構間協調挑戰，以及基礎設施所有者在工業控制系統風險方面報告漏洞或尋求CISA幫助的程度。
 

參考來源：FCW http://dwz.date/e96a

 

（六）美國能源部宣布增強能源部門安全性和彈性的網絡安全計劃

美國能源部（DOE）網絡安全辦公室、能源安全和緊急響應辦公室（CESER）3月18日宣布了三個新的研究項目，以保護美國能源系統免受日益嚴重的網絡和物理危害。CESER的新組合將通過解決潛在的全球供應鏈安全漏洞，保護關鍵基礎架構免受電磁和地磁干擾，以及為下一代網絡安全構建研究和人才管道來加強保護。

美國能源部長詹妮弗·格蘭霍姆（Jennifer M. Granholm）表示，“我們的能源系統面臨著前所未有的威脅，包括來自黑客、外國行為者以及氣候變化引發的自然災難，這就是為什么加強安全性是本屆政府的首要任務。此外，拜登總統的清潔能源目標全部取決于彈性的電力基礎設施。這些新項目將幫助我們在各種威脅面前領先一步，因此我們可以為美國家庭提供安全、可靠的電力?！?/span>

美國眾議院能源和商業委員會主席、國會議員弗蘭克·帕?。‵rank Pallone）表示，“外國對手正在采取新的侵略性策略，以破壞包括電網在內的關鍵基礎設施。我們必須加大努力，以確保我們的能源部門做好準備，以緩解任何可能威脅到美國人連接網絡和使用電力的威脅。我很高興看到拜登政府如此認真地對待這一問題，并期待與他們緊密合作，以改善我們的能源網絡安全和恢復能力?！?/span>

美國關鍵能源基礎設施面臨著源源不斷的威脅，包括外國網絡攻擊，不斷變化的氣候和自然災害，例如野火和颶風，這些威脅可能對國家安全，公共健康與安全以及美國經濟造成毀滅性影響。能源部通過CESER協助電力、石油和天然氣行業努力確保能源基礎設施免受此類威脅。為了支持這項任務，CESER的新項目將：

1、防范來自全球的技術漏洞。正如現代消費電子產品是來自世界各地的工程師，供應商和工廠的產品一樣，能源領域中部署的許多硬件和軟件也是如此。但是，美國依靠這項技術生產的復雜的全球供應鏈為安全漏洞創造了機會。CESER與Schweitzer工程實驗室一起參加了彈性工業控制系統的網絡測試（CyTRICS?）計劃，使用最先進的分析功能來測試能源行業合作伙伴使用的各種數字工具來解決安全問題。通過此測試，可以更輕松地識別和解決工業控制系統中的潛在漏洞，而不是被壞人利用。

2、制定解決電磁和地磁干擾的解決方案。能源部門參與者認識到，他們必須預測電磁脈沖（EMP）攻擊和更可能但通常破壞性較小的地磁干擾（GMD）事件帶來的風險，這兩種事件都可能導致能源系統過載和損壞。DOE現在正在與各種公用事業和實驗室合作，以測試、建模和評估系統對電磁和地磁干擾的脆弱性。作為美國能源部針對EMP/GMD評估，測試和緩解的實驗室呼吁的一部分，已經進行了9個試點項目。這項研究將為保護和減輕對能源基礎設施的影響的方法的開發提供信息。

3、培養網絡安全解決方案的研究和部署所需的新人才。通過CESER的能源傳輸系統網絡安全（CEDS）部門，DOE正在利用美國大學的創新能力來開發新的網絡安全技術，并培訓由網絡安全專家聘用的下一代網絡安全專家。下個月，CESER將宣布一個新的融資機會，以支持圍繞網絡和物理解決方案的大學與行業的合作伙伴關系。

CESER代理助理秘書帕特里夏·霍夫曼表示，“確保美國關鍵基礎設施的安全，特別是在能源領域，是我們最重要和復雜的國家安全挑戰之一。我們對這些計劃的愿景是，將工業界、各州、大學等關鍵合作伙伴聚集在一起，以增強能源部門的應變能力所需的專業知識和創造力?！?/span>

這些計劃只是自CESER于2018年成立以來最新的能源安全貢獻。在過去的一年中，CESER幫助各州、能源運營商和公共事業管理COVID-19的影響和創紀錄的颶風季節。CESER還通過能源部門探路者促進了政府與行業之間更強大的網絡安全協調，并培訓了數百名能源部門官員進行網絡安全和自然災害應對。
 

參考來源：美國能源部 http://dwz.date/e9G8

 

（七）霍尼韋爾IT系統遭受惡意軟件攻擊

霍尼韋爾3月23日披露，其檢測到了惡意軟件入侵，破壞了該公司有限數量的信息技術系統。

霍尼韋爾預計該事件不會產生重大實質性影響。該公司迅速采取措施解決了這一事件，包括與微軟合作評估和補救情況。此后，系統已經得到保護，并確定了攻擊進入點，并且所有未經授權的訪問都已被撤銷。該公司還通知了執法部門。調查仍在進行中，但是到現在為止，還沒有發現任何證據表明攻擊者從存儲客戶信息的主系統中竊取了數據。如果發現任何客戶信息被泄露，將直接與客戶聯系。

目前霍尼韋爾已恢復服務，并堅定地專注于運行業務并為客戶提供服務。安全是霍尼韋爾的首要任務，并致力于采取所有適當措施，以確保系統的最高完整性。

霍尼韋爾是一家生產航空航天和能源設備的財富100強公司。
 

參考來源：霍尼韋爾 http://dwz.date/e8R2

 

（八）捷克鐵路管理部門遭受黑客攻擊

據DeníkN報道，捷克鐵路管理部門自上周以來一直面臨網絡攻擊。鐵路運營的國家機構確保該攻擊不會對鐵路部門或運輸安全造成影響。此次攻擊是在此前針對國家組織或政府部門的其他事件之后發生的。

據鐵路管理局發言人杜尚·加文達稱，該組織自19日以來一直面臨著網絡攻擊，該組織正在竭盡全力避免遭受網絡攻擊。國家網絡和信息安全辦公室立即通報了此次攻擊的嚴重性，并確保此次攻擊不會對鐵路運輸的運營和安全造成影響。

此發言人沒有透露該攻擊是否與微軟Exchange服務漏洞有關，或者攻擊者是否從管理部門中竊取了任何數據。

鐵路局并不是最近幾天第一個面臨網絡攻擊的國家機構。上周，黑客還攻擊了內政部的一個醫療機構，該機構擁有有關安全部隊成員的敏感信息。但是據內政部長JanHamá?ek（CSSD）稱，這次攻擊失敗了。黑客還利用微軟Exchange郵件服務器的漏洞來攻擊布拉格市政廳或勞工和社會事務部的系統。

微軟在3月初發布了針對允許攻擊者遠程訪問電子郵件的漏洞的安全修復。據專家介紹，有必要在所有受影響的服務器上安裝這些修補程序，而不僅僅是在互聯網上安裝這些修補程序。如果已經發生攻擊，則管理員應刪除惡意程序，更改憑據，并檢查服務器上其他攻擊者的活動。
 

參考來源：CT24 http://dwz.date/e8yk
 

（九）美國軍事承包商PDI集團遭受勒索軟件攻擊

美國俄亥俄州軍事承包商PDI集團遭受了勒索軟件Babuk Locker攻擊，泄露了超過700 GB數據。

PDI集團是向美國空軍和全球軍方提供軍事裝備的主要供應商，生產各種滿足軍事需求的地面支持設備，例如在維修行動中運輸武器、發動機和飛機零件的小推車。

3月23日，Babuk Locker勒索軟件背后的犯罪集團在其“泄漏站點”上以PDI的名義創建了一個頁面，威脅要泄漏他們聲稱從PDI內部網絡中竊取的700 GB數據，除非該公司支付勒索贖金。

為了證明他們的說法，Babuk Locker運營商發布了一系列屏幕截圖，這些屏幕截圖是他們從PDI的內部網絡中竊取的一些內部文件，包括示意圖，其中一個似乎描述了PDI的一輛飛機發動機拖車。

這樣的網頁是現在的一種常見策略。目前有20多個不同的勒索軟件組在運營泄漏站點，因為攻擊者逐漸演變為在加密數據之前也竊取數據、然后，這些被竊取的數據將對那些希望從備份中恢復但又不想讓專有數據和客戶數據在線泄漏的公司施加額外壓力，這將使他們面臨罰款和集體訴訟。

如今，這些加密或泄漏勒索方案通常發生在四個階段：

1、勒索軟件組織對文件進行加密，并要求私下支付解密密鑰的費用。

2、勒索軟件組織在其泄漏站點上創建一個頁面，以警告受害者他們計劃泄漏文件。

3、勒索軟件幫派泄漏了部分文件。

4、如果受害者仍然拒絕付款，勒索軟件組織會泄漏所有竊取的文件。

25日早些時候，在Babuk Locker犯罪組織發布了一個120 MB的存檔文件中包含350多個PDI過去客戶的采購訂單，PDI集團進入了這種勒索方案的第三階段。該文件以cc.zip歸檔文件的形式提供，還包含一些公司過去的客戶的明文和完整的信用卡詳細信息，但是絕大多數卡號似乎都是針對已過期的卡。

美國國防部和網絡安全與基礎設施安全局的發言人就此事件向PDI集團進行了通告，無法確認該公司是否已向其客戶報告了這次攻擊事件。

近年來有多家軍事承包商成為了勒索軟件攻擊受害者，包括：提供電子武器系統的電子戰協會（EWA）、戰斗機制造商達索獵鷹（Dassault Falcon）、飛機制造商龐巴迪、飛機零件制造商Asco、瑞士直升機制造商Kopter、巴西飛機制造商巴西航空工業公司。

勒索軟件REvil發言人本月在接受采訪時表示，他們的運營商經常能接觸到與軍事有關的目標?！拔抑辽僦缼讉€分支機構可以使用彈道導彈發射系統，其中一個可以使用美國海軍巡洋艦，第三個可以使用核電廠，第四個可以使用武器工廠?！?/span>

至于PDI入侵背后的組織，Babuk Locker是當今活躍的最新勒索軟件今年之一，已于年初開始運營，PDI是迄今為止的最大目標。
 

參考來源：TheRecord http://dwz.date/e9Gm

 

（十）能源公司Shell因使用Accellion FTA設備泄露數據

能源巨頭殼牌(Shell)披露了一起數據泄露事件，此前攻擊者入侵了該公司由Accellion的文件傳輸設備(FTA)支持的安全文件共享系統。殼牌的命令行管理程序使用此FTA設備安全地傳輸大型數據文件。由于文件傳輸服務與殼牌的其余數字基礎架構隔離，因此沒有證據表明對殼牌的核心IT系統有任何影響。

殼牌(Royal Dutch Shell Plc)是一家由石化和能源公司組成的跨國集團，在70多個國家擁有超過8.6萬名員工。根據財富雜志全球500強排行榜，2020年的營收結果該公司也是全球第五大公司。

殼牌3月16日在其網站上發表的一份公開聲明中披露了這起攻擊事件，并表示這起事件只影響了用于安全傳輸大型數據文件的Accellion FTA設備。殼牌表示：“在得知這起事件后，殼牌公司與其服務提供商和網絡安全團隊解決了這些漏洞，并開始進行調查，以更好地了解事件的性質和程度。沒有證據表明對文件系統的核心IT系統有任何影響，因為文件傳輸服務與文件系統的其他數字基礎設施隔離?！?/span>

在發現攻擊者獲得了使用受到破壞的Accellion FTA設備傳輸的文件的訪問權限之后，Shell還聯系了相關的數據主管部門和監管機構。據該公司稱，在攻擊過程中訪問的某些數據屬于利益相關者和殼牌子公司。

聲明表示，“其中一些包含個人數據，而另一些包含殼牌公司及其一些利益相關者的數據。殼牌正在與受影響的個人和利益相關者保持聯系，我們正在與他們合作以應對可能的風險?！?/span>

盡管殼牌的聲明沒有披露攻擊者的身份，但Accellion和Mandiant上月發布的一份聯合聲明進一步揭示了這些攻擊，將它們與FIN11網絡犯罪組織聯系起來。Clop勒索軟件組織還一直在利用Accellion FTA零日漏洞(2020年12月中旬披露)來危害和竊取多家公司的數據。

Accellion表示，有300名客戶使用已有20年歷史的遺留FTA軟件，其中不到100名客戶被Clop勒索軟件團伙和FIN11(這些攻擊背后的網絡犯罪組織)攻擊。根據Accellion的說法，似乎只有不到25名受害者“遭受了嚴重的數據失竊”。

在Accellion FTA遭到攻擊后，多個組織受到入侵，包括網絡安全公司Qualys、超市巨頭Kroger、新西蘭儲備銀行、澳大利亞證券和投資委員會(ASIC)、Singtel、QIMR Berghofer醫學研究所和華盛頓州審計師辦公室(SAO)。

上個月，Five Eyes成員還發布了一份聯合安全警告，內容是針對使用未打補丁的Accellion FTA版本的組織進行的攻擊和敲詐勒索企圖。
 

參考來源：BleepingComputer http://dwz.date/e7VK
 

（十一）航空服務提供商Solairus遭受數據泄露

私人航空服務提供商Solairus Aviation 3月23日宣布，其第三方供應商Avianis發生了數據安全事件，一些員工和客戶的數據遭受泄露。

Solairus在3月23日發布的數據泄露公告中說，航空業務管理平臺提供商Avianis去年12月發布了有關入侵Avianis的微軟Azure云平臺的通知，該平臺托管了Solairus航班調度和跟蹤系統。對該事件的調查顯示，在該環境中托管的Solairus的某些數據證實被一個未知人士訪問。

Solairus表示，存儲在該環境中的Solairus數據可能包括雇員和客戶的姓名，以及諸如出生日期、社會保險號、駕照號碼、護照號碼和金融帳號等信息。該公司表示，其已經通知了一些受影響的個人，但是聲稱其沒有“所有這些人的當前地址”。

該公司還指出，員工和客戶都應對任何未經授權的活動保持警惕，并查看其財務帳戶中的任何未經授權的收費或活動。如果發現任何可疑活動，受影響的個人應立即聯系其金融機構。Solairus表示，“Solairus對此事件可能給您帶來的不便或擔憂表示遺憾。Solairus社區的每個成員都很重要，Solarus重視您的安全和隱私?！?/span>
 

參考來源：SecurityWeek http://dwz.date/e8XC

 

（十二）英國國防科學院遭受外國勢力重大網絡攻擊

據英國《太陽報》報道，英國國防科學院近日遭受了“外國勢力”的重大網絡攻擊，疑似攻擊者為俄羅斯或中國國家支持的黑客組織。

英國國防科學院為英國武裝部隊、公務員、其他政府部門和其他國家的服務人員提供高等教育。英國國防科學院總部位于牛津郡西南什里夫納姆的皇家軍事學院，在那里進行教育和培訓。

據《太陽報》報道，“國防部的國防學院受到了重大網絡攻擊。工作人員被告知，此次黑客攻擊是由外國勢力所為，疑似攻擊者來自俄羅斯和中國?！?/span>

此次網絡攻擊使該學院的網站脫機，并癱瘓了一家由承包商運營的IT網絡。該學院的系統已受到攻擊，需要花費時間才能完全恢復受影響的計算機和服務器。

據《太陽報》報道，“此次攻擊由外國勢力所為。所有人都被告知要使用他們的個人筆記本電腦和計算機，因為工作筆記本電腦和筆記本電腦已經遭到破壞。修復至少需要五個星期?！?/span>

國防部證實，他們已經意識到國防科學院的IT系統存在問題。國防部表示，“這些都是由承包商運營的，不會對國防部的IT網絡本身產生任何影響，教學仍在繼續?！?/span>
 

參考來源：The Sun http://dwz.date/e7MK

 

（十三）美國服務器制造商Stratus遭受勒索軟件攻擊

美國零接觸邊緣計算解決方案提供商Stratus在其網站上發布公告稱，3月17日其遭受了勒索軟件攻擊。在檢測到可疑活動后，該公司立即將幾個系統下線以隔離問題，并開始啟動業務連續性計劃。此外，該公司還通知了聯邦執法部門，并聘請第三方安全專家評估該事件的性質和范圍。

作為一項預防措施，Stratus將主動服務網絡（ASN）和Stratus服務門戶下線。關于ASN，Stratus聯系了其客戶和合作伙伴，以提供進一步的支持。對于使用Stratus服務門戶的客戶，如果用戶有支持需求或問題，請與Stratus支持團隊聯系。

Stratus成立于1980年，總部位于美國，專注于設計和生產硬件容錯計算機系統，提供連續可用的計算機系統平臺和解決方案，及零接觸邊緣計算。
 

本文版權歸原作者所有，參考來源：Stratus http://dwz.date/e7JY

 

（十四）物聯網設備制造商Sierra Wireless遭受勒索軟件攻擊致工廠停產

加拿大物聯網設備制造商Sierra Wireless披露3月20日其內部IT系統遭受了勒索軟件攻擊，導致生產基地停產，內部運營也受到影響。

該公司網站已經關閉，顯示“正在維護中”。該公司表示，此次攻擊的影響僅限于Sierra Wireless內部系統，面向客戶的產品不受此事件影響，因為為客戶設計的服務網絡和內部IT系統是分開的。

目前尚不清楚生產設施和其他系統何時會恢復正常，但Sierra Wireless相信它已經解決了攻擊問題，運營將“很快”恢復。

在成為攻擊受害者后，該公司表示，它根據與第三方網絡安全顧問共同制定的“既定網絡安全程序”，實施了應對措施，以緩解攻擊，第三方網絡安全顧問也參與了對此次攻擊的調查。該公司在一份聲明中表示，“Sierra Wireless在尋求補救措施時，請客戶和合作伙伴保持耐心?！?/span>

目前尚不清楚Sierra Wireless是哪種勒索軟件的受害者，也不知道它是如何滲透到網絡中的。該公司沒有分享有關勒索軟件攻擊的更多信息。勒索軟件仍然是世界各地組織面臨的一個問題，最近的一份報告將其列為為首席信息安全官(CISO)和首席安全官(CSO)最大的網絡安全擔憂。

Sierra Wireless是領先的物聯網解決方案提供商，結合了設備、網絡服務和軟件，以在互聯經濟中創造價值。全球各地的公司都在采用IoT來提高運營效率，創造更好的客戶體驗，改善其業務模型并創造新的收入來源。
 

參考來源：ZDNet http://dwz.date/e9B4

 

（十五）美國紐約州多縣遭受勒索軟件攻擊

美國紐約州奧爾巴尼縣警長辦公室當地時間3月16日晚9:30左右表示，奧爾巴尼縣、薩拉托加縣和倫斯勒縣的公共安全網絡遭受了勒索軟件攻擊。據報道，該辦公室通宵與供應商以及NYDHSES反恐怖主義網絡事件響應小組合作，以減輕攻擊。

該警長辦公室表示，這一違規行為并未影響奧爾巴尼縣的911服務。據報道，計算機輔助調度（CAD）服務在該事件中受到影響，所有服務器和臺式機均已清理。官員們表示，他們已經能夠從備份中重建數據，并且正在恢復服務。

據稱CAD服務現在已重新上線，并且治安官辦公室表示，目前他們仍在查看日志，以了解違規行為是如何完成的。官員們表示，他們已經采取了多項措施來封鎖入口點，并調整了安全權限。

官員們稱，攻擊者已竊取了一些數據，但并不是重要數據。為了使所有系統全天恢復在線狀態，工作正在進行中。

薩拉托加縣治安官邁克爾·祖羅（Michael Zurlo）表示，“雖然薩拉托加縣昨晚受到網絡攻擊的不利影響，但我們的備用系統仍按設計運行，并且能夠為居民提供911服務?！痹摴賳T表示，迅速恢復證明了這三個縣和地方警察機構共享的可互操作的911和CAD系統的冗余設計和實現。
 

參考來源：News10 http://dwz.date/e8nV

 

（如未標注，均為天地和興工業網絡安全研究院編譯）