目   錄

第一章 國外關鍵信息基礎設施安全動態

（一）澳大利亞水供應商SunWater服務器遭黑客入侵控制長達九個月

（二）改裝無人機攻擊美國變電站

（三）美國國防承包商EWA披露數據泄露事件

（四）希臘多家航運公司遭受網絡攻擊

（五）船舶運營商Brittany Ferries泄露用戶數據

（六）NUCLEUS：13漏洞影響醫療保健及OT系統

（七）新型惡意軟件BotenaGo利用33個漏洞攻擊數百萬IoT設備

（八）BusyBox存在14個安全漏洞影響嵌入式Linux設備

（九）CISA敦促盡快修復BrakTooth漏洞

（十）美國眾議院批準基礎設施法案，將投資19億元用于網絡安全

（十一）美國國務院分別懸賞1000萬美元獲取DarkSide及REvil勒索軟件信息

（十二）FBI警告伊朗威脅行為者購買美國組織泄露數據

（十三）德國醫療軟件供應商Medatixx遭受勒索軟件攻擊

（十四）交易應用程序Robinhood泄漏700萬用戶數據

（十五）歐洲大型電子零售商MediaMarkt遭受Hive勒索軟件攻擊

（十六）VoIP電話供應商Telnyx遭受DDoS攻擊

 

 

 

第一章 國外關鍵信息基礎設施安全動態

（一）澳大利亞水供應商SunWater服務器遭黑客入侵控制長達九個月

澳大利亞昆士蘭最大的區域水供應商Sunwater表示，其成為了黑客的攻擊目標，黑客在其服務器上隱藏了九個月沒有被發現。黑客在網絡服務器上留下了可疑文件，將訪問者流量重定向到在線視頻平臺。

SunWater是澳大利亞政府所有的水供應商，負責運營19個主要水壩、80個泵站和1,600英里長的管道。

昆士蘭州審計署向該州水務部門提交了一份報告，披露了這一網絡入侵事件，但是沒有說明針對的是哪個部門，隨后Sunwater承認其是審計署報告中披露的違規行為影響機構。

Sunwater發言人表示，沒有任何財務或客戶數據受到損害，一旦檢測到未經授權訪問在線內容管理系統，已立即采取措施提高安全性。“Sunwater非常重視網絡安全，并承認昆士蘭審計署報告中的調查結果”。

該審計報告指出，該事件發生在2020年8月至2021年5月之間，涉及未經授權訪問該實體存儲客戶信息的Web服務器。威脅行為者攻擊的是較舊、更易受攻擊的系統版本。這些網絡服務器包含可疑文件，增加了在線視頻平臺的訪問量。系統中的弱點導致該事件在九個月內未被發現。

該審計報告審查了六個水務機構，包括Seqwater、Sunwater、城市公用事業公司、Unitywater、Gladstone地區水務局和Mount Isa水務局，并警告信息系統存在漏洞。該報告還強調了內部控制的缺陷，包括與資金轉移支付信息有關的缺陷。

這份長達36頁的報告呼吁立即采取行動，修復信息系統中持續存在的安全漏洞。該報告指出，在網絡入侵的情況下，應采取措施解決問題，包括更新軟件、使用更強的密碼、以及監控傳入和傳出的網絡流量。

該報告稱，盡管審計辦公室去年建議實體加強其信息系統的安全性，但并非所有人都采取了行動來解決這個問題。截至6月30日，六個實體中的三個仍然存在“控制弱點”。

該報告還強調了一些內部控制的問題，發現該行業存在24處缺陷。這些問題與電子資金轉移支付信息的訪問、供應商和員工信息的安全性有關。在一個案例中，涉及對不動產、廠場和設備有效性審查的缺陷。

該報告指出，其中一個機構被發現在跨財務、發票和工資系統的用戶訪問管理方面存在三個問題。各實體應該只為員工分配執行工作的最低權限。

該報告稱，由于新冠疫情，網絡攻擊成為一種風險，因為導致實體工作環境不斷發生變化。報告稱，已收到有關實體對問題的答復，以糾正提出的問題。

參考來源：ABCNews http://33h.co/9jufa

 

 

（二）改裝無人機攻擊美國變電站

據報道，去年2020年7月，威脅行為者企圖利用一架無人機攻擊美國賓夕法尼亞州一個變電站。

攻擊者使用了一架DJI Mavic 2型四軸飛行器無人機，其下方通過尼龍線連接了一根粗銅線。根據ABC News和CNN獲得的聯邦執法公告，這架小型無人機在賓夕法尼亞州的一個變電站附近墜毀，并被用來破壞電網。聯邦官員發布公告是為了提高人們對無人機對關鍵基礎設施威脅的認識。

據ABC 7新聞報道，“美國聯邦調查局、國土安全部和國家反恐中心于10月28日發布了一份備忘稱，2020年7月事件是已知的首個“可能在美國用于專門針對能源基礎設施的改裝無人機系統”的案例。該聲明基于對可追溯到2017年的無人機事件的審查。”

該無人機進行了改裝，“根據設計和回收位置，變壓器及配電線路造成了短路損壞”。該架無人機“似乎磨損嚴重，表明它之前曾飛行過，并為這次單次飛行進行了改裝。”好消息是，無人機墜毀在某變電站附近的屋頂上，因此沒有損壞電力供應或設備。

TheDrive網站在讀者的支持下透露了墜機位置。“根據JIB提供的局部地圖，讀者已經能夠確定變電站的位置，以及無人機被回收的位置。變電站和相鄰的建筑物與賓夕法尼亞州好時公司的舊巧克力工廠隔路相望。這也離好時公園游樂園比較近。”

該公告沒有將攻擊歸因于特定的威脅行為者。隨著無人機變得便宜且易于指揮，攻擊者可利用無人機構成嚴重威脅，攻擊者可以利用無人機來瞄準關鍵基礎設施。該公告表示，“我們預計，隨著這些系統在美國的使用不斷擴大，針對能源部門和其他關鍵基礎設施的非法無人機活動會增加。”

參考來源：SecurityAffairs http://33h.co/95ydi

 

 

（三）美國國防承包商EWA披露數據泄露事件

美國國防承包商Electronic Warfare Associates(EWA)11月4日披露其發生了數據泄露事件，威脅行為者入侵了其電子郵件系統，并竊取了包含個人信息的文件。該公司聲稱，此次泄露的影響有限，但證實威脅行為者設法竊取了包含敏感信息的文件。

EWA發現，一名威脅行為者于2021年8月2日接管了其一個電子郵件帳戶。當黑客嘗試電匯欺詐時，該公司注意到了滲透，這似乎是攻擊者的主要目標。

EWA在數據事件通知中表示，“根據我們的調查，我們確定一名威脅行為者于在2021年8月2日滲透了EWA的電子郵件。當威脅行為者試圖進行電匯欺詐時，我們就意識到了這種情況。我們沒有理由相信滲透的目的是獲取個人信息。然而，威脅行為者的活動確實導致某些個人信息文件泄露。”

根據隨后的調查，受害者的姓名、社會安全號碼(SSN)、和駕駛執照也被盜。因此，電匯欺詐可能會分散注意力，這對于有興趣攻擊此類高度敏感公司的威脅行為者來說是完全合理的。目前尚不清楚被盜信息是否僅影響公司員工，以及在事件期間是否有技術文件也被盜。

為了應對此安全事件，該公司現在通過Equifax提供為期兩年的身份盜用保護服務訂閱。此外該數據泄露通知敦促受害者密切監控其信用報告和財務賬戶報表。

EWA是通信、訪問控制、仿真、培訓、管理、測試和監控系統(雷達)高科技國防硬件和軟件解決方案的專家。其中許多產品是為高度敏感的客戶制造的，包括美國國防部(陸軍、海軍、空軍、DARPA、OSD)、司法部和國土安全部。

該公司電子郵件系統的數據泄露也可能泄露了EWA內部開發和設計這些產品時的軍事技術機密。EWA還通過Corelis(電子測試和分析)和Blackhawk(調試工具)等附屬品牌開發商業產品。

參考來源：BleepingComputer http://33h.co/95hiw

 

 

（四）希臘多家航運公司遭受網絡攻擊

據希臘媒體Mononews報道，多家希臘航運公司遭受了勒索軟件攻擊，該攻擊通過一家廣受歡迎的成熟IT咨詢公司的系統傳播。

IT服務提供商Danaos管理咨詢公司證實，其服務受到了黑客攻擊影響。Danaos表示其運輸業務沒有受到影響，只有不到10%的外部客戶文件被勒索軟件攻擊加密。

一家獨立的網絡安全公司已簽約調查該事件，并確定勒索軟件如何進入Danaos面向客戶的系統。與此同時，該公司正在幫助受影響的客戶嘗試恢復系統。

Danaos自1986年以來一直為海事行業提供IT解決方案，使其成為業內歷史最悠久的公司之一。該公司為船舶管理構建軟件工具，包括用于租船、工資單、船員、人工智能分析、ISM、文件管理和采購的應用程序。首席執行官Dimitris Theodosiou表示，“網絡攻擊事件不會破壞我們36年來創造的形象。”

一位網絡安全專家表示，此次攻擊向船東和船舶管理人展示了IT供應鏈風險的現實。大多數海事IT專業人員都意識到第三方遠程維護船上操作技術(OT)帶來了風險。然而，很少有人擔心他們的岸邊企業系統可能容易受到通過供應商軟件發起的攻擊。

該網絡安全專家表示，“整個海事部門應對供應鏈攻擊的準備程度非常低，雖然我們調查發現一些公司進行了網絡演習，為事件準備和恢復能力做準備，但沒有一家公司讓其供應商參與這些演習。”

2017年，供應商軟件更新將毀滅性的NotPetya惡意軟件病毒帶入了世界上最大的海運承運公司馬士基的IT服務器，該攻擊導致100%破壞了連接到網絡的基于Microsoft的任何東西，包括49,000臺筆記本電腦和3,500臺服務器，因此造成馬士基業務中斷，損失了約3.5億美元的經濟損失。

參考來源：TheMaritimeExecutive http://33h.co/95huq

 

 

（五）船舶運營商Brittany Ferries泄露用戶數據

船舶運營商Brittany Ferries通知其客戶，在進行例行網站維護時，其發現了一個無法預料的技術故障，使得其賬戶保持完全開放狀態，可能會將非常敏感的信息暴露給任何知道電子郵件地址鏈接的人。

Brittany Ferries運營從英國到西班牙、法國和愛爾蘭港口的船舶。該公司11月9日向投資者披露，“我們的數據遭受了破壞，可能會影響客戶在Brittany Ferries的賬戶。”

Brittany Ferries數據保護官Anne Laure Fabre表示，“盡管我們對網絡保持警惕，并進行了嚴格的安全檢查，但我很遺憾地確認，您帳戶的保護設置在今年10月21日至11月2日期間被無意更改。在11月2日，我們發現了用于‘我的帳戶’登錄詳細信息的身份驗證過程中的錯誤，這意味著可以在沒有正確密碼的情況下訪問任何‘我的帳戶’。我們在例行網站更新中將這個錯誤追溯到10月21日。一旦發現故障，我們的工程師和安全團隊立即開始工作，在發現問題的當天診斷和解決問題。”

Brittany Ferries的一位發言人表示，“更新過程中省略了測試程序，很快就應用了補丁，在同一天解決了這個問題?，F在已經更新了程序，以確保每次網站更新時都進行適當的密碼測試。”

如果有人知道與客戶的“我的帳戶”門戶相關聯的電子郵件地址，就可以訪問該人的姓名、郵政地址、電話號碼、過去六個月的預訂參考、護照號碼、出生日期和國籍。

Fabre表示，“專家向我保證，惡意干預的風險非常低，沒有證據表明您的數據已被泄露。我需要讓您知道這已經發生，并相應地道歉。以防萬一，更新密碼是個好主意。”

一名受到該事件影響的客戶表示，他對自己的護照數據可能被未經授權的人訪問并可能用來偽造身份感到失望。

該公司發言人表示，目前還沒有客戶投訴其數據被訪問。大約25000個客戶的詳細信息可能被訪問。“盡管我必須重申，發布通知的原因是謹慎和良好做法。我們認為惡意攻擊的可能性幾乎為零。我們發現了問題，沒有跡象表明發生了任何類型的惡意外部活動，我們很快解決了這個問題，也通知了當局。我們已經在通訊中建議所有客戶相應地更改其密碼。”

ICO的一位發言人表示，Brittany Ferries尚未向其報告該違規行為，“組織必須在意識到個人數據泄露后72小時內通知ICO，除非它不會對人們的權利和自由構成風險。如果一個組織決定不需要報告違規行為，他們應該保留自己的記錄，并能夠在必要時解釋為什么沒有報告。所有使用個人數據的組織都應該安全可靠地這樣做。如果有人對其數據的處理方式有疑慮，他們可以向我們報告這些疑慮。”

參考來源：TheRegister http://33h.co/9jr2g

 

 

（六）NUCLEUS：13漏洞影響醫療保健及OT系統

Forescout及Medigate研究人員11月9日發布研究報告表示，其發現了13個影響Nucleus TCP/IP堆棧的新漏洞，統稱為NUCLEUS:13，可導致遠程代碼執行、拒絕服務和信息泄漏。Nucleus已在安全關鍵設備中使用了近30年，例如麻醉機、患者監護儀和其他醫療保健設備。

NUCLEUS:13漏洞影響了數十億OT和IoT設備中使用的閉源Nucleus TCP/IP堆棧，特別是在醫療設備、汽車和工業系統中。這些漏洞包括拒絕服務和遠程代碼執行。成功的攻擊可能會導致設備離線并被劫持其邏輯。被劫持的設備可以將惡意軟件傳播到它們在網絡上進行通信的任何地方。

該研究是Forescout的一項名為Project Memoria的更大計劃的最后一部分，該計劃匯集了行業同行、大學和研究機構，以分析多個TCP/IP堆棧的安全性。Project Memoria持續了18個月，并在14個TCP/IP堆棧中發現了78個漏洞，分別為AMNESIA:33、NUMBER:JACK、NAME:WRECK、INFRA:HALT。另一項與Project Memoria目標一致的研究是來自安全研究小組JSOF的Ripple20，發現了Treck專有TCP/IP堆棧中的19個漏洞。

這十三個漏洞中有十二個是中?；蚋呶Ｂ┒?，其中最嚴重的是CVE-2021-31886，CVSS為9.8分，是一個影響FTP服務器組件的嚴重漏洞，可能允許攻擊者控制易受攻擊的設備。Forescout表示，該問題是由于FTP服務器對“USER”命令長度的不正確驗證造成的。這會導致基于堆棧的緩沖區溢出，從而導致DoS和遠程代碼執行(RCE)條件。另外兩個高危漏洞CVE-2021-31887和CVE-2021-31888具有潛在的RCE影響，并且都會影響FTP服務器組件。

西門子已發布公告，披露了這些漏洞對其Nucleus實時操作系統(RTOS)的影響，該系統為醫療、工業、汽車和航空航天領域使用的設備提供支持。Nucleus實時操作系統RTOS部署在醫療保健和關鍵系統中的超過30億臺設備中。根據公司的可見性，超過5,000臺設備正在運行Nucleus RTOS的易受攻擊版本，其中大部分在醫療保健領域。

為了展示NUCLEUS:13的嚴重性，Forescout描述了兩種黑客攻擊場景。其中一個目標是醫院的樓宇自動化系統，使一個控制器崩潰，當有人進入病房時，該控制器會自動打開風扇和電燈。在第二個場景中，目標是鐵路基礎設施的存在傳感器部分，它檢測火車何時到達車站，并控制停止時間。通過使用NUCLEUS:13套件中的任何DoS漏洞使控制器崩潰，攻擊者可能會導致火車跑過車站，并可能與另一列火車或軌道上的物體發生碰撞。

針對NUCLEUS:13的全面保護需要修補運行易受攻擊的Nucleus版本的設備。西門子已發布其官方補丁，使用此軟件的設備供應商應向客戶提供自己的更新。鑒于修補嵌入式設備因其任務關鍵性質而非常困難，建議采用以下緩解策略：

1、發現和清點運行Nucleus的設備。Forescout發布了一個開源腳本，該腳本使用主動指紋識別來檢測運行Nucleus的設備。該腳本會不斷更新新簽名，以跟上研究最新進展；

2、實施分段控制和適當的網絡衛生，以降低易受攻擊設備的風險。如果無法修補，則限制外部通信路徑，并隔離或包含區域中的易受攻擊的設備作為緩解控制；

3、監控受影響設備供應商發布的漸進式補丁，并為易受攻擊的資產庫存制定補救計劃，平衡業務風險和業務連續性要求；

4、監視試圖利用已知漏洞或可能的零日漏洞的惡意數據包的所有網絡流量。異常流量應該被阻止，或者至少向網絡運營商發出警報。

參考來源：BleepingComputer http://33h.co/9505z

 

 

（七）新型惡意軟件BotenaGo利用33個漏洞攻擊數百萬IoT設備

AT&T研究人員發現了一款用開源編程語言Golang編寫的新型惡意軟件BotenaGo，利用了33個漏洞，攻擊數百萬路由器和物聯網設備。該惡意軟件會創建一個后門，并等待接收來自遠程操作員通過端口19412或來自運行在同一臺機器上的其他相關模塊的攻擊目標。目前尚不清楚惡意軟件背后的威脅行為者和受感染設備的數量。

BotenaGo是用Go編寫的，近年來Go越來越受歡迎，因為惡意軟件開發者喜歡用該語言制作更難檢測和逆向工程的有效載荷。BotenaGo在VirusTotal上的62個反病毒引擎中只有6個將樣本標記為惡意樣本，有些將其識別為Mirai，檢測率較低。

BotenaGo利用了33個漏洞，針對路由器、調制解調器和NAS設備，主要包括：

1、CVE-2015-2051、CVE-2020-9377、CVE-2016-11021：D-Link路由器；

2、CVE-2016-1555、CVE-2017-6077、CVE-2016-6277、CVE-2017-6334：Netgear設備；

3、CVE-2019-19824：基于Realtek SDK的路由器；

4、CVE-2017-18368、CVE-2020-9054：Zyxel路由器和NAS設備；

5、CVE-2020-10987：騰達產品；

6、CVE-2014-2321：中興通訊調制解調器；

7、CVE-2020-8958：廣州1GE ONU。

AT&T研究人員分析了該新型僵尸網絡，發現其攻擊目標是具有利用上述漏洞的功能的數百萬設備。研究人員分析的一個例子是Boa的搜索字符串，它是一個已停產的開源Web服務器，用于嵌入式應用程序，并且在Shodan上仍然返回近200萬個面向互聯網的設備。另一個例子是針對CVE-2020-10173，這是Comtrend VR-3033網關設備中的一個命令注入漏洞，其中250,000個仍然可以利用。

安裝后，惡意軟件將偵聽兩個端口31412和19412，等待向其發送IP地址。一旦收到，bot將利用該IP地址上的每個漏洞來獲取訪問權限。一旦BotenaGo獲得訪問權限，它將執行遠程shell命令將設備招募到僵尸網絡中。

根據目標設備不同，惡意軟件使用不同的鏈接來獲取匹配的負載。但是在分析時，托管服務器上沒有有效負載，因此無法檢索任何負載以進行分析。

此外，研究人員沒有發現BotenaGo和威脅行為者控制的服務器之間存在活躍的C2通信，因此對其運作方式給出了三種可能的解釋：

1、BotenaGo只是多階段模塊化惡意軟件攻擊的一個模塊，不是負責處理通信的模塊；

2、BotenaGo是Mirai運營商在某些機器上使用的新工具，該場景由常見的有效載荷丟棄鏈接支持；

3、該惡意軟件尚未準備好運行，其早期開發階段的樣本意外泄露。

總而言之，BotenaGo在野外的出現是不尋常的，因為其不完整的運行狀態，但其潛在的能力讓其作者的意圖毋庸置疑。幸運的是，新的僵尸網絡已經被早期發現，并且已經有了入侵的跡象。盡管如此，只要有大量易受攻擊的在線設備可供利用，攻擊者就有動力繼續開發BotenaGo。

參考來源：BleepingComputer http://33h.co/9jue5

 

 

（八）BusyBox存在14個安全漏洞影響嵌入式Linux設備

Claroty及JFrog研究人員11月9日發表研究結果表示，其在嵌入式Linux應用程序BusyBox中發現了14個漏洞，可導致拒絕服務（DoS）、數據泄露、及遠程代碼執行（RCE）。BusyBox在很多OT及IoT設備中使用，包括PLC、HMI、及RTU。

BusyBox是一款軟件套件，包含許多有用的Unix實用程序（Applet），這些實用程序打包為單個可執行文件。內存和存儲資源有限的嵌入式設備可能會利用BusyBox工具，被譽為是嵌入式Linux的“瑞士軍刀”。

BusyBox中包含一個完整的Shell、一個DHCP客戶端/服務器、和一些小型實用程序，例如cp、ls、grep等。許多OT和IoT設備都使用BusyBox，包括可編程邏輯控制器(PLC)、人機界面(HMI)和遠程終端單元(RTU)，其中許多在Linux上運行。

作為致力于提高開源軟件安全性的一部分，Claroty的Team82和JFrog研究人員合作開展了一個檢查BusyBox的漏洞研究項目。研究人員使用靜態和動態技術發現了影響最新版本BusyBox的14個漏洞。BusyBox在8月19日發布的1.34.0版本中私下披露并修復了所有漏洞。

在大多數情況下，這些漏洞會導致是拒絕服務(DoS)，在極少數情況下，也可能導致信息泄漏和遠程代碼執行（RCE）。

由于受影響的程序不是daemons，因此只有向易受攻擊的小程序提供不受信任的數據時，通常通過命令行參數，漏洞才能被利用。研究人員發現其中40%包含一個BusyBox可執行文件，該文件與其中一個受影響的小程序相關聯，這使得這些問題在基于Linux的嵌入式固件中極為普遍。然而研究人員認為，這些問題目前不會構成嚴重的安全威脅。

其中最危險的漏洞CVE-2021-42374是LZMA越界讀取漏洞，可能導致DoS和信息泄漏，該漏洞只能在精心制作的LZMA壓縮輸入被解壓縮時用于攻擊設備。

該漏洞是由于函數decompress_unlzma.c中的大小檢查不足引起的。LZMA是一種使用字典壓縮的壓縮算法，并使用范圍編碼器對其輸出進行編碼，需要滿足兩個特定的編碼條件才能利用該漏洞，buffer_pos = 0和rep0 = offset + dict_size。

利用此漏洞通常需要準備一個特制的LZMA編碼流，以便在解碼時，兩個條件都將被滿足，并且pos將等于負數-offset。最終，解壓后的流將包含泄漏的內存，這些內存將被寫入輸出流。

為了達到越界條件，需要寫入一些字節，然后使用匹配將緩沖區填充到header.dict_size，并將rep0更改為所需的值。因此，pos將等于-offset并且可以從offset泄漏字節作為對緩沖區指針的引用。

盡管該漏洞是在LZMA解壓算法中發現的，但是許多小程序支持LZMA壓縮，并且默認情況下會嘗試解壓編碼的LZMA流，例如無處不在的ZIP格式支持將LZMA壓縮作為Type14壓縮。因此從攻擊者的角度來看，ZIP是一個更好的攻擊媒介。

研究人員建議盡快將BusyBox升級到最新版本1.34.0，該版本已修復所有14個漏洞。

參考來源：Claroty http://33h.co/95zc4

 

 

（九）CISA敦促盡快修復BrakTooth漏洞

安全研究人員11月1日發布了BrakTooth漏洞的PoC工具，用于測試藍牙設備中是否存在SoC漏洞。BrakTooth漏洞最初在2021年8月披露，是商業藍牙堆棧中16個漏洞的統稱。

多家供應商的SoC設備中存在該漏洞，包括英特爾、高通、德州儀器和Cypress。該漏洞影響智能手機、計算機、音頻設備、玩具、物聯網設備和工業設備等數十億設備中使用的1,400多個芯片組上的商業藍牙堆棧。具有易受攻擊的SoC設備包括戴爾臺式機和筆記本電腦、MacBook和iPhone、多款Microsoft Surface筆記本電腦型號、索尼和Oppo智能手機、Volo信息娛樂系統。攻擊者可以利用BrakTooth漏洞造成一系列影響，包括拒絕服務及任意代碼執行。

CISA在11月4日鼓勵制造商、供應商和開發商審查BrakTooth漏洞對藍牙鏈路管理器造成嚴重破壞，并更新易受攻擊的藍牙系統級芯片(SoC)應用程序或應用適當的解決方法。

BrakTooth漏洞導致的后果包括：破壞設備固件的拒絕服務(DoS)、阻止藍牙通信的死鎖條件凍結、可能導致完全接管的任意代碼執行，具體取決于目標設備中使用的易受攻擊的SoC。

可能想要發起BrakTooth攻擊的威脅行為者只需要一個價格不到15美元的現成ESP32板、自定義鏈接管理器協議(LMP)固件、一臺運行概念驗證(PoC)的計算機工具。

雖然一些供應商已經發布了安全補丁來解決BrakTooth漏洞，但傳播到所有未打補丁的設備，還需要幾個月的時間。然而有的供應商仍在調查問題，仍在開發補丁，或者尚未公布他們的補丁狀態。

 

參考來源：BleepingComputer http://33h.co/9j4cy

 

 

（十）美國眾議院批準基礎設施法案，將投資19億元用于網絡安全

美國眾議院11月5日批準了1.2萬億美元的基礎設施法案，該法案將投資近20億美元用于整個聯邦政府的網絡安全工作。

經過國會民主黨一天的艱苦談判，最終投票結果是228票對206票。13名共和黨人及大多數民主黨人一起支持該措施，六名民主黨人投了反對票。該法案現在將正式提交給拜登總統的辦公桌，以簽署成為法律。

參議院于8月通過了這項法案，但由于民主黨試圖就另外一項單獨的1.9萬億美元經濟支出計劃談判達成協議，該計劃也同樣包含網絡安全條款，因此在眾議院陷入停滯。在批準基礎設施立法后，立法者通過了一項程序規則，在本月晚些時候以221票對13票的黨派投票設定了社會支出計劃的基本辯論框架。

拜登稱贊該法案的通過。“關于基礎設施，我們終于做了一件姍姍來遲的事情，這在華盛頓早就被談論過了，但實際上從來沒有落地。”

該《基礎設施法案》將撥款19億美元用于網絡安全基金，其中10億美元用于創建新的贈款計劃，以改善州、地方、部落和領地政府的網絡安全。

這筆資金將由聯邦緊急事務管理局管理，該局負責管理國土安全部現有的撥款計劃，為期四年，從2022財年開始。網絡安全和基礎設施安全局將擔任重要角色。

該法案納入了《網絡響應和恢復法案》，該法案授權在五年內撥款1億美元，用于支持聯邦政府的網絡事件響應。此外，它還允許國土安全部長與國家網絡總監合作，一起宣布重大網絡事件。CISA將協調對事件的響應，并利用應急基金幫助私營公司和政府從網絡攻擊中恢復。

立法者還將預留2100萬美元用于國家網絡總監Chris Inglis辦公室，該組織依靠白宮應急預算來運作。拜登表示，他有信心國會將通過獨立的網絡安全議案。

參考來源：TheRecord http://33h.co/9j4ui

 

 

（十一）美國國務院分別懸賞1000萬美元獲取DarkSide及REvil勒索軟件信息

美國國務院11月4日及11月8日分別宣布，分別懸賞1000萬美元的獎勵，以獲取導致在DarkSide或REvil勒索軟件變種跨國有組織犯罪集團中擔任關鍵領導職位的任何個人的身份或位置信息。此外，該部門還分別提供高達500萬美元的獎勵，以獲取導致在任何國家/地區逮捕和/或定罪的任何密謀參與或試圖參與DarkSide或REvil變體勒索軟件事件的個人信息。

DarkSide勒索軟件組織對2021年5月的Colonial Pipeline油氣管道公司勒索軟件事件負責，該事件導致該公司決定主動和暫時關閉5,500英里長的管道，該管道運送美國東海岸使用的45%的燃料。

Sodinokibi勒索軟件組織(又名REvil)對JBS Foods勒索軟件事件負責，JBS Foods是一家主要向澳大利亞和美國提供農產品的供應商，該事件導致食品加工和交付出現重大中斷。Sodinokibi還攻擊了Kaseya，是一家為數千家小型企業和托管服務提供商提供網絡、應用程序和基礎設施服務的IT管理公司。該事件不僅影響了Kaseya的運營，還影響了其全球客戶的運營。

通過提供這一獎勵，美國表明其致力于保護全世界勒索軟件受害者免受網絡犯罪分子攻擊的承諾。美國期待那些窩藏勒索軟件罪犯的國家愿意為受勒索軟件影響的受害者企業和組織伸張正義。

該獎勵由國務院跨國有組織犯罪獎勵計劃(TOCRP)提供。該部門與聯邦執法合作伙伴密切協調管理TOCRP，作為整個政府努力的一部分，在全球范圍內破壞和消除跨國有組織犯罪，包括網絡犯罪。自1986年以來，根據TOCRP和毒品獎勵計劃(NRP)，超過75名跨國犯罪分子和主要毒品走私犯被繩之以法。迄今為止，該部門已支付了超過1.35億美元的獎勵。

參考來源：美國國務院 http://33h.co/950e3

 

 

（十二）FBI警告伊朗威脅行為者購買美國組織泄露數據

美國FBI近日發布警告稱，伊朗威脅行為者企圖在明網及暗網購買有關美國和全球組織的被盜信息，如電子郵件和網絡信息，來破壞相關組織的系統。

美國聯邦調查局表示，此前數據被竊取并泄露的美國組織可能會成為該伊朗威脅行為者未來的攻擊目標。建議面臨風險的組織采取緩解措施，通過保護遠程桌面協議(RDP)服務器、Web應用程序防火墻和Kentico CMS安裝來阻止黑客攻擊。

自2021年5月以來，該威脅行為者在攻擊中使用的策略、技術和程序(TTP)中，使用自動漏洞利用工具來破壞WordPress站點以部署web shell、破壞RDP服務器、并使用它們來維護訪問受害者的網絡。據FBI稱，該威脅行為者還試圖借助通用默認密碼來破壞監管控制和數據采集(SCADA)系統。

雖然FBI在警告中確定了伊朗威脅行為者的名字，但使用網站滲透測試工具和漏洞掃描程序(如Acunetix和SQLmap)來查找不安全的服務器將其與伊朗國家支持的黑客組織協調的先前活動聯系起來。

例如，另一個未具名的伊朗黑客組織在2020年9月至10月期間使用類似工具從州選舉網站竊取選民登記數據。該選民信息后來被用來冒充極右翼Proud Boys組織，并向民主黨選民發送威脅電子郵件，警告他們必須投票給特朗普，否則將面臨后果。

參考來源：BleepingComputer http://33h.co/9j96v

 

 

（十三）德國醫療軟件供應商Medatixx遭受勒索軟件攻擊

德國醫療軟件供應商Medatixx遭受了勒索軟件攻擊，嚴重影響了其整個運營，該公司敦促其客戶盡快更改應用程序密碼。Medatixx公司的產品在21000多家醫療機構中使用。

Medatixx表示該事件沒有影響其客戶，僅限于內部IT系統，不影響其任何PVS(實踐管理系統)。然而，由于不知道在攻擊過程中竊取了哪些數據，威脅行為者可能已經獲取了Medatixx的客戶密碼。

因此，Medatixx建議客戶執行以下步驟，以確保其實踐管理軟件保持安全：

1、在練習軟件上更改用戶密碼；

2、更改所有工作站和服務器上的Windows登錄密碼；

3、更改TI連接器密碼。

Medatixx表示，上述措施是預防措施，但應盡快實施。以下軟件產品應響應此緊急措施：easymed、medatixx、x.comfort、x.concept、x.isynet、x.vianova。

Mediatixx的勒索軟件攻擊發生在上周，該公司目前仍在恢復中，目前只恢復了電子郵件和中央電話系統。此外，區域銷售合作伙伴和所有客戶支持熱線都已啟動并運行，因此客戶可以聯系公司代表，解決他們可能遇到的任何問題。目前還沒有估計該公司何時會恢復正常運營狀態。

最后，尚未確定攻擊者是否設法竊取了任何客戶、醫生或患者數據。不過，該公司表示，他們已將此事告知德國數據保護機構，并將在調查結束后發布最新消息。

Mediatixx在公告中表示，“目前尚不清楚是否有數據被盜，以及被盜的程度。因此，不能排除我們存儲的數據被盜的可能性。”

據德國新聞媒體Heise Online稱，德國大約25%的醫療中心使用了Mediatixx解決方案，這可能是有史以來對該國醫療系統發起的最大網絡攻擊。此外，Heise Online推測攻擊者可能會從遠程維護系統中竊取用戶憑據。

該事件發生在最糟糕的時刻，因為德國正在處理大量新冠疫情病例。新冠疫情已經給德國的醫院帶來了壓力，他們最不想看到的就是無法訪問基本的支持軟件工具或執行系統重置。

參考來源：BleepingComputer http://33h.co/9jm70

 

 

（十四）交易應用程序Robinhood泄漏700萬用戶數據

知名股票交易應用程序Robinhood在11月8日披露其發生了數據泄露事件。一名客戶支持員工遭受了社會工程攻擊，導致黑客獲得了客戶支持系統的訪問權限，竊取了約700萬用戶的個人信息。

Robinhood正在遭受其歷史上最大的黑客攻擊，該攻擊事件泄露了了大約期三分之一用戶的私人詳細信息。11月3日深夜，未經授權的第三方獲得了Robinhood部分客戶有限數量的個人信息的訪問權限。根據調查，攻擊已被遏制，沒有泄露社會安全號碼、銀行帳號或借記卡號碼，并且沒有客戶因此事件造成經濟損失。

未經授權的第三方通過電話對一名客戶支持員工進行了社會工程，并獲得了某些客戶支持系統的訪問權限。未經授權的第三方獲得了大約500萬用戶的電子郵件地址列表，以及大約200萬用戶的姓名。此外，大約有310人的姓名、出生日期和郵政編碼等個人信息被泄露，其中大約10人泄露了更多的賬戶詳細信息。Robinhood正在向受影響的人員披露該事件。

在Robinhood遏制了入侵后，攻擊者要求勒索付款，Robinhood及時通知了執法部門，并在外部安全公司Mandiant的幫助下繼續調查此事件。

Robinhood首席安全官Caleb Sima表示，“作為一家安全第一的公司，我們對客戶負有透明和誠信的責任。經過認真的審查，現在讓整個Robinhood社區關注這一事件是正確的做法。”

網絡安全公司Rapid7 Inc首席數據科學家Bob Rudis表示，“金融服務公司是巨大的目標，因為總會有新客戶到來，更新身份，更新憑據。每個人都在談論勒索軟件，但憑據和身份仍然是在暗網和犯罪論壇上出售的東西。這是非常有價值的數據。”

該事件仍在調查中，Robinhood努力說服用戶和警惕的監管機構相信其能做到“安全第一”，公司高管經常重復使用“安全第一”這一口號。該違規事件表明，隨著Robinhood的迅速擴張，這條道路仍然充滿挑戰。當公司試圖讓用戶將更多的財務生活委托給該應用程序時，這對該公司來說也是一個打擊。Robinhood有一個加密貨幣錢包的候補名單，并計劃在未來提供其他產品，包括退休賬戶。

Mandiant首席技術官Charles Carmakal表示，Robinhood “進行了徹底的調查，以評估影響”。預計攻擊者將在未來幾個月繼續攻擊并勒索其他組織。

參考來源：Bloomberg http://33h.co/9jgtx

 

 

（十五）歐洲大型電子零售商MediaMarkt遭受Hive勒索軟件攻擊

歐洲大型電子產品零售商MediaMarkt在11月7日晚至8日早上遭受了Hive勒索軟件攻擊，攻擊者加密了服務器及工作站，導致荷蘭及德國的IT系統關閉，商店運營中斷，勒索贖金為2.4億美元。

MediaMarkt是歐洲最大的消費電子產品零售商，在13個國家/地區擁有1,000多家店鋪，MediaMarkt擁有約53,000名員工，總銷售額為208億歐元。

雖然在線銷售仍然可以按照預期進行，但收銀機無法在受影響的商店接受信用卡或打印收據。由于無法查找以前購買的產品，系統中斷也阻止了退貨。

當地媒體報道稱，MediaMarkt內部通信通知員工避免使用加密系統，并斷開收銀機與網絡的連接。在Twitter上發布的據稱是內部通信的屏幕截圖顯示，此次攻擊影響了3,100臺服務器。

 

 

Hive勒索軟件是此次攻擊的幕后黑手，最初要求支付2.4億美元的不切實際的巨額贖金，以獲取加密文件的解密程序。勒索軟件組織在開始時通常會索要大筆贖金，以留出談判空間，通常會收到最初要求的一小部分。然而在對MediaMarkt的攻擊中，該數字自動降低到了一個低得多的數額。

雖然尚不清楚未加密的數據是否已在攻擊中被盜，但眾所周知，如果未支付贖金，Hive勒索軟件會竊取文件，并將其發布在其HiveLeaks數據泄漏站點上。

MediaMarkt發布的聲明表示，MediaMarktSaturn零售集團及其全國組織成為網絡攻擊的目標。該公司立即通知有關部門，并正在全速工作，以確定受影響的系統，并盡快修復造成的任何損壞。在商店中，目前可能對某些服務的訪問受到限制。MediaMarktSaturn將繼續通過所有銷售渠道向其客戶提供服務，并正在加緊努力以確保所有服務盡快再次不受限制地可用。該公司將提供有關該主題進一步發展的信息。

Hive勒索軟件是在2021年6月啟動的一項相對較新的行動，會通過帶有惡意軟件的網絡釣魚活動破壞組織。一旦獲得對網絡訪問權限，威脅行為者將通過網絡橫向傳播，同時竊取未加密的文件用于敲詐勒索。當他們獲得Windows域控制器的管理員訪問權限時，會在整個網絡中部署勒索軟件以加密所有設備。

眾所周知，勒索軟件組織會尋找并刪除任何備份，以防止受害者使用備份來恢復數據。Hive還創建了用于加密Linux和FreeBSD服務器的變體，通常用于托管虛擬機。

與一些不會加密醫療機構、療養院、政府機構和其他基本服務的勒索軟件操作不同，Hive勒索軟件似乎并不關心他們的目標是誰。8月，Hive勒索軟件攻擊了非營利的紀念衛生系統，迫使工作人員使用紙質圖表工作，并中斷了預定手術。

參考來源：BleepingComputer http://33h.co/9j996

 

 

（十六）VoIP電話供應商Telnyx遭受DDoS攻擊

VoIP電話供應商Telnyx自11月9日起遭受了分布式拒絕服務(DDoS)攻擊，導致全球范圍內服務中斷。

Telnyx是一家互聯網協議語音(VoIP)公司，通過互聯網提供全球電話服務，包括美洲、歐洲、中東和非洲地區、亞太地區和澳大利亞地區。

從美國東部時間11月9日晚上11點左右開始，Telnyx成為DDoS攻擊的目標，導致所有電話服務失敗或延遲。

Telnyx的狀態頁面顯示，“Telnyx目前正在遭受DDoS攻擊。在我們達成解決方案之前，您可能會遇到呼叫失敗、API和門戶延遲/超時、和/或消息延遲或失敗的問題。”

在持續遭受DDoS攻擊之后，Telnyx開始將其服務遷移到Cloudflare的Magic Transit服務，該服務為服務提供商提供DDoS保護。“Magic Transit通過充當IP網絡的‘前門’提供其連接性、安全性和性能優勢。這意味著它接受發往網絡的IP數據包、對其進行處理、然后將輸出到原始基礎設施。”

目前，Telnyx已將其EMEA和APAC地區的服務轉移到Cloudflare，并計劃在非高峰時段轉移美洲的服務。

參考來源：BleepingComputer http://33h.co/9jw7e

 

 

（如未標注，均為天地和興工業網絡安全研究院編譯）