目   錄

第一章 國內關鍵信息基礎設施安全動態

（一）我國互聯網遭受境外網絡攻擊，攻擊地址主要來自美國

第二章國外關鍵信息基礎設施安全動態

（一）美國NIST發布制造業ICS網絡安全指南

（二）俄羅斯石油公司Rosneft德國子公司遭受網絡攻擊泄露20TB數據

（三）以色列政府網站遭受大規模網絡攻擊

（四）日本汽車零部件制造商DENSO遭受Pandora勒索軟件攻擊

（五）OpenSSL修復高危DoS漏洞

（六）審計報告稱美國NASA大多數系統面臨內部威脅風險

（七）美國關鍵基礎設施遭受黑客攻擊或支付贖金時必須報告

（八）新型數據擦除惡意軟件CaddyWiper攻擊烏克蘭網絡

（九）歐姆龍PLC編程軟件中存在五個高危漏洞可導致遠程代碼執行

（十）俄羅斯創建自己的TLS證書頒發機構以應對制裁

（十一）英國渡輪Wightlink遭受復雜網絡攻擊泄露客戶信息

（十二）德國BSI機構建議不要使用卡巴斯基殺毒軟件

（十三）育碧遭受網絡安全事件

 

 

第一章 國內關鍵信息基礎設施安全動態

（一）我國互聯網遭受境外網絡攻擊，攻擊地址主要來自美國

國家互聯網應急中心（CNCERT）監測發現，2月下旬以來，我國互聯網持續遭受境外網絡攻擊，境外組織通過攻擊控制我境內計算機，進而對俄羅斯、烏克蘭、白俄羅斯進行網絡攻擊。

經分析，這些攻擊地址主要來自美國，僅來自紐約州的攻擊地址就有10余個，攻擊流量峰值達36Gbps，87%的攻擊目標是俄羅斯，也有少量攻擊地址來自德國、荷蘭等國家。

據悉，國家互聯網應急中心已及時對以上攻擊行為最大限度予以處置。

本文版權歸原作者所有，參考來源：新華社http://u6.gg/kjmzb

 

 

第二章 國外關鍵信息基礎設施安全動態

（一）美國NIST發布制造業ICS網絡安全指南

美國國家標準與技術研究院(NIST)3月16日發布了針對制造業工業控制系統網絡安全指南的最終版本，旨在幫助制造商改善其工業控制系統(ICS)環境的網絡安全。

該網絡安全實踐指南名為《在工業控制系統環境中保護信息和系統完整性：制造業的網絡安全》，是NIST的國家網絡安全卓越中心(NCCoE)、MITRE以及Microsoft、Dispel、Forescout、Dragos、OSIsoft、TDi Technologies、GreenTec、Tenable和VMware等多家私營部門公司合作的結果。

該指南表示，雖然連接運營技術(OT)和信息技術(IT)系統可能有利于制造商的生產力和效率，但這也使它們更容易受到網絡威脅。

該新版指南免費向組織提供，旨在解決一些相關挑戰，包括降低ICS完整性風險、加強OT系統、以及保護他們處理的數據。

該指南有369頁，描述了常見的攻擊場景，并提供了制造商可以實施的實用解決方案示例，以保護ICS免受破壞性惡意軟件、內部威脅、未經授權的軟件、未經授權的遠程訪問、異常網絡流量、歷史數據丟失和未經授權的系統修改。

該指南中的示例側重于應用程序白名單、行為異常檢測、文件完整性檢查、遠程訪問、用戶身份驗證和授權，以及檢測對硬件、軟件或固件的修改。

該指南中的攻擊場景之一涉及保護制造環境中的工作站免受通過USB閃存驅動器傳播的惡意軟件感染。使用Carbon Black(VMware)和Windows軟件限制策略(SRP)中的應用程序允許列表功能可以防止這些類型的感染。

如果攻擊向量是企業網絡而不是USB驅動器，該指南建議使用Carbon Black和Windows SRP提供的白名單功能，以及Dragos、Tenable、Forescout和Microsoft提供的用于行為異常檢測的解決方案。

該指南涵蓋的其他理論攻擊場景包括保護主機免受通過遠程訪問連接傳遞的惡意軟件、保護主機免受未經授權的應用程序安裝、防止未經授權的設備被添加到網絡、檢測設備之間的未經授權的通信、檢測對PLC邏輯的未經授權的修改、防止歷史數據修改、檢測傳感器數據操縱、以及檢測未經授權的固件更改。

該指南向制造商提供了有關如何安裝和配置每個供應商的產品以解決所描述的攻擊場景的分步說明。還有一章供項目經理和中層管理決策者使用，以幫助他們決定要使用哪些技術來解決其設施中的OT安全問題。

Dragos表示，“沒有時間或資金來驗證其用例的工業網絡安全技術類別的組織將發現輸出至關重要。與此同時，政府機構不偏不倚地領導了這項工作，這意味著這些文件不會有任何極端的供應商傾向。目標不是挑選產品的贏家和輸家，而是幫助組織簡單地了解可用技術的類型，以及如何部署/集成它們以提高投資回報率?！?/span>

NIST目前還在為制造商制定另一份網絡安全指南，重點關注網絡攻擊的響應和恢復，該指南目前處于草稿公眾意見征詢期。

參考來源：SecurityWeek http://u6.gg/kjh5w

 

（二）俄羅斯石油公司Rosneft德國子公司遭受網絡攻擊泄露20TB數據

據德國網站WELT報道，對Rosneft德國子公司的攻擊將產生“相關影響”。此次攻擊的消息也得到了德國聯邦信息安全辦公室(BSI)的證實，該公司在周六晚上報告了一起IT安全事件。BSI已表示支持調查安全漏洞，而WELT報告稱，當局已向石油行業的其他利益相關者發出安全警告。

黑客組織Anonymous聲稱入侵了俄羅斯石油公司Rosneft的德國子公司的系統，并竊取了20TB的數據。

WELT表示，“據報道，正在進行的業務不會受到俄羅斯石油公司的影響，但系統受到了重大影響。各種流程都被打亂，包括簽訂合同的可能性。懷疑黑客組織Anonymous是這次攻擊的幕后黑手?！?/span>

Rosneft的國際網站此前在2月底曾遭到Anonymous的大規模DDoS攻擊。此次攻擊可能對德國產生重大影響，據報道，Rosneft負責向德國進口約四分之一的原油。

此次攻擊的消息也在Anonleaks上進行了報道，Anonymous聲稱已于2022年3月11日入侵了該公司。Anonleaks譴責該公司的運營，以及前總理格哈德施羅德與普京的關系。

Anonleaks報道稱，“前總理格哈德施羅德是俄羅斯石油公司在俄羅斯的董事會主席。Rosneft老板Igor Ivanovich Sechin是俄羅斯政治家和經理。自1990年代以來，他一直是普京的密友。據報道，2003年，作為總統辦公廳副主任，他是法律訴訟的共同發起人，并最終解散了曾經最大的石油公司尤科斯?！?/span>

俄羅斯石油公司在海外的子公司沒有受到對這家能源巨頭的制裁的影響，因此Anonymous決定攻擊它。Anonymous聲稱，“對俄羅斯石油公司和一個完全不受影響的海外子公司的制裁，逃避制裁從未如此簡單，這些資產仍為俄羅斯帶來外匯?！?/span>

Anonymous聲稱已經破壞了公司的虛擬機、UPS等。該攻擊很可能在2022年3月10日被發現，并且數據泄露被中斷。Anonymous表示，“該計劃旨在完全提取所有可用數據，通過一個簡單的FTP連接相對容易實現，該連接也以5.5GB/s的速度提取。盡管如此，可以預期該系統將在系統中保留很長時間，因為總共可以訪問近25TB的數據，除了備份還有包含文檔的文件夾，可以訪問員工的iPhone和iPad。但不幸的是，下載中途中斷。不是因為你被抓住了，也不是因為已經連續不斷地在系統中不停地加載數據近兩個星期了。但是上周五，非常穩定的FTP連接中斷了，因為整個系統在晚上中斷了，突然沒有互聯網了。入口點本身仍然有效?！?/span>

參考來源：SecurityAffairs http://u6.gg/k573i

 

（三）以色列政府網站遭受大規模網絡攻擊

以色列國家網絡局表示，該國在3月14日周一遭受了網絡攻擊，導致一些政府網站短暫關閉，包括內政部、衛生部、司法部、福利部、及總理辦公室網站。此次攻擊是一次大規模DDoS攻擊。

政府資助的董事會在推特上表示，“在過去的幾個小時里，一家通信提供商發現了拒絕服務(DDoS)攻擊，因此在短時間內阻止了對包括政府網站在內的許多網站的訪問。截至目前，所有網站都已恢復活動?！?/span>

雖然以色列境內再次可以訪問，但網絡監控組織NetBlocks周一晚間表示，以色列的政府網絡“在國際上無法訪問”。法新社記者試圖訪問幾個以色列部委和國家網絡局的主頁，但在格林威治標準時間2000年之后就失敗了。

以色列日報《國土報》稱，該國國防機構的一位消息人士認為，這是對該國發起的有史以來規模最大的網絡攻擊。以色列交通部在政府網站遭到廣泛網絡攻擊后，對交通部緊急服務部門的情況進行了評估。目前尚不清楚是誰進行了黑客攻擊。

國防機構和國家網絡局已宣布進入緊急狀態，以研究損害程度，同時檢查以色列的戰略網站和政府基礎設施，例如以色列的電力和水務公司，看看它們是否也受到了攻擊。

國防機構聲稱，攻擊使用.GOV.IL域名的網站，該域名用于所有政府網站，但與國防相關的網站除外。另一個使用該域的網站是政府數據庫。盡管如此，一些網站仍然可以通過智能手機訪問。

襲擊發生后，通訊部Yoaz Hendel與通訊部的官員召開了一次會議。電信公司一直在努力讓被摧毀的網站重新上線，服務正在逐步恢復。

國家網絡局表示，“在過去的幾個小時里，發現了針對通信提供商的拒絕服務攻擊。因此多個網站的訪問在短時間內被屏蔽，其中包括政府網站。截至現在，所有網站都可以運行?！?/span>

以前對以色列網站的黑客攻擊歸因于與伊朗有關的攻擊者。伊朗和以色列陷入了一場暗戰，包括網絡攻擊以及物理站點攻擊。

周日，伊朗革命衛隊宣布，他們向伊拉克北部城市阿爾比勒屬于以色列的一個“戰略中心”發射了導彈，盡管控制該地區的庫爾德當局否認以色列在那里有基地。

導彈襲擊發生近一周后，兩名伊朗軍官在敘利亞的火箭襲擊中喪生，伊朗將其歸咎于以色列。以色列很少對敘利亞的個別襲擊發表評論，但承認對與伊朗有關的目標發動了數百次襲擊。

參考來源：NDTV http://u6.gg/k518s

 

（四）日本汽車零部件制造商DENSO遭受Pandora勒索軟件攻擊

日本汽車零部件制造商DENSO證實，其位于德國公司的網絡在3月10日遭受了第三方非法訪問，導致其中斷了設備的網絡連接，生產運營沒有受到影響。新型勒索軟件組織Pandora聲稱對該事件負責，并聲稱竊取了1.4TB的數據。

DENSO是世界上最大的汽車零部件制造商之一，為豐田、梅賽德斯-奔馳、福特、本田、沃爾沃、菲亞特和通用汽車等品牌提供廣泛的電氣、電子、動力總成控制和各種其他專業零件。該公司在日本以外運營，在全球擁有200多家子公司和168,391名員工，2021年的收入為446億美元。

DENSO在3月14日發布的聲明中證實，其在德國的公司網絡于2022年3月10日遭到入侵。該公司聲稱已檢測到非法訪問，并立即做出反應，切斷了入侵者與其他網絡設備的聯系，將影響僅限于德國部門。所有生產工廠和設施繼續正常運行，因此預計此次安全事件不會導致供應鏈中斷。

DENSO在聲明中表示，“DENSO已確認，其在德國的集團公司網絡于2022年3月10日被第三方非法訪問。在檢測到未經授權的訪問后，DENSO及時切斷了未經授權訪問的設備的網絡連接，并確認沒有影響其他DENSO設施。細節正在調查中，生產活動沒有中斷。該公司所有工廠都照常運營。DENSO已經向當地調查部門報告了這一事件。該公司正在與他們和專門的網絡安全機構合作以應對這種情況。DENSO對由此事件引起的任何擔憂或不便表示最誠摯的歉意。DENSO集團將再次加強安全措施，努力防止再次發生?！?/span>

DENSO供應鏈的中斷將在全球多個工廠的汽車生產中產生多米諾骨牌效應，打擊已經因芯片短缺和烏克蘭工廠關閉而已經陷入困境的汽車行業。

雖然DENSO表示網絡攻擊并未對其運營造成影響，但新的Pandora勒索軟件組織已開始泄露據稱在網絡入侵期間被盜的1.4TB文件。泄露的數據樣本包括采購訂單、技術原理圖、保密協議等。這些泄露文件的真實性暫時無法驗證。

DENSO已將違規行為通知當地調查機構，因此如果傳播的文件是真實的，則復制、共享或發布這些文件將構成對公司知識產權的侵犯。

雖然Pandora是一個擁有自己加密器的勒索軟件組織，但尚不清楚他們是否在攻擊之前成功加密了DENSO網絡上的文件。一位安全研究人員聲稱幾個月前在暗網市場上看到了一個網絡訪問列表，并警告DENSO關注被盜的憑據。盡管購買初始訪問產品是一種可能的情況，但該公司目前尚未披露它們是如何被破壞的。

對DENSO的網絡攻擊是2022年針對汽車制造商或著名汽車零部件生產商的第三次網絡攻擊。今年2月，全球最大的汽車制造商豐田由于其主要供應商之一的災難性IT故障，而不得不停止其14家日本工廠的生產。上周，普利司通證實了2月下旬的勒索軟件攻擊，其南美和北美的一些業務因此而停工，LockBit組織對此負責。

Pandora勒索軟件是2022年3月開始的新活動，針對企業網絡，并竊取數據，以進行雙重勒索攻擊。一旦獲得網絡訪問權限，威脅行為者將通過網絡橫向傳播，同時竊取未加密的文件用于敲詐勒索。

加密設備時，勒索軟件會將.pandora擴展名附加到加密文件名。當勒索軟件對文件進行加密時，Pandora將在每個名為Restore_My_Files.txt的文件夾中創建勒索記錄。這些贖金記錄解釋了設備發生的事情，并包括受害者可以聯系以進行贖金談判的電子郵件地址。

勒索記錄還包括一個鏈接，指向勒索軟件團伙用來進行雙重勒索活動的數據泄露網站。由于此勒索軟件操作非常新，因此尚不清楚他們如何訪問公司網絡，以及需要多少贖金。

安全研究員pancak3認為，Pandora是Rook勒索軟件的翻版，因為代碼相似性和操作使用的打包程序。Intezer在VirusTotal上檢測到Pandora勒索軟件樣本為Rook，表明代碼相似。

此外安全研究員Arkbird發現，Pandora使用與NightSky相同的可執行打包程序，后者是LockFile/AtomSilo勒索軟件操作的前身。

Rook還被認為是基于Babuk勒索軟件的源代碼，該代碼在去年9月在黑客論壇上被泄露。奇怪的是，Rook還在2021年12月發布了據稱屬于DENSO的數據，因此尚不清楚該公司是否曾兩次受到同一勒索軟件的攻擊。

在安全界，勒索軟件通常將重命名稱為rebrand，希望這能幫助他們逃避執法和政府的潛在制裁。然而，除非威脅行為者完全改變其惡意軟件代碼、工具和策略，否則總會有辦法檢測團伙何時更名，從而更容易鏈接到以前的勒索軟件操作。

如果Pandora是Rook的更名，則很可能會看到在此名稱下運行一段時間，然后再次更名為另一個名稱，就像其他的勒索軟件家族那樣。

參考來源：BleepingComputer http://u6.gg/kj9k1

 

（五）OpenSSL修復高危DoS漏洞

OpenSSL在3月15日發布了安全更新，修復了與證書解析相關的高危DoS漏洞CVE-2022-0778，利用該漏洞將激活無限循環功能，并導致拒絕服務條件。

拒絕服務攻擊不是最嚴重的安全問題，但是可以導致重大業務中斷、長期財務影響、及品牌聲譽下降。OpenSSL是許多大型在線平臺使用的無處不在的安全通信庫，因此任何影響庫的漏洞都會對大量用戶產生重大影響。

該OpenSLL高危漏洞是存在于BN_mod_sqrt()函數上的一個錯誤，如果提供一個惡意制作的證書進行解析，它將進入無限循環。證書必須包含壓縮形式的橢圓曲線公鑰或橢圓曲線參數，其基點以壓縮形式編碼，以觸發漏洞。

OpenSSL在安全聲明中表示，“由于證書解析發生在證書簽名驗證之前，因此任何解析外部提供的證書的過程都可能受到拒絕服務攻擊。在解析精心制作的私鑰時，也可以達到無限循環，因為它們可以包含明確的橢圓曲線參數?！?/span>

該問題影響許多部署場景，例如：使用服務器證書的TLS客戶端、使用客戶端證書的TLS服務器、托管服務提供商從客戶獲取證書或私鑰、證書頒發機構解析來自訂戶的認證請求、以及解析ASN.1橢圓曲線參數的任何其他內容。

該漏洞編號為CVE-2022-0778，影響OpenSSL版本1.0.2至1.0.2zc、1.1.1至1.1.1n和3.0至3.0.1。谷歌安全研究員Tavis Ormandy發現了該證書解析漏洞，并于2022年2月24日向OpenSSL團隊報告了這一發現。

3月15日發布的修復版本是1.1.1n和3.0.2，而只有1.0.2的高級用戶將通過1.0.2zd獲得修復。由于1.0.2版本在解析證書的過程中不解析公鑰，因此無限循環的觸發比其他版本稍微復雜一些，但還是可行的。OpenSSL 1.0.2已達到EOL且不積極支持，因此建議非高級用戶盡快升級到新的發布分支。

盡管OpenSSL并未表示該漏洞已被威脅行為者使用，但意大利國家網絡安全機構CSIRT已將其標記為在野外積極利用。OpenSSL團隊表示其目前沒有發現該漏洞的積極利用。即使信息好壞參半，利用的低復雜性和已發布的信息也將允許威脅行為者在未來快速測試和利用漏洞。

OpenSSL發言人聲明表示，“該漏洞并不難利用，但影響僅限于DoS。最常見的情況是，TLS客戶端訪問提供有問題證書的惡意服務器時，會出現利用該漏洞的問題。如果TLS服務器使用客戶端身份驗證（這是一種不太常見的配置），并且惡意客戶端嘗試連接到它，則可能會受到影響。很難猜測這將在多大程度上轉化為積極利用?！?/span>

由于大多數用戶從第三方獲得OpenSSL，因此沒有集中的權限來計算升級統計信息，因此無法估計有多少易受攻擊的部署。

參考來源：BleepingComputer http://u6.gg/kjb08

 

（六）審計報告稱美國NASA大多數系統面臨內部威脅風險

美國國家航空航天局(NASA)檢察長辦公室3月14日發布審計報告表示，NASA的大多數IT系統都面臨著來自內部的高風險。雖然NASA已有效實施了涵蓋機密系統的內部威脅計劃，但該機構的大多數系統都是非機密的，因此可能會暴露。

內部威脅可能包括源自網絡釣魚攻擊或錯誤轉發的電子郵件的意外泄漏、濫用網絡或數據庫訪問、以及數據盜竊，員工故意復制數據與第三方共享數據。

作為全面運作的內部威脅計劃的一部分，NASA監控機密網絡中的異常用戶活動，進行強制性威脅培訓，并建立了一個網站，幫助員工和承包商識別潛在威脅，并加強了采購控制。

該審計報告表示，“然而絕大多數IT系統，包括許多包含高價值資產和關鍵基礎設施的系統，都是非機密的，因此不在其當前的內部威脅計劃中。因此，該機構的非機密系統和數據可能面臨高于必要的風險?！?/span>

審計得出的結論是，NASA的內部威脅計劃符合聯邦要求，并且將非機密系統添加到該計劃可以提供額外的成熟度。NASA的內部威脅計劃成立于2014年，并在2018年被驗證為全面運行。

根據該報告，NASA內部機密威脅計劃的當前成熟度應該被認為足以保護系統免受不知情的內部人員的攻擊，特別是因為該機構要求每年進行內部威脅意識培訓。

然而審計人員還指出，NASA的大多數系統都是非機密的，這突出表明這些系統的內部威脅風險更高，因為許多系統包含敏感和有價值的信息，包括科學數據、個人信息和采購數據。

該審計報告表示，“在NASA，有價值的數據，包括與關鍵基礎設施和其他高價值資產相關的信息，都存在于非機密系統中。因此，非機密系統上的內部威脅事件可能會對機構的運作造成嚴重威脅?！?/span>

盡管NASA確實限制了對高價值資產和關鍵基礎設施的訪問，但并不監控對與知識產權和高價值資產相關的非機密數據的訪問。雖然非機密系統被分配給具有有限權限的用戶，但在過去三年中，NASA收到了超過12,000個提升權限的請求，這些請求可以下載特定任務的軟件。

該報告表示，“如果沒有對該軟件的目的和來源進行適當的監控，NASA系統很容易受到惡意偽影的影響，這些偽影可能會破壞系統或收集信息并將信息傳遞給外部來源。此外，通過提升用戶權限訪問IT系統，會對系統配置引入意外的、有害的更改，從而大大增加網絡安全事件的風險?！?/span>

雖然NASA官員認為，該機構的網絡安全態勢將極大地受益于將內部威脅計劃擴展到非機密系統，但應首先解決人員配備和技術限制。即便如此，該計劃仍應擴大。

審計人員建議NASA建立一個跨學科團隊，對非機密系統進行內部威脅風險評估，并確定是否應將內部威脅計劃擴大到涵蓋這些系統，并確保該機構確保改進跨學科溝通。

參考來源：SecurityWeek http://u6.gg/kjyyr

 

（七）美國關鍵基礎設施遭受黑客攻擊或支付贖金時必須報告

根據美國國會批準的新規定，對美國國家利益至關重要的公司現在必須在遭到黑客攻擊或支付勒索軟件時進行報告。

這些規定是拜登政府和國會在一系列備受矚目的數字間諜活動和破壞性勒索軟件攻擊之后加強國家網絡防御的更廣泛努力的一部分。該報告將使聯邦政府更清楚地了解針對私營公司的黑客活動，這些公司通常不會向FBI或其他機構尋求幫助。

參議院國土安全和政府事務委員會負責人、并起草該法案的密歇根州民主黨參議員Gary Peters表示，“很明顯，我們必須采取大膽的行動來改善我們的在線網絡防御系統?！?/span>

報告要求立法已獲得了眾議院和參議院的批準，預計將很快由拜登總統簽署成為法律。它要求任何被視為國家關鍵基礎設施一部分的實體，包括金融、交通和能源部門，在三天內向政府報告任何“重大網絡事件”，并在24小時內向政府報告任何勒索軟件付款。

勒索軟件攻擊近年來十分猖獗，犯罪分子通過加密攻擊目標并劫持其數據，直到支付贖金。去年世界上最大的肉類包裝公司JBS和美國最大的燃料管道Colonial遭受攻擊，導致東海岸的加油站出現數日短缺，突顯了敲詐勒索黑客組織如何擾亂經濟，并危及生命和生計。

來自其他國家的黑客不斷成功地侵入和監視美國目標，包括關鍵基礎設施目標。最引人注目的是在2020年底被發現的SolarWinds網絡間諜活動。專家和政府官員擔心，俄烏沖突增加了國家或威脅者對美國目標進行網絡攻擊的威脅，許多勒索軟件運營商在俄羅斯生活和工作。

俄亥俄州共和黨參議員Rob Portman表示，“由于美國在俄烏沖突期間選擇支持烏克蘭，我擔心俄羅斯對美國關鍵基礎設施的網絡和勒索軟件攻擊的威脅將會增加?！?/span>

該立法指定國土安全部的網絡安全和基礎設施安全局作為接收黑客和勒索軟件付款通知的牽頭機構。這引起了聯邦調查局的擔憂，聯邦調查局曾公開呼吁對該法案進行調整，在白宮全面批準的立法上出現了不同尋常的公開分歧。

聯邦調查局局長Christopher Wray在堪薩斯大學的網絡活動中表示，“我想提醒所有人，我們需要的不是一大堆不同的報告，而是所有需要它的人實時訪問同一份報告。所以這就是我們所說的，不是多個報告鏈，而是對信息的多重訪問、多重同步行動?！?/span>

FBI還表示擔心，針對向CISA報告違規行為的公司的責任保護，不會擴展到向FBI報告違規行為。FBI認為，這一問題可能會使執法工作變得不必要地復雜化，以應對黑客攻擊和幫助受害者。

參與起草該法案的立法者對聯邦調查局進行了反擊，稱該局對收到黑客通知和責任問題的擔憂在最終版本中得到了充分解決。新規則還授權CISA傳喚未報告黑客攻擊或勒索軟件付款的公司，而不遵守傳票的公司可能會被提交給司法部進行調查。

參考來源：abcNews http://u6.gg/k5jpk

 

（八）新型數據擦除惡意軟件CaddyWiper攻擊烏克蘭網絡

ESET研究人員發現了一種新型名為CaddyWiper的數據擦除器，用于攻擊烏克蘭組織，是俄烏沖突以來針對烏克蘭的第四款破壞性惡意軟件。CaddyWiper與此前的惡意軟件沒有明顯的代碼相似性，會擦除用戶數據和分區信息，但不會破壞存儲在域控制器上的信息，從而允許攻擊者保持對受感染網絡的訪問。

ESET在3月15日發布研究文章稱，其新發現了一款用于攻擊烏克蘭組織的破壞性數據擦除器，名為CaddyWiper，在3月14日上午首次檢測到。該惡意軟件會破壞連接驅動器中的用戶數據和分區信息，在少數組織的數十個系統上被發現，被ESET產品檢測為Win32/KillDisk.NCX。

CaddyWiper與HermeticWiper或IsaacWiper沒有明顯的代碼相似性，這兩個數據擦除器自2月23日起襲擊了烏克蘭組織。然而與HermeticWiper非常相似，有證據表明CaddyWiper背后的威脅行為者在釋放Wiper之前滲透了目標的網絡。

這是ESET研究人員第三次在烏克蘭發現數據擦除惡意軟件。今年以來，安全研究人員共發現了四款針對烏克蘭組織的數據擦除惡意軟件，包括WhisperGate、HermeticWiper和IsaacWiper。

在俄烏沖突前夕，ESET的遙測技術在一些烏克蘭知名組織的網絡上發現了HermeticWiper。這些活動還利用了HermeticWizard，一種用于在本地網絡內傳播HermeticWiper的自定義蠕蟲病毒，以及充當誘餌勒索軟件的HermeticRansom。第二天，針對烏克蘭政府網絡的第二次破壞性攻擊開始了，這次部署了IsaacWiper。今年1月，另一個名為WhisperGate的數據擦除器席卷了烏克蘭多個組織的網絡。

在過去八年里，烏克蘭發生了一連串攻擊事件，此次只是其中的最新一次。ESET研究人員表示，自2014年以來，烏克蘭一直處于一系列極具破壞性的網絡攻擊中，其中包括2017年6月的NotPetya攻擊，攻擊了許多烏克蘭企業的網絡，然后蔓延到該國境外。

參考來源：ESET http://u6.gg/k5vmc

 

（九）歐姆龍PLC編程軟件中存在五個高危漏洞可導致遠程代碼執行

日本電子巨頭歐姆龍的CX-Programmer軟件最近修補了五個可用于遠程代碼執行的高危漏洞。

日本JPCERT/CC在3月4日發布的安全公告顯示，該產品存在五個越界寫入、越界讀取、及釋放后使用高危漏洞，所有漏洞的CVSS評分均為7.8。

CX-Programmer是歐姆龍CX-One自動化軟件套件的一部分，用于編程和調試Omron的PLC。根據美國CISA稱，該產品在全球范圍內使用，包括關鍵制造業。

CX-Programmer漏洞影響版本9.76.1及更早版本。這些漏洞是由安全研究員Michael Heinzl發現的，已于2021年5月和2021年6月通過JPCERT/CC報告給供應商。

研究人員表示，這些漏洞是由于缺乏適當的數據驗證造成的，成功利用可能導致信息泄露或任意代碼執行。然而，利用需要用戶交互，例如誘騙目標用戶打開特制的CXP文件。Heinzl已針對每個安全漏洞發布了建議。每個漏洞都有一個CVE編號。

根據JPCERT/CC的說法，這些漏洞已在CX-Programmer 9.77中進行了修補，該版本已于1月份發布。JPCERT/CC指出，CX-One套件具有自動更新功能，大多數用戶不需要采取任何行動即可應用補丁。但是，建議用戶確保自動更新正常工作，并在遇到該功能問題時聯系供應商。

CISA尚未針對這些漏洞發布公告，但該機構通常會通知美國的組織有關Omron產品中的安全漏洞。

Heinzl之前發現了富士電機的Tellus工廠監控和操作產品、臺達電子的DIAEnergie工業能源管理系統、以及捷克工業自動化公司mySCADA的myPRO HMI/SCADA產品中的漏洞。

參考來源：SecurityWeek http://u6.gg/k57yq

 

（十）俄羅斯創建自己的TLS證書頒發機構以應對制裁

由于西方政府及公司對俄羅斯實施制裁，俄羅斯網站無法更新現有的TLS證書，導致Web瀏覽器阻止對證書過期的網站的所有訪問。為了解決這種情況，俄羅斯創建了自己的可信的TLS證書頒發機構（CA）。

由于此問題而顯示整頁警告的Web瀏覽器包括：谷歌Chrome瀏覽器、蘋果Safari瀏覽器、微軟Edge瀏覽器、以及Mozilla火狐瀏覽器。Web瀏覽器使用的TLS證書通過將加密密鑰安全地鏈接到組織的詳細信息來保護客戶端和目標網站之間的通信。

因此，預計俄羅斯數字發展部將提供一個國內替代方案，來處理TLS證書的撤銷和更新。如果網站所有者請求提供服務，證書將在五個工作日內交付，證書適用于在俄羅斯運營的所有法人實體。

新的證書頒發機構(CA)首先需要經過各種公司的審查，這可能需要相當長的時間才能獲得主要Web瀏覽器的信任。而目前，只有Yandex和Atom產品承認俄羅斯的新CA是值得信賴的?，F在出現的問題是，Google Chrome、Microsoft Edge、Mozilla Firefox和Apple Safari等Web瀏覽器是否會通過接受新的俄羅斯證書頒發機構頒發的證書，來允許與認證服務器的安全連接。

許多站點已經收到并正在使用俄羅斯國家頒發的證書，包括俄羅斯聯邦儲蓄銀行、俄羅斯外貿銀行、及俄羅斯中央銀行。此外，俄羅斯媒體還發布了一份198個域名的清單，聲稱已通知他們使用國內的TLS證書，但尚未強制執行。

但是令人擔憂的是，俄羅斯可能會利用其根證書來攔截HTTPS流量，并執行多次網絡攻擊。由于證書頒發機構缺乏信任，主要瀏覽器供應商不太可能將俄羅斯的根證書添加到其根證書存儲中。

參考來源：GBHackers http://u6.gg/k5jvk

 

（十一）英國渡輪Wightlink遭受復雜網絡攻擊泄露客戶信息

英國渡輪運營商Wightlink近日遭受了“高度復雜”的網絡攻擊，可能泄露了“少數客戶和員工”的個人數據。該事件發生在2月份，影響了一些后臺IT系統，但沒有影響其渡輪服務、預訂系統或網站。執法部門和英國信息專員辦公室(ICO)以及潛在的違規受害者已收到通知。

Wightlink在英格蘭東南部的漢普郡和南部海岸附近的懷特島之間運營著三條航線，每天有100多趟航班，每年運送460萬名乘客。

在一份聲明中Wightlink表示,“不幸的是，盡管Wightlink采取了適當的安全措施，但一些后臺IT系統在上個月受到網絡攻擊的影響。然而，這一犯罪行為并未影響Wightlink的渡輪和FastCats，它們在襲擊期間和襲擊后繼續正常運營，預訂系統和網站也未受到影響?！?/span>

Wightlink表示，事件一經發現，就聘請了第三方網絡安全專家對情況進行調查和評估。除了向ICO報告此事外，該運營商還正在與東南地區有組織犯罪部門聯絡。

Wightlink表示，“我們不處理或存儲預訂的支付卡詳細信息。然而調查發現，少數客戶和員工的其他個人信息可能在事件中被泄露?！?/span>

Wightlink首席執行官Keith Greenfield表示，“這是對基本服務的高度復雜的犯罪攻擊。我要感謝Wightlink的所有同事，他們迅速做出反應，確保將對客戶的影響降到最低，并且跨Solent旅行和預訂不受影響?！?/span>

參考來源：TheDailySwig http://u6.gg/k519h

 

（十二）德國BSI機構建議不要使用卡巴斯基殺毒軟件

德國聯邦信息安全辦公室(BSI)3月15日發布警告稱，建議消費者不要使用卡巴斯基的殺毒軟件，因為該公司可能與俄烏沖突期間的黑客攻擊有關，并建議盡快替換成其他供應商的網絡防御解決方案。

在警報中，BSI沒有指控卡巴斯基有任何具體違反客戶信任的行為，但提到了在俄烏沖突期間，俄羅斯對歐盟、北約和德國的敵意。

BSI聲明表示，“俄羅斯IT制造商可以自己進行攻擊性操作，被迫違背自己的意愿攻擊目標系統，或者在不知情的情況下被監視為網絡操作的受害者，或者被濫用作為攻擊其客戶的工具?！?/span>

卡巴斯基一直表示，它與俄羅斯政府分開運作，公司創始人尤金卡巴斯基在3月初一條推特文章中對俄烏沖突保持中立態度。然而，德國的警告呼應了導致美國政府在2017年從聯邦機構禁止卡巴斯基產品的擔憂。

BSI表示，當IT產品可能受到外國政府的威脅時，“具有特殊安全利益的公司和當局以及關鍵基礎設施的運營商尤其面臨風險”。

卡巴斯基周二發表聲明回應稱，“繼續實施具體措施，向客戶展示我們對誠信和可信賴的持久承諾是我們最關心的問題。我們認為，這一決定不是基于對卡巴斯基產品的技術評估，我們一直在BSI和整個歐洲倡導這一點，而是基于政治理由做出的。我們將繼續向我們的合作伙伴和客戶保證我們產品的質量和完整性，我們將與BSI合作，以澄清其決定，以及解決其和其他監管機構擔憂的方法?！?/span>

卡巴斯基在2020年表示，已將其所有數據處理從俄羅斯轉移到瑞士。從那時起，“德國卡巴斯基產品用戶自愿共享的惡意和可疑文件在蘇黎世的兩個數據中心進行處理，這些數據中心提供符合行業標準的世界級設施，以確保最高級別的安全性?！?/span>

該公司還在加拿大、歐洲和其他地方開設了“透明度中心”，供客戶審查其代碼?？ò退够诰W絡威脅研究方面的聲譽仍然很高，聘請了來自俄羅斯以外國家的分析師。其中一名研究人員Ivan Kwiatkowski于3月9日在其個人網站上發布了對該公司及其工作的辯護。

參考來源：CyberScoop http://u6.gg/k5cxc

 

（十三）育碧遭受網絡安全事件

軟件公司育碧3月11日披露，其上周遭受了一起“網絡安全事件”，暫時中斷了一些游戲、系統和服務，游戲和服務都正常運行，并在全公司范圍內進行了密碼重置。育碧沒有披露此次事件的攻擊者，但疑似是LAPSUS$勒索軟件組織。

育碧在網絡安全事件通告中表示，“上周，育碧經歷了一起網絡安全事件，導致我們的一些游戲、系統和服務暫時中斷。我們的IT團隊正在與領先的外部專家合作調查該問題。作為預防措施，我們啟動了全公司范圍的密碼重置。此外，我們可以確認，我們所有的游戲和服務都正常運行，并且目前沒有證據表明任何玩家的個人信息被訪問或被暴露?！?/span>

育碧發言人Jessica Roache沒有披露更多細節。最近也發生了一系列備受關注的黑客攻擊事件。英偉達在3月1日證實其遭受而來黑客攻擊，并表示黑客正在泄露員工憑證和專有信息。三星3月7日表示，黑客竊取了公司內部數據和Galaxy設備的源代碼。LAPSUS$黑客組織已對這兩次違規行為負責。

但這可能還不是全部。3月11日，在LAPSUS$運營的Telegram頻道中，LAPSUS$在相關報道鏈接中回復了笑臉表情符號，似乎也對育碧事件負責。LAPSUS$在回復Telegram用戶評論時，確認其沒有育碧的客戶信息。育碧沒有對此作出回應。

 

參考來源：TheVerge http://u6.gg/k5787

 

（如未標注，均為天地和興工業網絡安全研究院編譯）