Part 1. 国内
中央网信办部署开展“清朗·打击网络谣言和虚假信息”专项行动
为深入清理网络谣言和虚假信息,营造风清气正的网络环境,按照2022年“清朗”系列专项行动总体安排,中央网信办决定自9月2日起在全国范围内启动为期3个月的“清朗·打击网络谣言和虚假信息”专项行动。全面深入清理网络谣言和虚假信息,着力解决旧谣言反复传播、新谣言层出不穷的问题。健全完善监测、发现、辟谣、处置全流程工作规范,压紧压实网站平台主体责任,打通谣言治理工作的“最后一公里”。加大造谣传谣行为惩治力度,查处曝光典型案例,形成强大震慑,最大限度挤压网络谣言和虚假信息生存空间,营造清朗网络环境。
西北工业大学遭网络攻击,调查报告发布:源头系美国国家安全局!
9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。调查中,国家计算机病毒应急处理中心和360公司联合组成技术团队,全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)。
工信部:我国网络安全产业总规模突破2000亿元
近日,工业和信息化部举行“新时代工业和信息化发展”系列新闻发布会第二场,主题是“打通经济社会信息大动脉”。在发布会上,工业和信息化部网络安全管理局一级巡视员周少清表示,2021年,我国网络安全产业总体规模突破2000亿元,“十三五”时期年均增长率达15%,产业综合实力快速提升。目前我国正在布局建设北京、长沙、成渝三大国家网络安全产业园区,打造一批产业公共服务平台、创新示范中心,网络安全产业集聚式、规模化发展态势初步形成。
工信部:加强数据安全系统布局谋划
9月6日,工信部网络安全管理局一级巡视员周少清近日表示,工信部将加强数据安全工作的系统布局谋划,抓好数据安全监管体系建设,制定出台工信领域数据安全管理制度,健全完善数据分类分级、重要数据保护、风险评估、应急管理等重点管理机制,发展好数据安全产业,为国家数据安全保障提供有力支撑。
最高人民法院:加强源头治理 持之以恒抓好个人信息司法保护各项工作
据最高人民法院9月6日消息,人民法院依法惩治电信网络诈骗犯罪工作情况暨典型案例新闻发布会今日召开。最高人民法院刑三庭庭长马岩在发布会上表示,在信息化时代,公民个人信息保护已成为人民群众最关心、最直接、最现实的利益问题之一。
近年来,侵犯公民个人信息违法犯罪活动多发,社会广泛关注。非法获取、提供公民个人信息等违法犯罪作为电信网络诈骗犯罪活动的上游犯罪及周边黑灰产,为诈骗犯罪分子实施精准诈骗提供了更加便利的条件,成为电信网络诈骗犯罪的催化剂和助推器。
《2022上半年网络安全漏洞态势观察》发布
9月6日,由中国信息安全测评中心牵头编写的《2022上半年网络安全漏洞态势观察》报告(以下简称《报告》)正式发布。《报告》围绕漏洞危害、漏洞利用、漏洞管控等态势进行研究,把握总体趋势,分析现实威胁,探讨主要风险点,提出对策建议。《报告》的发布将为国家网络安全保障工作提供参考,进一步推动网络安全产业的发展。
三部门联合发布《互联网弹窗信息推送服务管理规定》
近日,国家互联网信息办公室、工业和信息化部、国家市场监督管理总局联合发布《互联网弹窗信息推送服务管理规定》(以下简称《规定》),自2022年9月30日起施行。国家互联网信息办公室有关负责人表示,《规定》旨在加强对弹窗信息推送服务的规范管理,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展电脑。
公安部等九部门联合部署开展打击惩治涉网黑恶犯罪专项行动
按照全国扫黑除恶斗争领导小组部署要求和2022年常态化开展扫黑除恶斗争工作安排,近日,公安部会同中宣部、中央网信办、最高人民法院、最高人民检察院、工信部、司法部、人民银行、银保监会联合印发通知,部署在全国开展为期一年半的打击惩治涉网黑恶犯罪专项行动,全力推动常态化扫黑除恶斗争在信息网络空间持续纵深开展。
Part 2. 国外
1、网络空间安全政策与管理动态
标准机构发布物联网安全测试指南
9月1日报道,领先的行业标准社区发布了其首个物联网安全产品测试指南,以推动独立的基准测试和认证工作。该指南涵盖六个关键领域:
所有测试和基准测试都侧重于验证最终结果和性能而不是后端功能的一般原则
样本选择,包括为物联网安全解决方案基准测试选择正确样本的挑战指南确定“检测”,因为物联网安全解决方案在检测和采取的措施方面与传统网络安全产品的工作方式不同测试环境,包括对选择不在使用真实设备的可控环境中执行的测试人员的建议在侦察、初始访问和执行等不同攻击阶段测试特定安全功能性能基准测试。
美国防信息系统局发布数据战略实施计划
9月2日报道,国防信息系统局(DISA)于8月30日发布《数据战略实施计划(IPlan)》,以改善数据集成和利用、信息技术和网络能力,提高该机构“将数据用作战略资产”的能力。
该战略实施计划描述了信息架构和数据管理的现代方法,概述了组织活动所需的工作流程,定义了未来的活动,并确定了DISA的下一步工作。
该计划设定了四大努力方向,包括:
一是推动数据架构和治理。旨在开展适当的数据管理,确保数据是可发现、可访问电脑、可理解、可链接、可信赖、可互操作和安全的,从而为作战人员提供关键优势。
二是采用先进分析流程。旨在部署预测建模、机器学习算法、业务流程自动化和其他统计方法来分析各种来源的数据,消除“信息孤岛”并以敏捷和可扩展的方式连接决策者,通过提高决策过程的速度和准确性来提高响应能力。
三是建立数据驱动的文化。旨在从根本上转变机构文化,重新定义机构与数据的关系,重视所有数据的内在价值,建立将数据保持在决策过程中心的环境。四是实践知识管理。旨在确保在整个机构中沟通和理解机构领导人的意图,使员工可以轻松获取权威数据和信息,并提供快速更新和分发数据和信息的流程,从而加速机构促进决策制定的能力。
英国政府发布新的人工智能安全指南
9月2日报道,英国国家安全机构——国家网络安全中心(NCSC)发布了新的指南,旨在帮助开发人员和其他人根除和修复机器学习(ML)系统中的漏洞,为任何希望减轻可能的对抗性机器学习(AML)的组织制定了机器学习安全原则。
AML攻击利用ML或AI系统的独特特征来实现各种目标。随着AML进入越来越关键的系统范围,AML已成为一个更加紧迫的问题,为医疗保健,金融,国家安全等奠定了基础。新原则将帮助任何“参与开发,部署或退役包含ML的系统”的实体。他们旨在解决ML系统中的几个关键弱点,包括:
l 对数据的依赖:操纵训练数据可能会导致意外行为,然后攻击者可以利用这些行为;
l 不透明的模型逻辑:开发人员可能无法完全理解或解释模型的逻辑,这可能会损害他们降低风险的能力;
l 验证模型的挑战:几乎不可能验证模型在可能受到的整个输入范围内的行为是否符合预期,因为可能有数十亿个这样的输入;
l 逆向工程:威胁参与者可以重建模型和训练数据,以帮助他们进行攻击;
l 电脑 需要重新培训:许多ML系统使用“持续学习”来随着时间的推移提高性能,但这意味着每次生成新模型版本时都必须重新评估安全性。这可能是每天几次。
美国国家标准与技术研究院将发布远程医疗与智能家居安全风险指南
9月2日报道,美国国家标准与技术研究院(NIST)称即将发布题为《减轻远程医疗智能家居集成中的网络安全风险》(Mitigating Cybersecurity Risk in Telehealth Smart Home Integration)的安全风险指南。
该指南将由NIST的国家网络安全卓越中心发布,其将向消费者概述如何利用新技术在安全的数字环境中访问其医疗保健信息。该指南专门针对物联网设备,原因在于这些设备在家庭网络中共享数据时容易受到黑客攻击。NIST将把现有的网络安全框架、隐私框架和风险管理框架纳入指南,以帮助识别智能家居远程医疗设备中的威胁。
乌克兰与爱沙尼亚签署数字合作备忘录
9月3日报道,爱沙尼亚IT与外贸部长Kristjan J?rvan与乌克兰签署了一份数字合作备忘录,以促进两国在数字化转型领域的经验交流,特别是在网络安全和国家数字化解决方案方面的交流。
Kristjan J?rvan表示,网络安全是国家安全的基石之一,乌克兰在应对网络攻击方面的成功表明,两国之间的知识交流卓有成效。J?rvan指出,爱沙尼亚作为全球最受重视的网络安全倡导者之一,已派遣顾问推动乌克兰的网络弹性。
J?rvan补充说,乌克兰将爱沙尼亚视为发展其数字政府的关键合作伙伴,同时爱沙尼亚很高兴促进乌克兰数字服务与欧洲的整合,支持其网络能力,以及继续致力于创建数字国家。”
负责数字化转型的副部长Luukas Kristjan Ilves强调,乌克兰的数字治理能力在过去几年中发展迅速。他表示在战争期间,乌克兰人表现出了令人难以置信的敏捷性,在短至几天、长至几周的时间里就创造了全新的电子服务。
印度展开面向政府官员的网络安全培训
9月3日报道,为了提高所有政府部门的首席信息安全官(CISO)和一线IT官员的能力,印度信息技术部组织了一项名为“Cyber Surakshit Bharat”的网络培训计划。
印度国家电子政务司(NeGD)按照其能力建设计划,于8月22日至电脑26日组织了第30次CISO深入培训计划。此类培训旨在教育CISO并使他们能够全面而彻底地了解网络攻击,获得最新技术的必要知识,并将弹性电子基础设施的好处转化为个人组织和广大公民。印度政府希望以此向政府官员宣传对网络犯罪的认识,以确保他们能采取适当的安全措施来应对日益严重的威胁。
此类CISO培训于2018年启动,是政府与行业联盟在公私合作(PPP)模式下的首创。自2018年6月以来,这些计划已使1224名高级官员能够保护所属机构的数字基础设施和系统。
Meta违反GDPR被罚4亿美元
9月6日报道,9 月 6 日,“Meta 违反了 GDPR 被罚款 4 亿美元(约28亿元人民币)”的新闻迅速引爆了科技圈,数据和隐私安全问题再次成为网友议论的焦点。爱尔兰数据保护委员会(DPC)在9月2日给出上述判决,并根据欧盟《通用数据保护条例》(以下简称“GDPR”)开出的此项罚单。一旦处罚落地,这将成为迄今为止金额最大的罚单之一,也从侧面反映出欧盟打击未成年人隐私泄露的决心和力度。
巴基斯坦政府称自己的网络安全团队“无能”
9月7日报道,巴基斯坦议会的一个委员会称自己的网络安全机构“无能”。
这项筑坝评估是由该国信息技术和电信常设委员会在周一召开的会议上提出的,该会议旨在向委员会成员介绍巴基斯坦信息技术和电信部的运作情况。
委员会的会议记录包括以下声明:委员会对该部一些部门的业绩,特别是网络安全小组的业绩表示不满。该委员会指示信息技术和电信部解决网络安全小组的无能问题。
会议还标志着修订后的《网络犯罪网络安全和社交媒体规则》的进一步发展。
CISA梳理保护关键基础设施的战略
9月7日报道,美国网络安全和基础设施安全局正准备推出一项战略计划,以保护该国的关键基础设施行业,并开发一个新的网络安全咨询系统。
美国网络防御局局长于9月7日在比林顿网络安全峰会上详细介绍了这两项单独的举措,称关键基础设施计划将确保保护.GOV领域,降低风险,提高弹性并扩大运营合作。伊斯特利表示,该计划将在“几天内”发布,强调过去一年的经验教训,此外还有“通过美国政府拥有最广泛的信息共享机构进行合作”。她还指出,该战略将结合CISA在2021年建立公私合作伙伴关系后采用的联合网络防御协作(JCDC)采用的防御技术和创新信息共享方法。
新的国防部零信任战略将概述90种能力
9月7日报道,一名国防部官员近日表示,五角大楼即将推出的新零信任战略,且可能会在本月的某个时候发布。
该战略与五角大楼之前的零信任框架不同,概述使国防部达到零信任所需的90多种能力,定义国防部在主要控制与最敏感系统之间的零信任方法,并介绍了三种方法来实现国防部的目标零信任目标,包括提升每个服务和机构的当前环境以满足90种功能,并在本地实施满足最高零信任级别的零信任云。
零信任是五角大楼越来越关注的一个框架,它假设网络总是面临受到威胁的风险,并要求所有用户进行身份验证和授权。1月,拜登政府制定了一项联邦零信任架构战略,要求各机构在2024财年年底前达到特定的网络安全标准;空军首席信息官标识,零信任是使空军能够简化其作战环境的框架,并在8月底发布的一份新的临时战略草案中定义其未来六年的零信任愿景。
美国交通安全局发布车辆网络安全最终指南
9月8日报道,美国国家公路交通安全管理局网络安全实践的最终版本于周五在《联邦公报》上公布,重点是加密技术,随着车辆在技术上变得更加集成,以减轻黑客攻击风险。
在“现代车辆安全的网络安全最佳实践”最终草案中,NHTSA官员在草案出版物的公开评论期内听取了公众的建议,并增加了有关关键系统和加密元素的更多详细信息,以及攻击者如何使用软件更新渗透车辆网络。根据公众意见,添加到指南范围中的其他主题包括维修权问题、对源材料的新引用和改写。
“最佳实践中包含的建议旨在适用于参与机动车辆及其电子系统和软件的设计,开发,制造和组装的所有个人和组织,”联邦公报通知中写道。
这些建议涵盖的实体包括小型和大型机动车辆,也供汽车设备设计师和制造商使用。每项指南都旨在防止因将新技术引入现代汽车而产生的责任。
该报告背后的NHTSA作者特别承认,汽车网络安全领域缺乏广泛的知识,因为它仍然是一个新兴的领域。鉴于汽车行业组织结构的多样性,官员们指出,不同的供应商和制造商具有不同的网络安全威胁级别。
无论如何,官员们建议相关公司和利益相关者采取适当的安全预防措施。
“关于好处,不实施适当网络安全措施的实体,如以这些建议为指导的实体,或其他健全的控制措施,在发生网络攻击时面临更高的网络攻击风险或增加的风险,这可能导致公众的安全担忧,”通知说。
CISA将正式征求行业对网络安全事件报告规则的反馈
9月8日报道,联邦网络官员将正式要求行业领导者“在未来几天内”帮助塑造网络安全事件报告的监管结构,国土安全部网络安全和基础设施安全局局长Jen Easterly周三表示。
事件报告框架遵循拜登总统3月签署的新法律,该法律要求关键基础设施所有者和运营商在72小时内向CISA报告重大网络攻击,并在24小时内报告勒索软件攻击。
CISA表示,它将利用这些报告迅速将资源部署到受到攻击的受害者,并与网络防御者共享信息。
2、信息通信与网络安全技术发展
5G和云可以协同工作,以改善政府运营
9月6日报道,在上周的先进技术学术研究中心和联邦移动集团会议上,政府和行业专家讨论了5G对云的影响,强调了这两种技术如何携手合作,并可用于进一步的机构任务。具体而言,专家们指出,两者都有助于提高机构效率,因为将5G与云集成可以减少延迟,增强通信并改善数据处理和存储。
小组成员包括:美国退伍军人事务部国家协作医疗创新中心主任Thomas Osborne博士;Brian Merrick,美国国务院云项目主任;以及Kevin McFadden,思科系统公司为美国公共部门/联邦政府提供的首席5G业务架构师。
Osborne指出,VA正在使用5G来改善其使用收集数据的方式。为了实现这一目标,他说VA将“利用这些大型基础设施更快地移动更多数据,以便使我们能够以有限的方式做我们现在只做的事情,或者允许我们做以前只能梦想的事情。
梅里克表示,随着国务院在国内外的办公地点,该机构正在努力“建立我们的多云环境......我们还大幅增加了对数据分析能力的投资,因此我们真正关注的是5G,以将所有这些功能整合在一起,并将该功能从总部推出。
他补充说:“如果你愿意的话,我们不是把5G看作是一个独特的试点,而是把它看作是一个基础,帮助我们达到规模和速度。显然,我们需要确保一些我们也在做的事情。随着基础设施的激增,[它]真正开始使我们的网络安全和我们的邻居与我们的内部部署能力相提并论。这将记录在我们的云战略中。为了实际操作这些环境,我们需要开始进入更多的无代码平台,更多的[软件即服务],更多的云安全性,姿势管理,所有这些类型的东西都必须协同工作。
与此同时,麦克法登详细介绍了5G将如何改变用户体验。“我认为我们已经看到了来自商业运营商的很多挑战,试图展示用户体验的变化(通过使用5G)。......其中一部分将是商业运营商重新调整他们对5G所做的工作,以及我们将在私有5G和公共5G之间看到的这种二分法,“他说。“我的意思是,现在有很多关于5G如何真正成为企业解决方案的一部分的讨论,而不是被商业运营商消费。当我在政府机构甚至商业环境中时,我能用5G做些什么,而我不能用Wi-Fi或商业运营商做什么?
根据思科的说法,“5G通过将云向客户端提供连接体验,将连接提升到一个新的水平。此外,随着5G的不断部署和云计算扩展到边缘,这将使这些技术能够协同工作,并帮助有效地存储和处理数据,正如谷歌所指出的那样。
“这让我们有机会,只要我们进入网络,就能够努力尽快离开网络,进入你的应用程序,”麦克法登说。“这也涉及到云的概念。如果我能将云交付到靠近云环境入口的位置,您将获得最佳的用户体验。另一部分是,随着5G变得更加分散和分解,我们可能仍然拥有国家网络的中央聚合,中央情报点,但[5G将增加]]将策略,安全性和计算应用于边缘的能力,这是一般的论点。
Merrick提供了不断增长的5G功能的用例示例,例如在各种位置更快地共享信息和数据。对于Osborne来说,这将有助于VA“在不同群体之间共享数据”并改善其医疗保健。
“网络允许我们用边缘计算做的是网络成为计算机,”奥斯本说。“因此,这些设备的尺寸可以缩小,它们可以变得更具适应性,它们可以产生更多的结果,并且可以用更小的赌注做更多的事情。
McFadden补充说,安全组件也很重要,特别是对于商业现成和开放的架构,正如网络安全和基础设施安全局警告的那样,采用分散和分类的方法。
在这样的环境中,数据主权(即数据受数据收集地的法律和规则的约束的概念)也会受到影响。
“实际上有一个极端的例子,特别是当你开始考虑将基础设施直接放在政府前提或军事基地或客户环境中时,”麦克法登说。“现在,我可以在客户环境中进入网络并离开网络,这变得非常有趣,因为现在您不必将数据发送给某些第三方,也不必担心与此相关的漏洞。
梅里克指出,国务院的“聪明”做法是专注于纵深防御模式。“[这意味着]确保我们对数据的密钥有一个很好的处理,无论数据位于何处,数据都根据我们对该数据的安全级别进行适当的加密,并且我们考虑将流量路由到哪里,我们可以控制,“他说。
索鲁特授予3200万美元自动化数字网络系统(ADNS)合同
9月6日报道,西格玛国防公司索鲁特宣布,它已获得3200万美元的国防部(DoD)合同修改,用于自动化数字网络系统(ADNS)战术运输工程(ATTE)IDIQ。
ADNS通过船舶、潜艇和岸上之间的语音、视频、网络和数据通信的融合,提供战术和战略指挥、控制、通信、计算机、情报(C4I)数据的安全、自动传输。
根据该协议,SOLUTE将为太平洋海军信息战中心提供持续的系统,网络,网络,软件工程和项目管理服务。此外,索鲁特将帮助实现海军信息系统架构的现代化。
3、安全业界动态
有黑客利用詹姆斯韦伯望远镜热度来传播恶意软件
9月1日报道,安全公司 Securonix 的人员详细介绍了一项名为 GO#WEBBFUSCATOR 的恶意软件传播活动,该活动正在利用詹姆斯韦伯望远镜热度来传播恶意软件。
使用 Golang 编程语言的最大优势在于它本身是跨平台兼容的,这意味着相同的代码库可以部署在不同的目标平台上,例如 Linux、macOS 和 Windows(通过 Cyware)。在 Golang 被滥用于恶意目标的最新示例中,不良行为者正在提供几乎无法检测到的恶意软件有效负载,并涉及著名的宇宙 Webb 图像以隐藏恶意脚本。
为了启动复杂的链,黑客首先在收件箱中植入了一封包含恶意 Office 附件的虚假电子邮件。文档的元数据实际上隐藏(或混淆了活动名称的来源)可触发文件下载的元数据。安全研究人员在他们的博客文章中解释说,下载 URL 的目的地进一步试图伪装成合法的 Microsoft 网络链接。
打开文档后,自动下载脚本会保存恶意代码。然后代码会自动执行自身以执行其预期的工作。
随后,注入系统的代码会下载一个 jpg 图像文件,该文件看起来像韦伯望远镜捕捉到的快照。
然而,使用文本编辑器对图像的分析表明,它实际上隐藏了一个 Base64 代码,该代码本身试图通过将自己伪装成合法证书来避免怀疑。这实际上是有效载荷,它转换为一个 64 位脚本,准备好执行并造成伤害。
三星承认泄露大量美国客户敏感数据
9月2日报道,在2022年7月,三星披露了一起在美国部分系统遭到数据泄露的事件。这家电子巨头于8月4日发现,威胁行为者可以访问其系统并窃取客户个人信息。
2020 年 3 月,三星在遭受数据勒索组织Lapsus$的攻击后披露了另一起数据泄露事件。威胁者可以访问公司内部数据,包括 Galaxy 模型的源代码。Lapsus $ 团伙声称从三星电子窃取了大量敏感数据,并泄露了 190GB 的所谓三星数据作为黑客攻击的证据。
该团伙在其 Telegram 频道上宣布了样本数据的可用性,并共享了一个 Torrent 文件以下载它。他们还分享了被盗数据中包含的源代码的图像。
被盗数据包括机密的三星源代码,包括:
设备/硬件 - 安装在所有三星设备的 TrustZone (TEE) 上的每个受信任小程序 (TA) 的源代码,以及每种类型的 TEE 操作系统(QSEE、TEEGris 等)的特定代码。这包DRM 模块和 KEYMASTER/GATEKEEPER!
所有生物识别解锁操作的算法,包括直接与传感器通信的源代码(到最低级别,我们在这里讨论的是单个 RX/TX 比特流)。
所有最新三星设备的引导加载程序源代码,包括 Knox 数据和身份验证代码。
其他各种数据,来自高通的机密源代码。
意大利能源企业遭到著名勒索软件团伙攻击
9月2日报道,BlackCat勒索软件团伙称其近期攻击了意大利能源企业Gestore dei Servizi Energetici SpA(GSE)的系统。
在GSE发布信息之前,BlackCat勒索软件团伙在其暗网数据泄露网站上添加了一个新条目,声称从意大利能源机构的服务器上窃取了大约700GB的文件。被盗文件包含机密数据,包括合同、报告、项目信息、会计文件和其它内部文件。
BlackCat勒索软件团伙于2021年11月露面,有研究人员认为该组织其实就是去年因美国科洛尼尔输油管道网络攻击事件而声名大噪的DarkSide勒索软件团伙,而该团伙堪称对全球企业威胁最大的黑客组织之一。
美国网络安全与基础设施安全局称有效保障了选举网络安全
9月2日报道,美国网络安全与基础设施安全局(CISA)的一名选举官员在选举援助委员会主办的一次活动中表示,与数年前相比,联邦机构、选举官员和私营部门选举供应商之间的协调已得到加强,从而有效阻止了针对美国投票系统的网络威胁。
CISA国家风险管理中心(包括该机构的选举安全团队)的代理助理主任Mona Harrington表示,自从选举系统在2017年被指定为关键基础设施以来,网络攻击变得更加复杂,攻击次数也明显增加,但依托CISA与选举官员之间的合作关系以及用于降低潜在风险的产品和服务,美国选举系统面临的网络风险明显下降。
Harringto指出,美国所有50个州都在其系统中部署了CISA资助或国家资助的入侵检测传感器系统Albert,并且数百名选举官员和私营部门选举基础设施合作伙伴已经与CISA签署了一系列网络安全服务,这些服务包罗万象,既包括定期扫描他们的系统以查找互联网连接基础设施上的已知漏洞,也包括更深入的渗透测试。
国际刑警组织摧毁数字勒索团伙sextortion ring
9月5日报道,经过国际刑警组织的网络犯罪部门与新加坡和香港警方的联合调查,一个跨国勒索团伙被发现和摧毁,12名被认为是该犯罪组织核心成员的嫌疑人于7月和8月被捕。
国际刑警组织表示,调查人员发现该团伙通过在线色情和约会平台要求潜在受害者下载恶意移动应用程序进行“裸聊”,而该应用程序会窃取他们手机联系人列表中的内容,然后网络犯罪分子会利用这些内容来敲诈受害者,威胁要与他们通讯录中的亲戚和朋友分享他们的裸体视频。警方对托管恶意应用程序的僵尸网络使用的命令和控制服务器进行了调查和分析,最终识别和定位与犯罪集团有关的个人。
抖音海外版TikTok和微信疑遭黑客入侵
9月5日报道,一个名为“反对西方”(AgainstTheWest)的黑客组织在黑客论坛上声称已经入侵了TikTok和微信。
该组织分享了一幅据称是被盗数据库的屏幕截图,并表示是在一个包含TikTok和微信用户数据的阿里云实例上访问到该数据库的。该组织表示,该数据库的大小为790 GB,保存了20.5亿条记录,其中包含用户数据、平台统计信息、软件代码、cookie、身份验证令牌和服务器信息等。
虽然“反对西方”这个名字听上去像是要打击西方国家,但其实该组织称其只攻击敌视西方利益的国家和公司。该组织目前把攻击矛头指向中国和俄罗斯,未来还打算攻击朝鲜、白俄罗斯和伊朗。
TikTok公司于9月5日否认遭到黑客入侵,称黑客论坛上共享的源代码并不是其平台的一部分。按照TikTok的说法,泄露的用户数据不可能是直接抓取其平台造成的,因为它们有足够的安全保护措施来防止自动脚本收集用户信息。
腾讯公司则未对微信疑遭入侵一事发表评论。
空军行业公司的网络安全创新去年有所下降
9月6日报道,去年,空军设备和技术部门在网络安全方面的研究和创新有所下降。
最新数据显示,截至7月的三个月中,该行业的相关专利申请数量为98件,低于2021年同期的167件。
与此相关的专利授权数字与申请量类似,从截至2021年7月的三个月的150项减少到2022年同期的97项。这些数字由GlobalData编制,GlobalData跟踪世界各地官方办公室的专利申请和授权。使用文本分析以及官方专利分类,这些专利被分组为关键主题领域,并与各个行业的关键公司相关联。
阿尔巴尼亚因网络攻击切断与伊朗的外交关系
9月7日报道,阿尔巴尼亚总理埃迪·拉马(Edi Rama)于9月7日表示,在7月15日开始的一系列网络攻击并针对多个阿尔巴尼亚政府网站后,阿尔巴尼亚与伊朗断绝了外交关系。
一个以前不为人知的自称为“国土正义”的组织为袭击事件赢得了荣誉。他们声称自己是阿尔巴尼亚公民,他们对伊朗反对派组织“MOJAhedin-e Khalq”成员的东道国感到不安,该组织是一个伊朗反对派组织,更广为人知的是MEK。7月21日,该组织开始将被盗的阿尔巴尼亚政府文件发布到一个网站及其电报频道。它还发布了一段视频,声称显示对政府服务的勒索软件攻击以及据称用恶意软件擦除政府文件。阿尔巴尼亚政府表示,它认为“国土正义”是伊朗支持的黑客组织的幌子。
美国国家安全委员会发言人阿德里安娜·沃森(Adrienne Watson)在一份声明中表示,美国强烈谴责伊朗对北约盟友阿尔巴尼亚的网络攻击,将采取进一步行动,让伊朗对威胁美国盟友安全的行动负责。
超过 10% 的企业 IT 资产缺少端点保护
9月8日报道,超过 10% 的企业 IT 资产缺少端点保护,大约 5% 的企业补丁管理解决方案未涵盖这些资产。
这些数字来自Sevco Security的新研究,该公司已在《网络安全攻击面状况》报告中汇编了该研究。
“攻击者非常善于利用企业漏洞。安全和IT团队已经全力以赴地缓解他们所知道的漏洞,我们的数据证实这只是冰山一角,“Sevco客户成功副总裁James Darby告诉信息安全杂志。
该文件分析了从可见性中汇总到超过500,000个IT资产的数据,并强调了与保护企业资产相关的存在和未被充分报道的网络安全问题。
4、网络攻防动态
匿名者入侵俄罗斯Yandex租车程序导致严重交通拥堵
9月2日报道,自俄罗斯对乌克兰发动战争以来,该国一直是黑客的主要目标之一。最新的攻击针对的是打车服务Yandex Taxi。
Yandex Taxi归俄罗斯领先的IT公司Yandex所有,Yandex被称为俄罗斯谷歌。在入侵Yandex Taxi应用程序后,不知名的黑客在俄罗斯莫斯科造成了大规模的交通堵塞。
根据俄罗斯网络政策专家Oleg Shakirov的说法,攻击者入侵了Yandex应用程序,绕过公司的安全机制,创建了多个虚假订单,将所有司机发送到同一个地方。
BlackCat勒索软件声称对意大利能源机构进行攻击
9月2日报道,BlackCat/ALPHV勒索软件团伙声称对上周末袭击意大利能源机构Gestore dei Servizi Energetici SpA (GSE) 的系统负责。GSE是一家在意大利推广和支持可再生能源(RES)的上市公司。
GSE发言人透露,在周日晚上检测到攻击后,其网站和系统已被关闭,以阻止攻击者访问数据——GSE的网站在事件发生近一周后仍处于关闭状态。
GSE告诉彭博社,意大利的网络安全当局和警方仍在调查这次袭击,并调查事件中哪些数据被泄露。
在GSE披露之前,BlackCat勒索软件组织在其暗网数据泄露网站上添加了一个新条目,声称从意大利能源机构的服务器上窃取了大约 700GB的文件。攻击者称,被盗文件包含机密数据,包括合同、报告、项目信息、会计文件和其他内部文件。
乌克兰再度摧毁两座“水军农场”
9月3日报道,乌克兰安全局(SBU)称其在基辅和敖德萨地区又分别摧毁了一座“水军农场”。
所谓“水军农场”,就是利用机器人程序在社交平台上发动舆论战的设备。SUB称,近7000个帐户中的“机器人大军”被用来传播破坏性内容,主要包括诋毁乌克兰国防军和国家领导人,宣扬俄军出兵乌克兰的正当理由,以及散播乌克兰社会和政治局势不稳定的消息。
在基辅地区,SBU发现一名24岁的扎波罗热地区本地人创建和管理着一个拥有5000个账户的“水军农场”。此人通过俄罗斯电子邮件服务以及俄罗斯和白俄罗斯移动运营商的虚拟号码注册了虚假账户,某些情况下还使用乌克兰公民的伪造文件进行验证。
攻击者将“现成的”机器人程序出租或出售给相关方,接受银行卡的“服务”付款,而他的“客户”主要是俄罗斯政府。
洛杉矶学校受到勒索软件攻击
9月6日报道,劳动节周末期间发生的勒索软件攻击继续扰乱洛杉矶联合学区对电子邮件,应用程序和计算机系统的访问。
官员们在公告中表示,该区称这次袭击“可能是犯罪性质的”,并没有影响员工的医疗保健和工资单或学校的任何安全和应急机制。此外,学校应该能够提供教学和交通,食品和课后服务,但业务运营可能会延迟或修改。
随着IT部门与执法机构,美国教育部,联邦调查局以及网络安全和基础设施安全局合作进行调查并推出临时程序和解决方案,学校仍然开放。地区官员还与公共和私营部门的网络安全专业人员进行磋商,为该地区制定额外的保护措施,并就全系统保护措施提出建议。
亲俄黑客KillNet组织向日本宣战
9月7日报道,亲俄黑客KillNet已向日本宣战。Gazeta.ru参考该组织的新闻稿对此进行了报道。
前一天,黑客袭击了该国的几家公共和私人电子服务。网络犯罪分子禁用了当地的Gosuslug服务、流行的日本社交网络Mixi和JCB支付系统。
KillNet在一份声明中说,我们将在“午餐”之前摧毁你。值得注意的是,黑客入侵日本的动机是该国支持乌克兰作为军事特别行动的一部分,以及它对目前在俄罗斯联邦管辖下的千岛群岛的主张。早些时候,Gazeta.Ru报道了诈骗者如何攻击俄罗斯学童的父母,使用纪念9月1日的奖金作为诱饵。
谷歌称前Conti网络犯罪团伙成员现在专门攻击乌克兰
9月7日报道,谷歌表示,一些前Conti勒索软件团伙成员现在是被追踪为UAC-0098的威胁组织的一部分,他们的目标是乌克兰组织和欧洲非政府组织(NGO)。
UAC-0098是一个初始访问代理,以使用IcedID银行木马为勒索软件组织提供对企业网络内受感染系统的访问而闻名。
谷歌的威胁分析小组(TAG)是一个专门的安全专家团队,充当谷歌用户免受国家支持的攻击的防御力量,在检测到推动Conti-linked AnchorMail后门的网络钓鱼活动后,于4月开始跟踪该威胁组。
全球最大的连锁酒店遭受网络攻击
9月7日报道,领先的酒店公司洲际酒店集团(也称为洲际酒店集团)于9月5日受到网络攻击,导致该公司的一些IT系统关闭。洲际酒店集团的预订系统和其他服务已严重受损,目前无法运行。
洲际酒店集团旗下酒店集团聘请了第三方专家调查此事件,并通知了相关监管机构。洲际酒店集团在9月6日向伦敦证券交易所提交的一份声明中叙述了这次袭击事件。
根据哈德逊岩石的说法,黑客能够入侵IHG员工的至少15个帐户,并窃取该应用程序的4000多个用户的数据。
医疗保健 IT 人员表示影响患者护理的网络攻击增加
9月8日报道,根据研究机构Ponemon研究所周四发布的一份报告,近90%的医疗保健行业信息技术专业人员表示,他们的设施在过去一年中遭受了网络攻击。
他们中的许多人表示,这些攻击在包括医院和保险提供商在内的各种类型的医疗保健组织中平均为43次,越来越多地影响了患者护理。
超过600名IT和IT安全从业人员回应了由网络安全公司Proofpoint赞助的调查。该报告发布之际,联邦网络安全官员经常警告勒索软件和其他对医疗保健组织的网络攻击。
百分之五十三的受访者表示,他们的组织在过去两年中至少经历过一次勒索软件事件,而三分之一的受访者表示他们遭受了两到五次勒索软件事件。百分之九的受访者表示,他们的组织遭受了6到10起事件。
这些发现标志着比一年前有所增加,当时Ponemon进行了一项由网络安全公司Censinet委托进行的类似调查。该调查发现,超过40%的受访者在前一年遭受了勒索软件攻击。
这些数据与之前的报告一致,这些报告表明勒索软件正在损害患者护理。据The Verge在2021年8月报道,2020年,国土安全部网络安全和基础设施安全局发现,“患者在医院进行网络软件攻击时比在没有进行网络软件攻击的医院中表现得更糟”。
在最新调查中报告受到勒索软件攻击的实体中,67%的实体报告了患者护理中断,例如程序和测试延迟,转移到或转移到其他设施的患者增加或住院时间延长。
研究人员揭示了新的伊朗威胁组织APT42
9月8日报道,安全研究人员发现了另一个由国家支持的伊朗威胁组织,其活动至少可以追溯到七年前。
威胁情报公司Mandiant声称已经发现了至少30名APT42的受害者,尽管他表示,鉴于该组织的“高运营节奏”以及研究人员因针对个人电子邮件帐户而导致的可见性差距,这一数字可能要高得多。
APT42主要专注于网络间谍活动,使用高度针对性的鱼叉式网络钓鱼和社会工程技术来访问个人和企业电子邮件帐户,或在移动设备上安装Android恶意软件。
该组织还能够收集双因素身份验证代码以绕过更安全的身份验证方法,并且有时使用此访问权限来破坏雇主,同事和初始受害者的亲属。然而,虽然凭据盗窃受到青睐,但该组织还部署了几个自定义后门和轻量级工具来进一步实现其目标。
黑客一再瞄准非洲法语国家的金融服务
9月8日报道,在过去两年中,位于非洲法语国家的主要金融和保险公司已成为目标,成为代号为ReatricSavanna的持续恶意活动的一部分。
以色列网络安全公司Check Point在周二的一份报告中表示,目标国家包括象牙海岸,摩洛哥,喀麦隆,塞内加尔和多哥,最近几个月鱼叉式网络钓鱼攻击主要集中在象牙海岸。
感染链需要将包含恶意附件的社会工程消息作为初始访问手段来针对金融机构的员工,最终导致部署现成的恶意软件,如Metasploit,PoshC2,DW服务和异步RAT。
“威胁参与者的创造力在初始感染阶段就表现出来了,因为他们坚持不懈地追求目标公司的员工,不断改变感染链,利用各种恶意文件类型,从自写的可执行加载程序和恶意文档,到ISO,LNK,JAR和VBE文件的各种组合,”该公司表示。
网络钓鱼电子邮件是用法语编写的,并使用Gmail和Hotmail服务发送,即使这些邮件还冒充非洲的其他金融机构以提高其可信度。
虽然2021年的攻击利用了微软Word文档作为诱饵,但该公司今年早些时候决定阻止从互联网默认下载的文件中的宏,这导致危险草原参与者转向PDF和ISO文件。
此外,从2020年底到2021年初的第一波攻击涉及使用定制 。基于NET的工具,伪装成附加到网络钓鱼电子邮件的PDF文件,用于从远程服务器检索下一阶段的加载程序。
无论使用哪种方法,在获得初始立足点后执行的活动包括建立持久性、执行侦测以及提供额外的有效负载以远程控制主机、终止反恶意软件进程和记录击键。
威胁行为者的确切来源尚不清楚,但其工具和方法的频繁转变表明他们对开源软件的了解以及他们微调策略以最大化经济收益的能力。
朝鲜黑客瞄准全球能源供应商
9月8日报道,2022年2月至7月,与朝鲜有联系的拉撒路集团(Lazarus Group)发起了一场恶意活动,针对世界各地的能源供应商,包括美国、加拿大和日本的能源供应商。
“该活动旨在渗透世界各地的组织,以建立长期访问,并随后泄露对手的民族国家感兴趣的数据,”思科Talos在与黑客新闻共享的一份报告中说。
间谍攻击的一些元素已经进入公共领域,这要归功于博通拥有的赛门铁克和AhnLab今年早些时候的先前报告。
虽然这些攻击以前导致了Preft(又名Dtrack)和NukeSped(又名Manuscrypt)植入物的仪器化,但最新的攻击浪潮以使用另外两种恶意软件而闻名:VSingle,一个从远程网络执行任意代码的HTTP机器人,以及一个名为YamaBot的Golang后门。
该活动还使用了一种名为MagicRAT的新远程访问特洛伊木马,它具有逃避检测并在受感染系统上启动其他有效载荷的功能。
“尽管在两次攻击中都采用了相同的策略,但部署的由此产生的恶意软件植入物彼此不同,这表明Lazarus可以使用各种各样的植入物,”研究人员荣格·苏安,阿什尔·马尔霍特拉和维托尔·文图拉说。
通过利用 VMware 产品(例如 Log4Shell)中的漏洞,可以促进对企业网络的初始访问,最终目标是建立持久访问以执行支持朝鲜政府目标的活动。
5、密码技术与装备发展
印度军方开始投资量子密钥分发
9月1日报道,印度国防部 (MoD) 最近向 QNu Labs 发出了商业提案请求,这是印度第一家开发基于量子的商业网络安全解决方案的公司,以采购基于量子密钥分发的“高级通信解决方案”,该技术是用于安全地分发加密密钥。
一位专家表示,虽然量子技术仍处于能力的早期阶段,但未来的军事利益可能会“巨大”。
“我对此的总体看法是,印度在这里有巨大的发展机会,而我喜欢认为 QNu 实验室只是印度在这一领域的重大举措的最前沿,”高级研究员 Arthur Herman哈德逊研究所的研究员在 8 月 29 日的一次采访中告诉 Breaking Defense。
赫尔曼同时也是哈德逊研究所量子联盟计划的负责人,QNu Labs 是该计划的成员,他补充说,印度军方可能正在考虑如何跟上中国在量子通信领域的进步,以及如何保护敏感信息。通讯。
“印度的另一个领域是量子网络安全,通过量子算法确保其数据和网络免受未来的量子计算机攻击,这是我们在美国一直在努力的方向,”赫尔曼说。
美NSA设定2035年为国家安全系统中采用后量子密码的最后期限
9月7日报道,美国国家安全局在新指南中表示,预计国家安全系统的所有者和运营商将在2035年之前开始使用后量子算法。
在题为《商业国家安全算法套件 2.0”(CNSA 2.0)网络安全咨询(CSA)》说明中,情报机构建议供应商开始为新技术要求做准备,但承认一些抗量子算法尚未获得批准使用。在情报界和美国军方全面采用之前,新的算法标准将得到美国国家标准与技术研究所和国家信息保障合作组织的批准。该备忘录包括商业国家安全算法套件2.0——该机构的一套新的加密标准——在人们越来越担心外国对手可能使用先进的计算技术来破解多年来保护大多数联邦安全的公钥密码系统之际。
除了2035年的总体截止日期外,美国国家安全局表示,它预计采用后量子算法的时间框架会因技术而异,并发布了一系列额外的里程碑,预计情报界及其供应商将实现这一目标。根据该公告,NSA预计到2030年,用于国家安全系统的软件和固件签名将专门使用商业国家安全算法套件2.0。该机构还预计,到2030年,虚拟专用网络和路由器等传统网络设备将采用新标准,到2033年,Web浏览器、服务器和云服务将完全使用新算法。
电脑 电脑
