1、美国司法部对俄罗斯人企图入侵基础设施(包括Trisis案和 Havex案)提出指控
2、北约和七国集团领导人承诺防御俄罗斯报复性网络攻击
3、乌克兰IT官员称俄网络攻击仍在继续
4、两组朝鲜黑客同时利用谷歌浏览器漏洞开展攻击行动
5、美国空军创建新的信息战训练分队
6、台达能源管理系统多处关键漏洞修补
7、勒索软件攻击的趋势将是更大的需求和更大的支出
8、隐藏在Microsoft帮助文件中的Vidar间谍软件
9、GitHub解释了过去一周运营中断的原因
10、南非希望通过生物识别检查来打击SIM卡交换攻击
11、太空部队ISR负责人希望使用新技术来监控对手的卫星
12、俄罗斯间谍即将被驱逐出欧洲
***********************************************
1、美国司法部对俄罗斯人企图入侵基础设施(包括Trisis案和 Havex案)提出指控美国司法部24日公布了两项起诉书,指控四名俄罗斯国民犯有与企图入侵美国国内外关键基础设施有关的罪行,包括使用名为Trisis或Triton的恶意软件。司法部在声明中表示,起诉书指控四名嫌疑人“在2012年至2018年期间针对全球能源行业的两个单独阴谋中共同尝试、支持和实施计算机入侵”。这四人都为俄罗斯政府工作。这些黑客活动总共针对大约135个国家/地区的数百家公司和组织的数千台计算机。该公告发布之际,拜登政府一直在敦促美国关键基础设施公司加强防御,以抵御潜在的俄罗斯网络攻击。司法部一名高级官员24日告诉记者,虽然联邦政府在任何特定时间都最关心对关键基础设施的攻击,但选择这些指控来解封是因为它们很好地突出了美国当前的态势。虽有不是唯一的例子,但它们是可能的黑暗艺术的非常好的例子。嫌疑人之一是俄罗斯国防部研究所的一名雇员,另外三名是俄罗斯联邦安全局(FSB)的官员,他们分别于2021年6月和2021年8月被起诉。2021年6月的起诉书称,36岁的Evgeny Viktorovich Gladkikh参与了一项针对外国能源设施的工业控制系统和操作技术的攻击活动,使用了Triton或Trisis的恶意代码。2021年8月的起诉书称,FSB黑客Pavel Aleksandrovich Akulov,36 岁;Mikhail Mikaihlovich Gavrilov,42岁;和39岁的Marat Valeryevich Tyukov,从事计算机入侵,包括供应链攻击,窃取核电站和公用事业公司计算机的秘密、未经授权和持续访问。当时称攻击称为“Dragonfly”或“ Havex ”。https://www.cyberscoop.com/triton-use-doj-indictments-critical-infrastructure-russia/2、北约和七国集团领导人承诺防御俄罗斯报复性网络攻击西方领导人24日承诺加强防御俄罗斯对乌克兰和其他盟国的网络攻击,誓言改善威胁信息共享并惩罚责任人。这些承诺来自北约、七国集团领导人和欧盟在布鲁塞尔举行的一系列峰会,美国总统乔·拜登在这些峰会上就俄罗斯入侵乌克兰进行了紧急会议。承诺是在拜登和他的白宫警告情报转变几天后做出的,这表明俄罗斯总统普京可能正在寻求报复试图在乌克兰战争中惩罚他的联盟,更可能使用网络攻击。世界各国领导人表示他们不会容忍此类袭击。北约国家元首和政府首脑在一份声明中写道:“我们正在加强我们的网络能力和防御,在发生来自俄罗斯的网络攻击时相互提供支持” 。“我们准备好让那些在网络空间伤害我们的人付出代价,并正在加强信息交流和态势感知,加强公民准备,并加强我们应对虚假信息的能力。”七国集团声明中写道,“我们将继续努力支持乌克兰保护其网络免受网络事件的影响”。“为了准备应对俄罗斯对我们所采取行动的任何恶意网络响应,我们正在采取措施,通过加强我们协调一致的网络防御和提高我们对网络威胁的共同认识来提高我们各自国家基础设施的弹性。我们还将努力追究那些在网络空间从事破坏性、损害性或破坏稳定活动的行为者。”https://www.cyberscoop.com/nato-g7-russian-cyberattacks/俄罗斯与乌克兰冲突又过了一周,乌克兰IT官员继续指责所谓的俄罗斯网络攻击。这是因为黑客活动分子已经在数字地下将事情掌握在自己手中,打击了俄罗斯媒体机构、政府部门等。根据《华盛顿邮报》的最新报道,来自乌克兰的知IT官员Victor Zhora本周告诉记者,俄罗斯并没有停止其网络攻击。担任乌克兰国家特殊通信和信息保护局副主席的佐拉表示,俄罗斯黑客的目标是与乌克兰难民合作的欧洲慈善机构。据联合国称,目前约有350万人逃离了这个饱受战争蹂躏的国家。这需要自二战以来最快的难民流动。根据路透社的类似报道,这位IT官员表示:“我们认为这是网络战向北约国家蔓延的又一证据。”Zhora还表示,乌克兰政府目前没有“事实”表明中国黑客与俄罗斯结盟以窥探乌克兰人或乌克兰军队。据《华盛顿邮报》报道,佐拉说,乌克兰政府已收到“它要求美国和其他国家提供的所有网络防御援助”。他还重申乌克兰不会将进攻性网络攻击作为一项政策,尽管该国的志愿“IT军队”确实开展了进攻性活动。在24日举行的紧急峰会后北约国家元首发表的联合声明中,世界领导人表示,随着俄罗斯继续其军事行动,他们将加强欧洲的防御。https://www.databreachtoday.com/ukrainian-official-russian-cyberattacks-have-continued-a-187834、两组朝鲜黑客同时利用谷歌浏览器漏洞开展攻击行动谷歌威胁分析小组24日宣称,两组不同的朝鲜黑客正在利用Chrome网络浏览器中的相同远程代码执行漏洞——一组针对新闻媒体和IT 公司,另一组针对加密货币和金融科技组织。该漏洞于2月1 日修复,允许黑客在隐藏的iframe中提供恶意软件包,无论是在他们拥有的网站上,还是在他们入侵的网站上。威胁分析小组的亚当·魏德曼 (Adam Weidemann)将调查结果发布到小组的博客。在其中一项活动中,谷歌研究人员看到黑客在2月14日补丁后多次尝试使用该漏洞,他强调了可用的安全更新的重要性。Weidemann写道,针对未具名新闻媒体和IT公司的活动,具体是10多家不同的新闻媒体、域名注册商、网络托管服务提供商和软件供应商工作。向目标发送的电子邮件声称来自迪士尼、谷歌和甲骨文的招聘人员,并提供虚假的工作机会,其中的链接指向合法求职网站(如Indeed和ZipRecruiter)的欺骗网页。曝光的另一场行动针对加密货币和金融科技行业的多人使用相同的漏洞利用工具包。该活动涉及破坏至少两个合法的金融科技公司网站以及通过隐藏的 iframe投递恶意软件的虚假网站。https://www.cyberscoop.com/north-korea-hackers-google-dream-job/空军创建了一个新的信息战训练和研究分队,旨在改善空军准备飞行员开展行动的方式。空战司令部于3月22日在亚利桑那州的戴维斯-蒙森空军基地创建了新机构。据新闻稿称,它将是内布拉斯加州奥夫特空军基地第55联队的下属单位,驻扎在德克萨斯州圣安东尼奥联合基地的第67网络空间联队。该部门称,该分队将开展信息战训练和研究活动,以解决信息环境和电磁频谱中作战日益增长的重要性,因为它们与战略竞争有关。空战司令马克·凯利将军说,如果美国想成为一个坚定的世界大国,不仅要在全球公域竞争,还要在有争议的主权国家竞争并取胜。“大多数竞争,如果不是所有的战斗,都将在电磁频谱中进行。将进攻和防御能力集中在数字化领域对于磨练空军的杀伤力至关重要。空战司令部、空军研究实验室、空军概念、发展和管理办公室部长以及几个学术组织一直在尝试改变空军在过去几年中进行信息战训练和研究的方式年。空战司令部信息战部门负责人克里斯托弗·布德上校说,“我们采用了‘构建、学习、纠正、重复’模式”,“我们正在快速连续地试验可持续的流程和事件,以扩展概念想法,对其进行操作测试,然后将这些流程整合到更大的联合企业中。”https://www.fedscoop.com/air-force-creates-new-information-warfare-training-detachment/台达电子制造的DIAEnergie工业能源管理系统在过去一年中至少发现了30个漏洞。该公司表示,它已经为所有这些补丁创建了补丁,但目前大多数补丁只能按需提供。2021年8月,美国网络安全和基础设施安全局(CISA)通知使用DIAEnergie产品的组织,研究员Michael Heinzl发现了8个漏洞,其中包括被评为“严重”的漏洞。根据CISA的公告,在DIAEnergie中总共发现了 30个安全漏洞。其中一些似乎已于2021年9月在1.8版中进行了修补。但是,其中大部分仅在最近的1.08.02.004版中进行了修复,该版本尚未公开,但可从达美客户服务处按需获取。CISA 表示,包含所有补丁的版本计划于2022年6月30日公开发布。Heinzl已经针对他发现的每个漏洞发布了单独的建议,他告诉SecurityWeek,利用不需要身份验证,它可以让攻击者完全控制 DIAEnergie及其部署的系统。在DIAEnergie中发现的30个漏洞中,有22个被指定为“超级严重”等级,5个为“高严重性”。绝大多数新披露的问题是影响应用程序各个组件的SQL注入错误。DIAEnergie旨在帮助公司可视化和改进电力系统,特别是高消耗设备。https://www.securityweek.com/many-critical-flaws-patched-delta-electronics-energy-management-system根据Palo Alto Networks的Unit 42对网络犯罪方法的最新年度分析,Conti等大型且高度组织化的网络犯罪组织正在帮助推高勒索软件攻击的总体成本。该公司在24日发布的最新的勒索软件威胁报告中称,2021年Unit 42事件响应者处理的案件中的平均赎金需求增长了144%,达到220万美元,而平均支付金额增长了78%,达到541,010 美元。报告称,勒索软件攻击者也比以往任何时候都更有可能在暗网“泄密网站”上发布数据泄露信息,以此作为诱使受害者付款的策略。在泄密网站上发布数据的受害者人数增加了85%,达到2,566个。Unit 42处理的大约五分之一的勒索软件案件涉及Conti,网络安全研究人员注意到Conti的专业性和组织性。勒索软件流行的另一个迹象,仅在2021年就发现了35个新的勒索软件团伙。https://www.cyberscoop.com/unit-42-ransomware-report-2021-palo-alto-networks/8、隐藏在Microsoft帮助文件中的Vidar间谍软件24日,Trustwave网络安全研究员Diana Lopera表示,间谍软件被隐藏在Microsoft Compiled HTML Help (CHM)文件中,以避免在垃圾邮件活动中被检测到。Vidar是Windows 间谍软件和可供网络犯罪分子购买的信息窃取程序。Vidar可以收集操作系统和用户数据、在线服务和加密货币帐户凭证以及信用卡信息。虽然经常通过垃圾邮件和网络钓鱼活动进行部署,但研究人员还发现C++恶意软件通过按安装付费的PrivateLoader投放器和Fallout漏洞利用工具包进行分发。据Trustwave称,投递Vidar的电子邮件活动远非复杂。该电子邮件包含一个通用主题行和一个附件“request.doc”,它实际上是一个.iso磁盘映像。当恶意CHM文件被解压时,JavaScript片段将静默运行app.exe,虽然两个文件必须位于同一目录中,但这会触发 Vidar有效负载的执行。https://www.zdnet.com/article/vidar-spyware-is-now-hidden-in-microsoft-help-files/GitHub表示,最近的服务中断是由其主数据库集群中的资源争用问题引起的。从上周开始,先后有4次由这些问题导致的服务中断,分别是3月16日、3月17日、3月22日和3月23日。24日,GitHub解释说,这些中断是由其名为“MySQL1”的主MySQL集群的“资源争用”问题引起的。资源争用是指多个进程/请求竞争相同的资源,无论是内存、CPU还是磁盘利用率,甚至是对数据库表的访问。当没有足够的可用资源时,数据库将无法快速完成查询,导致表被锁定并且数据库连接在等待查询完成时快速堆积。随着请求的堆积,服务器最终会达到其配置处理的最大连接数,并简单地拒绝所有进一步的请求,直到有更多空间。这会导致任何需要访问数据库的服务失败。中断期间,所有写入操作都无法运行,包括git操作、webhook、拉取请求、API请求、问题、GitHub包、GitHub代码空间、GitHub操作和GitHub页面服务。https://www.bleepingcomputer.com/news/technology/github-explains-the-cause-behind-the-past-weeks-outages/10、南非希望通过生物识别检查来打击SIM卡交换攻击南非独立通信管理局(ICASA)提交了一份激进的提案,以解决该国的SIM卡交换攻击问题,建议当地服务提供商应保留手机号码所有者的生物特征数据。通过这样做,像Vodacom和MTN这样的电信公司将能够使用这些数据来确认请求号码转移行动的人是合法所有者。SIM交换攻击是全球所有国家和服务提供商面临的数百万个问题,威胁行为者可以将人们的号码转移到攻击者的SIM卡上,实质上是劫持了用户帐户。这种攻击手法也是Lapsus$组织贯用的伎俩。该攻击的主要目的是绕过基于 SMS的多因素身份验证步骤,以保护有价值的银行账户和加密货币钱包并控制受害者的资产。ICASA认为,将手机号码与用户生物特征数据关联起来,最终将填补所有漏洞,结束手机号码劫持问题。该提案将在2022年5月11日之前接受公众舆论审查,但并未明确生物识别数据是指纹、面部扫描、语音、虹膜还是这些的组合。南非Werksmans律师事务所数据隐私和网络犯罪业务主管兼主管Ahmore Burger-Smidt告诉Bleeping Computer,ICASA的提议很可能是打击SIM卡交换欺诈的唯一解决方案。https://www.bleepingcomputer.com/news/security/south-africa-wants-to-fight-sim-swapping-with-biometric-checks/11、太空部队ISR负责人希望使用新技术来监控对手的卫星太空部队情报、监视和侦察主管24日表示,美国军方需要类似于太空中的“捕食者”无人机的东西,以持续关注可能构成威胁的敌方卫星。利亚劳德巴克少将说,俄罗斯和中国近年来都发展了威胁美国军方一些最重要的全球通信系统的反太空能力,并补充说,部队需要找到一种方法来更好地关注它们。劳德巴克在Defense One主办的虚拟活动中指出,2020年,俄罗斯将一种可用于攻击五角大楼重要太空资产的系统送入轨道。令美国非常担心的是,俄方拥有美国评估为反太空能力的能力,基本上是在美国的一个[卫星]能力附近飞行并跟踪美国。劳德贝克还表示,中国构成的威胁甚至比俄罗斯更大。她说,在过去的10到15年里,北京“真正实现了现代化并建立了一种能力——一种反太空能力——这实际上将剥夺美国对联合部队其他成员的支持能力。她指出,中国或俄罗斯对美国卫星的攻击可能会破坏军方的通信、指挥和控制以及定位、导航和授时(PNT)能力。她建议,一系列配备高保真传感器的小型卫星可以让五角大楼有更多的眼睛来监控潜在的天基威胁,确定有害行动,甚至可能提前阻止它们。太空部队需要以“战斗心态”来完成保卫太空资产的任务。https://www.fedscoop.com/space-force-isr-chief-wants-new-tech-to-monitor-adversaries-satellites/波兰决定驱逐45名被认为是间谍的俄罗斯外交官,这只是限制俄罗斯在欧洲的外交使团人员过多的重大努力的开始,北约反情报官员告诉VICE世界新闻,这些外交使团是间谍活动的掩护。一位官员表示,各国在大使馆内使用外交掩护为情报人员提供掩护是司空见惯的事,但长期以来,俄罗斯一直被指责其使馆人员过多,超出了同等规模国家的正常水平。来自欧盟北约成员国的三名官员拒绝公开发表讲话或提供确切数字,但用一位官员的话说,俄罗斯驻巴黎、布鲁塞尔、维也纳和布拉格的大使馆“人满为患,但有间谍” 。驻布鲁塞尔的一名北约反情报高级官员说,在整个欧洲,俄罗斯大使馆的人员远远超出了外交要求。当然,大多数大使馆通常都有情报人员,但在欧洲分配的俄罗斯人的绝对数量是公然滥用外交豁免权的企图。3月18日,保加利亚、拉脱维亚、立陶宛和爱沙尼亚共要求20名俄罗斯外交官在几天内离开,作为清理行动的一部分。上周,斯洛伐克驱逐了三名俄罗斯外交官,此前他们扰乱了反情报官员拍摄的情报行动。美俄之间的互驱外交官的行动也愈演愈烈。有趣的是,《华盛顿邮报》报道称,FBI运营的社交媒体广告发消息旨在招揽俄罗斯外交官为美国反间谍工作,这些广告直接针对俄罗斯驻华盛顿大使馆周围的区域。https://www.vice.com/en/article/v7dnvx/russian-spy-europe
来源:网空闲话
发表评论