周一,FBI 发布关于国家黑客使用 Kwampirs 恶意软件攻击全球供应链企业和其它行业的警告。这是 FBI 今年以来发布的第三次警告,此前在1月6日和2月5日发布该警告。这次,FBI 强调称,该黑客组织的某些目标是目前正在与新冠病毒肺炎 (COVID-19) 疫情搏斗的医疗行业。除了发布“私营行业通告 (PIN)”外,FBI 还发布了两个 Flash 形式的警告:一个包含用于识别该黑客组织在受感染网络上部署的 Kwampirs 恶意软件的 YARA 规则,一个是包含附有完整 IOCs 的技术报告。这两个 Flash 警告都是对之前1月和2月报告的重申,不过增加了一些额外详情。FBI 将发动攻击的幕后黑手称为 “Kwampirs”,认为属于 APT 组织即受国家支持的黑客组织。FBI 调查人员表示该黑客活跃于2016年,当时在野出现首个通过 Kwampirs 远程访问木马发动的攻击活动。FBI 指出,“从受害者图谱和取证分析结果来看,FBI 发现了大量受严重影响的行业,包括医疗、软件供应链、能源和工程行业,遍布美国、欧洲、亚洲和中东地区。次要目标行业包括金融机构和著名律所。”但FBI 在这份报告中强调,最重要的一点是,该黑客组织此前对医疗行业展开猛烈攻击,“Kwampirs 操作者针对全球医疗实体的攻击取得成效”。FBI 指出,该组织“获得对目标医疗实体广泛而持续的访问权限”,被黑目标包括大型跨国医疗公司到当地医疗组织机构等等,不一而足。FBI 表示,“FBI 评估认为 Kwampirs 行动者通过厂商软件供应链和硬件产品获得对全球大量医院的访问权限。受感染的软件供应链厂商包括用于管理医院工控资产的产品。”在某些攻击活动中,攻击者访问了一些机器或者攻陷了整个企业网络。FBI 认为 Kwampirs 恶意软件通过 Server Message Block(SMB) 协议或通过隐藏的管理员分享获得在网络中横向移动的能力。FBI 建议组织机构通过其发布的 Flash 技术警告,了解关于如何检测 Kwampirs 恶意软件的方法。虽然 FBI 并未将该组织归因于某个具体国家,但却指出该恶意软件中包含的代码和恶意软件 Shamoon (被指由伊朗黑客开发并部署)存在相似之处。不过,目前尚不清楚FBI发布这份警告是因为 Kwampirs 黑客组织在近几周开始增加对医疗组织机构的攻击,还是因为该组织有攻击医疗机构组织的前科因而试图提醒医疗组织机构关注未来网络攻击活动。就在当前新冠病毒肺炎疫情尚未结束而人们正在疯狂寻找疫苗之际,医疗研究机构成为最受网络攻击和网络间谍行为欢迎的目标。上周,路透社报道称,本月早些时候,某国家黑客试图攻陷世界卫生组织。而在刚刚结束的 Risky Business 现场直播活动中,制作人兼主持人 Patrick Gray 指出,鉴于当前情势,针对医疗研究机构的攻击将随时爆发。在这次直播活动中,Crowdstrike 公司的联合创始人 Dmitri Alperovitch 指出,不参与当前新冠肺炎疫情情报的情报机构构成“失职”。他表示,“目前,我们面临着影响全世界几乎所有国家的灾难,它的影响范围无法想象,他对经济带来不可估量的威胁。情报机构应当做的事情之一是帮助决策制定者理清如何应对这类危机。”虽然 FBI 并未指出 Kwampirs 组织是否参与新冠病毒肺炎疫情情报收集活动,但确实建议医疗组织机构采取预防保护措施。
https://www.zdnet.com/article/fbi-re-sends-alert-about-supply-chain-attacks-for-the-third-time-in-three-months/
题图:Pixabay License
文内图:FBI 网站
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。