20230606-5th域安全微讯早报-NO.134

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年06月06日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-134 星期二

今日热点导读

1、美国-欧盟贸易和技术委员会第四次部长级会议强调新兴技术的开发和利用

2、美国防信息系统局（DISA）发布最新的劳动力2025框架

3、北约称军事网络防御者需要在和平时期出现在网络上

4、西班牙大型银行确认勒索软件攻击

5、网络空间犯下的战争罪行绝不能逃脱国际司法的制裁

6、新工具扫描iPhone以检测“三角测量”恶意软件感染

7、加勒比海马提尼克岛应对扰乱政府服务的网络攻击

8、微软称Clop勒索软件组织涉嫌利用影响广泛使用的MOVEit文件传输工具零日漏洞

9、ISA OT网络安全峰会研讨重点聚集于网络安全培训

10、HHS警告MOVEit Transfer严重漏洞使医疗保健部门面临风险

11、SpaceX和NASA发射用于黑客攻击试验的Moonlighter卫星

12、英国航空公司、BBC和Boots遭到疑似俄罗斯网络攻击

资讯详情

1、美国-欧盟贸易和技术委员会第四次部长级会议强调新兴技术的开发和利用
新兴技术主导了美国-欧盟贸易和技术委员会第四次部长级会议，会议强调需要在没有总体监管的情况下协调开发和利用关键技术。该委员会的四个重点领域是人工智能、6G、量子信息技术和在线平台。与美国国内的对话类似，TTC正在寻求在持续创新、智能扩展和负责任使用之间穿梭。白宫5月31日的一份备忘录写道：“美国和欧盟致力于共同领导，促进和维护以共同价值观为基础的基于规则的国际秩序。” “我们致力于充分利用新兴技术的潜力，同时限制它们对普遍人权和共同民主价值观构成的挑战。”在瑞典吕勒奥举行的委员会会议上，新的生成人工智能系统的兴起构成了不成比例的对话，TTC成员和美国商务部长吉娜雷蒙多讨论了委员会在ChatGPT等人工智能技术快速发展的情况下的目标。“我们致力于确保TTC为利益相关者参与提供一个论坛：私营部门的参与，我们公司的参与，以弄清楚我们现在可以做些什么来减轻人工智能的风险，但也不是扼杀创新，”她在上周的小组讨论中说。“这是一个真正的挑战。”为了应对人工智能的日益普及，委员会将继续利用2022年12月发布的关于可信人工智能和风险管理评估和测量工具的TTC联合路线图，还将为人工智能和生成人工智能系统增加三个新的焦点小组：人工智能术语和分类；就可信赖人工智能和风险管理的人工智能标准和工具开展合作；监测和衡量现有和新出现的人工智能风险。与会者还讨论了推进量子技术研究和开发，特别是在后量子密码学领域，以及可持续技术研究和确保稳健的关键矿物供应链。TTC还描述了新策略，以破坏所谓的外国信息操纵和对发展中国家的干涉。
https://www.nextgov.com/emerging-tech/2023/06/emerging-tech-misinformation-dominate-may-transatlantic-council-talks/387092/
2、美国防信息系统局（DISA）发布最新的劳动力2025框架
美国国防信息系统局上周公布了一项新的劳动力计划，以更好地让该机构应对他国“对美国构成越来越复杂的IT和网络威胁”。该战略被称为Workforce 2025，于6月1 日发布，旨在帮助DISA“吸引和维持一支灵活、熟练和多样化的员工队伍，以适应不断变化的IT和网络空间环境。”该机构表示，其倡议支持2022年国防战略的目标，该战略在一定程度上呼吁国防部“改变我们的制度文化并改革我们的经营方式”，以“招募和留住最有才华的美国人”。DISA表示，新的劳动力框架将使其能够更有效地对抗中国，去年的战略称中国是“未来几十年最重要的战略竞争对手”。DISA表示，该倡议被分解为“四方面的努力，以满足 [国防战略] 的呼吁，即吸引、培训和提拔一支具备知识和决策能力的劳动力队伍，以创造性地解决复杂环境中的国家安全挑战。”第一个，DISA广泛定义为“连接任务”——包括为机构人员提供访问国防部首席信息官图书馆的权限，为员工提供在现场工作的机会，并让员工有机会参与桌面演习关于话题。第二个，将专注于扩大员工的“知识库”，部分方式是举办“非正式轮岗”，为员工提供新技能，并开发“结构化的机构安置流程”，以利用参与人员获得的专业知识在高级领导力发展计划中。第三个，通过为员工提供“免费的本地实验室环境”以“进行实验和学习”来改善员工的工作体验，同时对家庭和办公室工作空间进行现代化改造。最后一个，DISA表示将努力“预测未来的人才需求”和“提升‘DISA品牌’”，使其成为“对学术界、大学毕业生和私营部门潜在招聘人员更具吸引力的职业目的地。
https://www.nextgov.com/cxo-briefing/2023/06/how-disa-plans-use-its-workforce-combat-china-and-global-adversaries/387125/
3、北约称军事网络防御者需要在和平时期出现在网络上
一位高级官员表示，北约成员国下个月将批准军事网络防御者在和平时期发挥更大的作用，同时将私营部门的能力永久整合到联盟打击恶意国家支持的黑客行为的努力中。北约负责新兴安全挑战的助理秘书长戴维·范维尔上周在塔林举行的第 15届年度国际网络冲突会议 (CyCon)上表示，北约成员国将开始将网络空间视为“一个永久竞争的环境”。预计将于7月在立陶宛举行的2023年维尔纽斯峰会上获得批准，此前去年在马德里通过了一个新的战略概念——实际上是一个新的蓝图，概述了联盟面临的挑战以及在俄罗斯入侵乌克兰后打算如何应对这些挑战以及它对欧洲安全的更广泛影响。“俄罗斯对乌克兰的侵略战争证实了许多关于网络在冲突中扮演什么角色的理论，”van Weel说。“在入侵乌克兰之前，俄罗斯在敌对行动期间充分利用了网络能力，并且在这场冲突的激烈阶段之后，它可能会继续使用这些能力。”到目前为止，战争已经表明，网络攻击不是动能行动的替代品，而是一个强大的“多域作战的一部分，可产生累积效应，”他说。为了解决这个问题，北约盟国将调整他们的网络防御态势，在应对国家支持的攻击时变得更加主动和自信，van Weel说：“我们需要超越点名和羞辱不良行为者以应对孤立的网络事件，并且清楚哪些规范被打破了。”“我们需要在和平时期加强军事网络防御者的作用。这很重要，因为在大多数国家背景下，军方只会在危机和冲突期间介入，”他补充说。
https://therecord.media/nato-peacetime-cyberdefense-david-van-weel-cycon
4、西班牙大型银行确认勒索软件攻击
西班牙的一家主要银行表示，它正在处理影响多个办事处的勒索软件攻击。Globalcaja——总部位于西班牙阿尔巴塞特市——在西班牙拥有300多个办事处，为近50万人提供各种银行服务。它管理着超过46亿美元的消费贷款，拥有1,000名员工。Play勒索软件组织本周声称，它攻击了银行并窃取了数量不详的私人和个人机密数据、客户和员工文件、护照、合同等。该银行周五（2日）发表声明，确认数个当地办事处的计算机正在处理勒索软件。他们在一份声明中说：“它没有影响实体的交易（也没有影响客户的账户或协议）。就电子银行和ATM而言，办公室的运作完全正常。”“从一开始，在Globalcaja，我们就激活了为此目的创建的安全协议，这导致我们禁用了一些办公室职位并暂时限制了一些操作的性能。我们继续努力完成局势正常化，并正在分析发生的情况，始终将安全放在首位。我们对造成的任何不便表示歉意。”该银行没有回应关于是否支付赎金的置评请求。西班牙金融机构长期以来一直是黑客的目标，但该国在2023年一直在处理更多勒索软件事件，其中一次攻击使巴塞罗那的一家医院瘫痪，另一次使一家西班牙游乐园公司倒闭。Play勒索软件团伙于2022年7月首次出现，目标是拉丁美洲的政府实体，最近因对奥克兰市的破坏性攻击而成为头条新闻，奥克兰市已经花了数周时间从事件中恢复过来。
https://therecord.media/spain-globalcaja-bank-confirms-ransomware-attack
5、网络空间犯下的战争罪行绝不能逃脱国际司法的制裁
国际刑事法院不应允许那些在网络空间犯下战争罪或反人类罪的人逃避国际司法审判，爱沙尼亚总统阿拉尔·卡里斯 (Alar Karis)上周在一次网络冲突会议上表示。卡里斯在塔林举行的第15届年度国际网络冲突大会 (CyCon)开幕式上说，这些攻击必须始终让攻击者付出代价——而强加这些代价将需要各国合作并共同指责肇事者。“这是为了确保正义，同时也是为了通过惩罚那些违反最神圣的国际法律和规范的人来加强威慑，”爱沙尼亚总统说。在俄罗斯入侵乌克兰期间针对民用基础设施的大量网络和动能攻击之后，他发表了上述讲话，其中包括去年冬天针对该国能源部门的数十起严重网络攻击事件，当时该国大部分地区的日平均气温都在冰点以下。“在乌克兰，就像在其他武装冲突中一样，我们不应将武装冲突期间的网络攻击视为独立于其他军事行动的事情，”卡里斯说。时间回到2007年，也就是加入北约仅几年后，爱沙尼亚就受到了此类 DDoS攻击浪潮的影响，当时它将一座苏联战争纪念馆从首都塔林市中心搬迁到几公里外的一处军人墓地。官员们将这些事件归咎于俄罗斯，尽管北约没有发布正式的归属。阻碍国家发展的数字化尝试是开创性的。它们展示了一个国家可能因网络敌对行动而面临的情况，并促使北约对网络战进行了重大研究，最终导致北约合作网络防御卓越中心 (CCDCOE)于2008年在塔林成立。爱沙尼亚总统呼吁追究国际犯罪的责任，乌克兰网络和信息安全部安全局负责人伊利亚·维丘克在塔林的主题演讲中对此表示赞同。
https://therecord.media/war-crimes-cyberspace-cycon-estonia-president-alar-karis
6、新工具扫描iPhone以检测“三角测量”恶意软件感染
网络安全公司卡巴斯基发布了一种工具，可以检测Apple iPhone和其他iOS设备是否感染了一种新的“三角测量”恶意软件。这种恶意软件是由卡巴斯基在其自己的网络上发现的，报告称至少自2019年以来，它已经在其全球范围内感染了多台 OS设备。尽管恶意软件分析仍在进行中，但该网络安全公司指出，“Operation Triangulation”恶意软件活动使用 iMessage上的未知零日漏洞利用来执行代码，无需用户交互和提升权限。这允许攻击将更多有效载荷下载到设备以进一步执行命令和收集信息。还应该指出的是，俄罗斯情报和安全部门FSB将恶意软件与高级政府官员和外国外交官的感染联系起来。在最初的报告中，卡巴斯基提供了很多关于使用移动验证工具包 (MVT)手动检查iOS设备备份以寻找可能受到这种未知恶意软件危害的指标的详细信息。然而，这家安全公司现在发布了一款适用于 Windows和Linux的更易于使用的自动化三角测量扫描器。iOS只能作为备份进行分析，因为Apple的各种安全机制（沙盒、数据加密、代码签名）会阻止实时系统分析。卡巴斯基已将扫描器作为适用于Windows和Linux的二进制版本发布，并通过PyPI提供跨平台Python包。当启动并指向iOS备份路径时，triangle_check工具将输出以下扫描结果之一：检测到：这意味着“Operation Triangulation”恶意软件毫无疑问已经感染了设备；怀疑：扫描仪发现了一些暗示可能感染的迹象，但没有足够的证据支持结论性的结果；未发现入侵痕迹：扫描器未检测到特定恶意软件系列的任何妥协迹象。
https://www.bleepingcomputer.com/news/security/new-tool-scans-iphones-for-triangulation-malware-infection/
7、加勒比海马提尼克岛应对扰乱政府服务的网络攻击
加勒比海的马提尼克岛正在应对一场网络攻击，该攻击已中断数周的互联网访问和其他基础设施。马提尼克岛人口约36万，由法国控制，是欧盟的最外围地区。在 5月24日的通知中，管理马提尼克岛的委员会表示，网络攻击“严重扰乱了社区的活动，并直接影响了用户和合作伙伴。”通知称，攻击于5月16日开始，迫使官员隔离受影响的系统。动员网络安全专家帮助逐步恢复运营。教育服务和金融服务都受不同程度的影响。该岛政府和法国外交部没有回应置评请求。法国的网络安全机构也没有回应询问。一些政府办公室关闭至 6月1日。截至周一（5日），政府网站仍处于关闭状态。虽然关于政府办公室现状的信息很少，但政府在周五（2日）发布了一份关于网络攻击的通知，写道“数次网络攻击针对当地社区并使他们的计算机系统瘫痪。”法国国家信息系统安全局 (ANSSI) 为岛上的组织提供了几项建议，敦促他们为员工提供有关网络卫生的指南，并增加防火墙、防病毒软件和入侵检测程序等安全工具的使用。Databreaches.net周日（4日）首次报道称，Rhysida勒索软件组织因攻击该岛的系统而受到赞扬，泄露了所有被盗文件——其中大部分似乎是政府数据。该组织于2023年5月下旬首次出现，对其行动知之甚少。SentinelOne的一份报告称，该组织伪装成“网络安全团队”，试图通过“强调所涉及的安全问题可能产生的潜在后果”来帮助受害者。
https://therecord.media/martinique-dealing-with-cyberattack-that-disrupted-government-services-france
8、微软称Clop勒索软件组织涉嫌利用影响广泛使用的MOVEit文件传输工具零日漏洞
自周四（6月1日）以来，网络安全专家对影响 Progress Software的 MOVEit Transfer解决方案的新漏洞（标记为 CVE-2023-34362）发出了警报。该漏洞已于周五（2日）添加到网络安全和基础设施安全局 (CISA)的漏洞利用列表中，允许美国所有联邦民用机构在6月23日之前应用本周末发布的任何缓解措施或补丁。周日（4日），微软将肇事者确定为Clop勒索软件组织——该组织在过去三年中一直在利用大公司和政府使用的流行文件传输服务。“微软将 [这些] 攻击归因于……以勒索软件操作和运行Clop勒索网站而闻名的Lace Tempest，”微软的安全团队周日表示。“威胁行为者过去曾使用过类似的漏洞来窃取数据并勒索受害者……利用之后通常会部署具有数据外泄功能的网络外壳。”BBC和英国航空公司成为第一批确认他们的数据被利用的受害者，因为他们的工资单提供商Zellis受到该漏洞的影响。BleepingComputer首先报告说，与 MOVEit相关的攻击是在阵亡将士纪念日周末开始的。安全公司Censys观察到3,803台暴露于互联网的主机目前正在运行 MOVEit服务，专家们最近几天一直在努力了解哪个组织是利用该漏洞的幕后黑手。该漏洞因其在政府和大型金融机构中的广泛使用而引起关注。软件公司Censys的数据显示，教育部门有27台主机暴露在互联网上，而来自美国联邦和州政府部门的60多台主机仍然暴露在外。周日，网络安全公司Rapid7的事件响应人员确定了一种方法来确定哪些数据以及多少数据从MOVEit客户环境中泄露。Clop勒索软件组织最近利用了一个影响Fortra的GoAnywhere文件传输产品的漏洞。该组织表示，它窃取了130多家公司、政府和组织的数据——包括塔斯马尼亚政府、多伦多市、英国跨国企业集团维珍、矿业巨头力拓、宝洁、日本科技巨头日立、Hatch银行、英国养老金保障基金、云数据管理巨头Rubrik等。
https://therecord.media/clop-behind-moveit-attacks-microsoft
9、ISA OT网络安全峰会研讨重点聚集于网络安全培训
考虑到在能源领域的战略地位，国际自动化协会 (ISA)在苏格兰阿伯丁召开了OT网络安全峰会。运营商、服务提供商、监管机构和设备供应商能够在峰会上进行面对面互动，并讨论与其各自供应链和潜在漏洞相关的话题，现场和在线代表齐聚一堂。上周举行的 T网络安全活动重点关注领先的国际标准和一致性系统，这些标准和一致性系统用于确保 OT（运营技术）在能源、制造和楼宇自动化等行业的安全。还强调了ISA/IEC 62443标准系列的发展，并审查了旨在帮助将标准实施到业务运营和员工队伍中的技术培训和认证计划。监管机构正在向承包商询问有关OT网络安全的详细问题，尤其是关于被归类为关键基础设施的操作。这种更严格的审查导致了更详细的合同要求。此外，保险公司也在制定网络安全政策之前寻找具体细节。为期两天的活动以网络安全培训为重点，阿伯丁大学教务长戴维·卡梅伦博士致欢迎辞，主旨发言人发表了讲话，其中包括美国国家网络总监办公室副主任 Cheri Caddy和施耐德电气能源管理产品安全官Megan Samford。来自美国和英国的精心挑选的主题专家也加入了他们的行列，他们展示了ISA/IEC 62443基于共识的自动化和控制系统网络安全标准的实际应用。国际自动化协会 (ISA) ICS4ICS桌面练习及相关课程受到极大关注和肯定。ICS4ICS全称Incident Command System for Industrial Control Systems，旨在提升全球工业控制系统网络安全事件管理能力。ICS4ICS 将利用FEMA概述的事件指挥系统来实现响应结构、角色和互操作性。ISA全球网络安全联盟 (ISAGCA) 与美国网络安全和基础设施安全局 (CISA)以及来自50多家参与公司的网络安全响应团队联手采用事件指挥系统。
https://industrialcyber.co/training-development/isa-ot-cybersecurity-summit-concludes-as-focus-shifts-to-cybersecurity-training/
10、HHS警告MOVEit Transfer严重漏洞使医疗保健部门面临风险
美国卫生与公共服务部 (HHS)的卫生部门网络安全协调中心 (HC3)评估认为，MOVEit Transfer软件中存在的严重漏洞可能会导致整个医疗保健部门未经授权的访问和权限升级。医疗机构通常使用 MOVEit Transfer在其内部和外部网络之间安全地传输大型文件和数据。周五（6月2日），威胁情报公司Mandiant透露，它目前将此活动归因于UNC4857，这是一个新创建的威胁集群，其动机不明，影响了加拿大、印度和美国各行各业的组织，但他们的影响几乎肯定更广泛。此活动和随后的数据盗窃活动看似机会主义的性质与勒索行为者之前看到的活动一致，这意味着受害组织可能会在未来几天到几周内收到勒索邮件。“该软件被HPH部门的多个组织使用，包括医院、诊所和健康保险集团。如果利用此漏洞，医疗记录、银行记录、社会安全号码和地址等敏感信息将面临风险，”HC3在周五（6月2日）发布的行业警报中表示。“目标组织可能会受到出于经济动机的威胁团体的勒索。HC3建议目前使用MOVEit的任何HPH组织立即采取行动，如下面的缓解措施部分所述，同时软件公司会制作补丁。” 美国网络安全和基础设施安全局 (CISA)在警报中还敦促“用户和组织审查MOVEit Transfer Advisory，遵循缓解措施，应用必要的更新，并寻找任何恶意活动。网络威胁参与者可以利用此漏洞接管受影响的系统，”它补充道。HC3提醒说，目前还没有针对这一最新漏洞的补丁，但可以采取一些缓解措施来帮助防止未经授权访问MOVEit Transfer软件。
https://industrialcyber.co/cisa/hhs-alerts-of-moveit-transfer-critical-vulnerability-putting-healthcare-sector-at-risk-as-mandiant-offers-more-detail/
11、SpaceX和NASA发射用于黑客攻击试验的Moonlighter卫星
当地时间周一（6月5日）上午11点 47分，在佛罗里达州的肯尼迪航天中心， SpaceX和 NASA有史以来第一次将一颗卫星送入近地轨道，希望它能被黑客入侵。几颗称为立方体卫星的小型方形卫星被绑在SpaceX火箭上，为国际空间站的补给任务发射。其中一个名为Moonlighter的立方体卫星将用作实验性“黑客沙箱”。安全研究人员将使用该沙箱作为今年晚些时候在拉斯维加斯举行的年度 DEF CON黑客大会上举行的竞赛的一部分。团队将尝试渗透这一切，以识别卫星中的漏洞，以提高太空的网络安全。Moonlighter是航空航天公司、空军研究实验室和美国太空系统司令部之间的合作，代表了Hack-A-Sat竞赛的最新版本。自2020年以来，美国空军一直在举办 Hack-A-Sat竞赛，作为加强与网络安全研究人员合作的多年努力，但过去三场夺旗比赛都是模拟的。今年他们想将比赛提升到一个全新的水平。航空航天公司高级项目工程师 Aaron Myrick说：“我们想要一种唯一目的是了解如何在太空中进行网络操作的运载工具。”保护太空系统已成为太空工业和拜登政府更加关注的焦点，因为专家们越来越担心新的商业现成产品存在潜在漏洞。就在上周，该领域的专家发起了一项全球性的努力，旨在通过电气和电子工程师协会创建自愿性技术标准，以更好地通过设计保护商业产品。Myrick说：“我们真的在努力全神贯注于网络安全运营，以及我们如何在一个开始拥有更多商品化硬件和软件的系统上进行网络运营，但它也非常偏远。” “我们不能只是上去打开电源开关或更换硬盘驱动器……这是一个非常具有挑战性的问题。”
https://cyberscoop.com/moonlighter-hack-a-sat-defcon/
12、英国航空公司、BBC和Boots遭到疑似俄罗斯网络攻击
英国航空公司已经将大规模网络攻击通知了 34,000名英国员工，而BBC也承认了这一事件。令人震惊的是，英国航空公司 (BA)、英国广播公司 (BBC) 和 Boots等知名英国公司的数万名员工可能成为疑似大规模数据泄露事件的受害者与源自俄罗斯的网络攻击有关。据报道，这一违规行为引发了人们对网络安全的严重担忧，并暴露了受影响个人的个人信息。在BA向其 34,000名员工发出警告后，这一令人震惊的事件曝光，通知他们发生重大“网络安全事件”，导致通过BA在英国和爱尔兰的工资单系统支付的员工的个人数据泄露。泄露的信息包括一系列敏感细节，包括姓名、地址、国家保险号码、银行信息和其他个人记录。更糟糕的是，英国航空公司也是2018 年数据泄露事件的受害者，在此期间，其380,000名客户的个人和财务详细信息被盗。消息来源表明，该漏洞与英航的工资单提供商Zellis 以及与该公司合作的其他公司也成为此次攻击的受害者。英国知名药房连锁店Boots向其员工发送电子邮件，告知他们的姓名、员工编号、出生日期、电子邮件地址和部分家庭住址已受到影响。据信，一小部分 Boots员工可能也有其他数据遭到泄露。知名广播机构BBC也确认涉及了此次违规事件。该组织的一位发言人表示，他们知道他们的第三方供应商 Zellis发生数据泄露事件，并正在积极与他们合作调查事件的严重程度。发言人强调了数据安全的重要性，并保证BBC正在遵循既定的报告程序来解决这个问题。Zellis为包括国家医疗服务体系 (NHS) 和 Jaguar Land Rover在内的众多大公司提供薪资服务，据报道，其八家客户遭受了违规影响。据英国当地媒体报道，安全研究人员指出，此次网络攻击疑似是一个名为Cl0p的俄语网络犯罪团伙所为。据报道，黑客通过利用Zellis使用的文件传输软件 MOVEit中的后门，获得了对敏感数据的未授权访问权限。Zellis已向公众保证，它正在积极协助受影响的客户，并已迅速采取行动应对这一事件。在意识到漏洞后，Zellis使用受感染的MOVEit软件断开了服务器的连接，并聘请了一个外部安全事件响应团队进行取证分析和持续监控。英国和爱尔兰的信息专员办公室 (ICO)、数据保护委员会 (DPC) 和国家网络安全中心 (NCSC)均已收到通知。
https://www.hackread.com/russian-cyber-attack-british-airways-bbc-boots/

THE END

往期推荐

1. 5th域微讯晨报-Vol-2023-129