20230822-5th域安全微讯早报-No.200

网空闲话网空闲话plus

2024-08-30

网络空间安全对抗资讯速递

2023年8月22日

最新热门网安资讯

Cyber-Intelligence Brief Express

Vol-2023-200 星期二

今日热点导读

1、美国法院：人工智能无署名权

2、澳大利亚.au域名管理机构否认遭受数据泄露影响

3、澳大利亚软件提供商“能源一号”遭受网络攻击

4、拉斯维加斯黑帽会议上讨论最多的漏洞

5、Cyfirma声称已经发现了CypherRAT和CraxsRAT远程访问木马的开发者

6、对BRAK的NoEscape攻击：影响德国国家安全基础的网络威胁

7、Ivanti警告新的MobileIron零日漏洞被积极利用

8、TP-Link智能灯泡可以让黑客窃取用户的WiFi口令

9、Twitter上的以色列网络情报技术：每个用户的数字ID

10、厄瓜多尔国家选举机构表示网络攻击导致缺席投票问题

11、英国情报部门正在通报勒索软件目标以阻止攻击

12、索马里因“恐怖”内容而禁止TikTok和Telegram

13、亲乌黑客组织DumpForums攻击俄罗斯主机托管平台mtw.ru

14、美国CISA敦促人工智能设计安全

资讯详情

1、美国法院：人工智能无署名权

根据美国地方法院的判决，借助人工智能（AI）创作的艺术作品不受版权保护。这一决定是为了回应斯蒂芬·塞勒（Stephen Thaler）的主张，他试图为使用创意机器算法创建的图像注册版权。史蒂文·塞勒(Steven Thaler)曾多次为使用他开发的创意机器算法制作的图像提交版权申请。塞勒想将图像注册为委托作品，算法作为作者，塞勒作为作品的所有者。然而，他的申请被拒绝了。去年最终被拒绝后，泰勒对美国版权局（USCO）提起诉讼，声称拒绝是非法的。然而，Beryl A. Howell法官并不支持他的立场。她在决定中强调，版权从未授予非人类作品，并强调“人类作者身份是版权的基本原则”。同时，法官承认，当艺术家将使用人工智能作为创作新作品的工具时，人类正在“接近版权领域的新前沿”。她指出，这种做法会引发人们的疑问，即保护艺术版权需要多少人力投入，因为神经网络通常是在现有作品上进行训练的。塞勒的律师Brown Neri Smith&Khan LLP的Ryan Abbot强调，他们不同意法官对法律的解释，并打算对裁决提出上诉。

https://www.securitylab.ru/news/541057.php

2、澳大利亚.au域名管理机构否认遭受数据泄露影响

管理澳大利亚互联网域名 .au的组织上周五（8月18日）否认受到数据泄露的影响，此前勒索软件团伙将其添加到受害者名单中。处于局势中心的非营利组织auDA得到澳大利亚政府的支持，并且是.au域名系统的管理机构。超过400万个域名注册到.au，该组织被视为“澳大利亚关键基础设施”。但在8月11日，NoEscape勒索软件团伙声称攻击了该组织并窃取了15GB 敏感数据，其中包括个人信息等。该组织周五（8月18日）发表声明，否认有任何数据泄露行为。“今天下午，auDA收到了涉嫌数据泄露的警报。我们正在调查这一指控。到目前为止，我们尚未发现此类违规行为的证据，”该组织表示。“一旦获得更多信息，我们将立即提供更新。”为了回应有关潜在勒索软件攻击的问题，该组织指示Recorded Future News于周六发布了更新版本。袭击发生后，他们首先联系了澳大利亚网络安全中心（ACSC）、内政部和澳大利亚信息专员办公室（OAIC）。该组织正在与一家网络安全公司合作调查该事件。“今天，网络犯罪分子提供了他们声称拥有的一小部分数据样本的证据。它包括计算机文件列表的屏幕截图，”他们说。“我们的调查仍在进行中，包括核实网络犯罪分子的说法和这些数据的来源。”

https://therecord.media/australia-domain-name-admin-denies-data-breach

3、澳大利亚软件提供商“能源一号”遭受网络攻击

澳大利亚软件提供商Energy One周一（21日）证实，该公司上周遭到网络攻击。Energy One为欧洲、亚太地区和英国的能源公司开发软件，并在澳大利亚证券交易所上市。其客户包括荷兰能源公司Essent、英国发电公司InterGen和约克郡天然气和电力供应商YGP。能源一号周五（8月18日）发现了网络攻击，并立即展开调查。一份声明称，该事件影响了其在澳大利亚和英国的系统。该公司还通知了澳大利亚网络安全中心和英国相关当局。目前尚不清楚负责此次攻击的黑客组织的身份、初始访问向量以及是否有任何客户数据被泄露。“能源一号”现在正试图确定哪些其他系统（如果有）可能受到了黑客攻击的影响。在调查正在进行期间，该公司拒绝透露有关此次袭击的任何进一步细节。“能源一号将继续提供最新信息，因为它对事件及其解决的可能时间表有了更清晰的了解，”一位发言人告诉记录未来新闻。该公司在一份声明中表示，为了确保客户安全，能源一号已禁用其公司系统和面向客户的系统之间的一些连接。

https://therecord.media/australian-energy-one-hit-with-cyberattack

4、拉斯维加斯黑帽会议上讨论最多的漏洞

每年夏天，美国拉斯维加斯都会举办多场大型网络安全会议，其中传奇的黑帽会议占有特殊的一席之地。该活动传统上成为宣布和讨论最紧迫的网络威胁的平台。每年，研究人员都会讨论流行技术和服务中发现的漏洞。这些发现不断促使众多 CISO思考其公司面临的风险。在Black Hat 2023上，专家们提出了许多有趣的研究，以下是今年在信息安全领域发现的四个最危险和最引人注目的漏洞。一是人工智能漏洞；不出所料，人工智能话题已成为今年黑帽大会的主导话题之一。会议创始人杰夫·莫斯 (Jeff Moss) 就人工智能的风险和机遇发表了主题演讲，拉开了此次活动的序幕。二是Azure Active Directory设置不正确；会议的另一个热点话题是云平台的漏洞。另一份报告专门针对Azure Active Directory中的配置错误，该错误允许攻击者获得对客户端系统的未经授权的访问。三是SAP软件漏洞；来自Onapsis（一家专门从事网络安全和合规性的公司）的研究人员参加了这次会议。他们讨论了SAP P4/RMI软件的安全问题，理论上该软件可用于企业SAP系统的远程访问。四是“垮台”漏洞；Google高级科学家Daniel Mogimi就可能影响英特尔处理器的Downfall漏洞进行了演示。此错误会导致数据意外泄露，并可能给数十亿台设备带来风险。Intel已经发布了补丁，但要从根本上解决问题，未来可能需要修改处理器架构。DLP解决方案公司Metomic联合创始人兼首席执行官Richard Wiebert表示，Downfall漏洞为攻击者提供了仅使用一条指令即可攻击英特尔处理器上的软件漏洞的机会。

https://www.securitylab.ru/news/541046.php

5、Cyfirma声称已经发现了CypherRAT和CraxsRAT远程访问木马的开发者

网络安全公司Cyfirma声称已经发现了CypherRAT和CraxsRAT远程访问木马(rat)背后的开发者的真实身份。这个人的网名是“EVLF DEV”，过去8年来一直在叙利亚境外活动，据信他通过向各种威胁行为者出售这两个RAT，赚取了超过7.5万美元。据Cyfirma称，同一个人也是恶意软件即服务(MaaS)运营商。在过去的三年里，EVLF一直在表面网络商店中提供CraxsRAT，这是目前最危险的Android RAT之一，迄今为止已经售出了至少100个终身授权。Cyfirma说，CraxsRAT构建器生成高度模糊的包，允许攻击者根据他们准备的攻击类型定制内容，包括WebView页面注入。此外，“超级mod”功能可用，使应用程序难以从受感染的设备中删除，每当检测到卸载尝试时，就会使页面崩溃。在受感染的设备上，RAT可以获取设备的精确位置、读取和窃取联系人、访问设备的存储、读取消息和呼叫记录。Cyfirma对EVLF的行踪进行了调查，发现了一个拥有超过1万名订户的电报频道，以及一个加密钱包，其中显示了恶意软件开发商至少三年内出售rat的收入。Cyfirma指出:“根据我们的调查，可以高度肯定EVLF是由一名来自叙利亚的男子操纵的。”

https://www.securityweek.com/researchers-uncover-real-identity-of-cypherrat-and-craxsrat-malware-developer/

6、对BRAK的NoEscape攻击：影响德国国家安全基础的网络威胁

8月7日星期一，黑客组织NoEscape声称对德国国家律师协会(BRAK)的攻击负责。专家认为，安全专家于8月2日首次注意到这次攻击，可能会对德国律师及其客户的隐私造成非常严重的后果。NoEscape黑客组织最近出现在犯罪舞台上，但已经成功攻击了欧洲和美国的多个大型组织。网络犯罪分子在其网站上报告称，他们从BRAK窃取了127GB的机密数据。BRAK联合了德国28个地区律师协会，其会员包括约16.6万名国内外专家。该小组在一份声明中表示，正在与网络安全专家合作调查这一事件。该组织很快就能够恢复对邮件系统的访问，并且它的计划同样迅速地联系所有数据受到损害的律师和客户。BRAK说：“恢复正常运营的准备工作正在进行中。” 然而，由于攻击规模较大，系统的完全恢复可能需要数周甚至数月的时间。该网络攻击事件敲响了警钟，网络犯罪分子已经开始对合法组织进行有针对性的攻击。这既威胁到公民信息的隐私，也威胁到整个国家安全。

https://www.securitylab.ru/news/541048.php

7、Ivanti警告新的MobileIron零日漏洞被积极利用

美国IT软件公司8月21日Ivanti警告客户，一个关键的Sentry API身份验证绕过漏洞正在被利用。Ivanti Sentry（以前称为MobileIron Sentry）充当企业ActiveSync服务器（例如Microsoft Exchange Server）或后端资源（例如 MobileIron部署中的Sharepoint服务器）的看门人，并且还可以作为Kerberos密钥分发中心代理(KKDCP)服务器运行。该严重漏洞(CVE-2023-38035)由网络安全公司mnemonic的安全研究人员发现并报告，使未经身份验证的攻击者能够访问通过端口8443公开的敏感管理门户配置API（由MobileIron配置服务(MICS)使用）。成功利用该漏洞后，他们可以更改配置、运行系统命令或将文件写入运行Ivanti Sentry版本9.18及更早版本的系统。Ivanti建议管理员不要将MICS暴露在互联网上，并限制对内部管理网络的访问。Ivanti表示：“截至目前，我们只知道有限数量的客户受到CVE-2023-38035 的影响。此漏洞不会影响其他Ivanti产品或解决方案，例如Ivanti EPMM、MobileIron Cloud或Ivanti Neurons for MDM。”

https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-actively-exploited-mobileiron-zero-day-bug/

8、TP-Link智能灯泡可以让黑客窃取用户的WiFi口令

来自意大利和英国的研究人员在TP-Link Tapo L530E智能灯泡和TP-Link Tapo应用程序中发现了四个漏洞，攻击者可以利用这些漏洞窃取目标的WiFi口令。TP-Link Tapo L530E是包括亚马逊在内的多个市场上最畅销的智能灯泡。TP-link Tapo是一款智能设备管理应用程序，在Google Play上拥有1000万安装量。卡塔尼亚大学和伦敦大学的研究人员分析了该产品的受欢迎程度。然而，他们论文的目标是强调消费者使用的数十亿智能物联网设备的安全风险，其中许多设备遵循有风险的数据传输和乏善可陈的身份验证保护措施。第一个漏洞涉及Tapo L503E上的不正确身份验证，允许攻击者在会话密钥交换步骤中冒充设备。第二个漏洞也是一个高严重性问题（CVSS v3.1得分：7.6），由硬编码的短校验和共享密钥引起，攻击者可以通过暴力破解或反编译Tapo应用程序来获取该密钥。第三个漏洞是一个中等严重性的缺陷，涉及对称加密过程中缺乏随机性，这使得加密方案可预测。第四个漏洞源于缺乏对接收消息的新鲜度的检查，保持会话密钥在 24 小时内有效，并允许攻击者在此期间重放消息。

https://www.bleepingcomputer.com/news/security/tp-link-smart-bulbs-can-let-hackers-steal-your-wifi-password/

9、Twitter上的以色列网络情报技术：每个用户的数字ID

Twitter正在考虑为其用户引入数字ID。该项目将与以色列网络安全公司AU10TIX合作，重点打击欺诈行为。然而，这一决定引发了人们对数据隐私的担忧。AU10TIX是自动验证领域的长期领导者，为大型科技公司和银行开发了类似的数字ID。其产品用于各个行业的欺诈检测和预防。为了实施该项目，AU10TIX必须创建一个包含数百万人个人信息的庞大数据库。该公司的算法确定了识别欺诈者的标准，但他们的工作并不透明。除了自己的AU10TIX数据库之外，公司还可以购买或访问其他公司、政府、执法机构、法院、情报机构等收集的私人信息。此外，还出现了隐私问题。缺乏透明度和可能侵犯隐私违反了隐私原则。目前尚不清楚该公司将如何防止误报并提供对系统决定提出上诉的机会。AU10TX使用由SIGNT的IDF Unit 8200开发的一种面部识别技术。后者开发了一些世界上最先进的监控技术。它们主要用于针对巴勒斯坦人民进行间谍活动，并识别那些可能被勒索为以色列辛贝特（以色列反情报机构）线人的人。有趣的是，AU10TIX是通过向世界各地的机场提供服务开始运营的。其技术是以色列反恐专业知识的一部分，并在世界各地广受欢迎。没有人知道该公司的算法如何确定谁被视为可疑，因为该技术完全不透明。

https://www.securitylab.ru/news/541054.php

10、厄瓜多尔国家选举机构表示网络攻击导致缺席投票问题

厄瓜多尔周日（8月20日）举行的全国选举因居住在国外的公民在线投票遇到困难而受到影响，该国选举机构将这一事件归因于来自七个不同国家的网络攻击。投票当天，缺席选民涌入社交媒体，表达他们对无法通过政府创建的在线系统投票的不满。大约有12万居住在国外的厄瓜多尔人在选举中登记投票，其中许多人在投票结束前无法进入投票系统。在周日的新闻发布会上，全国选举委员会主席戴安娜·阿塔曼特将远程信息处理投票问题归咎于网络攻击，但她没有详细说明网络攻击的性质。她说：“我们通知厄瓜多尔人民，根据初步报告，远程信息处理投票平台遭受了网络攻击，影响了投票的流畅性。” “我们还澄清并强调，投票没有受到侵犯。” 她接着说，这些袭击“被确定来自七个国家：印度、孟加拉国、巴基斯坦、俄罗斯、乌克兰、印度尼西亚等国。”阿塔曼特在接受美国有线电视新闻网西班牙语附属机构采访时表示，欧洲选民受到的影响尤其严重。“选举当局将在法律框架内分析什么是适当的，”她说。选举机构没有回应置评请求。

https://therecord.media/ecuador-election-cyberattacks-absentee-voting

11、英国情报部门正在通报勒索软件目标以阻止攻击

在过去三个月中，平均每72小时，英国安全和情报部门的网络专家就会检测到针对英国组织的新勒索软件攻击的开始，然后向目标通报以阻止攻击。多位消息人士称，专家们利用情报界对其他任何人都无法获得的多种信息源的访问权，以及公共、商业和闭源输入，建立了一个独特的系统，这几乎肯定阻止了大量勒索软件攻击的成功。不愿透露姓名的情况下向《未来新闻记录》做了简报。这个名为“早期预警”的免费系统由英国政府通信总部(GCHQ)下属的国家网络安全中心(NCSC)运营，可以帮助更多英国组织在网络安全威胁全面爆发之前应对它们。目前，只有大约2%的组织在检测到事件后收到早期预警的举报。“我们经常很难找到正确的联系信息，或者人们认为他们正在与骗子交谈，”NCSC发言人告诉未来新闻记录。该机构发布了指导意见，区分其官员的联系与犯罪分子试图诱骗人们转移资金或泄露敏感信息的行为。在某些情况下，需要很长时间才能发出通知，以至于当NCSC设法与正确的人交谈时，勒索软件已经部署。截至2022年底，只有7,819个组织签署了该服务，仅占该国估计550万家私营企业、超过 160,000个注册慈善机构和超过32,000所学校的合格组织总数的一小部分。

https://therecord.media/gchq-ncsc-tipping-off-ransomware-targets-early-warning

12、索马里因“恐怖”内容而禁止TikTok和Telegram

索马里周日（8月20日）宣布禁止社交媒体平台TikTok和Telegram，以及在线博彩平台1XBet，称它们被“恐怖分子”用来传播“可怕的图像和错误信息”。“这些平台改变了索马里年轻人的生活，并导致其中一些人丧生，”该国通信和技术部在一份声明中表示。禁止这些平台的决定是在该国军事和政治动荡之际做出的，索马里政府正在与青年党激进组织作战。就在上周，索马里总统公布了一项计划，计划在未来五个月内消灭目前控制着该国大部分地区的青年党组织。索马里互联网服务提供商必须在8月24日之前强制执行禁令，否则可能面临法律后果。其他非洲国家也对字节跳动公司旗下的视频托管服务TikTok表示担忧。本月早些时候，塞内加尔因担心该平台助长该国暴力抗议活动而暂停了TikTok。肯尼亚还在考虑禁止TikTok，因为它涉嫌宣扬“不当”行为，以及在未经用户同意的情况下与第三方公司共享用户信息。

https://therecord.media/somalia-bans-tiktok-telegram-over-horrific-content-al-shabaab

13、亲乌黑客组织DumpForums攻击俄罗斯主机托管平台mtw.ru

据专门的Telegram频道报道，8月19日，托管平台mtw.ru成为网络攻击的受害者，导致客户个人信息泄露。据称，亲乌克兰黑客组织DumpForums发布了该网站客户数据库的转储。攻击发生时相关的被盗数据包括：客户的全名和姓氏；电子邮件地址（超过12000个唯一地址）；电话号码（超过12000个唯一号码）；登录次数（超过10万次唯一登录）；护照数据，包括个人的注册地址；IP地址、域和其他相关信息。这并不是DumpForums组织第一次主动针对俄罗斯托管公司。在之前的一次网络攻击中，他们影响了Reg.ru托管平台，但随后的信息泄露并不严重。黑客声称已经并将继续侵入该公司的内部基础设施一年多了。他们的攻击目的是托管平台客户公司的数据，据攻击者称，这些数据已经积累了超过213,000条。发布的转储仅包含与mtw.ru本身相关的信息。联邦通信、信息技术和大众通信监管局 (Roskomnadzor) 正在对mtw.ru托管服务用户个人数据泄露的报告进行审计。8月21日，该部门新闻处告诉莫斯科城通讯社，截至2023年8月21日13时，Roskomnadzor尚未收到运营商关于此事件的通知。

https://www.securitylab.ru/news/541076.php

14、美国CISA敦促人工智能设计安全

美国联邦政府提倡人工智能开发人员将安全性作为核心要求，并警告说机器学习代码在部署后修复起来特别困难且昂贵。网络安全和基础设施安全局在周五的一篇博客文章中敦促人工智能在设计上要确保安全——这是CISA持续开展的活动的一部分，旨在从一开始就促进设计和开发计划与安全性保持一致。文章强调了之前的研究，这些研究引起了人们对机器学习紧密耦合性质的关注。通过设计为人工智能提供安全性可能不同于为其他类型的软件提供安全性。它包含一系列基本的、与行业无关的安全实践，“仍然适用于人工智能软件”。CISA表示，即使不是专门针对人工智能，实施这些指南也特别重要，因为威胁行为者已经通过使用非人工智能软件元素的已知漏洞来利用人工智能系统。人工智能软件设计、开发、部署和测试；数据管理; 系统集成；该机构表示，漏洞和事件管理应适用“现有的社区预期的安全实践和政策”。CISA 表示，处理人工智能模型文件格式的系统应防止不受信任的代码执行尝试，并使用内存安全语言。AI工程社区还必须实施 CVE 等漏洞标识符，捕获 AI 模型及其依赖项的软件材料清单，并默认遵循基本隐私原则。

https://www.govinfosecurity.com/us-cisa-urges-security-by-design-for-ai-a-22893

THE END

往期推荐

1. 5th域安全微讯早报-Vol-2023-199