4和护照，以及他日期为2022年12月13日的新医疗证明，这是访问机密文件的安全审查所必需的。在Morgachev的邮件中发现的一些相对较新的技术文件包括带有Cobalt

在线商店中的数千个智能手机应用程序包含由科技公司Pushwoosh开发的计算机代码，开发该代码公司看似位于美国，但实际上却属于俄罗斯。根据应用情报公司Appfigures的数据，在苹果app

“我们今天的主要挑战是在包括网络空间在内的所有战场上战胜敌人”。“我们每个人都可以通过遵守网络卫生规则来帮助这场斗争——不打开未知信息，不下载来源不明的文件，批判性地对待所有传入的信息。”

拇指驱动器。这可以让攻击者在此类UPS设备上建立持久性据点，这些设备可以用作网络中的跳板，可以从中进行额外的攻击。另外两个漏洞涉及UPS和施耐德电气云之间的TLS连接。支持SmartConnect

来自荷兰阿姆斯特丹自由大学的一组研究人员展示了一种新的Spectre(幽灵)攻击变体，可以绕过英特尔和Arm近年来实施的硬件缓解措施。VUSec的研究人员9日在一份技术报告中详细介绍了一种新方法，通过利用他们所谓的分支历史注入(BHI)来绕过所有现有的缓解措施。该文强调，虽然硬件缓解措施仍然可以防止非特权攻击者为内核注入预测器条目，但依靠全局历史来选择目标会创建一种以前未知的攻击方法。研究人员还发布了一个概念证明（PoC），展示了任意内核内存泄漏，成功地披露了易受攻击系统的根哈希密码。Grsecurity的研究人员披露了影响AMD

UPS设备上建立持久的持久性，这些设备可以用作网络中的据点，可以从中进行额外的攻击。滥用固件升级机制中的缺陷正在成为APT的标准做法，正如最近在对Cyclops

俄罗斯政府当地时间24日警告其国内关键基础设施运营商“计算机攻击强度增加的威胁”，并表示应考虑任何没有“可靠确定”原因的关键基础设施运行故障“计算机攻击的后果。”美国全国广播公司新闻频道25日最新报道称，总统乔·拜登已收到一份可供美国实施大规模网络攻击的选项，这些攻击旨在破坏俄罗斯维持其在乌克兰的军事行动的能力。该警告是通过俄罗斯国家计算机事件响应与协调中心发布的，正值俄罗斯军方对乌克兰进行广泛攻击，并且乌克兰政府指责俄罗斯人发起了一系列分布式拒绝服务攻击和部署入侵乌克兰政府系统上的wiper恶意软件。“攻击可能旨在破坏信息资源和服务的运作，造成声誉损害，包括出于政治目的，”警告写道。“此外，未来有可能从俄罗斯信息空间进行有害影响，在国际社会眼中形成俄罗斯联邦的负面形象。”该警告没有具体说明此类攻击可能来自何处。24日早些时候的零星报道表明，包括克里姆林宫官方网站在内的几个俄罗斯政府网站至少暂时无法访问。据VICE报道，截至周四上午，包括克里姆林宫官方网站在内的几个俄罗斯政府网站似乎无法访问。在俄罗斯军队入侵乌克兰和俄罗斯总统弗拉基米尔·普廷（Vladimir

一样，目标被描述为“不分青红皂白且广泛传播”，能够获得对网络的持续远程访问。它还可以从受感染的机器上传和下载文件，它是模块化的，允许将新功能添加到已经运行的恶意软件中。根据

Group遭到网络攻击。德国新闻媒体Handelsblatt首次报道，网络攻击影响了Oiltanking以及矿物油贸易公司Mabanaft的IT系统。两家公司都隶属于总部位于汉堡的Marquard

美国运输安全管理局(TSA)当地时间12月2日发布了两项安全指令，要求铁路和轨道交通集团采取措施加强该部门的网络安全，包括向联邦政府报告网络事件。安全指令要求高风险的货运铁路、客运铁路和轨道交通集团在发现网络安全事件后24小时内向网络安全与基础设施安全局(CISA)报告，并指定一名网络安全协调员。该项指令早前计划要求企业在12小时内报告网络事件，但遭到了工业界和共和党人的反对和批评。据一位国土安全部官员表示，这些指令将覆盖大约80%的货运铁路和90%的客运铁路。指令将于12月31日生效，业主和运营商将有90天时间进行网络安全脆弱性评估，180天时间实施网络安全事故响应计划。目前新的安全指令的文本尚未公开发布。国土安全部部长亚历杭德罗·马约卡斯在10月份的一个网络安全峰会上首次宣布了铁路部门即将出台的指令，指出需要特别防范勒索软件的攻击。当时马约卡斯还透露，航空部门将出台类似的网络安全指令。“这些新的网络安全要求和建议将有助于确保旅行中的公众安全，并保护我们的关键基础设施免受不断演变的威胁。国土安全部将继续与各级政府和私营部门的合作伙伴合作，提高我们全国关键基础设施的抵御能力，”国土安全部部长亚历杭德罗·马约卡斯说。新的指令要求这些组织完成对其网络的脆弱性评估，然后根据发现的安全问题制定网络安全事件应急处置计划。一项指令适用于货运铁路集团，而另一项指令适用于客运铁路和轨道交通公司，但它们是相同的，将很快公开发布。国土安全部高级官员周四（12月2日）告诉记者，运输安全管理局“最近更新了航空安全计划，要求机场运营商采取类似的步骤”，以满足先来主管部门的要求。自国土安全部长马约卡斯的声明发布以来，主要的行业组织已经表达了对计划指令的担忧，包括对事故的报告命令可能存在的问题过于广泛，以及没有意识到铁路部门面临的威胁增加。一个特别值得关注的问题是，有必要界定报告何种类型的网络事件。国土安全部高级官员告诉记者，运输安全管理局已与行业组织合作解决这些问题，并在周四宣布之前，已向利益相关方提交了两份指令草案，以审查并提供反馈。“关于明确关键的平衡,我们首先需要的是，力图确保我们捕获这些事件,政府需要知道因为与之相关的风险和确保我们的学习上升到这一水平,同时确保我们不会无谓地追踪每一起事件，以免被海量噪音事件淹没，所以这是我们在起草措辞时试图达到谨慎的平衡，”一位国土安全部高级官员说。纽豪斯（Victoria

宜家正在与一场进行中的网络攻击作斗争，攻击者利用窃取的回复链邮件对宜家员工进行内部钓鱼攻击。回复链电子邮件攻击（reply-chain

Mayorkas)表示，鉴于勒索软件的“滥发性”，国土安全部在9月份启动了为期60天的网络安全系列冲刺计划中的第四个关键事项，旨在加强交通部门的弹性。该指令将效仿殖民管道(Colonial

Ryan)当地时间8月3日宣布，将组建更多网络团队，专注于防范海上关键基础设施的网络安全。此前，一系列黑客攻击和勒索软件事件导致关键服务关闭。新网络空间战略展望（

SentinelOne的安全研究人员偶然发现了一种迄今未知的数据清除恶意软件，它可能是本月早些时候针对伊朗铁路系统的破坏性网络攻击的一部分。SentinelLabs的研究人员能够重建攻击链的大部分，其中包括一个有趣的从未见过的擦除器软件。OPSEC的错误让研究人员知道，攻击者称这个雨刷为“流星”，这促使研究者将该攻击活动命名为MeteorExpress。目前，还无法将此次活动与先前确认的威胁组织联系起来，也无法将其与其他袭击联系起来。然而，初步分析表明，这个擦除器是在过去三年开发的，是为重用而设计的。为了鼓励进一步发现这一新的威胁行为者，研究人员共享了攻击指标，鼓励其他安全研究人员共同探寻真相。7月9日，不明原因的网络攻击导致伊朗火车系统瘫痪。攻击者嘲笑伊朗政府，因为被黑客入侵的显示器指示乘客将投诉指向伊朗最高领袖哈梅内伊办公室的电话号码。恶意软件攻击导致伊朗铁路系统瘫痪的神秘事件曝光之后，SentinelOne威胁追踪者重建了攻击链，发现了一个破坏性擦除器组件，可以用来从受感染的系统中删除数据。擦除器被认为是所有恶意软件中最具破坏性的一种，在中东地区的攻击中发现最多，2012年针对沙特阿美(Saudi

Rajee)港口终端的电脑瘫痪，导致交通中断，此前有报道称一场来自以色列的网络攻击。据称，这是对伊朗试图入侵以色列供水系统的报复。以色列国家网络主管伊格尔•乌纳(Yigal

Security)网络安全部门负责人珍•伊斯特利和国家网络总监克里斯•英格利斯。英格利斯和伊斯特利是两名经验丰富的国家安全局(National

agency)和英国政府通信总部(GCHQ)机构，对这些组织采取打击行动，据信这些组织大多数位于东欧，包括俄罗斯。其他一些国家的专家也提出了这种办法。例如，前英国情报官员西亚兰·马丁(Ciaran

Week)节目中被问及，美国是否应该对主要源自俄罗斯的勒索软件攻击采取更激进的措施。“我们不会容忍一个国家支持或对犯罪企业视而不见，”雷蒙多告诉主持人乔治·斯特凡诺普洛斯(George

拜登政府正在发出越来越紧急的网络攻击警报，高调的勒索软件攻击已经造成越来越严重的后果，天然气短缺、肉类加工厂关闭、医院瘫痪，下一个会是什么？联邦政府相关机构正加紧努力应对网络威胁。美国联邦调查局(FBI)局长克里斯托弗.雷(Christopher

司法部要求美国各地的联邦检察官更密切地跟踪勒索软件案件，并将起诉黑客的关键进展通知司法部官员。在美国主要燃油和肉类分销商遭受勒索软件攻击之后，政府执法部门将打击勒索攻击提升为首要任务。这样做的目的是为了更清楚地了解每个州发生的勒索行为，以及在追查罪犯方面取得的任何进展。美国司法部副部长丽莎·莫纳科(Lisa

5月27日，美国国土安全部下属的运输安全管理局(TSA)宣布了一项安全指令，该指令将使国土安全部能够更好地识别、防范和应对管道行业关键公司的威胁。正式的指令文本，终于在28日发布。此前，国土安全部部长亚历杭德罗.马约卡斯(Alejandro

悬挂巴拿马国旗的重型货轮“长赐”号3月23日在苏伊士运河新航道搁浅，造成航道堵塞。经过连续数天救援后，搁浅货轮于3月29日成功起浮脱浅，目前仍停留在苏伊士运河的泊位中。埃及方面和货轮管理方正对事故原因进行调查。4月13日，国际知名自动化专家Joe

全球最大的网络主机服务商之一的法国斯特拉斯堡数据中心3月10日00:47分发生严重火灾，地点是OVHcloud所属的SBG2数据中心的一间房间。SBG2在大火中被完全摧毁，同时也摧毁了SBG1数据中心的4个房间，导致SBG3和SBG4服务器关闭。火灾最初导致464,000个不同域名的360万个网站下线，包括新闻网站、银行、网络邮件服务和销售个人防护用品的网上商店。受影响的网站包括英国政府汽车认证机构(Vehicle

引言SolarWinds供应链污染事件余音袅袅。虽然整个事件的恶劣影响和后果还没真正显露，比如物理破坏或高价值数据泄露。但情况没有最坏，只有更坏。随着能源、电力等关键基础设施的OEM厂商受感染，攻击者向ICS/OT系统渗透潜伏的恐惧增加，定损量损恐怕存在更多的不确定性。这种忧虑不无道理也不难理解，一是ICS/OT系统遗留问题多，安全能力建设普遍落后于IT侧的企业网络。二是有大量的前车之鉴，真实的物理影响，如震网、乌克兰停电，想想都不寒而栗。三是检测查证任务的艰巨性，对攻击者是否隐藏在OT网络的心理恐惧。尽管事件进展远未到总结经验教训的时候，但在当下IT与OT融合发展的大背景之下，IT与OT互为攻击发起点的预言或事件已不新鲜。这里不得不提及网络监控管理的需求，在IT侧和OT侧都是需要的，而网络管理方面的漏洞就成为接通IT与OT的管道/跳板，就像本次供应链攻击事件中的Orion平台，它在关键基础设施行业的网络中有大量的应用。而这里使用最为广泛和普遍的就是SNMP协议，而支持SNMP的基础设施设备种类繁多，包括交换机、路由器、服务器、打印机、UPS电源、RTU等等。透过此次供应链攻击事件，如果要说教训，至少有两条是跑不了的。一个是从来没有NB的机构，只有NB的黑客！二是“苍蝇不叮无粪的蛋”、“雪崩时没有一片雪花是无辜的”。为什么是SolarWinds？被渗透控制长达一年？软件更新包中还被植入了木马？网络管理和运营肯定是脱不了干系的。目前在网络管理方面存在三大典型灯下黑，不论中西，无论中外。说是灯下黑，是因为靠自查自检永远不会有问题，只有被黑后由攻击者曝光才会知道多黑。一个是网络基础设施设备管理的灯下黑；路由器、交换机大概率自启用以来就不会升级，特别是在OT场景，而漏洞却是接连二三，连绵不绝。还有被绝对忽视的打印机、复印机，它们肯定是失管失察。对于数据中心机房的UPS电源，可能从来都不会想它有什么可利用的弱点。二是网络安全设备上架后管理的灯下黑；近年来网络安全产品爆发漏洞的情况此起彼伏，卡巴斯基、赛门铁克、AVAST、火眼，信息泄露、代码执行，谁都好不到哪儿去。国内网安企业概莫能外，历年重大演练期间，状况出得不少。网络安全厂商是客户IT供应链的重要环节，还有厂家是你的供应链，安全产品能够天然免疫免检？SolarWinds连锁事件就在现身说法呀。自己一身毛病，怎能帮助别人强身健体。三是对企业CXO和各XX管理员管理的灯下黑；人是网络安全最大的不确定因素也是最大的风险因子。试问企业的各级CXO，是不是会利用特权游离在网络网络安全能力辐射之外，是不是会违反安全政策。还有负责网络运营、安全运营的管理员们，网络管理的各项规范、制度都严格落实了？关键资产、漏洞、补丁，包括管理维护众多设备的口令，怎么管的？受SolarWinds攻击事件启发，当所有的安全建设都聚焦于终端、网络、数据、云端的时候，不妨看看网络机房那些事，也看看这个不起眼却又无处不在的SNMP协议！SNMP协议是什么？SNMP是网络管理员用来监视诸如计算机、路由器、交换机、服务器、复印机和打印机等设备的协议。SNMP的工作方式是让一个SNMP管理器连同位于SNMP使能设备内的SNMP代理一起发送Get请求。请求还包含一个带有ID或口令的社区字符串(Community

SolarWinds供应链攻击事件持续发酵，大量的受害者正在浮出水面，惊人的事实正在被发掘和发现。目前已有能源、教育、交通等关键基础设施行业被证实为受害者，但是否已经有工业控制系统受到危害，尚无实证。但有权威自动化专家抛出了惊人论断，很可能已有SNMP恶意软件渗透到了工业控制系统。事件最新进展微软、能源部和NASA等超过40个用户被证实为Solarwinds攻击受害者(12.18.2020)——微软、美国能源部和其他一些公司显然也成为了此次攻击的目标。对SUNBURST恶意软件DGA的分析发现了100个潜在的受害者，微软声称还确定了40个攻击者的高价值目标。供应链攻击:CISA警告新的初始入侵向量构成“严重风险”(12.17.2020)-