網絡空間對抗資訊快報

1、網絡戰爭在烏克蘭盛行但影響卻隱藏在暗處

隨著俄羅斯入侵烏克蘭的行動繼續進行，雙方都在密集部署黑客攻擊、網絡破壞和其他網絡戰行動，盡管事實證明，這些秘密行動在戰場上并沒有起到決定性作用——至少到目前為止是這樣。西方盟友最初擔心，烏克蘭的軍事指揮系統和關鍵基礎設施會遭受網絡攻擊的海嘯，從而阻礙烏克蘭抵御俄羅斯軍隊越境入侵的能力。據瑞士非政府組織網絡和平研究所(Cyber Peace Institute)統計，自2月入侵以來，雙方的57個不同實體發起了近450次攻擊——大約每周12次。然而，在歐洲和美國的幫助下，基輔基本上抵擋住了高科技的沖擊。魁北克大學(University of Quebec)的研究員亞歷克西斯?拉平(Alexis Rapin)表示:“大規模網絡攻擊確實發生了，但人們普遍認為，它們顯然沒有產生一些人預測的‘震懾’效果。”拉平在為戰略研究網站Le Rubicon撰寫的文章中表示，最具破壞性的襲擊通常需要數月甚至數年的時間來計劃和執行，“這使得很難將它們與常規軍事行動同步進行。”另一個因素可能是烏克蘭從盟友那里得到了大量幫助，包括保護其系統的軟件和專業知識，以及可能阻礙莫斯科網絡戰略的反擊。巴黎雅克?德洛爾研究所(Jacques Delors Institute)研究員阿爾諾特?巴里切拉(Arnault Barichella)表示:“過去幾個月，俄羅斯不斷受到一個由志愿者、非政府黑客組織組成的國際聯盟的網絡攻擊，其中最著名的是‘匿名者’運動。” 雖然尚不清楚這些“自發”攻擊的效果如何，但“俄羅斯完全低估了烏克蘭的網絡韌性，就像它低估了烏克蘭的武裝力量一樣。”盡管如此，這場戰爭仍然提供了實地證據，證明網絡攻擊將是21世紀武裝沖突的重要組成部分。

2、大多數黑客在10小時內發現漏洞

美國私營非盈利公司SANS Institute與信息安全公司Bishop Fox一起對300名專家進行了調查 ，根據調查，有道德的黑客平均可以在不到10小時的時間內找到漏洞。此外，一旦發現漏洞，64%的滲透測試者可以在5小時內滲透環境。調查還顯示，黑客利用的最常見缺陷包括易受攻擊的配置、軟件缺陷和不安全的Web服務。Bishop Fox咨詢副總裁Tom Aston表示，結果反映了現實世界的網絡攻擊率，并突顯出公司檢測和應對威脅的時間有限。根據Eston的說法，在5或6小時內進行黑客攻擊，尤其是當他們使用社會工程、網絡釣魚和其他攻擊媒介時，防御的時間實在有限。 該調查提供了有關信息安全公司在估計在造成重大損害之前阻止攻擊者并中斷其活動的平均時間方面表現的最新數據。根據Bishop Fox-SANS的調查 ，近75%的道德黑客認為大多數組織缺乏必要的檢測和響應能力來防止攻擊。埃斯頓表示，該調查應說服組織努力快速檢測和響應攻擊，以減輕損害。然而，人為因素仍然是最危險的漏洞。據受訪者稱，社交工程和網絡釣魚攻擊共占攻擊的49%。Web應用程序攻擊、口令破解攻擊和勒索軟件攻擊占25%。埃斯頓表示，該調查應提醒公司，僅靠技術無法解決網絡安全問題——解決方案需要對員工進行培訓，以提高他們對攻擊的認識。

3、研究人員警告針對Windows和Linux系統的基于Go的新型惡意軟件

近幾個月來，一種名為Chaos的新型多功能基于Go的惡意軟件的數量迅速增長，將各種Windows、Linux、小型辦公室/家庭辦公室(SOHO)路由器和企業服務器誘入其僵尸網絡。“Chaos功能包括枚舉主機環境、運行遠程shell命令、加載附加模塊、通過竊取和暴力破解SSH私鑰自動傳播以及發起DDoS攻擊的能力，”來自Lumen的Black Lotus Labs的研究人員在一篇文章中與黑客新聞分享上述信息。大多數機器人位于歐洲，特別是意大利，中國和美國也報告了其他感染，在2022年6月中旬至2022年7月中旬的一個月時間內，它們共同代表“數百個唯一IP地址”。該僵尸網絡以中文編寫并利用基于中國的基礎設施進行指揮和控制，加入了一長串惡意軟件，這些惡意軟件旨在建立長時間的持久性，并可能濫用立足點進行惡意目的，例如DDoS攻擊和加密貨幣挖掘。如果有的話，這一發展還表明威脅參與者轉向像Go這樣的編程語言以逃避檢測并使逆向工程變得困難，更不用說同時針對多個平臺了。Chaos（不要與同名的勒索軟件制造商混淆）名副其實，它利用已知的安全漏洞獲得初始訪問權限，隨后濫用它進行偵察并在受感染的網絡中發起橫向移動。該惡意軟件具有類似惡意軟件所不具備的多功能性，使其能夠在 ARM、Intel(i386)、MIPS和PowerPC的各種指令集架構上運行，從而有效地讓威脅行為者擴大其目標范圍并迅速積累量。

4、L2網絡安全控制繞過缺陷影響多個思科產品

思科本周證實，其數十臺企業路由器和交換機受到二層(L2)網絡安全控制中的旁路漏洞的影響。攻擊者可以通過發送精心制作的數據包繞過這些企業設備提供的控制，這些數據包會觸發拒絕服務(DoS)或允許它們執行中間人(MitM)攻擊。卡內基梅隆大學的CERT協調中心(CERT/CC)在一份報告中指出，在以太網封裝協議的L2網絡安全控制中總共發現了四個中等嚴重的安全問題。這些漏洞分別為CVE-2021-27853、CVE-2021-27854、CVE-2021-27861和CVE-2021-27862，它們代表了不同類型的第二層網絡包檢測功能繞過。這些漏洞允許VLAN (virtual local area network)頭和802.2 LLC/SNAP頭的堆疊，使攻擊者能夠繞過設備的各種過濾功能，包括IPv6 RA Guard、動態ARP檢查和IPv6鄰居發現(ND)保護。攻擊者可以繞過安全控制，欺騙本地連接的目標主機，將流量路由到任意目的地。受害者設備要么經歷DoS(黑流量)，要么經歷MitM(觀察未加密的流量)，”CERT/CC的建議寫道。CERT/CC表示，已經有超過200家供應商收到了這些漏洞的警告，但其中只有兩家確認了影響，即Cisco和Juniper Networks。盡管Juniper Networks認為這些漏洞的嚴重程度已經達到了“發布的門檻”，但本周思科發布了一份建議，要求分享潛在受影響設備的詳細信息。思科表示，運行其IOS、IOS XE、IOS XR和NX-OS軟件的多款企業路由器和交換機型號以及幾款小型企業交換機型號受到影響，但指出大多數受影響的產品不會發布固件更新。

5、俄羅斯創建的自治蜂窩塔可在偏遠地區提供通信

俄羅斯無線電科學研究所(NIIR)所長奧列格·伊萬諾夫(Oleg Ivanov)表示，專家們已經開發出一種用于電信設備的非易失性支持，這將為俄羅斯的高速公路和偏遠地區提供可靠的通信。該解決方案旨在為俄羅斯偏遠地區提供通信。根據介紹，該綜合體可提供0.3至5kW的功率。無線電研究所表示，這足以對安裝在支架上的所有類型的有效載荷進行全天候維護。設備齊全時，這是一個4G LTE基站、一個對流層或無線電中繼站、一個物聯網基站，以及配套設備：照明、視頻監控、警報、氣象站。桿式電池的設計使用壽命長達20年，無需維護，位于地下一個特殊的難以觸及的沉箱中，位于桿上的太陽能電池板具有防破壞功能。支架的原型已安裝在莫斯科附近巴拉希哈的試驗場，NIIR將在不久的將來展示它。非易失性移動塔可以解決高速公路偏遠路段的蜂窩覆蓋問題。實施這樣一個項目的成本將取決于生產規模，開發商尚未命名。

6、Nord Stream天然氣管道損壞事件可能與俄羅斯有關

烏克蘭國防情報局周一警告稱俄羅斯可能對其關鍵基礎設施實施網絡攻擊，并預計最初的攻擊將針對能源部門的企業。緊接著，網絡運營商Nord Stream AG周二（27日）表示，波羅的海海底的Nord Stream天然氣管道系統的三條海上管線在一天內遭受了“前所未有的”破壞。該公告是在瑞典海事局發布關于Nord Stream 1管道兩次泄漏的警告后發布的，不久之后發現附近的Nord Stream 2管道泄漏，促使丹麥限制在5海里半徑范圍內的航運。Nord Stream表示，無法估計天然氣網絡系統的工作能力何時恢復。天然氣運營商在周一的一份聲明中表示，“Nord Stream 1控制中心的調度員記錄了天然氣管道兩根管柱的壓力下降。原因正在調查中。”“隨著烏克蘭防御者的有效反擊將俄羅斯軍隊推得更遠，隨著最近的動員宣言引發的政治和公眾動蕩加劇，俄羅斯越來越關注它可以打的剩余牌，網絡攻擊有可能提供速戰速決的選項，Darktrace的全球威脅分析主管Toby Lewis在電子郵件聲明中寫道。劉易斯還指出，烏克蘭政府最近能夠領先于攻擊者，在攻擊開始之前發出相當具體的警告。他補充說：“這表明情報的使用可能得到歐洲和北約盟國的支持，以便能夠了解網絡行動的規劃和準備情況，并有可能提供切實的抵御未來攻擊的能力。”Contrast Security 網絡戰略高級副總裁湯姆·凱勒曼 (Tom Kellermann) 在一封電子郵件聲明中寫道，地緣政治緊張局勢已達到臨界點。“就在烏克蘭警告關鍵基礎設施遭到襲擊的幾個小時后，俄羅斯昨晚破壞了通往歐洲的天然氣管道。”“就像我們在一月份看到了一波破壞性的網絡攻擊一樣，隨著俄羅斯的手套脫落，一場戲劇性的升級正在發生，”凱勒曼說。“我們應該期待一波針對西方關鍵基礎設施的破壞性網絡攻擊。”

7、美國商業雜志Fast Company遭黑影響網站和Apple新聞帳戶

美國商業雜志Fast Company證實，在黑客入侵其內容管理系統(CMS)后，其Apple News帳戶被劫持。該月刊側重于商業、技術和設計。除了在線版本外，該雜志每年還出版六期印刷版。周二晚上，Apple News在Twitter上宣布 Fast Company的帳戶在黑客使用它發布兩條攻擊性消息后被暫停。“Fast Company發出了令人難以置信的攻擊性警報，該警報已被黑客入侵。Apple News已禁用他們的頻道，” Apple News說。幾個小時后，Fast Company通過 Twitter證實，在黑客獲得其CMS的訪問權限后，其Apple News帳戶被劫持。“Fast Company的Apple News帳戶在周二晚間遭到黑客入侵。兩個淫穢和種族主義的推送通知相隔大約一分鐘發送。這些信息是卑鄙的，不符合Fast Company的內容和精神，”該雜志說。該出版物還宣布，它已經暫停了提要及其網站，該網站繼續處于離線狀態。網絡攻擊是 Fast Company在幾天內第二次成為受害者。周日，該雜志遭遇了類似的黑客攻擊，導致該出版物主頁上的文章被修改為包含淫穢語言。在周二的事件中，攻擊者還在Fast Company的網站上留言，以羞辱該出版物對周日事件的不良補救措施。“哇，Fast Company。盡管擁有數百萬訪問者的網站遭到公開破壞，但你所做的只是匆忙更改數據庫憑據，禁用與數據庫服務器的外部連接，并修復文章，”部分消息寫道。黑客還聲稱，Fast Company為多個帳戶使用了一個簡單的默認口令，這允許他們訪問敏感數據，例如訪問令牌和API密鑰。黑客還聲稱在周日的違規行為中竊取了6,000多條Fast Company員工記錄，但沒有客戶記錄。

8、黑客使用Telegram和Signal支持伊朗的抗議者

多個黑客組織正在使用Telegram、Signal和暗網工具來幫助伊朗的反政府抗議者繞過政權限制。這一消息來自Check Point Research(CPR)的安全專家，在Mahsa Amini去世幾周后，一名抗議者因違反要求女性戴頭巾的法律而被捕，據稱在警方拘留期間死亡。“我們看到的是來自電報、黑暗和‘常規’網絡的團體，幫助抗議者繞過伊朗政權目前實施的限制和審查制度，作為應對抗議的一種方式，”利亞德·米茲拉奇 (Liad Mizrachi) 說，Check Point的安全研究員告訴Infosecurity雜志。“我們開始看到這些團體在抗議開始后大約一天出現。”CPR見證了黑客組織，盡管政府進行了審查，但伊朗人仍可以相互交流。“關鍵活動是數據泄露和出售，包括官員的電話號碼和電子郵件，以及敏感位置的地圖，”Check Point在與Infosecurity雜志分享的一份報告中寫道。“CPR看到共享開放 VPN服務器以繞過審查和報告伊朗的互聯網狀況，以及對對話和指南的黑客攻擊。”更具體地說，CPR分享了這些群體的五個例子。第一個是Telegram上的官方Atlas Intelligence Group頻道。該頻道擁有900多名成員，專注于泄露有助于反對伊朗政權的數據。第二個Telegram群組是ARVIN，該群組約有5000名成員，提供伊朗抗議活動的新聞、抗議活動所在街道的報道和視頻，以及有關伊朗互聯網狀況的信息。第三個Telegram群組是RedBlue，該頻道擁有約4000名成員，主要關注黑客對話和指南。除了這些Telegram頻道之外，Check Point還提到or項目和Signal作為提供代理的平臺，使伊朗公民能夠繞過政府審查、訪問互聯網和安全通信。

9、GAO報告稱海岸警衛隊需要改善其網絡人才狀況

問責辦公室（GAO）呼吁美國海岸警衛隊改善其網絡人才現狀，并提出了服務應遵循的6項關鍵建議。這些建議包括采取措施，更好地確定員工的需求，以及建立一個策略性的網絡員工計劃。在GAO做出上述評估之前，海岸警衛隊在過去兩年中遭受了多次網絡攻擊，難以招募和保留其關鍵的網絡人才。國土安全部是海岸警衛隊運作的直屬機構，它同意政府問責局的建議。海岸警衛隊越來越依賴其網絡空間工作人員來維護和保護其信息系統和數據免受威脅。近年來，其網絡和信息遭到了利用，海上關鍵基礎設施遭受了網絡攻擊，”GAO題為《應對日益增長的網絡空間任務需求所需的勞動力規劃行動》的報告稱。GAO的報告補充說:“這些事件增強了海岸警衛隊網絡能力以及操作和維護這些能力的工作人員的重要性。”GAO對海岸警衛隊的三個主要招募建議是:創建一個戰略方向;進行供給、需求和差距分析;第三，監測該計劃的進展，以滿足所有網絡空間能力和人員需求。2015年，海岸警衛隊成立了一個網絡空間團隊，以保護美國海上運輸系統免受在線和電信威脅，GAO發現，由于發生了網絡攻擊和總計造成數億美元損失的數據泄露，這些威脅需要改進。去年，海岸警衛隊宣布了一份網絡戰略展望報告，建立更多的網絡團隊，專注于海上關鍵基礎設施的網絡安全，防止受到攻擊。此前，一系列黑客和勒索軟件事件導致關鍵服務關閉。

10、容器供應鏈利用加密劫持賺錢

針對云原生基礎設施的威脅正在上升，特別是當攻擊者瞄準云和容器資源來支持他們的非法加密操作時。最新的情況是，網絡犯罪分子正在破壞云資源，以昂貴的方案傳播和運行加密劫持企業，罪犯每從這些計算儲備中開采價值1美元的加密貨幣，受害者就會損失約50美元的云資源。根據Sysdig發布的一份新報告得出的結論。報告顯示，盡管壞人會不加區別地攻擊他們能得到的任何弱云或容器資源，為賺錢的加密方案提供動力，但他們也有巧妙的策略。事實上，許多最狡猾的軟件供應鏈攻擊在很大程度上是為了通過受感染的容器映像。根據Sysdig的《2022年云本地威脅報告》，攻擊者不僅利用最常被認為在進攻性供應鏈攻擊中的源代碼依賴關系，他們還利用惡意容器映像作為有效的攻擊工具。網絡犯罪分子正在利用開發社區內的趨勢，通過Docker Hub等容器注冊中心預先制作的容器映像來共享代碼和開源項目。容器映像在一個易于部署的工作負載中安裝和配置了所有所需的軟件。雖然這為開發人員節省了大量時間，但它也為攻擊者創建內置惡意有效負載的映像打開了通道，然后將其惡意工具植入DockerHub等平臺。開發人員只需要從平臺上運行Docker pull請求，就可以運行惡意映像。更重要的是，Docker Hub的下載和安裝是不透明的，這使得發現潛在問題更加困難。該團隊在搜索過程中發現了1600多張惡意圖片，其中包括加密程序、后門程序和其他偽裝成合法流行軟件的惡意軟件。隱密者無疑是最普遍的，占樣本的36%。“安全團隊不能再自欺欺人地認為‘容器太新或太短暫，威脅分子不會去打擾它們’，”Sysdig的高級安全研究員、報告的合著者Stefano Chierici說。“攻擊者在云端，他們在拿真錢。加密劫持活動的高度流行是由于犯罪者的低風險和高回報。”