網絡空間對抗資訊快報
1、印度一名學生試圖用朋友的指紋頂替他參加招聘考試
為了通過艱難的公職考試,印度一名學生從拇指上取下一塊皮膚,貼在朋友的手指上,希望他能騙過生物識別掃描儀并代表他參加考試。該事件于8月22日在印度西部古吉拉特邦的巴羅達市發生,當時正在印度鐵路公司進行招聘考試。為防止欺詐(通過冒充他人),所有申請人都必須提供指紋,并使用生物識別設備與Aadhaar的數據進行匹配。 一名叫Manish Kumar的學生為了找工作,請他的朋友Rajyaguru Gupta代替他參加考試。而為了欺騙認證系統,Manish Kumar在考試前夕,將手指放在熱煎鍋上,用刀片將產生的水泡切掉。而Rajyaguru Gupta將那塊指紋皮膚貼在他的手指上并試圖進行掃描。然而,在候選人提供指紋的那一刻,生物識別設備多次未能驗證通過,確認他的身份。注意到該男子可疑行為的員工向他的手上噴灑了消毒劑。結果,移植的皮膚脫落了。Manish Kumar和他的知己Rajyaguru Gupta已被捕。他們被指控偽造文件、冒充他人進行欺詐和犯罪陰謀。
2、黑客正在為對俄羅斯公共部門的新一波攻擊做準備
DLBI專家注意到,攻擊者第一次開始有興趣購買包含口令加密代碼(哈希)的數據庫,以便在網站和服務上進行識別。專家們認為,這里主要指的是公務員和大公司員工的數據——他們需要被用于入侵關鍵信息基礎設施。大多數組織和部門的口令安全策略非常薄弱,他們強調:使用簡單的口令,以及每個部門的通用登錄,而且即使員工離開也不會發生更換。DLBI暗網監控系統記錄了網絡犯罪分子對購買包含俄羅斯服務和網站口令哈希(分配給用戶并用于識別的加密代碼)的數據庫的興趣激增。該公司的代表將此事告訴了《生意人報》。DLBI澄清說,這是第一次觀察到對此類細分市場的需求,并且只能從零基數估計增長。DLBI專家分析了交換數據庫的資源,得出的結論是,收集的目的是識別屬于公務員和大公司員工的登錄名和口令,以便他們隨后用于入侵關鍵信息基礎設施(能源綜合體、金融機構,電信運營商等)。卡巴斯基實驗室的網絡安全專家Sergey Shcherbel證實,在暗網上,您可以找到搜索感興趣字符串的服務,包括登錄名、電子郵件、電話號碼、口令哈希,卡巴斯基實驗室的網絡安全專家證實:“泄露的數據庫落入攻擊者手中為單個用戶找到的數據越多,該工具在準備網絡攻擊時就越有效。”Group-IB尚未觀察到此類帶有密碼散列的數據庫的銷售情況,但指出,總體而言,俄羅斯組織的待售和公共領域的數據庫數量正在增長:僅6月以來,已有大約100個此類報價建造。該公司表示,這是第一次觀察到這樣的激增。
3、Evil勒索團伙應被視為對衛生部門的重大威脅
美國衛生與公眾服務部的衛生部門網絡安全協調中心(HC3)發布了一份關于Evil Corp的威脅情況報告,基于幾個因素,網絡犯罪集團應被視為對國家衛生部門的重大威脅。該網絡犯罪團伙也被稱為UNC2165、GOLD DRAKE和Indrik Spider,它們也被確定為自2009年以來運作的俄羅斯網絡犯罪集團。“勒索軟件是他們的主要作案手法之一,因為他們已經開發并維持了許多菌株。許多勒索軟件運營商發現衛生部門是一個誘人的目標,因為由于其運營的性質,他們可能會支付某種形式的贖金來恢復運營,”HC3在29日的簡報中表示。“醫療機構特別容易受到數據盜竊的影響,因為個人健康信息(PHI)經常在暗網上出售給那些希望利用它進行欺詐的人。”有人猜測Evil Corp是俄羅斯情報機構的前線組織。簡報稱,盡管如此,應該指出的是,在他們的行動歷史中,他們從受害者那里竊取了大筆資金。“眾所周知,他們與俄羅斯情報機構合作,包括但不一定限于FSB。雖然這并不能使它們獨一無二,但它們的活動在多大程度上受個人貪婪和國家政治議程的驅動,使它們成為世界上所有主要網絡威脅行為者中最廣泛的潛在動機之一,”報告補充說。眾所周知,他們的目標是在大型游戲狩獵中財力雄厚的大型組織。然而,在地理上,它們傾向于攻擊美國和歐洲的目標。他們的目標是金融、政府、醫療保健、媒體、交通、制造、非營利組織、技術和教育領域。
4、Pwn2Own為家庭辦公室黑客場景提供100,000美元獎金
趨勢科技的零日計劃(ZDI)宣布了其下一次Pwn2Own黑客競賽的目標和獎項,并引入了一個旨在模擬現實世界家庭辦公環境的新類別。下一屆Pwn2Own將于2022年12月6日至8日在ZDI位于加拿大多倫多的辦公室舉行。注冊截止日期為 12月2日。該活動不會與會議同時舉行,因此ZDI決定報銷3,000美元的差旅費,以鼓勵黑客親自參與。漏洞賞金獵人也可以遠程競爭,多倫多的ZDI員工為他們運行漏洞利用程序。主辦方為針對手機、無線路由器、家庭自動化集線器、智能揚聲器、打印機和NAS設備的攻擊提供總計超過100萬美元的現金和獎品。今年,ZDI推出了一個名為“SOHO Smashup”的新類別,參與者可以賺取高達100,000美元的獎金。此類別旨在模擬小型辦公室/家庭辦公室 (SOHO) 場景,其目標是通過其 WAN 接口入侵路由器,然后轉向研究人員需要入侵不同設備(例如打印機)的局域網、智能音箱或NAS設備。在第一階段,他們可以破解TP-Link、Netgear、Synology、Cisco、MikroTik或Ubiquity路由器。在第二階段,他們可以從Meta、Amazon、Google、Sonos、Apple、HP、Lexmark、Canon、Synology和WD的近十幾個IoT設備列表中進行挑選。雖然這個版本的Pwn2Own不再稱為Mobile Pwn2Own,但從財務角度來看,手機仍然是最有吸引力的目標。如果他們破解iPhone 13或Pixel 6,參與者可以獲得高達250,000美元的收入。破解Galaxy S22可以獲得高達50,000美元。
5、FBI警告針對DeFi平臺的攻擊激增
FBI警告稱,針對去中心化金融DeFi)平臺竊取加密貨幣的攻擊將會增加。據該機構稱,不法分子正在利用對加密貨幣的興趣增加以及DeFi平臺的復雜功能和開源性質來執行邪惡活動。FBI表示,網絡犯罪分子正在利用管理DeFi平臺的智能合約中的安全漏洞竊取虛擬貨幣并導致投資者虧損。智能合約被定義為在其代碼行中包含買賣雙方協議條款的自動執行合約,在去中心化區塊鏈網絡中無處不在。網絡犯罪分子在2022年1月至2022年3月期間竊取的13億美元加密貨幣中約有97%來自DeFi平臺,比2021年的72%和2020年的30%有所增加。FBI表示,它還看到網絡犯罪分子發起閃電貸以觸發DeFi平臺智能合約中的漏洞利用(導致300萬美元的加密貨幣損失),利用DeFi平臺令牌橋中的簽名驗證漏洞(損失3.2 億美元),并操縱加密貨幣價格(竊取3500萬美元的加密貨幣)。建議投資者在投資前研究DeFi平臺、協議和智能合約,以識別潛在風險,并確保DeFi投資平臺的代碼至少經過一次審計。此外,他們應該警惕加入時間有限、智能合約快速部署的DeFi投資池,以及眾包解決方案在尋找漏洞和修補時帶來的風險。FBI表示, DeFi平臺應實施代碼的實時分析、監控和測試,以解決漏洞和潛在的可疑活動,并應實施包括通知投資者任何可疑活動(包括智能合約利用)的事件響應計劃。
6、英國發布針對移動和寬帶運營商的新網絡安全法規
經過三年多的制定,英國政府今天宣布了一套新的、全面的規則,它將對寬帶和移動運營商實施,以加強其網絡安全以抵御網絡攻擊——旨在讓其成為“世界上最強大的運營商之一。新要求涵蓋的領域包括供應商如何(以及從誰那里)采購基礎設施和服務;提供者如何監管活動和訪問;他們對安全和數據保護以及對其進行監控的投資;提供商如何告知利益相關者由此產生的數據泄露或網絡中斷;等等。這些規則將于10月開始實施,預計運營商將在2024 年3月之前全面實施新程序。至關重要的是,那些不遵守新規定的人將面臨巨額罰款:違規可能導致高達10%的年收入的罰款;持續違規將面臨每天100,000英鎊(117,000美元)的罰款。與國家網絡安全中心合作制定新法規和業務守則的通信監管機構Ofcom將強制執行合規和罰款。這些規則是《電信(安全)法》中的第一個大型執法指令,該法于 2021年11月通過投票成為法律。數字基礎設施部長馬特沃曼在一份聲明中說:“我們知道對關鍵基礎設施的網絡攻擊可能造成多大的破壞,我們的寬帶和移動網絡是我們生活方式的核心。” “我們正在通過引入世界上最嚴格的電信安全制度之一來加強對這些重要網絡的保護,以保護我們的通信免受當前和未來的威脅。”NCSC技術總監Ian Levy博士在一份聲明中說:“我們的日常生活、經濟和我們都使用的基本服務越來越依賴我們的電信網絡。” “這些新法規將確保這些網絡的安全性和彈性,以及支撐它們的設備,適用于未來。”
7、俄羅斯流媒體平臺確認數據泄露影響750萬用戶
俄羅斯媒體流媒體平臺“START”(start.ru)已證實有關數據泄露影響數百萬用戶的傳言。該平臺的管理員分享說,網絡入侵者設法從其系統中竊取了2021年的數據庫,現在正在在線分發樣本。被盜數據庫包含電子郵件地址、電話號碼和用戶名。START將其描述為對大多數網絡犯罪分子沒有興趣,因為它不能用于接管帳戶。財務信息、銀行卡數據、瀏覽歷史記錄或用戶口令沒有受到影響,因為數據庫中不存在這些詳細信息。“我們已經修復了這個漏洞,并且關閉了對我們數據的訪問,” Telegram上的聲明提到。即使START未強制執行全局重置,建議所有用戶更改其口令。有關影響START的數據泄露的謠言首次出現在8月28日(星期日),當時包含近4400萬用戶信息的72GB MongoDB JSON轉儲開始在社交網絡上分發。其中許多條目涉及測試帳戶。但是,轉儲包含7,455,926個唯一的電子郵件地址,這可能接近暴露用戶的真實數量。記錄日期最近是2022年9月22日,因此此事件不會影響在該日期之后注冊服務的用戶。俄羅斯新聞媒體Medusa報道稱,他們在START的口令恢復工具上測試了泄露數據庫中的隨機條目,結果所有登錄都是有效的。START的聲明與泄露的轉儲之間的一個差異是后者包含md5crypt口令哈希、IP地址、登錄日志和訂閱詳細信息,這些都沒有包含在平臺的官方聲明中。由于針對俄羅斯在線平臺的網絡攻擊活動增加,莫斯科正在實施保護用戶數據免受未經授權訪問并保護其公民免受暴露的方法。
8、英國間諜基金為女性程序員開設新課程
英國負責處理網絡威脅的主要情報機構希望通過新的訓練營課程吸引更多女性程序員加入其行列。GCHQ正在贊助由社會企業Code First Girls開設的為期14周的“納米學位”課程之一,旨在吸引可能正在考慮轉行的女性。GCHQ機構戰略政策和參與主管喬·卡文 (Jo Cavan)告訴《衛報》,“我們一直在努力增加這一數字,以便我們擁有更多樣化的團隊,并更好地應對我們今天需要應對的威脅”。“我們知道,如果我們得到正確的思想組合,它將給我們帶來競爭優勢,這就是為什么我們將勞動力多樣性視為關鍵任務的原因。”Cavan聲稱,GCHQ需要更大的多樣性來提高其地位的一個關鍵領域是應對來自東方的威脅。“例如,如果你看看中國,以及技術如何向東移動,而中國正在尋求將非西方價值觀強加于技術,那么我們有一些非常重要的工作要做,以確保我們處于塑造的最前沿那些國際技術標準和規范,”她說。“因此,重要的是要有一個多元化的團隊來研究這些威脅以及來自其中一些技術的機會。”根據認證組織ISC2的數據,在全球網絡安全領域,女性仍然只占25%的職位。有趣的是,其2021年行業報告發現,該行業的女性(38%)來自IT背景的人數少于男性(50%),而且女性通過自學的進入率高于男性(20%對14%) 。這些數字表明,可能有大量女性求職者希望將職業轉向網絡領域。國防承包商BAE Systems等組織已經以與GCHQ類似的方式與Code First Girls合作,贊助訓練營課程,然后為公司提供人才管道并為畢業生提供機會。
9、世界上第一個針對PyPI用戶的網絡釣魚活動
PyPI管理員正在提醒用戶有關存儲庫的信息——這使Python開發人員能夠發布和查找用于構建軟件的代碼包——聲稱他們正在實施“強制性‘驗證’過程”的電子郵件,他們在一系列推文中說,概述了如何騙局有效。這些消息邀請PyPI用戶點擊一個鏈接來執行驗證,“否則就有可能將包從PyPI中刪除”。管理員在帖子中向用戶保證,他們永遠不會從索引中刪除有效項目,他們只會刪除被發現有惡意或違反公司服務條款的項目。管理員稱該活動是同類活動中的第一個,它竊取用戶憑據以將受感染的軟件包加載到存儲庫中。管理員指出,網絡釣魚活動并未將代碼存儲庫作為通過軟件供應鏈傳播惡意軟件的一種方式。據PyPI稱,該騙局背后的攻擊者已經成功竊取了幾個PyPI用戶的憑據,并將惡意軟件上傳到他們維護的項目中,作為這些項目的最新版本。“這些版本已從PyPI中刪除,維護者帳戶已被暫時凍結,”根據PyPI的Twitter消息。最初的網絡釣魚郵件聲稱谷歌支持新的和現有的PyPI包的驗證過程。具有諷刺意味的是,該郵件聲稱新流程是由于“上傳到PyPI.org域的惡意程序包激增”。該鏈接將用戶帶到模仿 PyPI登錄頁面的網絡釣魚站點,該站點竊取通過網絡釣魚站點“sites[dot]googledot]com/view/pypivalidate”輸入的任何憑據。根據PyPI,數據被發送到域“linkedopports[dot]com”上的URL。PyPI管理員無法確定網絡釣魚站點是否旨在中繼基于TOTP的雙因素代碼,但指出受硬件安全密鑰保護的帳戶不易受到攻擊。
10、白宮將向航空業高管提供機密網絡威脅情報簡報
白宮一直在與來自選定關鍵基礎設施部門的高管舉行機密網絡安全簡報會,作為持續努力迫使行業領導者在其數字防御方面投入更多資金的一部分。一位白宮網絡安全高級官員告訴CyberScoop,下一次會議定于9月舉行,屆時將有來自航空業的高管參加。拜登政府于去年夏天正式啟動了增加行業對關鍵基礎設施升級的支持的努力,當時總統簽署了一項國家安全備忘錄,指派聯邦機構為各種關鍵基礎設施計劃制定網絡安全績效目標。從那時起,白宮高級官員一直在悄悄地與貿易組織的高管和領導人會面,努力為關鍵基礎設施運營商制定即將出臺的網絡安全法規。到目前為止,威脅簡報已被證明非常有效,拜登負責網絡和新興技術的國家安全副顧問安妮·紐伯格在本月早些時候的一次采訪中告訴CyberScoop。“通過這種方式,他們能夠通過與我們相同的視角來看待問題,”領導簡報會的紐伯格說。“對于私營部門來說,這是一種成本;對于政府來說,這是一項不允許外國行為者破壞關鍵服務的承諾。......如果一家公司在佛羅里達州運營一個為50,000名美國人提供服務的供水設施,我們都同意遵守這些規定對于確保在發生網絡入侵未遂事件時的連續性至關重要。”Neuberger補充說,威脅簡報強調了政府承諾“一旦每個人都在處理相同的情報,就會做出合理的妥協”。即將與航空官員舉行的會議是在多年記錄的黑客企圖破壞航空實體之后進行的。2月,網絡安全公司Proofpoint發表的研究表明,至少自2017年以來,航空業面臨著“持續、活躍的網絡犯罪威脅”。與航空官員的會議將緊隨白宮最近為特定運輸部門高管量身定制的另一場簡報。Neuberger 說,來自全國各地的鐵路公司高管于8月4日來到白宮參加關于針對其行業的網絡威脅的機密簡報會。
