網絡空間對抗資訊快報
1、美參議員提出兩黨量子計算網絡安全法案
美國參議院已提出一項旨在加強國家安全以應對量子計算威脅的兩黨法案。該法案由參議員Rob Portman (R-OH) 和Maggie Hassan(D-NH)共同發起,于4月在眾議院提出并于7月通過。《量子計算網絡安全準備法案》解決了聯邦機構對量子計算的準備情況,并要求他們采取適當的防御措施來防止啟用量子計算的數據泄露。該法案強調了將聯邦機構的信息技術系統遷移到后量子密碼學的必要性,并要求管理和預算辦公室(OMB)監督遷移過程。“量子計算的快速發展表明,美國的對手今天有可能使用經典計算機竊取敏感的加密數據,并等到足夠強大的量子系統可用后對其進行解密,”該法案寫道。根據該法案,在美國國家標準與技術研究院(NIST)發布后量子密碼學標準后,OMB還將指導聯邦機構一年,并將向國會通報聯邦機構向后量子密碼學標準遷移的狀態以及后量子密碼學的風險、防御和必要的資金。如果參議院通過,該法案也得到谷歌、IBM和Quantinuum等科技公司的支持,然后將提交總統簽署成為法律。“量子計算將帶來計算能力的巨大進步,但也會帶來新的網絡安全挑戰。這項兩黨立法將要求政府清點其加密系統,確定哪些最容易受到量子計算的威脅,并相應地升級這些系統。我敦促我的同事和我們一起支持這項立法,”波特曼說。
2、 FileWave移動設備管理(MDM)產品的漏洞使上千組織面臨遠程攻擊
據工業網絡安全公司Claroty稱,影響FileWave移動設備管理(MDM)產品的漏洞使許多組織面臨遠程攻擊。Claroty研究人員最近發現FileWave MDM產品受到兩個關鍵安全漏洞的影響:身份驗證繞過問題(CVE-2022-34907)和硬編碼加密密鑰(CVE-2022-34906)。供應商迅速修補了這些缺陷。身份驗證繞過漏洞可能允許遠程攻擊者實現“super_user”訪問并完全控制連接到Internet的MDM實例。從那里,攻擊者可以入侵使用FileWave產品管理的所有設備,包括竊取敏感信息和傳播惡意軟件。研究人員確定了1,100多個暴露在互聯網上的易受攻擊的 MDM服務器實例,其中包括企業、教育機構、政府機構和中小型企業的實例。這可能使這些系統成為希望破壞組織內許多系統的惡意行為者的誘人目標。這家網絡安全公司進行了實驗,以展示攻擊者如何利用CVE-2022-34907獲取有關托管設備的信息并在每個系統上安裝勒索軟件,包括macOS、iOS、Windows和Android 設備。“如果惡意使用此漏洞,遠程攻擊者可以輕松攻擊和感染由FileWave MDM管理的所有互聯網可訪問實例,允許攻擊者控制所有托管設備,訪問用戶的個人家庭網絡、組織的內部網絡等等,”Claroty在25日發表的一篇博文中說。FileWave 在本月早些時候發布的14.7.2版本中修補了該漏洞。據這家網絡安全公司稱,該供應商已積極聯系客戶,敦促他們修補受影響的系統。
3、日內瓦協會最新報告強調了網絡保險公司在應對勒索軟件攻擊方面的關鍵作用
日內瓦協會研究小組表示,網絡犯罪分子帶來的日益增長的風險要求保險公司在預防和保護潛在受害者方面發揮越來越重要的作用。該報告稱,勒索軟件攻擊的急劇上升影響了當前網絡保險公司的承保業績,這些攻擊占2020年所有網絡保險索賠的近75%。“通過勒索軟件,我們看到了保險公司作為風險管理者所扮演的重要‘預防和緩解’角色的一個例子,”日內瓦協會的醫學博士Jad Ariss說。“他們通過激勵客戶維持強大的網絡安全控制和標準的能力控制了一個關鍵杠桿,幫助降低公司的攻擊脆弱性并提高他們的網絡彈性。”該報告建議監管機構和政府不要禁止支付贖金或保險公司報銷,稱這可能導致黑客利用新的危險方法敲詐受害者。“禁止保險公司支付贖金或償付贖金可能會推動交易轉入地下,從而喪失當局記錄和分析事件以及起訴犯罪分子的能力,”日內瓦協會網絡和不斷演變的責任主任兼報告作者達倫·佩恩說。Ariss博士表示,政府需要采取更多措施來遏制不斷增長的勒索軟件市場,重點關注加密貨幣的非法使用,并鼓勵執法部門之間開展國際合作以應對網絡攻擊。
4、NSO集團向14個歐盟國家出售間諜軟件
歐洲議會飛馬和類似間諜軟件調查委員會(PEGA)的9人代表團前往以色列,討論監視工具的濫用 及其對歐洲民主、法治和基本權利的影響。“NSO集團不是唯一的供應商,而是最大的供應商之一。該公司已使用以色列政府頒發的出口許可證向14個歐盟政府出售間諜軟件,”PEGA發言人Sophie說。在據稱對記者、政治家、執法人員和其他公民使用Pegasus后,調查使用Pegasus的委員會于2022年4月成立。據委員會主席Jeroen Lenars的說法,此次訪問強調了未來需要采取更多措施來防止此類技術的濫用。該委員會計劃訪問波蘭和匈牙利,因為據稱政府使用 Pegasus來監視他們的批評者。委員會將在工作12個月后提交最終報告。
5、美國司法部敦促采用零信任以加強安全態勢
為了繼續努力改善聯邦機構和私人組織的安全態勢,司法部(DoJ)發布了一份完整的報告,對他們為減少網絡威脅所做的努力進行了為期120天的審查。美國司法部的評估強調了拜登政府在其網絡安全行政命令中概述的安全態勢的至關重要性,并提出了破壞危險網絡威脅的步驟,同時加強防御對關鍵基礎設施的不可避免的攻擊。該報告由美國副司法部長麗莎·摩納哥發起,她在202 年國際網絡安全會議(ICCS)的主題演講中指出了這種方法的重要性:“在司法部,保護美國人民免受所有威脅,國外和國內,是我們使命的重要組成部分。這就是為什么在過去一年中,我們一直專注于從各個角度攻擊網絡威脅。我們正在采取積極主動的方式應對威脅。”美國司法部的正式審查很明確:跨機構合作是關鍵。它強調各機構需要在聯邦、州、地方、部落和地區各級共同努力——同時還要將私營部門納入其信息和知識共享中,以使國家的整個基礎設施每天都更加安全。當今存在超過19億個Web應用程序,其中許多在整個政府中使用,掌握國家的安全態勢是關鍵任務。報告呼應了管理和預算辦公室( M-22-09) 先前備忘錄中的指導,通過零信任方法的范圍審查了安全需求,并提出了組織和機構可以采取的重要步驟來改善企業身份和訪問控制。
6、俄羅斯正在悄悄加強其互聯網審查能力
自3月弗拉基米爾·普京屏蔽Facebook、Instagram和Twitter 以來,俄羅斯一直在快速遠離全球互聯網。都柏林城市大學數字媒體與社會學教授Tanya Lokot表示:“俄羅斯入侵烏克蘭為加強嚴厲審查創造了額外的借口,同時也通過了更多法律,禁止更多事情,并使更多人受到刑事起訴的威脅。”,研究數字權利和互聯網自由。在過去的兩個月里,俄羅斯官員發布了大約六項政策或法律公告,旨在加強對網絡和該國科技生態系統的控制。7月,到目前為止,立法者已經提議創建一個安裝在新手機上的俄羅斯應用程序商店,并引入了一項可能限制人們將數據轉移到國外的法律。俄羅斯議會還投票允許從銀行收集人們的生物特征數據并將其添加到一個大型數據庫中。谷歌因不遵守規定被罰款3.74億美元,蘋果因未在俄羅斯存儲數據而被罰款。6月,俄羅斯收緊了對“外國代理人”的法律,進一步打擊了VPN的使用,公布了一個收集手機IMEI代碼的數據庫,告訴官員不要使用Zoom和即時通訊應用等外國視頻會議軟件,以及啟動了一項法律草案,到2025年將停止在該國的關鍵基礎設施中使用外國軟件。綜合起來,這些政策(如果實施)將加強對俄羅斯人技術使用的監督,并進一步加強國家對通信的控制。但這些新政策建立在莫斯科十年來不斷收緊的控制之上。俄羅斯數字權利組織Roskomsvoboda的聯合創始人、科技發展組織Privacy Accelerator的創始人Stanislav Shakirov表示,俄羅斯自2012年以來一直在立法監管和控制互聯網。
7、印度政府警告Apple Watch存在多個嚴重漏洞
據政府稱,運行watchOS 8.6及更早版本的Apple Watch型號存在風險。這些漏洞的嚴重性等級很高,攻擊者可以運行任意代碼并繞過運行watchOS 8.6及更早版本的任何目標Apple Watch的安全限制。作為解決方案,政府建議 Apple Watch 戶通過更新到最新可用版本watchOS 8.7來應用必要的補丁。蘋果還在其支持網站上列出了該漏洞。印度計算機應急響應小組(CERT-in)在一份漏洞說明中表示,運行比8.7舊版本watchOS的Apple Watch機型受到多個漏洞的影響。網絡安全節點機構已將其嚴重程度評為高。根據CERT-in的說法,這些漏洞可能允許攻擊者執行任意代碼并繞過Apple對目標智能手表的安全限制。檢測到的漏洞是由于AppleAVD組件中的緩沖區溢出、AppleMobilityFileIntegrity組件中的授權問題、Audio、ICU和WebKit組件中的越界寫入而存在的。CERT-in 還提到了Apple Watch型號中存在這些漏洞的其他原因。其中包括“多點觸控組件中的類型混淆、GPU驅動程序組件中的多個越界寫入和內存損壞、內核組件中的越界讀取以及libxml2 組件中的內存初始化”。遠程攻擊者可以通過向目標設備發送特制請求來利用上述漏洞。
8、勒索軟件集團攻擊了意大利稅務機構
據意大利安莎社25日報道,當局正在調查從意大利稅務機構l'Agenzia delle Entrate竊取的大約78GB數據被盜事件。25日早些時候,最活躍和最多產的勒索軟件組織之一LockBit 3.0在其網站上發布了一條通知,聲稱它從該機構竊取了“100GB:公司文件、掃描、財務報告、合同”,以及六張截圖,聲稱顯示文件樣本。該機構網站上發布的一條消息稱,它“立即要求SOGEI SPA提供反饋和澄清”,這家上市IT公司“負責管理財務管理的技術基礎設施并正在進行所有必要的檢查”。當天發送到SOGEI SPA的新聞電子郵件的消息被退回,因為無法投遞。LockBit 3.0于2019年9月作為ABCD勒索軟件首次作為一種獨特的勒索軟件即服務變體出現,此后已經發展了多次。它已經成長為可能是該領域最活躍的群體。Palo Alto Networks的Unit 42在6月報告稱,截至5月,該組織占2022年所有與勒索軟件相關的違規事件的46%,并在全球范圍內造成850多名受害者。專家們過去曾警告說,LockBit之前曾提出過虛假聲明,或者聲稱從一個實體竊取的信息實際上是來自另一個實體的數據。
9、OMB在機構預算提交之前確定2024財年的網絡優先事項
隨著各機構準備在今年秋天向白宮提交預算申請,管理預算辦公室和國家網絡總監辦公室當地時間22日發布了一份備忘錄,確定了政府2024財年的網絡安全優先事項。在2024財年,執行機構將投資于三個網絡優先事項:通過關注零信任實施和IT現代化來提高政府網絡的防御和彈性;深化跨部門合作以保護關鍵基礎設施;“加強我們數字化未來的基礎。”除了尋求足夠的資金來支持這項工作外,OMB和ONCD將聯合“審查機構對這些優先事項的反應,確定潛在差距以及這些差距的潛在解決方案,”由OMB主任Shalanda Young和國家網絡主任克里斯·英格利斯簽署的備忘錄說。“OMB將與ONCD協調,向機構提供反饋,說明優先事項是否得到充分解決并與整體網絡安全戰略和政策一致——通過常規預算流程幫助機構的多年規劃,”備忘錄說。然而,這份備忘錄的大部分內容是對本屆政府或其他人之前發布的早期戰略文件和行政命令的重述——例如推動“加速采用和使用安全的云基礎設施和服務,利用零信任架構”和“在其法定權限范圍內酌情探索基于技能的替代招聘和薪酬激勵做法,以確保技術人才能夠獲得IT和網絡勞動力的機會。”
10、黑客使用更復雜的騙局來驅動代價高昂的數據泄露
根據福布斯顧問對FBI互聯網犯罪投訴中心(IC3)的數據進行的五年分析,針對企業電子郵件的數據泄露對犯罪分子來說是最賺錢的,從2017年到2021年,受害者損失超過75億美元。這些報告的違規行為包括商業電子郵件泄露和電子郵件帳戶泄露(BEC/EAC),在審查的時間段內總共影響了94,814名受害者。根據IC3的202 年互聯網犯罪報告,隨著犯罪分子為應對預防性網絡安全措施而變得更加老練,BEC/EAC詐騙不斷演變。欺詐者現在不只是欺騙電子郵件地址并要求收件人將資金電匯到銀行賬戶,而是使用第三方平臺在入侵電子郵件賬戶后為其請求添加合法性的外衣。IC3報告稱:“這些計劃歷來涉及泄露供應商電子郵件、索取W-2信息、針對房地產行業以及欺詐性索取大量禮品卡。” “現在,欺詐者正在使用虛擬會議平臺來破解電子郵件并欺騙商業領袖的憑據,以發起欺詐性電匯。”IC3將通過虛擬會議服務導致的BEC/EAC數據泄露事件的增加歸因于冠狀病毒大流行導致遠程辦公的增加。通過入侵通常會要求員工參加虛擬會議的高級員工的電子郵件帳戶,犯罪分子能夠欺騙員工向他們匯款。這些以欺詐手段獲得的資金“通常會立即轉移到加密貨幣錢包并迅速分散,使得追回工作更加困難。”從2017年到2021年,福布斯顧問分析發現,數據泄露影響了超過200萬美國人,并造成近200億美元的經濟損失。
11、黑客論壇上發布的基于Rust的信息竊取器的源代碼
用Rust編碼的信息竊取惡意軟件的源代碼已在黑客論壇上免費發布,安全分析師已經報告說該惡意軟件被積極用于攻擊。該惡意軟件作者聲稱只用了六個小時就開發出來了,它非常隱蔽,VirusTotal返回的檢測率約為22%。由于信息竊取器是用Rust編寫的,一種跨平臺語言,它允許攻擊者瞄準多個操作系統。然而,以目前的形式,新的信息竊取程序只針對Windows操作系統。網絡安全公司Cyble的分析師 對新的信息竊取器進行了抽樣并將其命名為“Luca Stealer”,他們報告稱,該惡意軟件具有此類惡意軟件的標準功能。執行時,惡意軟件會嘗試從30個基于Chromium的Web瀏覽器中竊取數據,從而竊取存儲的信用卡、登錄憑據和cookie。該竊取者還針對一系列“冷”加密貨幣和“熱”錢包瀏覽器插件、Steam 帳戶、Discord 代幣、Ubisoft Play等。Luca Stealer與其他信息竊取者相比脫穎而出的地方在于,它專注于密碼管理器瀏覽器插件,為17個此類應用程序竊取本地存儲的數據。Cyble報告說,它已經看到至少25個Luca Stealer實例在野外使用,因此雖然一些網絡犯罪分子接受了免費提供,但尚不清楚這種新惡意軟件是否會大規模部署。
12、參議院軍事委員會關注國防部的網絡任務部
根據新的立法,參議院軍事委員會(SASC)正在尋求幫助國防部解決和糾正與其網絡部隊戰備相關的問題。委員會助手25日告訴記者,在與網絡指揮官的討論中,包括招募和保留在內的戰備問題變得更加明顯。SASC版本的2023財年國防授權法案要求制定解決戰備不足的計劃,并研究軍隊在組織、訓練和向美國網絡司令部派遣部隊方面的責任。“我們舉行了一次聽證會,這是一次關于它的機密聽證會,真正告知了今年早些時候的這些規定,我們從所有向網絡任務部隊提供部隊的聯合部隊總部網絡組織獲得了證詞,”一名委員會助手說,參考為Cybercom提供網絡任務部隊團隊的服務網絡組件。“他們在獲得所需的保留率和招聘率方面面臨一些挑戰。”據委員會助手稱,一些準備問題源于吸引和留住人才,這是政府和私營部門網絡安全領域長期存在的問題。長期以來,準備就緒一直是Cybercom的首要任務。近年來,國防部一直在為其網絡團隊制定戰備指標,首先從以防御為重點的網絡保護團隊開始,然后轉向進攻和支持團隊。一位委員會助理指出,國防部了解這些準備問題,并正在努力解決這些問題。“我們已經與五角大樓的負責人就此進行了多次討論。我們認為,問題和潛在修復的范圍已經很好地確定了。我們將由他們來確定最有意義的補救措施組合,”這位助手說。然而,委員會擔心網絡任務部隊將在未來幾年內再增加14個團隊。SASC工作人員表示,該立法授權增加委員會認為軍方可以使用更多資源以獲得更好能力的領域的預算,同時強調國防部落后的領域。
