網絡空間安全動態第138期
一、發展動向熱訊
1、《中華人民共和國數據安全法》審議通過
6月10日,第十三屆全國人民代表大會常務委員會第二十九次會議通過《中華人民共和國數據安全法》。本法自2021年9月1日起施行。相較于《數據安全法(二次審議稿)》,最終稿做出以下修改:一是建立工作協調機制,加強對數據安全工作的統籌;二是明確對關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據實行更嚴格的管理制度;三是要求提供智能化公共服務應當充分考慮老年人、殘疾人的需求,不得對老年人、殘疾人的日常生活造成障礙;四是進一步完善保障政務數據安全方面的規定;五是加大對違法行為的處罰力度。(信息來源:中國新聞網)
2、《中華人民共和國反外國制裁法》審議通過
6月10日,第十三屆全國人民代表大會常務委員會第二十九次會議通過《中華人民共和國反外國制裁法》,自公布之日起施行。該法規定,外國國家違反國際法和國際關系基本準則,以各種借口或者依據其本國法律對我國進行遏制、打壓,對我國公民、組織采取歧視性限制措施,干涉我國內政的,我國有權采取相應反制措施。該法明確列舉了三類反制措施:一是不予簽發簽證、不準入境、注銷簽證或者驅逐出境;二是查封、扣押、凍結在我國境內的動產、不動產和其他各類財產;三是禁止或者限制我國境內的組織、個人與其進行有關交易、合作等活動。同時,還作了一個兜底性規定,即“其他必要措施”。(信息來源:新華社)
3、美國參議院通過《2021年美國創新與競爭法案》
6月8日,美國國會參議院通過《2021年美國創新與競爭法案》,該法案強調通過戰略、經濟、外交、科技等手段同中國開展競爭,以對抗中國日益增長的影響力。該法案是《無盡前沿法案》的升級拓展版,總規模達2500億美元,包括分階段向美國國家科學基金會注資1900億美元,加強人工智能及量子科學等研發,設立技術和創新局,專注開發新技術及培訓人才,同時禁止將基金會研發的知識產權轉讓給中國等外國實體。另外亦包括半導體生產激勵措施的520億美元資金,用于半導體零部件的本土化生產。此外,該法案中還提到國際聯盟外交事務、航天、芯片和5G無線、購買美國制造、網絡安全和人工智能、無人機、醫學研究等諸多議題。(信息來源:路透社)
4、拜登簽署行政令將59家中企列入黑名單
6月3日,美國總統拜登簽署行政令,宣布禁止投資與中國國防、監控科技相關的企業,并點名59家中企,包括電信設備供應商華為、最大芯片制造商中芯國際,中國三大電信公司中國移動、中國電信與中國聯通等。根據這份行政令,美國投資者不得投資以上企業,并在未來一年內拋售已持有的股票。拜登表示,該行政令是為確保美國資金不會用于支持破壞美國與盟友的安全或價值觀的中企,并應對中國透過監控科技在國內外造成的威脅,包括監控宗教或民族少數派,透過監控加強施壓或造成嚴重侵害人權問題。該行政令將在8月2日生效。(信息來源:美國白宮網站)
5、拜登簽署新行政令取代TikTok和Wechat禁令
6月9日,美國總統拜登簽署《關于保護美國人的敏感數據不受外國敵對勢力侵害的行政命令》,撤銷前總統特朗普在任期間對TikTok和Wechat的禁令,并要求商務部對外國對手控制的應用程序進行更廣泛的安全審查,并酌情采取行動。美國政府認為,這些敏感數據包括個人身份信息和基因信息,可能直接泄露給外國對手(包括中國),對美國數據隱私和國家安全構成風險。(信息來源:美國白宮網站)
6、美國防部公布2022財年預算申請
5月28日消息,美國防部公布2022財年預算申請7150億美元,較2021財年增長1.6%。美國防部2022財年預算申請貫徹了拜登政府《臨時國家安全戰略指南》的戰略方向和優先事項,包括:一是重點渲染“中國威脅論”,明確“中國是能夠組合經濟、外交、軍事與技術力量向國際秩序發起持續挑戰的唯一對手,對美國構成最嚴峻長期挑戰”,為“太平洋威懾計劃”申請51億美元,為印太地區申請逾660億美元。二是強調微電子(23億美元)、高超聲速(38億美元)、人工智能(8.74億美元)和5G(3.98億美元)等“先進能力賦能器”價值。三是重視創新與現代化,提升研究、開發、試驗與鑒定經費至1120億美元。還包括推動先進關鍵武器項目采辦;關注網絡安全和作戰;大幅增加太空軍預算等。(信息來源:美國國防部網站)
7、美國防部制定實施負責任人工智能基本原則
6月1日消息,美國防部備忘錄制定實施負責任人工智能(RAI)的基本原則,主要包括六項內容:一是RAI治理。確保國防部范圍內嚴格的治理結構和流程,以便進行監督和問責,并明確國防部關于RAI的指導方針和政策以及相關激勵措施,加速國防部采用RAI。二是作戰人員信任AI。建立試驗、鑒定以及驗證和確認框架,確保作戰人員對AI的信任。三是產品和采辦生命周期。開發工具、政策、流程、系統和指南,以在整個采辦壽命周期內同步AI產品的RAI實施。四是要求驗證。將RAI納入所有適用的AI要求中,以確保RAI包含在國防部AI能力中。五是建立RAI生態系統。建立國家和全球RAI生態系統,以改善政府間、學術界、工業界和利益相關者的合作,并促進基于共同價值觀的全球規范。六是AI人才隊伍建設。建立、訓練、裝備和留住RAI人才隊伍,以確保強有力的人才規劃、招聘和能力建設措施。(信息來源:美國國防部網站)
8、美國防部長簽署聯合全域指揮控制戰略
6月4日消息,美國防部長勞埃德·奧斯汀簽署了“聯合全域指揮控制”戰略文件,旨在推進人工智能技術在戰場上的應用以及數據共享。該戰略確定了各軍事部門如何連接空中、陸地、海洋、太空和網絡空間傳感器,使用網絡化方法進行作戰。“聯合全域指揮控制”旨在通過全球彈性網絡共享數據,為美國提供更大的軍事優勢。在聯合全域指揮控制框架內,陸軍“融合計劃”重點提高地面彈藥精度,空軍“先進戰斗管理系統”項目注重共享飛行數據,海軍“超越計劃”聚焦建立海上網絡。“聯合全域指揮控制”戰略的關鍵,是將各軍種的計劃項目協調成一個可互操作的技術和行動框架。(信息來源:美國FedScoop網)
9、美太空軍斥資數十億美元推動新的數據管理戰略
5月24日消息,美太空軍斥資數十億美元推動新數據管理戰略,并將新數據管理戰略命名為“數據即服務”。根據新戰略,美太空軍將把存儲在獨立系統中的大量數據轉換為聯通的數字架構并整合到云平臺上,隨后使用人工智能工具分析數據,將結果更快速地交付給使用者。如目前執行監控與在軌物體跟蹤任務的作戰人員,需從多個獨立數據集獲取信息,再手動使用Excel表格進行數據匯總分析,而“數據即服務”可使整個過程自動化。(信息來源:國防科技要聞)
10、英海軍“強大盾牌”演習測試人工智能反導能力
5月31日消息,英國海軍表示,在蘇格蘭赫布里底群島試驗靶場舉行的“強大盾牌”防空反導海上實彈演習中,首次采用人工智能軟件測試了反導能力。演習測試了Startle人工智能與Sycoiea機器學習應用程序。Startle人工智能系統可減輕船員在指揮室中監控“空情圖”的負擔,并能提供實時建議和警告。Sycoiea系統在此基礎上進行威脅評估武器分配,并提供應對威脅的最佳建議。“強大盾牌”演習參與國包括比利時、丹麥、法國、德國、意大利、荷蘭、挪威、西班牙、英國和美國。參演兵力包括15艘戰艦、數十架飛機和約3300名人員。(信息來源:美國海軍技術網站)
二、安全事件聚焦
11、Fastly CDN服務故障致全球互聯網大面積宕機
6月8日,全球大量熱門網站突然無法訪問,顯示“服務不可用”503錯誤。受影響網站包括亞馬遜、PayPal、Shopify、Reddit、GitHub、Hulu、HBO、英國政府網站gov.uk以及CNN、BBC、衛報、紐約時報等新聞網站。據悉,此次事件可能與云服務廠商Fastly有關,Fastly官方服務狀態頁面顯示,已發現CDN服務故障,正在逐步修復程序,但Fastly CDN服務中斷的原因尚不清楚。(信息來源:安全內參網)
12、丹麥情報局幫助美國國家安全局監視歐洲政客
5月30日,丹麥國家廣播電視臺(DR)報道稱,丹麥國防情報局(FE)允許美國國家安全局(NSA)進入丹麥的一個主要互聯網和電信樞紐,并允許美國情報機構通過監控平臺XKeycore監視歐洲政治家的通信,對包括默克爾等在內的歐洲政府高官進行監視。這項名為Dunhammer的間諜行動是由歐洲一些最大的新聞機構聯合調查發現的。美國國家安全局和丹麥情報部門曾簽署一項秘密協議,允許網絡間諜在2012年至2014年期間竊聽敏感通信。XKeyscore可提供最廣泛的在線數據收集、分析電子郵件、社交媒體和瀏覽歷史內容。BBC表示,美國國家安全局已收集了德國、法國、瑞典和挪威官員的情報。(信息來源:SecurityAffairs網)
13、中國臺灣內存和固態硬盤制造商威剛遭勒索攻擊
6月9日,全球第二大存儲器和存儲制造商威剛(ADATA)表示,曾在5月23日遭到勒索軟件攻擊,被迫關閉受影響系統。威剛總部在中國臺灣,在2018年被評為第二大DRAM內存和固態硬盤(SSD)制造商,生產高性能DRAM內存模塊、NAND閃存存儲卡和其他產品,包括移動配件、游戲產品、電力傳動系統和工業解決方案。勒索團伙Ragnar Locker聲稱是此次攻擊的始作俑者,已經從威剛的網絡中竊取了1.5TB的敏感數據。截圖顯示,攻擊者收集了專有商業信息、機密文件、原理圖、財務數據、Gitlab和SVN源代碼、法律文件、員工信息、NDAs和工作文件夾。(信息來源:FreeBuf網)
14、勒索攻擊沖擊美國豬牛肉供應
5月31日,全球最大肉類供應商JBS公司發表聲明,承認部分用于支持北美及澳大利亞IT系統的服務器遭遇有組織的勒索軟件攻擊。此次攻擊對肉類供應鏈造成了巨大影響,導致美國農業部無法及時公布牛肉與豬肉的批發價格,給數千家農產品市場機構造成直接沖擊。JBS公司已經被迫叫停了美國及澳大利亞多處加工廠的肉類處理班次,并表示將關閉愛荷華州、猶他州等多個加工廠。(信息來源:ZDNet網)
15、勒索攻擊導致美國議員選民溝通平臺服務中斷
6月8日消息,美國議員選民溝通平臺iConstituent遭勒索攻擊導致服務中斷,眾議院近60位議員數周無法檢索選民信息。美國眾議院首席行政官表示,議員們確實收到了iConstituent通訊系統遭受勒索軟件攻擊的消息,但攻擊者沒有從眾議院獲取或訪問到任何數據,眾議院使用的網絡也未受影響。目前,iConstituent正在與相關機構合作解決這一問題。(信息來源:ZDNet網)
16、勒索攻擊致美國多個廣播和電視臺停播
6月3日消息,美國最大傳媒集團之一考克斯媒體集團旗下廣播和電視臺遭遇勒索軟件攻擊,導致直播被迫中斷,考克斯的網絡流媒體與移動應用業務無法正常運轉,部分直播節目無法按計劃播出。這是勒索軟件團伙第二次向美國主要媒體集團發動攻擊。2019年9月,某勒索軟件團伙就曾攻擊CBS旗下的全美第二大廣播網絡Entercom,并導致部分廣播電臺被迫離線。(信息來源:TheRecord網)
17、日本富士膠片公司遭勒索攻擊
6月2日,日本富士膠片公司稱遭受勒索軟件攻擊,攻擊影響了其所有外部通信,包括電子郵件和電話服務。該公司正在調查對服務器未經授權的訪問,且關閉了網絡。此次攻擊可能與REvil勒索軟件有關。(信息來源:BleepingComputer網)
18、內含84億條密碼記錄的數據庫遭泄露
6月7日消息,用戶在某黑客論壇上發布了一個100GB的txt文件,其中含有84億條密碼記錄,其中有3200萬條明文密碼記錄,很可能是整理了歷史上多起密碼泄露事件后合并而成。發布者稱,該集合中的所有密碼長度都在6-20個字符之間,并移除了所有的非ASCII碼字符和空格,并將其命名為RockYou2021。RockYou2021包含的密碼記錄約是全球網民數量的2倍(全球約有47億網民),84億條唯一密碼集的密碼和其他包含用戶名、郵箱地址的密碼集可以組合使用,因此攻擊者可以使用RockYou2021數據集來進行詞典攻擊和一系列暴力破解攻擊。(信息來源:CyberNews網)
19、加拿大郵政供應商95萬條個人數據遭泄露
5月28日消息,加拿大郵政供應商Canada Post披露,其第三方解決方案供應商Commport Communications遭受勒索軟件攻擊,95萬名發件人、收件人數據及44名郵局商業用戶的運輸清單遭泄露。Canada Post是加拿大主要郵政運營商,為1650萬個加拿大住宅和商業地址提供服務。加拿大郵政表示,此次攻擊很可能是今年4月出現的勒索軟件組織Lorenz所為。(信息來源:安全牛網)
20、東京奧組委遭網絡攻擊工作人員信息外泄
6月6日消息,受富士通安全事件影響,參與東京奧運會網絡安全演習的約90家組織安全管理人員的個人信息泄露,包括姓名、職級與隸屬關系等,相關組織涉及奧運會與殘奧會組委會、日本各部委、東京與福島縣等賽事舉辦地政府以及多家贊助商。日本內閣表示,預計在東京奧運會期間,日本的關鍵基礎設施很可能遭受網絡攻擊,目前內閣已經做好應對此類安全事件的準備。(信息來源:安全內參網)
21、美國士兵使用抽認卡APP意外泄露核信息
5月30日消息,開源情報機構Bellingcat稱,駐扎在歐洲的美軍士兵在使用抽認卡APP時,可能意外暴露了有關美國核武器儲備的信息,包括歐洲基地位置、可能裝有核武器的確切位置、攝像機位置、巡邏頻率甚至禁區所需要的唯一標識符密碼和其他信息。研究人員稱,士兵們未將APP設置為“私密”,且一些士兵使用的照片與LinkedIn個人資料上的照片相同,因此將其與核信息聯系起來并不難。目前,帶有敏感信息的抽認卡已被撤下。(信息來源:TheVerge網)
三、安全風險警示
22、工控產品軟件CODESYS被曝存在10個嚴重漏洞
6月4日消息,俄羅斯網絡安全公司Positive Technologies的研究人員從多款工控產品都在使用的 CODESYS工業自動化軟件中發現10個漏洞,其中6個為嚴重漏洞,可通過特殊構造的請求執行遠程代碼或導致系統崩潰;3個為高危漏洞,可通過特殊構造的請求,用于執行拒絕服務攻擊或遠程代碼執行;1個為中危漏洞,可用于破壞目標系統。CODESYS軟件用于十多家企業的PLC中,如 Beckhoff、Kontron、Moeller、Festo、三菱、HollySys和多家俄羅斯企業。目前,CODESYS公司已發布CODESYS V2 web服務器、Runtime Toolkit和PLCWinNT產品的更新以解決漏洞,建議客戶安裝更新。(信息來源:E安全網)
23、中國臺灣工業制造商固件曝高危漏洞影響多家廠商
6月4日消息,網絡安全咨詢公司SEC Consult發現,中國臺灣工業網絡解決方案提供商Korenix Technology生產的工業交換機存在五種類型的高危漏洞,包括未經身份驗證的設備管理、后門賬戶、跨站點請求偽造、經過身份驗證的命令注入和TFTP文件讀/寫問題。攻擊者可利用這些漏洞完全控制設備并獲取敏感信息。這些交換機用于重工業、運輸、自動化、電力和能源、監控和其他部門網絡中的關鍵位置,多家廠商受影響。Korenix Technology在收到漏洞通知后,發布了補丁和解決方法。(信息來源:SecurityWeek網)
24、Realtek RTL8710C WiFi 模塊存在嚴重漏洞
6月3日消息,以色列物聯網公司Vdoo發布報告,稱Realtek RTL8710C WiFi模塊中存在兩個棧緩沖區溢出漏洞CVE-2020-27301 和 CVE-2020-27302,CVSS評分為8.0。攻擊者可利用上述漏洞獲取使用該模塊的嵌入式設備操作系統(如Linux或安卓)的根訪問權限,完全控制該WiFi模塊,獲取設備的提升權限并劫持無線通信。Realtek RTL8710C 支持Ameba。Ameba是一款兼容Arduino的可編程平臺,配有外圍接口,供設備構建多種物聯網應用程序,涵蓋農業、汽車、能源、醫療、工業和智能家居等行業。漏洞影響所有使用該組件連接至WiFi網絡的嵌入式和物聯網設備。目前尚未發現利用這些漏洞的攻擊活動,且固件版本已發布。建議用戶使用強大的私密WPA2密碼以阻止攻擊。(信息來源:TheHackerNews)
25、華為USB LTE dongles中存在提權漏洞
6月2日消息,Trustwave的研究人員披露了華為E3372型USB LTE dongles中的提權漏洞。USB dongles是一種可以插入筆記本電腦和臺式電腦的硬件,外觀像u盤,可以訪問互聯網。插入USB dongles時會自動運行mbbserviceopen,攻擊者可以將文件替換為惡意代碼。目前,華為已發布有關緩解措施。(信息來源:BleepingComputer網)
26、新后門Facefish可竊取Linux系統信息
5月30日消息,研究團隊發現了一個新的后門Facefish,可控制Linux系統并竊取敏感數據。該新后門支持多種功能,包括上傳設備信息、竊取用戶憑證、彈回shell和執行任意命令。此外,研究人員表示Facefish采用了復雜的通信協議和加密算法,它使用以0x2XX開頭的指令來交換公鑰,并使用BlowFish與C2服務器加密通信數據。(信息來源:SecurityAffairs網)
27、多個惡意軟件家族可感染Pulse Secure VPN
5月28日消息,Fireeye研究團隊發現多個可感染Pulse Secure VPN設備的惡意軟件家族。這些惡意軟件主要利用的是身份驗證繞過漏洞CVE-2021-22893,CVSS評分為10,允許未經身份驗證的攻擊者遠程執行任意代碼。目前已發現16個此類惡意軟件,包括用于解析PSC日志文件的Bloodmine、竊取憑據的Bloodbank、內存補丁工具Cleanpulse和Web shell Rapidpulse等。(信息來源:ZDNet網)
28、首款利用Windows Server容器的惡意軟件現身
6月7日消息,網絡安全公司Palo Alto Networks發現針對并逃逸Windows Server容器以感染受害者 Kubernetes集群基礎設施的首款惡意軟件Siloscape。研究人員稱3月初發現此類攻擊,但攻擊可能至少發生了一年之久。攻擊者一直在掃描互聯網中的常見云應用程序,如Web服務器并部署老舊漏洞的exploit,在未修復應用程序上下載并安裝Tor客戶端以聯系其命令和控制服務器并接受命令。Siloscape并不會主動執行任何損害集群的動作,而是專注于不被檢測到和不被追蹤到,并在集群中打開后門。截至目前,尚未發現攻擊者發動惡意活動。(信息來源:TheRecord網)
四、前沿技術瞭望
29、中國科學家將光存儲時間提升至1小時
4月26日消息,中國科學技術大學郭光燦院士團隊李傳鋒、周宗權研究組在光量子存儲領域取得重要突破,將相干光的存儲時間提升至1小時,刷新了2013年德國團隊光存儲1分鐘的世界紀錄。中國科學技術大學科研團隊精確刻畫了摻銪硅酸釔晶體光學躍遷的完整哈密頓量,成功實現了光信號的長壽命存儲。通過加載相位編碼,實驗證實在經歷了1個小時存儲后,光的相位存儲保真度高達96.4±2.5%。這一科研成果將光存儲時間從分鐘量級推進至小時量級,滿足了量子U盤對光存儲壽命指標的基本需求。(信息來源:央視新聞)
