您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
盤點(diǎn)近期重大網(wǎng)絡(luò)安全事件
工程中心為大家收集了一些近期國內(nèi)外發(fā)生的網(wǎng)絡(luò)安全事件,一起來看看吧!
目錄
1. 蘋果T2芯片曝嚴(yán)重漏洞,可為攻擊者提供Root訪問權(quán)限
2. 數(shù)千家企業(yè)機(jī)構(gòu)遭受DDoS勒索攻擊威脅
3. 黑客入侵烏干達(dá)移動(dòng)支付系統(tǒng) 涉及多家銀行、運(yùn)營商
4. Fitbit間諜軟件可通過表盤竊取個(gè)人數(shù)據(jù)
5. 德國軟件巨頭Software AG遭遇勒索軟件攻擊
今日看點(diǎn)
01 蘋果T2芯片曝嚴(yán)重漏洞,可為攻擊者提供Root訪問權(quán)限
10月6日,據(jù)媒體報(bào)道,有網(wǎng)絡(luò)安全研究人員表示,蘋果T2芯片存在無法修復(fù)的漏洞,使搭載該芯片的macOS設(shè)備更容易受到攻擊。據(jù)稱,漏洞可能會(huì)給攻擊者提供根訪問權(quán)限。
值得一提的是,T2是蘋果在A系列主芯片外,另外增加的一顆專門用于安全方面的芯片?,F(xiàn)在,這顆安全芯片卻面臨著安全質(zhì)疑。
蘋果在自己的電腦產(chǎn)品中加入第二個(gè)芯片的做法,最早可以追溯到iPhone上,蘋果采用Touch ID指紋識(shí)別后,為iPhone預(yù)留了一個(gè)獨(dú)立的安全模塊。
T1芯片在2016年隨著當(dāng)時(shí)的MacBook Pro推出,T2是在此基礎(chǔ)上,蘋果推出的第二代Mac定制芯片。它最重要的功能就是讓Mac產(chǎn)品更安全。
根據(jù)上述安全研究人士的說法,黑客可以利用最新曝光的漏洞與黑客團(tuán)隊(duì)Pangu開發(fā)的另一個(gè)漏洞配合,進(jìn)而規(guī)避DFU(iPhone固件強(qiáng)制升降級(jí)模式)出口安全機(jī)制。一旦攻擊者獲得對(duì)T2芯片的訪問權(quán),他們將擁有完全的根訪問權(quán)和內(nèi)核執(zhí)行特權(quán)。
對(duì)于T2芯片的嚴(yán)重缺陷,蘋果無法在不進(jìn)行硬件修改的情況下修補(bǔ)此漏洞。
據(jù)悉,該漏洞影響所有帶有T2芯片和Intel處理器的Mac產(chǎn)品。用戶只需不要插入未經(jīng)驗(yàn)證的 USB-C 設(shè)備即可規(guī)避相關(guān)漏洞。截至目前,蘋果暫未對(duì)此給出回應(yīng)。
02 數(shù)千家企業(yè)機(jī)構(gòu)遭受DDoS勒索攻擊威脅
近期,全球多個(gè)行業(yè)的數(shù)千家企業(yè)機(jī)構(gòu)受到DDoS攻擊威脅,向其勒索比特幣。自8月以來,負(fù)責(zé)提供安全數(shù)字化體驗(yàn)的智能邊緣平臺(tái)阿卡邁技術(shù)公司(Akamai Technologies)所監(jiān)測到的來自聲稱是Armada Collective、Cozy Bear、Fancy Bear和Lazarus Group組織的攻擊日漸增多。這些勒索要求與DDoS勒索團(tuán)體過去所使用的方法并無大異。具體而言:
勒索信:
一開始,勒索組織會(huì)發(fā)出威脅性的電子郵件,警告如果公司不支付比特幣,則將對(duì)公司發(fā)起DDoS攻擊。勒索信的措辭與過去攻擊活動(dòng)中在媒體上公開的信件內(nèi)容非常相似,并且與Akamai在2019年11月記錄的最近一次DDoS勒索活動(dòng)相似。
有些勒索信會(huì)警告說,如果公開披露勒索要求(即向媒體發(fā)布),則將立即發(fā)起威脅中所提到的攻擊。
“如果你向媒體報(bào)道此事并用我們的名字進(jìn)行免費(fèi)宣傳,而不付給我們?nèi)魏钨M(fèi)用,那么我們會(huì)一直發(fā)起攻擊,你們將承受很長時(shí)間的攻擊。(原文即此)”——Armada Collective
勒索信還會(huì)提到聲譽(yù),警告即將發(fā)起的攻擊不但會(huì)破壞基礎(chǔ)設(shè)施,而且還會(huì)造成更大的影響。
“……沒有人能夠訪問你的網(wǎng)站和其他聯(lián)網(wǎng)服務(wù)。請(qǐng)注意,這還會(huì)嚴(yán)重影響你在客戶心目中的聲譽(yù)。[……]我們會(huì)完全毀掉你的聲譽(yù)并讓你的服務(wù)一直離線,直到你肯付錢為止。(原文即此)”——Fancy Bear
支付贖金:
在Akamai觀察到的Armada Collective勒索要求中,最開始的贖金為5比特幣,如果錯(cuò)過了最后期限,則增加到10比特幣,此后每天增加5比特幣。Fancy Bear最開始的贖金為20比特幣,如果錯(cuò)過了最后期限,則增加到30比特幣,此后每天增加10比特幣。
大多數(shù)此類勒索要求一般會(huì)提出一定的金額,但威脅發(fā)起者也會(huì)心血來潮地提出其他財(cái)務(wù)條件。
主動(dòng)攻擊:
這些信件會(huì)明確受害者機(jī)構(gòu)內(nèi)的目標(biāo)資產(chǎn)并承諾會(huì)進(jìn)行一次小的“測試”攻擊來證明情況的嚴(yán)重性。一些勒索信中聲稱,威脅發(fā)起者可以發(fā)動(dòng)高達(dá)2Tbps的DDoS攻擊。
Akamai發(fā)現(xiàn)其網(wǎng)絡(luò)上的一家客戶遭到50Gb/sec的攻擊。該流量包括基于UDP的ARMS協(xié)議反射攻擊。目前尚不清楚所使用的反射器數(shù)量。
Akamai的安全情報(bào)響應(yīng)小組懷疑該勒索要求來自模仿者,他們利用知名攻擊組織的名聲作為恐嚇手段來加快付款速度。
近期,Akamai發(fā)現(xiàn)北美、亞太地區(qū)以及歐洲、中東和非洲企業(yè)收到的勒索信日益增加。盡管一開始金融服務(wù)業(yè)是受威脅最大的行業(yè),但勒索信最近將目標(biāo)對(duì)準(zhǔn)了其他行業(yè)的企業(yè)機(jī)構(gòu),包括商業(yè)服務(wù)、高科技、酒店、零售和旅游。
迄今為止,采取有效Prolexic DDoS緩解控制措施的Akamai客戶并未經(jīng)歷這些威脅組織所威脅的服務(wù)中斷。最近幾周,Akamai緩解了50多次符合此類特征的攻擊,并將繼續(xù)與客戶合作,采取0秒SLA主動(dòng)緩解控制措施,這些措施能夠非常有效地應(yīng)對(duì)Akamai所觀察到的攻擊模式。
如果企業(yè)受到RDoS的威脅,Akamai建議不要支付贖金,因?yàn)槠髽I(yè)不一定會(huì)遭到攻擊,也無法保證支付贖金就能阻止DDoS攻擊。此時(shí),企業(yè)應(yīng)該召集IT、運(yùn)營、安全和客戶溝通人員,確保自己做好準(zhǔn)備并知道在遭到攻擊時(shí)該怎么做。
Akamai提供用于幫助客戶快速入門的緊急安全集成包,企業(yè)機(jī)構(gòu)可撥打Akamai DDoS熱線啟動(dòng)該集成包。Akamai將立即采取措施對(duì)風(fēng)險(xiǎn)進(jìn)行分類,使用合適的Akamai安全工具并執(zhí)行我們的攻擊事件應(yīng)對(duì)程序。值得一提的是,近期,Akamai已成功地為數(shù)十家企業(yè)進(jìn)行了緊急上線。在這些實(shí)例中,如果事先準(zhǔn)備好GRE Tunnels所需的網(wǎng)絡(luò)前綴,就能大大縮短上線時(shí)間。
現(xiàn)有的Akamai客戶應(yīng)聯(lián)系自己的客戶團(tuán)隊(duì)或聯(lián)系“Akamai支持”部門,而托管式安全服務(wù)(MSS)客戶應(yīng)遵循他們與Akamai安全運(yùn)營控制中心(SOCC)建立的現(xiàn)有流程。任何受到威脅的客戶都將立即進(jìn)入“高度戒備”狀態(tài),SOCC將對(duì)情況進(jìn)行評(píng)估并作好應(yīng)對(duì)攻擊的準(zhǔn)備。每個(gè)客戶的情況都將根據(jù)其業(yè)務(wù)和應(yīng)用需求加以調(diào)整。
值得注意的是,盡管Akamai迄今為止所觀察到的大多數(shù)威脅均已被其Prolexic DDoS緩解服務(wù)所緩解,但根據(jù)最佳實(shí)踐,企業(yè)還應(yīng)在DNS和應(yīng)用層部署綜合全面的DDoS緩解措施,包括評(píng)估自身的DNS解決方案,最理想的是確保在遭到攻擊時(shí)擁有輔助DNS服務(wù),以及在網(wǎng)絡(luò)應(yīng)用防火墻(WAF)中落實(shí)速率控制和拒絕規(guī)則以管控大規(guī)模攻擊。
03 黑客入侵烏干達(dá)移動(dòng)支付系統(tǒng) 涉及多家銀行、運(yùn)營商
日前,不明身份黑客闖入了 Pegasus Technologies 的系統(tǒng),后者是一家整合了電信公司、銀行以及其他本地、地區(qū)和國際轉(zhuǎn)賬服務(wù)之間的移動(dòng)貨幣交易的公司。黑客盜取了一筆尚不清楚的金額,但據(jù)說有數(shù)十億先令。
受影響最嚴(yán)重的公司是領(lǐng)先的電信公司,如烏干達(dá)的 Airtel 和 MTN,以及烏干達(dá)最大的銀行 Stanbic 銀行,它也支持大部分的移動(dòng)貨幣交易。
在 2020 年 10 月 5 日發(fā)布的聯(lián)合聲明中,烏干達(dá) Stanbic 銀行、MTN Uganda 和 Airtel Uganda 的首席執(zhí)行官 Anne Juuko、Wim Vanhelleputte 和 VG Somasekhar 分別承認(rèn)發(fā)生了 " 事件 ",但沒有透露細(xì)節(jié)。
" 烏干達(dá) Stanbic 銀行,MTN Uganda 和 Airtel Uganda 通知公眾和他們的客戶,在 2020 年 10 月 3 日星期六,第三方服務(wù)提供商經(jīng)歷了一次系統(tǒng)事故,影響了銀行的移動(dòng)貨幣交易。所有從銀行到移動(dòng)錢包的服務(wù)都已暫停。"
" 這次系統(tǒng)事件對(duì)銀行和移動(dòng)錢包賬戶的余額沒有影響。我們的技術(shù)團(tuán)隊(duì)正在分析事故,并將盡快恢復(fù)服務(wù)。我們對(duì)由此造成的任何不便向所有客戶道歉,并重申我們提供無縫銀行和移動(dòng)貨幣服務(wù)的承諾。"
Pegasus Technologies Limited 董事總經(jīng)理羅納德阿澤維 ( Ronald Azairwe ) 既不能否認(rèn)也不能證實(shí)這一事件。
但刑事調(diào)查理事會(huì)發(fā)言人 Twiine Charles 向媒體證實(shí),警方接到了一起電子欺詐事件的報(bào)告。
一家受影響公司的消息人士告訴記者,周四晚上,黑客侵入了 Pegasus 公司的系統(tǒng),該公司處理 MTN 到 Airtel 和 Airtel 到 MTN 的交易,以及各自的電信公司到銀行的支付。
Pegasus 還負(fù)責(zé) Stanbic 銀行的 Flexipay,這是一種無現(xiàn)金的解決方案,可以讓銀行的客戶通過移動(dòng)支付支付商品和服務(wù)。
" 從周四晚上開始,黑客一直到周六才被發(fā)現(xiàn)。到目前為止,黑客已經(jīng)給自己發(fā)送了將近 13 億烏干達(dá)先令,已經(jīng)設(shè)法從 Airtel 的資金中取出了 9 億烏干達(dá)先令。我們估計(jì) MTN 也損失了差不多兩倍的錢,因?yàn)樗麄兪且苿?dòng)貨幣的領(lǐng)導(dǎo)者。當(dāng)欺詐被發(fā)現(xiàn)時(shí),所有通過 Pegasus 進(jìn)行的交易都被暫停。" 消息來源稱。
除了當(dāng)?shù)氐囊苿?dòng)貨幣公司,其他國際貨幣匯款公司也受到了影響。
" 黑客通常會(huì)在周末以金融機(jī)構(gòu)為攻擊目標(biāo),此時(shí)金融機(jī)構(gòu)活動(dòng)較少,警惕性也較低。" 這位對(duì)此類網(wǎng)絡(luò)欺詐非常熟悉的內(nèi)部人士表示。
Pegasus 成立于 2007 年,每年處理高達(dá) 1.7 萬億烏干達(dá)先令的金融交易。
這包括移動(dòng)錢包聚合、移動(dòng)支付和匯款、貸款和儲(chǔ)蓄,以及短信、通話時(shí)間和數(shù)據(jù)加載等增值服務(wù)。
該公司的旗艦產(chǎn)品 PegPay 支付平臺(tái)目前正被銀行、電信、公用事業(yè)公司 ( 如零售商、付費(fèi)電視提供商和學(xué)校 ) 等多家機(jī)構(gòu)用于匯總和管理用于內(nèi)部和外部目的的金融交易。
04 Fitbit間諜軟件可通過表盤竊取個(gè)人數(shù)據(jù)
據(jù)印度媒體 "ABP news" 報(bào)道,當(dāng)?shù)貢r(shí)間 8 月 2 日,巴基斯坦 " 黎明電視臺(tái) "(Dawn TV)突然遭到黑客攻擊,該頻道在播放一則廣告時(shí),電視畫面中突然出現(xiàn)一面印度國旗,下方還寫著 " 獨(dú)立日快樂 " 字樣。
近日,Immersive Labs Researcher的安全研究人員利用松垮的Fitbit隱私控制功能開發(fā)了一個(gè)惡意間諜軟件表盤(概念驗(yàn)證)。證明利用開放的開發(fā)者API,攻擊者可以開發(fā)出可訪問Fitbit用戶數(shù)據(jù)的惡意應(yīng)用程序,并將其發(fā)送到任何服務(wù)器。
Immersive Labs的網(wǎng)絡(luò)威脅研究總監(jiān)Kev Breen指出:
“從本質(zhì)上講,(開發(fā)者API)可以發(fā)送設(shè)備類型、位置和用戶信息,包括性別、年齡、身高、心率和體重?!辈祭锥鹘忉屨f?!八€可以訪問日歷信息。盡管其中不包括PII個(gè)人資料數(shù)據(jù),但日歷邀請(qǐng)可能會(huì)暴露其他信息,例如姓名和位置?!?/p>
由于可以通過Fitbit開發(fā)API獲得所有這些信息,因此開發(fā)應(yīng)用程序進(jìn)行攻擊并不復(fù)雜。Breen很輕松就開發(fā)出了惡意表盤,隨后他可以通過Fitbit Gallery(Fitbit的應(yīng)用商店)發(fā)布。因此,這個(gè)間諜軟件看起來合法,這大大提高了用戶下載的可能性。
Breen解釋說:“我們的間諜軟件現(xiàn)已在fitbit.com上發(fā)布。重要的是要注意,盡管Fitbit并未將其視為‘可用于公共下載’,但該鏈接仍可在公共領(lǐng)域訪問,而我們的‘惡意軟件’仍可下載。”
Breen說,越多用戶在任何移動(dòng)設(shè)備上點(diǎn)擊該鏈接,惡意軟件的合法性就越來越高,它在Fitbit應(yīng)用程序內(nèi)打開,并且“所有縮略圖都像是合法應(yīng)用程序一樣完美呈現(xiàn),只需單擊一下即可下載和安裝,在Android和iPhone手機(jī)上都可以?!?/p>
Breen還發(fā)現(xiàn),F(xiàn)itbit的API允許對(duì)內(nèi)部IP范圍使用HTTP,他濫用這一點(diǎn)將惡意表盤變成原始的網(wǎng)絡(luò)掃描儀。
他說:“有了這項(xiàng)功能,我們的表盤可能會(huì)威脅到企業(yè)?!薄八梢杂脕碜鏊惺虑?,從識(shí)別和訪問路由器、防火墻和其他設(shè)備到暴力破解密碼以及從公司的內(nèi)部應(yīng)用程序讀取公司的內(nèi)部網(wǎng)?!?/p>
冰山一角
截至本文發(fā)稿,F(xiàn)itbit已經(jīng)對(duì)Breen的安全報(bào)告做出回應(yīng),表示已迅速部署緩解措施。
當(dāng)從專用鏈接安裝應(yīng)用程序時(shí),F(xiàn)itbit在用戶界面中為用戶添加了一條警告消息,它使消費(fèi)者更容易識(shí)別即將安裝的是否是公開列出的正規(guī)程序。
Breen說,F(xiàn)itbit還致力于在授權(quán)流程中調(diào)整默認(rèn)權(quán)限設(shè)置,使其默認(rèn)為不選擇。
然而,截至上周五,Breen的惡意表盤仍可在Fitbit應(yīng)用商店中供大眾訪問。
Fitbit的安全漏洞只是近期一系列可穿戴物聯(lián)網(wǎng)安全威脅的冰山一角,上周,聯(lián)網(wǎng)成人用品(男性貞操環(huán))發(fā)現(xiàn)嚴(yán)重漏洞,被黑客攻擊鎖死后,需要借助角磨機(jī)才能從器官上取下。
上個(gè)月,Mozi僵尸網(wǎng)絡(luò)惡意軟件占了IoT設(shè)備上全部流量的90%。而藍(lán)牙欺騙漏洞讓數(shù)十億設(shè)備暴露在攻擊火力之下,這些都讓物聯(lián)網(wǎng)安全態(tài)勢進(jìn)一步惡化。
05 德國軟件巨頭Software AG遭遇勒索軟件攻擊
德國企業(yè)軟件巨頭Software AG近日遭遇竊取信息的勒索軟件攻擊。
Software AG軟件公司聲稱擁有10,000多個(gè)客戶,年收入超過8億歐元,上周晚些時(shí)候在簡報(bào)中透露了遭受勒索軟件攻擊的消息。
簡報(bào)指出,攻擊自上周一以來一直在進(jìn)行,尚未得到完全遏制。
“今天,Software AG獲得了第一批證據(jù),證明Software AG的服務(wù)器和員工筆記本中的數(shù)據(jù)被(勒索軟件)下載。但仍然沒有跡象表明向客戶提供的服務(wù)(包括基于云的服務(wù))會(huì)被中斷。該公司正在不斷完善其運(yùn)營和內(nèi)部流程?!盨oftware AG在10月8日解釋說。
“Software AG正在進(jìn)一步調(diào)查此事件,盡其所能來遏制數(shù)據(jù)泄漏,并解決內(nèi)部系統(tǒng)持續(xù)中斷的問題,特別是盡快恢復(fù)其內(nèi)部系統(tǒng)(由于安全原因已將其關(guān)閉) ?!?/p>
盡管該公司的網(wǎng)站似乎正常運(yùn)行,但要求客戶以郵件形式發(fā)送技術(shù)支持問題并附上電話號(hào)碼, “由于我們的在線支持系統(tǒng)存在技術(shù)問題”。
研究人員MalwareHunterTeam在社交媒體上發(fā)消息稱Software AG遭到Clop變種的打擊,該勒索軟件的贖金要價(jià)通常高達(dá)2000萬美元。勒索軟件運(yùn)營者聲稱已經(jīng)從Software AG擄走了超過1TB的數(shù)據(jù)。
針對(duì)Software AG的勒索軟件攻擊進(jìn)一步佐證,勒索軟件組織開始越來越多地針對(duì)財(cái)大氣粗的大型企業(yè)目標(biāo)。他們通常會(huì)執(zhí)行詳細(xì)的偵察,然后使用APT風(fēng)格的策略進(jìn)行高級(jí)多階段攻擊,以在隱藏?cái)?shù)據(jù)最終部署勒索軟件的過程中保持隱藏狀態(tài)。
今年早些時(shí)候,IT服務(wù)巨頭Cognizant透露勒索軟件攻擊在2020年第二季度使該公司損失了約5000-7000萬美元。
來源:信息安全國家工程研究中心