欢迎阅读 GlobalSign 的十一月新闻报道。以下是上个月网络安全领域的热点新闻。我们首先关注的是美国对供水系统安全的持续担忧,而英国也有自己的担忧。
美国水保护主要机构的一份新报告称,美国近三分之一的居民依赖于存在网络安全漏洞的饮用水系统。环境保护署的报告发现,在接受测试的 1062 个系统中,有 308 个系统存在漏洞,这些漏洞可能会影响物理基础设施,甚至影响 1.093 亿美国居民的供水系统的运行。
在英国,数百万英国人赖以生存的泰晤士水务公司(Thames Water)越来越令人担忧。英国《卫报》的一篇新报道称,泰晤士水务公司的一些计算机系统已有 50 年历史,“早已被宣布过时”。这使得该公司的系统成为黑客的攻击目标。
在德国,网络犯罪团伙 “地狱猫”(Hellcat)对施耐德电气(Schneider Electric)的数据提出了可能是有史以来最不寻常的勒索要求。网络犯罪分子要求以法棍形式支付 12.5 万美元。事件发生在本月初,但目前尚不清楚是否已经支付了款项(无论是硬币还是面包)。
威胁行为者 “迷人的小猫 ”一直试图通过在 LinkedIn 上冒充工作招聘人员来引诱航空航天员工。不幸的是,求职者收到的不是广告中的 “梦想工作 ”机会,而是来自虚假招聘网站的恶意软件文件。
谷歌云计算部门宣布,到 2025 年底,所有用户都必须使用多因素身份验证(MFA)。多因素身份验证是谷歌为提高账户安全性所做努力的一部分,将于明年在全球范围内分阶段推出。
本月发生了几起备受瞩目的数据泄露事件,其中最引人注目的是亚马逊。在这起事件中,威胁行为者 Nam3L3ss 在暗网上发布了 280 万行员工数据。这名黑客声称,这一切都是为了改善亚马逊 “糟糕的安全做法”。 不知何故,我认为这不仅仅是为了 “帮助 ”一家市值数十亿美元的企业。
水,水(网络安全)问题无处不在
近三分之一的美国居民(超过 1 亿人)从存在已知网络安全漏洞的系统中获取饮用水。根据美国环境保护局(EPA)监察长办公室(OIG)的最新报告,在 1062 个接受测试的系统中,有 308 个存在漏洞。OIG 的结论是,如果漏洞被利用,可能会影响这些供水系统的物理基础设施或运行。11 月 13 日的报告发现,308 个饮用水系统的计算机系统缺乏安全性。在这 308 个系统中,约有 64% 的系统在其 IT 环境中存在中度或低度风险漏洞。报告还指出,许多系统报告了 “外部可见的开放门户”。这些系统为大约 8270 万人提供服务。然而,在这 308 个存在漏洞的系统中,有 97 个系统被发现存在严重或高风险问题,但报告并未详细说明。更令人担忧的是,该报告并不包括美国所有的供水系统,只包括那些为 5 万人或以上提供服务的系统。这意味着可能还有更多的供水系统可能存在问题,但没有被纳入 OIG 的研究中。
英国《卫报》最新发表的一篇文章称,大型供水服务提供商泰晤士水务公司的计算机硬件非常陈旧,在某些情况下甚至被描述为 “维多利亚时代 ”的产品,这使其成为网络犯罪分子极具吸引力的目标。
关键基础设施公司的硬件老化问题多年来一直备受关注。美国佐治亚理工大学的研究人员现在有能力劫持控制物理系统的计算机。可编程逻辑控制器(PLC)非常容易被嵌入式网络服务器和浏览器利用。如果出现这种情况,攻击者就可以利用这种方法获得对系统的完全访问权,从而可以执行关闭水泵和使电机失控等操作。
史上最不寻常的勒索软件要求?黑客要求用法棍付款
11 月初,新的勒索软件组织 Hellcat 入侵了法国跨国公司施耐德电气,要求以 12.5 万美元的 “长棍面包 ”作为付款。(据 Cyberscoop 报道,“实际上,攻击者正在寻求以 Monero(一种注重隐私的加密货币)进行支付”)。Hellcat 威胁说,如果不付款,就会泄露施耐德电气的敏感客户和操作数据,大约有 40 GB 的压缩数据。施耐德电气公司于 11 月 4 日确认了这一漏洞。据犯罪分子的泄密网站称,该漏洞 “泄露了关键数据,包括项目、问题和插件,以及超过 40 万行的用户数据”,这些数据是从施耐德电气的 JIRA 平台上窃取的。Cyberscoop 还称,该组织还对约旦教育部和坦桑尼亚商业教育学院的数据被盗等旧事件负责--Hellcat 是勒索软件领域的新玩家,因此有关他们的信息非常有限。
旧版 MOVEit 漏洞攻击亚马逊第三方供应商,导致 280 万行员工数据泄露
这似乎很难让人相信,但就在去年,MOVEit 漏洞才真正成为网络安全界的话题。Progress 软件公司于 2023 年 5 月首次披露了这一漏洞,该漏洞是一个关键的 SQL 注入漏洞,网络犯罪分子可借此访问该公司的 “MoveIT ”传输实例。这成为英国电信、3M 等数千家公司的难题。这种情况曾一度平息,但 本月一名威胁者发布了 280 万行亚马逊员工数据,然后在暗网上夸下海口,声称这次黑客攻击是 “为了提高人们对不良安全行为的认识”,现在又成了新闻。攻击者 Nam3L3ss 在暗网上分享的数据是去年 MoveIT 漏洞导致的,但最近才出现。 据亚马逊称,Nam3L3ss 共享的员工数据是合法的,但该公司仍在确定数据的敏感程度。由于社会安全号码或财务数据没有在此次事件中泄露,因此情况可能并不严重。
迷人的小猫试图在 LinkedIn 上引诱航空航天员工
据信与伊朗政府有联系的黑客正试图用实际上并不存在的工作来引诱航空航天业的员工。这个名为 “迷人的小猫”(Charming Kitten)的组织又名 TA455、APT35、Smoke Sandstorm 和 Bohrium,已经存在了至少十年。根据网络安全公司 ClearSky 的一份最新报告,在其最新计划中,Charming Kitten 似乎以航空航天业员工为目标,提供虚假工作机会,最终目的是让受害者感染恶意软件。报告称,“魅力小猫 ”通过在 LinkedIn 上提供 “梦想工作 ”机会的虚假招聘人员吸引用户。
此类活动以前曾被认为是朝鲜网络犯罪团伙 APT Lazarus 所为。ClearSky 的研究人员表示,Charming Kitten 可能是冒充 Lazarus 来 “掩盖行踪”,或者是在使用 Lazarus 的攻击方法/工具。在反病毒工具显示 Charming Kitten 使用的恶意软件实际上属于 Lazarus 后,研究人员得出了这一结论。据了解,Charming Kitten 通过来源看似合法的网络钓鱼电子邮件实施攻击,目的是窃取敏感信息,尤其是航空航天业目标的敏感信息。该组织还因 2020 年的 “SpoofedScholars ”等活动而闻名,这些活动向学术机构和研究人员发送虚假邀请和恶意文件。
在缺乏多因素身份验证的环境遭到两次大规模黑客攻击后,谷歌云将其列为强制要求
今年早些时候,由于缺乏多因素身份验证 (MFA),发生了一系列极具破坏性的大规模攻击事件。这些攻击发生在 Change Healthcare,不久后又发生在 Snowflake。Change Healthcare 事件影响了约 1 亿美国人,2 月份发生的攻击是因为其所有者 UnitedHealth 没有使用 MFA 来保护其最关键的系统之一。 迄今为止,该事件已造成公司数十亿美元的网络攻击总损失。在今年 3 月的云服务提供商事件中,包括 AT&T、Advance Auto Parts、LendingTree、Ticketmaster 运营商 Live Nation 和桑坦德银行在内的大公司都受到了影响。这两起大规模事件警示人们,使用 MFA 来防止数据泄露的公司还远远不够多。有鉴于此,没有人会对谷歌云计算部门于 11 月 9 日宣布到 2025 年底所有用户都必须使用 MFA 感到惊讶。作为提高账户安全性努力的一部分,谷歌将于明年在全球范围内分阶段实施这一举措。
等等,还有更多:
- 美国指控五名 “散蜘蛛 ”成员 – Risky Biz News
- 安全支付勒索软件团伙声称 Microlise 攻击破坏了囚车追踪系统 - The Register
- ICO 敦促企业负责任地共享数据以应对欺诈行为 – Security Brief UK
- 五角大楼泄密者杰克-特谢拉被联邦法官判处 15 年监禁 – SecurityWeek
- 瑞士网络机构警告:恶意软件正通过邮件发送 – The Record
- 悉尼医院因涉嫌 BEC 欺诈损失 200 万美元 - iTnews
- 法国医院在网络攻击中遭遇重大数据泄露事件 – Securing Industry
- 美国食品巨头的网络安全故障给杂货店带来冲击 – Tech Radar Pro
- 伊斯特里将在就职日卸任 CISA 主任一职 – Cybersecurity Dive
- 采访 Target 和家得宝黑客 – Krebs on Security
