您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
盤點近期重大網(wǎng)絡安全事件
工程中心為大家收集了一些近期國內(nèi)外發(fā)生的網(wǎng)絡安全事件,一起來看看吧!
目錄
1. 蘋果T2芯片曝嚴重漏洞,可為攻擊者提供Root訪問權限
2. 數(shù)千家企業(yè)機構遭受DDoS勒索攻擊威脅
3. 黑客入侵烏干達移動支付系統(tǒng) 涉及多家銀行、運營商
4. Fitbit間諜軟件可通過表盤竊取個人數(shù)據(jù)
5. 德國軟件巨頭Software AG遭遇勒索軟件攻擊
今日看點
01 蘋果T2芯片曝嚴重漏洞,可為攻擊者提供Root訪問權限
10月6日,據(jù)媒體報道,有網(wǎng)絡安全研究人員表示,蘋果T2芯片存在無法修復的漏洞,使搭載該芯片的macOS設備更容易受到攻擊。據(jù)稱,漏洞可能會給攻擊者提供根訪問權限。
值得一提的是,T2是蘋果在A系列主芯片外,另外增加的一顆專門用于安全方面的芯片?,F(xiàn)在,這顆安全芯片卻面臨著安全質(zhì)疑。
蘋果在自己的電腦產(chǎn)品中加入第二個芯片的做法,最早可以追溯到iPhone上,蘋果采用Touch ID指紋識別后,為iPhone預留了一個獨立的安全模塊。
T1芯片在2016年隨著當時的MacBook Pro推出,T2是在此基礎上,蘋果推出的第二代Mac定制芯片。它最重要的功能就是讓Mac產(chǎn)品更安全。
根據(jù)上述安全研究人士的說法,黑客可以利用最新曝光的漏洞與黑客團隊Pangu開發(fā)的另一個漏洞配合,進而規(guī)避DFU(iPhone固件強制升降級模式)出口安全機制。一旦攻擊者獲得對T2芯片的訪問權,他們將擁有完全的根訪問權和內(nèi)核執(zhí)行特權。
對于T2芯片的嚴重缺陷,蘋果無法在不進行硬件修改的情況下修補此漏洞。
據(jù)悉,該漏洞影響所有帶有T2芯片和Intel處理器的Mac產(chǎn)品。用戶只需不要插入未經(jīng)驗證的 USB-C 設備即可規(guī)避相關漏洞。截至目前,蘋果暫未對此給出回應。
02 數(shù)千家企業(yè)機構遭受DDoS勒索攻擊威脅
近期,全球多個行業(yè)的數(shù)千家企業(yè)機構受到DDoS攻擊威脅,向其勒索比特幣。自8月以來,負責提供安全數(shù)字化體驗的智能邊緣平臺阿卡邁技術公司(Akamai Technologies)所監(jiān)測到的來自聲稱是Armada Collective、Cozy Bear、Fancy Bear和Lazarus Group組織的攻擊日漸增多。這些勒索要求與DDoS勒索團體過去所使用的方法并無大異。具體而言:
勒索信:
一開始,勒索組織會發(fā)出威脅性的電子郵件,警告如果公司不支付比特幣,則將對公司發(fā)起DDoS攻擊。勒索信的措辭與過去攻擊活動中在媒體上公開的信件內(nèi)容非常相似,并且與Akamai在2019年11月記錄的最近一次DDoS勒索活動相似。
有些勒索信會警告說,如果公開披露勒索要求(即向媒體發(fā)布),則將立即發(fā)起威脅中所提到的攻擊。
“如果你向媒體報道此事并用我們的名字進行免費宣傳,而不付給我們?nèi)魏钨M用,那么我們會一直發(fā)起攻擊,你們將承受很長時間的攻擊。(原文即此)”——Armada Collective
勒索信還會提到聲譽,警告即將發(fā)起的攻擊不但會破壞基礎設施,而且還會造成更大的影響。
“……沒有人能夠訪問你的網(wǎng)站和其他聯(lián)網(wǎng)服務。請注意,這還會嚴重影響你在客戶心目中的聲譽。[……]我們會完全毀掉你的聲譽并讓你的服務一直離線,直到你肯付錢為止。(原文即此)”——Fancy Bear
支付贖金:
在Akamai觀察到的Armada Collective勒索要求中,最開始的贖金為5比特幣,如果錯過了最后期限,則增加到10比特幣,此后每天增加5比特幣。Fancy Bear最開始的贖金為20比特幣,如果錯過了最后期限,則增加到30比特幣,此后每天增加10比特幣。
大多數(shù)此類勒索要求一般會提出一定的金額,但威脅發(fā)起者也會心血來潮地提出其他財務條件。
主動攻擊:
這些信件會明確受害者機構內(nèi)的目標資產(chǎn)并承諾會進行一次小的“測試”攻擊來證明情況的嚴重性。一些勒索信中聲稱,威脅發(fā)起者可以發(fā)動高達2Tbps的DDoS攻擊。
Akamai發(fā)現(xiàn)其網(wǎng)絡上的一家客戶遭到50Gb/sec的攻擊。該流量包括基于UDP的ARMS協(xié)議反射攻擊。目前尚不清楚所使用的反射器數(shù)量。
Akamai的安全情報響應小組懷疑該勒索要求來自模仿者,他們利用知名攻擊組織的名聲作為恐嚇手段來加快付款速度。
近期,Akamai發(fā)現(xiàn)北美、亞太地區(qū)以及歐洲、中東和非洲企業(yè)收到的勒索信日益增加。盡管一開始金融服務業(yè)是受威脅最大的行業(yè),但勒索信最近將目標對準了其他行業(yè)的企業(yè)機構,包括商業(yè)服務、高科技、酒店、零售和旅游。
迄今為止,采取有效Prolexic DDoS緩解控制措施的Akamai客戶并未經(jīng)歷這些威脅組織所威脅的服務中斷。最近幾周,Akamai緩解了50多次符合此類特征的攻擊,并將繼續(xù)與客戶合作,采取0秒SLA主動緩解控制措施,這些措施能夠非常有效地應對Akamai所觀察到的攻擊模式。
如果企業(yè)受到RDoS的威脅,Akamai建議不要支付贖金,因為企業(yè)不一定會遭到攻擊,也無法保證支付贖金就能阻止DDoS攻擊。此時,企業(yè)應該召集IT、運營、安全和客戶溝通人員,確保自己做好準備并知道在遭到攻擊時該怎么做。
Akamai提供用于幫助客戶快速入門的緊急安全集成包,企業(yè)機構可撥打Akamai DDoS熱線啟動該集成包。Akamai將立即采取措施對風險進行分類,使用合適的Akamai安全工具并執(zhí)行我們的攻擊事件應對程序。值得一提的是,近期,Akamai已成功地為數(shù)十家企業(yè)進行了緊急上線。在這些實例中,如果事先準備好GRE Tunnels所需的網(wǎng)絡前綴,就能大大縮短上線時間。
現(xiàn)有的Akamai客戶應聯(lián)系自己的客戶團隊或聯(lián)系“Akamai支持”部門,而托管式安全服務(MSS)客戶應遵循他們與Akamai安全運營控制中心(SOCC)建立的現(xiàn)有流程。任何受到威脅的客戶都將立即進入“高度戒備”狀態(tài),SOCC將對情況進行評估并作好應對攻擊的準備。每個客戶的情況都將根據(jù)其業(yè)務和應用需求加以調(diào)整。
值得注意的是,盡管Akamai迄今為止所觀察到的大多數(shù)威脅均已被其Prolexic DDoS緩解服務所緩解,但根據(jù)最佳實踐,企業(yè)還應在DNS和應用層部署綜合全面的DDoS緩解措施,包括評估自身的DNS解決方案,最理想的是確保在遭到攻擊時擁有輔助DNS服務,以及在網(wǎng)絡應用防火墻(WAF)中落實速率控制和拒絕規(guī)則以管控大規(guī)模攻擊。
03 黑客入侵烏干達移動支付系統(tǒng) 涉及多家銀行、運營商
日前,不明身份黑客闖入了 Pegasus Technologies 的系統(tǒng),后者是一家整合了電信公司、銀行以及其他本地、地區(qū)和國際轉賬服務之間的移動貨幣交易的公司。黑客盜取了一筆尚不清楚的金額,但據(jù)說有數(shù)十億先令。
受影響最嚴重的公司是領先的電信公司,如烏干達的 Airtel 和 MTN,以及烏干達最大的銀行 Stanbic 銀行,它也支持大部分的移動貨幣交易。
在 2020 年 10 月 5 日發(fā)布的聯(lián)合聲明中,烏干達 Stanbic 銀行、MTN Uganda 和 Airtel Uganda 的首席執(zhí)行官 Anne Juuko、Wim Vanhelleputte 和 VG Somasekhar 分別承認發(fā)生了 " 事件 ",但沒有透露細節(jié)。
" 烏干達 Stanbic 銀行,MTN Uganda 和 Airtel Uganda 通知公眾和他們的客戶,在 2020 年 10 月 3 日星期六,第三方服務提供商經(jīng)歷了一次系統(tǒng)事故,影響了銀行的移動貨幣交易。所有從銀行到移動錢包的服務都已暫停。"
" 這次系統(tǒng)事件對銀行和移動錢包賬戶的余額沒有影響。我們的技術團隊正在分析事故,并將盡快恢復服務。我們對由此造成的任何不便向所有客戶道歉,并重申我們提供無縫銀行和移動貨幣服務的承諾。"
Pegasus Technologies Limited 董事總經(jīng)理羅納德阿澤維 ( Ronald Azairwe ) 既不能否認也不能證實這一事件。
但刑事調(diào)查理事會發(fā)言人 Twiine Charles 向媒體證實,警方接到了一起電子欺詐事件的報告。
一家受影響公司的消息人士告訴記者,周四晚上,黑客侵入了 Pegasus 公司的系統(tǒng),該公司處理 MTN 到 Airtel 和 Airtel 到 MTN 的交易,以及各自的電信公司到銀行的支付。
Pegasus 還負責 Stanbic 銀行的 Flexipay,這是一種無現(xiàn)金的解決方案,可以讓銀行的客戶通過移動支付支付商品和服務。
" 從周四晚上開始,黑客一直到周六才被發(fā)現(xiàn)。到目前為止,黑客已經(jīng)給自己發(fā)送了將近 13 億烏干達先令,已經(jīng)設法從 Airtel 的資金中取出了 9 億烏干達先令。我們估計 MTN 也損失了差不多兩倍的錢,因為他們是移動貨幣的領導者。當欺詐被發(fā)現(xiàn)時,所有通過 Pegasus 進行的交易都被暫停。" 消息來源稱。
除了當?shù)氐囊苿迂泿殴?,其他國際貨幣匯款公司也受到了影響。
" 黑客通常會在周末以金融機構為攻擊目標,此時金融機構活動較少,警惕性也較低。" 這位對此類網(wǎng)絡欺詐非常熟悉的內(nèi)部人士表示。
Pegasus 成立于 2007 年,每年處理高達 1.7 萬億烏干達先令的金融交易。
這包括移動錢包聚合、移動支付和匯款、貸款和儲蓄,以及短信、通話時間和數(shù)據(jù)加載等增值服務。
該公司的旗艦產(chǎn)品 PegPay 支付平臺目前正被銀行、電信、公用事業(yè)公司 ( 如零售商、付費電視提供商和學校 ) 等多家機構用于匯總和管理用于內(nèi)部和外部目的的金融交易。
04 Fitbit間諜軟件可通過表盤竊取個人數(shù)據(jù)
據(jù)印度媒體 "ABP news" 報道,當?shù)貢r間 8 月 2 日,巴基斯坦 " 黎明電視臺 "(Dawn TV)突然遭到黑客攻擊,該頻道在播放一則廣告時,電視畫面中突然出現(xiàn)一面印度國旗,下方還寫著 " 獨立日快樂 " 字樣。
近日,Immersive Labs Researcher的安全研究人員利用松垮的Fitbit隱私控制功能開發(fā)了一個惡意間諜軟件表盤(概念驗證)。證明利用開放的開發(fā)者API,攻擊者可以開發(fā)出可訪問Fitbit用戶數(shù)據(jù)的惡意應用程序,并將其發(fā)送到任何服務器。
Immersive Labs的網(wǎng)絡威脅研究總監(jiān)Kev Breen指出:
“從本質(zhì)上講,(開發(fā)者API)可以發(fā)送設備類型、位置和用戶信息,包括性別、年齡、身高、心率和體重?!辈祭锥鹘忉屨f?!八€可以訪問日歷信息。盡管其中不包括PII個人資料數(shù)據(jù),但日歷邀請可能會暴露其他信息,例如姓名和位置?!?/p>
由于可以通過Fitbit開發(fā)API獲得所有這些信息,因此開發(fā)應用程序進行攻擊并不復雜。Breen很輕松就開發(fā)出了惡意表盤,隨后他可以通過Fitbit Gallery(Fitbit的應用商店)發(fā)布。因此,這個間諜軟件看起來合法,這大大提高了用戶下載的可能性。
Breen解釋說:“我們的間諜軟件現(xiàn)已在fitbit.com上發(fā)布。重要的是要注意,盡管Fitbit并未將其視為‘可用于公共下載’,但該鏈接仍可在公共領域訪問,而我們的‘惡意軟件’仍可下載。”
Breen說,越多用戶在任何移動設備上點擊該鏈接,惡意軟件的合法性就越來越高,它在Fitbit應用程序內(nèi)打開,并且“所有縮略圖都像是合法應用程序一樣完美呈現(xiàn),只需單擊一下即可下載和安裝,在Android和iPhone手機上都可以。”
Breen還發(fā)現(xiàn),F(xiàn)itbit的API允許對內(nèi)部IP范圍使用HTTP,他濫用這一點將惡意表盤變成原始的網(wǎng)絡掃描儀。
他說:“有了這項功能,我們的表盤可能會威脅到企業(yè)?!薄八梢杂脕碜鏊惺虑椋瑥淖R別和訪問路由器、防火墻和其他設備到暴力破解密碼以及從公司的內(nèi)部應用程序讀取公司的內(nèi)部網(wǎng)?!?/p>
冰山一角
截至本文發(fā)稿,F(xiàn)itbit已經(jīng)對Breen的安全報告做出回應,表示已迅速部署緩解措施。
當從專用鏈接安裝應用程序時,F(xiàn)itbit在用戶界面中為用戶添加了一條警告消息,它使消費者更容易識別即將安裝的是否是公開列出的正規(guī)程序。
Breen說,F(xiàn)itbit還致力于在授權流程中調(diào)整默認權限設置,使其默認為不選擇。
然而,截至上周五,Breen的惡意表盤仍可在Fitbit應用商店中供大眾訪問。
Fitbit的安全漏洞只是近期一系列可穿戴物聯(lián)網(wǎng)安全威脅的冰山一角,上周,聯(lián)網(wǎng)成人用品(男性貞操環(huán))發(fā)現(xiàn)嚴重漏洞,被黑客攻擊鎖死后,需要借助角磨機才能從器官上取下。
上個月,Mozi僵尸網(wǎng)絡惡意軟件占了IoT設備上全部流量的90%。而藍牙欺騙漏洞讓數(shù)十億設備暴露在攻擊火力之下,這些都讓物聯(lián)網(wǎng)安全態(tài)勢進一步惡化。
05 德國軟件巨頭Software AG遭遇勒索軟件攻擊
德國企業(yè)軟件巨頭Software AG近日遭遇竊取信息的勒索軟件攻擊。
Software AG軟件公司聲稱擁有10,000多個客戶,年收入超過8億歐元,上周晚些時候在簡報中透露了遭受勒索軟件攻擊的消息。
簡報指出,攻擊自上周一以來一直在進行,尚未得到完全遏制。
“今天,Software AG獲得了第一批證據(jù),證明Software AG的服務器和員工筆記本中的數(shù)據(jù)被(勒索軟件)下載。但仍然沒有跡象表明向客戶提供的服務(包括基于云的服務)會被中斷。該公司正在不斷完善其運營和內(nèi)部流程?!盨oftware AG在10月8日解釋說。
“Software AG正在進一步調(diào)查此事件,盡其所能來遏制數(shù)據(jù)泄漏,并解決內(nèi)部系統(tǒng)持續(xù)中斷的問題,特別是盡快恢復其內(nèi)部系統(tǒng)(由于安全原因已將其關閉) 。”
盡管該公司的網(wǎng)站似乎正常運行,但要求客戶以郵件形式發(fā)送技術支持問題并附上電話號碼, “由于我們的在線支持系統(tǒng)存在技術問題”。
研究人員MalwareHunterTeam在社交媒體上發(fā)消息稱Software AG遭到Clop變種的打擊,該勒索軟件的贖金要價通常高達2000萬美元。勒索軟件運營者聲稱已經(jīng)從Software AG擄走了超過1TB的數(shù)據(jù)。
針對Software AG的勒索軟件攻擊進一步佐證,勒索軟件組織開始越來越多地針對財大氣粗的大型企業(yè)目標。他們通常會執(zhí)行詳細的偵察,然后使用APT風格的策略進行高級多階段攻擊,以在隱藏數(shù)據(jù)最終部署勒索軟件的過程中保持隱藏狀態(tài)。
今年早些時候,IT服務巨頭Cognizant透露勒索軟件攻擊在2020年第二季度使該公司損失了約5000-7000萬美元。
來源:信息安全國家工程研究中心