普普每日安全資訊一周概覽(01.16—01.22)
各大游戲公司遭遇與APT27有關(guān)的勒索軟件攻擊
最近一系列的針對(duì)電子游戲公司的勒索軟件攻擊與臭名昭著的APT27威脅組織有密切的關(guān)系,已經(jīng)有五家公司受到了攻擊的影響。更重要的是,其中兩家受影響的公司是世界上最大的公司之一。APT27(又稱Bronze Union、LuckyMouse和Emissary Panda),據(jù)說是在中國境內(nèi)運(yùn)營(yíng)的一個(gè)威脅組織,自2013年以來就一直存在。該組織向來是利用開源的工具來接入互聯(lián)網(wǎng),其攻擊目的是為了收集政治和軍事情報(bào)。而且,它此前一直在做網(wǎng)絡(luò)間諜和數(shù)據(jù)竊取方面的攻擊,而不是僅僅為了金錢利益而發(fā)動(dòng)攻擊。Profero和Security Joes的研究人員在周一的聯(lián)合分析中指出:'此前,APT27并不是為了經(jīng)濟(jì)利益而發(fā)動(dòng)攻擊,因此此次采用勒索軟件的攻擊策略是很不同尋常的。然而此次事件發(fā)生時(shí),正值COVID-19在中國國內(nèi)流行,因此轉(zhuǎn)為為了經(jīng)濟(jì)利益而發(fā)動(dòng)攻擊也就不足為奇了。此次攻擊是通過第三方服務(wù)商來進(jìn)行攻擊的,而且該服務(wù)商此前曾被另一家第三方服務(wù)商感染。這表明高級(jí)持續(xù)性威脅(APT)正在改變過去的間諜集中戰(zhàn)術(shù),轉(zhuǎn)而采用勒索軟件進(jìn)行攻擊。
隨著調(diào)查的深入,SolarWinds“日爆木馬”(SUNBURST)供應(yīng)鏈APT攻擊持續(xù)發(fā)酵,據(jù)Politico報(bào)道,知情官員近日透露,美國能源部(DOE)和負(fù)責(zé)管理美國核武器儲(chǔ)備的國家核安全局(NNSA)有證據(jù)表明,其網(wǎng)絡(luò)已經(jīng)遭到黑客入侵,這些入侵活動(dòng)屬于SolarWinds日爆木馬大規(guī)模間諜活動(dòng)的一部分,該間諜活動(dòng)已經(jīng)影響了至少六個(gè)聯(lián)邦機(jī)構(gòu)。聯(lián)邦能源監(jiān)管委員會(huì)(FERC)、新墨西哥州和華盛頓州的桑迪亞和洛斯阿拉莫斯國家實(shí)驗(yàn)室、美國國家安全局(NNSA)的安全運(yùn)輸辦公室以及美國能源部Richland外地辦公室的網(wǎng)絡(luò)中發(fā)現(xiàn)了可疑活動(dòng)。一直在幫助管理聯(lián)邦對(duì)廣泛黑客攻擊活動(dòng)做出反應(yīng)的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency)本周向FERC表示,CISA不堪重負(fù),可能無法分配必要的資源來應(yīng)對(duì)。官員們說,因此,即使FERC是一個(gè)半自治機(jī)構(gòu),DOE也會(huì)向FERC分配額外的資源來幫助調(diào)查黑客行為。美國能源部發(fā)言人Hynes在一份聲明中說:“迄今的調(diào)查顯示,惡意軟件被隔離到商業(yè)網(wǎng)絡(luò)中,包括國家核安全局在內(nèi)的國家安全職能關(guān)鍵任務(wù)并未受到影響。當(dāng)美國能源部發(fā)現(xiàn)易受攻擊的軟件時(shí),立即采取了行動(dòng)以減輕風(fēng)險(xiǎn),并且所有被確定為易受攻擊的軟件都已經(jīng)與能源部網(wǎng)絡(luò)斷開了連接?!?/span>“攻擊仍在持續(xù),已經(jīng)影響了聯(lián)邦政府內(nèi)部的網(wǎng)絡(luò)。”美國政府尚未將黑客行為歸咎于任何特定行為者,但網(wǎng)絡(luò)安全專家表示,該活動(dòng)帶有俄羅斯情報(bào)部門的標(biāo)志黑客攻擊聯(lián)邦能源管理委員會(huì)(FERC)造成的損失比攻擊其他機(jī)構(gòu)更大,這次襲擊可能是為了破壞美國的大電網(wǎng)。FERC會(huì)在電網(wǎng)上存儲(chǔ)敏感數(shù)據(jù),這些數(shù)據(jù)可被黑客用來識(shí)別最具破壞性的攻擊點(diǎn),作為日后攻擊的目標(biāo)。
物聯(lián)網(wǎng)安全:軌跡隱私保護(hù)軌跡隱私是一種特殊的個(gè)人隱私,指用戶的運(yùn)行軌跡本身含有的敏感信息(如用戶去過的一些敏感區(qū)域等),或者可以通過運(yùn)行軌跡推導(dǎo)出其他的個(gè)人信息(如用戶的家庭住址、工作地點(diǎn)、健康狀況、生活習(xí)慣等)。因此,軌跡隱私保護(hù)既要保證軌跡本身的敏感信息不泄露,又要防止攻擊者通過軌跡推導(dǎo)出其他的個(gè)人信息。軌跡數(shù)據(jù)本身蘊(yùn)含了豐富的時(shí)空信息,對(duì)軌跡數(shù)據(jù)的分析和挖掘結(jié)果可以支持多種移動(dòng)應(yīng)用,因此,許多政府及科研機(jī)構(gòu)都加大了對(duì)軌跡數(shù)據(jù)的研究力度。例如:美國政府利用移動(dòng)用戶的GPS軌跡數(shù)據(jù)分析基礎(chǔ)交通設(shè)施的建設(shè)情況,進(jìn)而為是否更新和優(yōu)化交通設(shè)施提供依據(jù);社會(huì)學(xué)的研究者們通過分析人們的日常軌跡來研究人類的行為模式;某些公司通過分析雇員的上下班軌跡來提高雇員的工作效率等。然而,假如惡意攻擊者在未經(jīng)授權(quán)的情況下,計(jì)算推理獲取與軌跡相關(guān)的其他個(gè)人信息,則用戶的個(gè)人隱私會(huì)通過其軌跡完全暴露。數(shù)據(jù)發(fā)布中的軌跡隱私泄露情況大致可分為以下兩類。① 軌跡上敏感或頻繁訪問位置的泄露導(dǎo)致移動(dòng)對(duì)象的隱私泄露。軌跡上的敏感或頻繁訪問的位置很可能暴露其個(gè)人興趣愛好、健康狀況、政治傾向等個(gè)人隱私;② 移動(dòng)對(duì)象的軌跡與外部知識(shí)的關(guān)聯(lián)導(dǎo)致隱私泄露。例如,某人每天早上在固定的時(shí)間段從地點(diǎn)A出發(fā)到地點(diǎn)B,每天下午在固定的時(shí)間段從地點(diǎn)B出發(fā)到地點(diǎn)A,通過挖掘分析,攻擊者很容易做出判斷:A是某人的家庭住址,B是其工作單位。軌跡隱私保護(hù)既要保證軌跡本身的敏感信息不泄露,又要防止攻擊者通過軌跡推導(dǎo)出其他的個(gè)人信息
幾十年來,計(jì)算機(jī)科學(xué)家一直都想驗(yàn)證是否存在絕對(duì)安全的方法來加密計(jì)算機(jī)程序,讓人們?cè)谑褂糜?jì)算機(jī)的同時(shí)卻無法破解其程序。在2020年底,幾位學(xué)者成功找到了一種加密方式,讓計(jì)算機(jī)用戶無法通過獲取代碼破解程序。對(duì)于程序員來說,最寶貴的自然是代碼,一旦源代碼被人獲取,基本上就等于程序員編寫代碼花費(fèi)的心血付諸東流,還會(huì)涉及到知識(shí)產(chǎn)權(quán)糾紛。為了保護(hù)代碼,有的程序員會(huì)在導(dǎo)出程序之前采取一些手段來混淆程序。當(dāng)前程序混淆有兩種方式,第一種是全文替換關(guān)鍵詞,把整段代碼中所有的“命名”全部替換成數(shù)字;第二種是直接輸出編譯過后的代碼,將人們可以看懂的源代碼轉(zhuǎn)換成電腦看得懂的機(jī)器碼,這樣別人就沒法直接打開這個(gè)文件看到原本的代碼了。但這兩種方式并不是真正意義上的混淆,因?yàn)槿绻堰@樣的代碼放入編譯器中,讓編譯器去分析整個(gè)編程語言的語法結(jié)構(gòu),很容易就能看出些端倪。真正意義上的混淆被稱作虛擬黑盒(Virtual Black Box Obfuscation,VBB),相當(dāng)于將一個(gè)程序C嵌入一個(gè)黑盒中,我們可以在黑盒的一端輸入x,另一頭會(huì)輸出C(x)。2001年,7位研究者聯(lián)手提出了一種特殊構(gòu)造的程序,并證明通用的VBB混淆是絕對(duì)不可能的。不過,這7位研究者的成果中,提出了一種混淆的新型定義——如果一對(duì)程序A和B具有相同的功能性,能否通過一種新的混淆算法,使第三方無法區(qū)分兩個(gè)程序呢?對(duì)于這樣的混淆,我們稱之為不可區(qū)分混淆(indistinguishability obfuscation,簡(jiǎn)稱IO)。IO是一種強(qiáng)大的加密算法,它不僅能隱藏?cái)?shù)據(jù)集,還能隱藏程序本身,從而實(shí)現(xiàn)幾乎所有的加密協(xié)議。雖然幾位科學(xué)家聯(lián)手證明了IO的存在性,但量子計(jì)算機(jī)的超強(qiáng)計(jì)算能力,會(huì)使得目前絕大部分加密算法都無法抵擋。現(xiàn)在研究者們正試圖開發(fā)一條新的通往IO的潛在途徑,希望能抵擋住量子攻擊。
近日,研究人員發(fā)現(xiàn)黑客通過破壞SolarWinds的”O(jiān)rion網(wǎng)絡(luò)管理產(chǎn)品”入侵了聯(lián)邦機(jī)構(gòu)和FireEye的網(wǎng)絡(luò)。此外,多達(dá)1.8萬的Orion客戶也正面臨著這次供應(yīng)鏈攻擊帶來的巨大威脅。這可能是近年來最嚴(yán)重的網(wǎng)絡(luò)事件之一。目前,攻擊者已經(jīng)入侵了SolarWinds,他們利用該公司的軟件更新在屬于政府、國防和軍事實(shí)體以及許多私營(yíng)部門公司的系統(tǒng)上安裝了 SUNBURST后門。那么在本次事件中,我們能夠看出哪些常見的安全問題呢?1、遠(yuǎn)程監(jiān)控和管理工具常被用作攻擊媒介:SolarWinds事件表明遠(yuǎn)程監(jiān)控和管理(RMM)工具更頻繁地被攻擊者用作攻擊媒介。RMM通常具有操作系統(tǒng)級(jí)別的訪問權(quán)限,能夠監(jiān)視修補(bǔ)程序、版本級(jí)別以及硬件性能問題等。而這些遠(yuǎn)程工具的安全并沒有受到企業(yè)重視并得到有效的防護(hù)。2、構(gòu)建系統(tǒng)時(shí)需要完善的安全機(jī)制:攻擊者可能通過訪問公司的網(wǎng)絡(luò)系統(tǒng)或 CI/CD環(huán)境,將SUNBURST惡意軟件插入到合法軟件的更新中。因此,企業(yè)需要在軟件開發(fā)生命周期中注意安全性。3、信任可能導(dǎo)致危機(jī):攻擊者將惡意代碼插入到 SolarWinds 的 Orion 網(wǎng)絡(luò)管理產(chǎn)品的合法更新中,正是利用了企業(yè)對(duì)SolarWinds的信任。在這種情況下,接收更新的人很難意識(shí)到惡意軟件隱藏在數(shù)字簽名的軟件組件中。4、企業(yè)需要為長(zhǎng)遠(yuǎn)的安全做打算:許多APT網(wǎng)絡(luò)攻擊很難被第一時(shí)間發(fā)現(xiàn)和檢測(cè),難以攔截。并且,對(duì)攻擊從何入侵的檢測(cè)可能存在錯(cuò)誤,其影響范圍和代價(jià)也難以預(yù)估。因此,企業(yè)應(yīng)當(dāng)為長(zhǎng)遠(yuǎn)的安全做打算,事后補(bǔ)救不如未雨綢繆。目前,多數(shù)無文件攻擊和APT攻擊利用了某些應(yīng)用程序和操作系統(tǒng)所特有的結(jié)構(gòu)與系統(tǒng)工具,而這正是反惡意軟件工具在檢測(cè)和防御方面的疏漏點(diǎn)。企業(yè)應(yīng)當(dāng)為長(zhǎng)遠(yuǎn)的安全做打算,事后補(bǔ)救不如未雨綢繆。有效的解決方案是使用基于內(nèi)核級(jí)的監(jiān)控,捕獲每個(gè)目標(biāo)程序的動(dòng)態(tài)行為,防御并終止在業(yè)務(wù)關(guān)鍵應(yīng)用程序中的無文件攻擊、0day漏洞攻擊等高級(jí)威脅,防止黑客利用零日漏洞或未修復(fù)漏洞進(jìn)行的攻擊。
意大利移動(dòng)運(yùn)營(yíng)商被黑,250萬用戶需更換手機(jī)SIM卡
本周一,沃達(dá)豐(Vodafone)旗下的意大利移動(dòng)運(yùn)營(yíng)商Ho Mobile證實(shí)發(fā)生大規(guī)模數(shù)據(jù)泄露,目前正采取一種罕見的措施,替換所有受影響客戶的SIM卡。據(jù)信,黑客竊取大約250萬客戶的個(gè)人信息。該數(shù)據(jù)泄露事件上個(gè)月(12月28日)首次曝光,當(dāng)時(shí)一名安全分析師在一個(gè)黑暗的網(wǎng)絡(luò)論壇上發(fā)現(xiàn)了要出售的電信公司數(shù)據(jù)庫。HoMobile的聲明證實(shí)了安全研究人員的評(píng)估,即黑客入侵了Ho Mobile的服務(wù)器并竊取了HoMobile客戶的詳細(xì)信息,包括全名、電話號(hào)碼、社會(huì)安全號(hào)碼、電子郵件地址、出生日期和地點(diǎn)、國籍和家庭住址等。雖然Ho Mobile聲稱黑客沒有竊取任何財(cái)務(wù)數(shù)據(jù)或電話詳細(xì)信息,但Ho Mobile承認(rèn)黑客已經(jīng)掌握了與客戶的SIM卡相關(guān)的詳細(xì)信息。為了避免電話欺詐或SIM卡交換攻擊的威脅,Ho Mobile表示愿意為所有受影響的客戶(如有需要)更換SIM卡,并且不收取任何費(fèi)用。盡管世界各地的多家電信運(yùn)營(yíng)商都發(fā)生過數(shù)據(jù)泄露事故,但Ho Mobile這種客戶至上,高度重視SIM卡交換攻擊給客戶帶來的潛在巨大風(fēng)險(xiǎn)(SIM卡被劫持是數(shù)字社會(huì)消費(fèi)者面臨的最大安全風(fēng)險(xiǎn)之一),不惜提供免費(fèi)SIM卡更換服務(wù)的做法非常罕見。
首款2021年面世的勒索軟件:新年伊始已有5家企業(yè)被黑
新的一年,勒索軟件家族又添新成員。2021年剛剛過去幾天,Babuk Locker就開始針對(duì)企業(yè)受害者發(fā)動(dòng)人為操作攻擊。Babuk Locker掀起的這輪全新勒索軟件攻勢(shì),已經(jīng)給世界各地的幾家公司帶來不小的麻煩。根據(jù)目前掌握的情況,其開出的贖金價(jià)格(要求以比特幣支付)在60,000美元到85,000美元之間。Babuk Locker如何加密受害者設(shè)備?根據(jù)分析,Babuk Locker的各個(gè)可執(zhí)行文件都針對(duì)不同受害者進(jìn)行了定制化調(diào)整,借此添加硬編碼形式的擴(kuò)展名、勒索記錄以及Tor受害者URL。根據(jù)安全研究員Chuong Dong的分析,Babuk Locker的編碼質(zhì)量屬于業(yè)余級(jí)別,但其中包含的安全加密機(jī)制足以防止受害者輕松完成文件恢復(fù)。Dong在報(bào)告中指出,“雖然編碼實(shí)踐整體屬于業(yè)余水平,但其中使用的強(qiáng)大橢圓曲線Diffie–Hellman加密算法之前已經(jīng)給不少企業(yè)造成了沉重打擊?!痹诶账鬈浖?dòng)之后,攻擊者即可使用命令行參數(shù)來控制勒索軟件,包括如何加密網(wǎng)絡(luò)共享文件以及是否在本地文件系統(tǒng)之前執(zhí)行加密。一旦啟動(dòng),勒索軟件將終止已知的各類Windows服務(wù)與進(jìn)程,防止其打開目標(biāo)文件致使加密操作無法執(zhí)行。其終止的程序包括數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、備份軟件、郵件客戶端以及網(wǎng)絡(luò)瀏覽器等。Babuk Locker Tor站點(diǎn)非常簡(jiǎn)單,其中只包含一個(gè)聊天界面,受害者可以在其中與攻擊者交談并商議贖金事宜。在談判過程中,勒索攻擊方會(huì)詢問受害者是否購買了網(wǎng)絡(luò)安全保險(xiǎn),以及是否聯(lián)系過勒索軟件恢復(fù)廠商。攻擊者可以實(shí)施雙重勒索——受害者不僅無法訪問自己的文件,而且如果拒絕支付贖金,文件內(nèi)容還會(huì)被發(fā)布到互聯(lián)網(wǎng)上。Babuk Locker掀起的這輪全新勒索軟件攻勢(shì),已經(jīng)給世界各地的幾家公司帶來不小的麻煩。