普普每日安全资讯一周概览(01.16—01.22)
最近一系列的针对电子游戏公司的勒索软件攻击与臭名昭著的APT27威胁组织有密切的关系,已经有五家公司受到了攻击的影响。更重要的是,其中两家受影响的公司是世界上最大的公司之一。APT27(又称Bronze Union、LuckyMouse和Emissary Panda),据说是在中国境内运营的一个威胁组织,自2013年以来就一直存在。该组织向来是利用开源的工具来接入互联网,其攻击目的是为了收集政治和军事情报。而且,它此前一直在做网络间谍和数据窃取方面的攻击,而不是仅仅为了金钱利益而发动攻击。Profero和Security Joes的研究人员在周一的联合分析中指出:'此前,APT27并不是为了经济利益而发动攻击,因此此次采用勒索软件的攻击策略是很不同寻常的。然而此次事件发生时,正值COVID-19在中国国内流行,因此转为为了经济利益而发动攻击也就不足为奇了。此次攻击是通过第三方服务商来进行攻击的,而且该服务商此前曾被另一家第三方服务商感染。这表明高级持续性威胁(APT)正在改变过去的间谍集中战术,转而采用勒索软件进行攻击。
随着调查的深入,SolarWinds“日爆木马”(SUNBURST)供应链APT攻击持续发酵,据Politico报道,知情官员近日透露,美国能源部(DOE)和负责管理美国核武器储备的国家核安全局(NNSA)有证据表明,其网络已经遭到黑客入侵,这些入侵活动属于SolarWinds日爆木马大规模间谍活动的一部分,该间谍活动已经影响了至少六个联邦机构。联邦能源监管委员会(FERC)、新墨西哥州和华盛顿州的桑迪亚和洛斯阿拉莫斯国家实验室、美国国家安全局(NNSA)的安全运输办公室以及美国能源部Richland外地办公室的网络中发现了可疑活动。一直在帮助管理联邦对广泛黑客攻击活动做出反应的网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)本周向FERC表示,CISA不堪重负,可能无法分配必要的资源来应对。官员们说,因此,即使FERC是一个半自治机构,DOE也会向FERC分配额外的资源来帮助调查黑客行为。美国能源部发言人Hynes在一份声明中说:“迄今的调查显示,恶意软件被隔离到商业网络中,包括国家核安全局在内的国家安全职能关键任务并未受到影响。当美国能源部发现易受攻击的软件时,立即采取了行动以减轻风险,并且所有被确定为易受攻击的软件都已经与能源部网络断开了连接。”“攻击仍在持续,已经影响了联邦政府内部的网络。”美国政府尚未将黑客行为归咎于任何特定行为者,但网络安全专家表示,该活动带有俄罗斯情报部门的标志黑客攻击联邦能源管理委员会(FERC)造成的损失比攻击其他机构更大,这次袭击可能是为了破坏美国的大电网。FERC会在电网上存储敏感数据,这些数据可被黑客用来识别最具破坏性的攻击点,作为日后攻击的目标。
轨迹隐私是一种特殊的个人隐私,指用户的运行轨迹本身含有的敏感信息(如用户去过的一些敏感区域等),或者可以通过运行轨迹推导出其他的个人信息(如用户的家庭住址、工作地点、健康状况、生活习惯等)。因此,轨迹隐私保护既要保证轨迹本身的敏感信息不泄露,又要防止攻击者通过轨迹推导出其他的个人信息。轨迹数据本身蕴含了丰富的时空信息,对轨迹数据的分析和挖掘结果可以支持多种移动应用,因此,许多政府及科研机构都加大了对轨迹数据的研究力度。例如:美国政府利用移动用户的GPS轨迹数据分析基础交通设施的建设情况,进而为是否更新和优化交通设施提供依据;社会学的研究者们通过分析人们的日常轨迹来研究人类的行为模式;某些公司通过分析雇员的上下班轨迹来提高雇员的工作效率等。然而,假如恶意攻击者在未经授权的情况下,计算推理获取与轨迹相关的其他个人信息,则用户的个人隐私会通过其轨迹完全暴露。数据发布中的轨迹隐私泄露情况大致可分为以下两类。① 轨迹上敏感或频繁访问位置的泄露导致移动对象的隐私泄露。轨迹上的敏感或频繁访问的位置很可能暴露其个人兴趣爱好、健康状况、政治倾向等个人隐私;② 移动对象的轨迹与外部知识的关联导致隐私泄露。例如,某人每天早上在固定的时间段从地点A出发到地点B,每天下午在固定的时间段从地点B出发到地点A,通过挖掘分析,攻击者很容易做出判断:A是某人的家庭住址,B是其工作单位。轨迹隐私保护既要保证轨迹本身的敏感信息不泄露,又要防止攻击者通过轨迹推导出其他的个人信息
几十年来,计算机科学家一直都想验证是否存在绝对安全的方法来加密计算机程序,让人们在使用计算机的同时却无法破解其程序。在2020年底,几位学者成功找到了一种加密方式,让计算机用户无法通过获取代码破解程序。对于程序员来说,最宝贵的自然是代码,一旦源代码被人获取,基本上就等于程序员编写代码花费的心血付诸东流,还会涉及到知识产权纠纷。为了保护代码,有的程序员会在导出程序之前采取一些手段来混淆程序。当前程序混淆有两种方式,第一种是全文替换关键词,把整段代码中所有的“命名”全部替换成数字;第二种是直接输出编译过后的代码,将人们可以看懂的源代码转换成电脑看得懂的机器码,这样别人就没法直接打开这个文件看到原本的代码了。但这两种方式并不是真正意义上的混淆,因为如果把这样的代码放入编译器中,让编译器去分析整个编程语言的语法结构,很容易就能看出些端倪。真正意义上的混淆被称作虚拟黑盒(Virtual Black Box Obfuscation,VBB),相当于将一个程序C嵌入一个黑盒中,我们可以在黑盒的一端输入x,另一头会输出C(x)。2001年,7位研究者联手提出了一种特殊构造的程序,并证明通用的VBB混淆是绝对不可能的。不过,这7位研究者的成果中,提出了一种混淆的新型定义——如果一对程序A和B具有相同的功能性,能否通过一种新的混淆算法,使第三方无法区分两个程序呢?对于这样的混淆,我们称之为不可区分混淆(indistinguishability obfuscation,简称IO)。IO是一种强大的加密算法,它不仅能隐藏数据集,还能隐藏程序本身,从而实现几乎所有的加密协议。虽然几位科学家联手证明了IO的存在性,但量子计算机的超强计算能力,会使得目前绝大部分加密算法都无法抵挡。现在研究者们正试图开发一条新的通往IO的潜在途径,希望能抵挡住量子攻击。
近日,研究人员发现黑客通过破坏SolarWinds的”Orion网络管理产品”入侵了联邦机构和FireEye的网络。此外,多达1.8万的Orion客户也正面临着这次供应链攻击带来的巨大威胁。这可能是近年来最严重的网络事件之一。目前,攻击者已经入侵了SolarWinds,他们利用该公司的软件更新在属于政府、国防和军事实体以及许多私营部门公司的系统上安装了 SUNBURST后门。那么在本次事件中,我们能够看出哪些常见的安全问题呢?1、远程监控和管理工具常被用作攻击媒介:SolarWinds事件表明远程监控和管理(RMM)工具更频繁地被攻击者用作攻击媒介。RMM通常具有操作系统级别的访问权限,能够监视修补程序、版本级别以及硬件性能问题等。而这些远程工具的安全并没有受到企业重视并得到有效的防护。2、构建系统时需要完善的安全机制:攻击者可能通过访问公司的网络系统或 CI/CD环境,将SUNBURST恶意软件插入到合法软件的更新中。因此,企业需要在软件开发生命周期中注意安全性。3、信任可能导致危机:攻击者将恶意代码插入到 SolarWinds 的 Orion 网络管理产品的合法更新中,正是利用了企业对SolarWinds的信任。在这种情况下,接收更新的人很难意识到恶意软件隐藏在数字签名的软件组件中。4、企业需要为长远的安全做打算:许多APT网络攻击很难被第一时间发现和检测,难以拦截。并且,对攻击从何入侵的检测可能存在错误,其影响范围和代价也难以预估。因此,企业应当为长远的安全做打算,事后补救不如未雨绸缪。目前,多数无文件攻击和APT攻击利用了某些应用程序和操作系统所特有的结构与系统工具,而这正是反恶意软件工具在检测和防御方面的疏漏点。企业应当为长远的安全做打算,事后补救不如未雨绸缪。有效的解决方案是使用基于内核级的监控,捕获每个目标程序的动态行为,防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁,防止黑客利用零日漏洞或未修复漏洞进行的攻击。
意大利移动运营商被黑,250万用户需更换手机SIM卡
本周一,沃达丰(Vodafone)旗下的意大利移动运营商Ho Mobile证实发生大规模数据泄露,目前正采取一种罕见的措施,替换所有受影响客户的SIM卡。据信,黑客窃取大约250万客户的个人信息。该数据泄露事件上个月(12月28日)首次曝光,当时一名安全分析师在一个黑暗的网络论坛上发现了要出售的电信公司数据库。HoMobile的声明证实了安全研究人员的评估,即黑客入侵了Ho Mobile的服务器并窃取了HoMobile客户的详细信息,包括全名、电话号码、社会安全号码、电子邮件地址、出生日期和地点、国籍和家庭住址等。虽然Ho Mobile声称黑客没有窃取任何财务数据或电话详细信息,但Ho Mobile承认黑客已经掌握了与客户的SIM卡相关的详细信息。为了避免电话欺诈或SIM卡交换攻击的威胁,Ho Mobile表示愿意为所有受影响的客户(如有需要)更换SIM卡,并且不收取任何费用。尽管世界各地的多家电信运营商都发生过数据泄露事故,但Ho Mobile这种客户至上,高度重视SIM卡交换攻击给客户带来的潜在巨大风险(SIM卡被劫持是数字社会消费者面临的最大安全风险之一),不惜提供免费SIM卡更换服务的做法非常罕见。
首款2021年面世的勒索软件:新年伊始已有5家企业被黑
新的一年,勒索软件家族又添新成员。2021年刚刚过去几天,Babuk Locker就开始针对企业受害者发动人为操作攻击。Babuk Locker掀起的这轮全新勒索软件攻势,已经给世界各地的几家公司带来不小的麻烦。根据目前掌握的情况,其开出的赎金价格(要求以比特币支付)在60,000美元到85,000美元之间。Babuk Locker如何加密受害者设备?根据分析,Babuk Locker的各个可执行文件都针对不同受害者进行了定制化调整,借此添加硬编码形式的扩展名、勒索记录以及Tor受害者URL。根据安全研究员Chuong Dong的分析,Babuk Locker的编码质量属于业余级别,但其中包含的安全加密机制足以防止受害者轻松完成文件恢复。Dong在报告中指出,“虽然编码实践整体属于业余水平,但其中使用的强大椭圆曲线Diffie–Hellman加密算法之前已经给不少企业造成了沉重打击。”在勒索软件启动之后,攻击者即可使用命令行参数来控制勒索软件,包括如何加密网络共享文件以及是否在本地文件系统之前执行加密。一旦启动,勒索软件将终止已知的各类Windows服务与进程,防止其打开目标文件致使加密操作无法执行。其终止的程序包括数据库服务器、邮件服务器、备份软件、邮件客户端以及网络浏览器等。Babuk Locker Tor站点非常简单,其中只包含一个聊天界面,受害者可以在其中与攻击者交谈并商议赎金事宜。在谈判过程中,勒索攻击方会询问受害者是否购买了网络安全保险,以及是否联系过勒索软件恢复厂商。攻击者可以实施双重勒索——受害者不仅无法访问自己的文件,而且如果拒绝支付赎金,文件内容还会被发布到互联网上。Babuk Locker掀起的这轮全新勒索软件攻势,已经给世界各地的几家公司带来不小的麻烦。