普普每日安全資訊一周概覽(01.16—01.22)
各大游戲公司遭遇與APT27有關(guān)的勒索軟件攻擊
最近一系列的針對電子游戲公司的勒索軟件攻擊與臭名昭著的APT27威脅組織有密切的關(guān)系�����,已經(jīng)有五家公司受到了攻擊的影響�。更重要的是���,其中兩家受影響的公司是世界上最大的公司之一�。APT27(又稱Bronze Union���、LuckyMouse和Emissary Panda)���,據(jù)說是在中國境內(nèi)運營的一個威脅組織�,自2013年以來就一直存在�����。該組織向來是利用開源的工具來接入互聯(lián)網(wǎng)�,其攻擊目的是為了收集政治和軍事情報。而且��,它此前一直在做網(wǎng)絡(luò)間諜和數(shù)據(jù)竊取方面的攻擊�,而不是僅僅為了金錢利益而發(fā)動攻擊。Profero和Security Joes的研究人員在周一的聯(lián)合分析中指出:'此前���,APT27并不是為了經(jīng)濟利益而發(fā)動攻擊�����,因此此次采用勒索軟件的攻擊策略是很不同尋常的��。然而此次事件發(fā)生時���,正值COVID-19在中國國內(nèi)流行��,因此轉(zhuǎn)為為了經(jīng)濟利益而發(fā)動攻擊也就不足為奇了����。此次攻擊是通過第三方服務(wù)商來進行攻擊的���,而且該服務(wù)商此前曾被另一家第三方服務(wù)商感染���。這表明高級持續(xù)性威脅(APT)正在改變過去的間諜集中戰(zhàn)術(shù),轉(zhuǎn)而采用勒索軟件進行攻擊���。
隨著調(diào)查的深入��,SolarWinds“日爆木馬”(SUNBURST)供應(yīng)鏈APT攻擊持續(xù)發(fā)酵,據(jù)Politico報道�����,知情官員近日透露�,美國能源部(DOE)和負責管理美國核武器儲備的國家核安全局(NNSA)有證據(jù)表明,其網(wǎng)絡(luò)已經(jīng)遭到黑客入侵����,這些入侵活動屬于SolarWinds日爆木馬大規(guī)模間諜活動的一部分���,該間諜活動已經(jīng)影響了至少六個聯(lián)邦機構(gòu)。聯(lián)邦能源監(jiān)管委員會(FERC)�����、新墨西哥州和華盛頓州的桑迪亞和洛斯阿拉莫斯國家實驗室���、美國國家安全局(NNSA)的安全運輸辦公室以及美國能源部Richland外地辦公室的網(wǎng)絡(luò)中發(fā)現(xiàn)了可疑活動����。一直在幫助管理聯(lián)邦對廣泛黑客攻擊活動做出反應(yīng)的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency)本周向FERC表示��,CISA不堪重負�,可能無法分配必要的資源來應(yīng)對。官員們說�,因此,即使FERC是一個半自治機構(gòu)���,DOE也會向FERC分配額外的資源來幫助調(diào)查黑客行為�。美國能源部發(fā)言人Hynes在一份聲明中說:“迄今的調(diào)查顯示�,惡意軟件被隔離到商業(yè)網(wǎng)絡(luò)中,包括國家核安全局在內(nèi)的國家安全職能關(guān)鍵任務(wù)并未受到影響。當美國能源部發(fā)現(xiàn)易受攻擊的軟件時�,立即采取了行動以減輕風(fēng)險,并且所有被確定為易受攻擊的軟件都已經(jīng)與能源部網(wǎng)絡(luò)斷開了連接��?���!?/span>“攻擊仍在持續(xù),已經(jīng)影響了聯(lián)邦政府內(nèi)部的網(wǎng)絡(luò)���?����!泵绹形磳⒑诳托袨闅w咎于任何特定行為者�����,但網(wǎng)絡(luò)安全專家表示�,該活動帶有俄羅斯情報部門的標志黑客攻擊聯(lián)邦能源管理委員會(FERC)造成的損失比攻擊其他機構(gòu)更大����,這次襲擊可能是為了破壞美國的大電網(wǎng)��。FERC會在電網(wǎng)上存儲敏感數(shù)據(jù),這些數(shù)據(jù)可被黑客用來識別最具破壞性的攻擊點�����,作為日后攻擊的目標�。
軌跡隱私是一種特殊的個人隱私,指用戶的運行軌跡本身含有的敏感信息(如用戶去過的一些敏感區(qū)域等)���,或者可以通過運行軌跡推導(dǎo)出其他的個人信息(如用戶的家庭住址�、工作地點����、健康狀況、生活習(xí)慣等)��。因此�����,軌跡隱私保護既要保證軌跡本身的敏感信息不泄露����,又要防止攻擊者通過軌跡推導(dǎo)出其他的個人信息。軌跡數(shù)據(jù)本身蘊含了豐富的時空信息����,對軌跡數(shù)據(jù)的分析和挖掘結(jié)果可以支持多種移動應(yīng)用�����,因此�,許多政府及科研機構(gòu)都加大了對軌跡數(shù)據(jù)的研究力度�。例如:美國政府利用移動用戶的GPS軌跡數(shù)據(jù)分析基礎(chǔ)交通設(shè)施的建設(shè)情況,進而為是否更新和優(yōu)化交通設(shè)施提供依據(jù)�;社會學(xué)的研究者們通過分析人們的日常軌跡來研究人類的行為模式;某些公司通過分析雇員的上下班軌跡來提高雇員的工作效率等�。然而,假如惡意攻擊者在未經(jīng)授權(quán)的情況下����,計算推理獲取與軌跡相關(guān)的其他個人信息,則用戶的個人隱私會通過其軌跡完全暴露����。數(shù)據(jù)發(fā)布中的軌跡隱私泄露情況大致可分為以下兩類。① 軌跡上敏感或頻繁訪問位置的泄露導(dǎo)致移動對象的隱私泄露����。軌跡上的敏感或頻繁訪問的位置很可能暴露其個人興趣愛好、健康狀況���、政治傾向等個人隱私�;② 移動對象的軌跡與外部知識的關(guān)聯(lián)導(dǎo)致隱私泄露��。例如�,某人每天早上在固定的時間段從地點A出發(fā)到地點B,每天下午在固定的時間段從地點B出發(fā)到地點A���,通過挖掘分析��,攻擊者很容易做出判斷:A是某人的家庭住址����,B是其工作單位�����。軌跡隱私保護既要保證軌跡本身的敏感信息不泄露�,又要防止攻擊者通過軌跡推導(dǎo)出其他的個人信息
幾十年來,計算機科學(xué)家一直都想驗證是否存在絕對安全的方法來加密計算機程序��,讓人們在使用計算機的同時卻無法破解其程序���。在2020年底���,幾位學(xué)者成功找到了一種加密方式����,讓計算機用戶無法通過獲取代碼破解程序���。對于程序員來說����,最寶貴的自然是代碼��,一旦源代碼被人獲取���,基本上就等于程序員編寫代碼花費的心血付諸東流�,還會涉及到知識產(chǎn)權(quán)糾紛��。為了保護代碼����,有的程序員會在導(dǎo)出程序之前采取一些手段來混淆程序。當前程序混淆有兩種方式���,第一種是全文替換關(guān)鍵詞�����,把整段代碼中所有的“命名”全部替換成數(shù)字;第二種是直接輸出編譯過后的代碼�����,將人們可以看懂的源代碼轉(zhuǎn)換成電腦看得懂的機器碼��,這樣別人就沒法直接打開這個文件看到原本的代碼了�����。但這兩種方式并不是真正意義上的混淆�����,因為如果把這樣的代碼放入編譯器中���,讓編譯器去分析整個編程語言的語法結(jié)構(gòu),很容易就能看出些端倪�。真正意義上的混淆被稱作虛擬黑盒(Virtual Black Box Obfuscation,VBB)�����,相當于將一個程序C嵌入一個黑盒中,我們可以在黑盒的一端輸入x�,另一頭會輸出C(x)。2001年��,7位研究者聯(lián)手提出了一種特殊構(gòu)造的程序�����,并證明通用的VBB混淆是絕對不可能的��。不過��,這7位研究者的成果中�,提出了一種混淆的新型定義——如果一對程序A和B具有相同的功能性,能否通過一種新的混淆算法��,使第三方無法區(qū)分兩個程序呢?對于這樣的混淆���,我們稱之為不可區(qū)分混淆(indistinguishability obfuscation�,簡稱IO)�����。IO是一種強大的加密算法,它不僅能隱藏數(shù)據(jù)集�����,還能隱藏程序本身��,從而實現(xiàn)幾乎所有的加密協(xié)議����。雖然幾位科學(xué)家聯(lián)手證明了IO的存在性��,但量子計算機的超強計算能力��,會使得目前絕大部分加密算法都無法抵擋�����。現(xiàn)在研究者們正試圖開發(fā)一條新的通往IO的潛在途徑��,希望能抵擋住量子攻擊��。
近日�,研究人員發(fā)現(xiàn)黑客通過破壞SolarWinds的”O(jiān)rion網(wǎng)絡(luò)管理產(chǎn)品”入侵了聯(lián)邦機構(gòu)和FireEye的網(wǎng)絡(luò)。此外���,多達1.8萬的Orion客戶也正面臨著這次供應(yīng)鏈攻擊帶來的巨大威脅����。這可能是近年來最嚴重的網(wǎng)絡(luò)事件之一。目前���,攻擊者已經(jīng)入侵了SolarWinds�����,他們利用該公司的軟件更新在屬于政府�����、國防和軍事實體以及許多私營部門公司的系統(tǒng)上安裝了 SUNBURST后門�。那么在本次事件中�����,我們能夠看出哪些常見的安全問題呢��?1�����、遠程監(jiān)控和管理工具常被用作攻擊媒介:SolarWinds事件表明遠程監(jiān)控和管理(RMM)工具更頻繁地被攻擊者用作攻擊媒介。RMM通常具有操作系統(tǒng)級別的訪問權(quán)限�����,能夠監(jiān)視修補程序�����、版本級別以及硬件性能問題等���。而這些遠程工具的安全并沒有受到企業(yè)重視并得到有效的防護�。2���、構(gòu)建系統(tǒng)時需要完善的安全機制:攻擊者可能通過訪問公司的網(wǎng)絡(luò)系統(tǒng)或 CI/CD環(huán)境,將SUNBURST惡意軟件插入到合法軟件的更新中�。因此,企業(yè)需要在軟件開發(fā)生命周期中注意安全性�����。3��、信任可能導(dǎo)致危機:攻擊者將惡意代碼插入到 SolarWinds 的 Orion 網(wǎng)絡(luò)管理產(chǎn)品的合法更新中�����,正是利用了企業(yè)對SolarWinds的信任。在這種情況下��,接收更新的人很難意識到惡意軟件隱藏在數(shù)字簽名的軟件組件中�。4、企業(yè)需要為長遠的安全做打算:許多APT網(wǎng)絡(luò)攻擊很難被第一時間發(fā)現(xiàn)和檢測���,難以攔截�����。并且��,對攻擊從何入侵的檢測可能存在錯誤��,其影響范圍和代價也難以預(yù)估��。因此�,企業(yè)應(yīng)當為長遠的安全做打算�����,事后補救不如未雨綢繆�。目前�����,多數(shù)無文件攻擊和APT攻擊利用了某些應(yīng)用程序和操作系統(tǒng)所特有的結(jié)構(gòu)與系統(tǒng)工具��,而這正是反惡意軟件工具在檢測和防御方面的疏漏點���。企業(yè)應(yīng)當為長遠的安全做打算,事后補救不如未雨綢繆�。有效的解決方案是使用基于內(nèi)核級的監(jiān)控,捕獲每個目標程序的動態(tài)行為����,防御并終止在業(yè)務(wù)關(guān)鍵應(yīng)用程序中的無文件攻擊、0day漏洞攻擊等高級威脅����,防止黑客利用零日漏洞或未修復(fù)漏洞進行的攻擊����。
意大利移動運營商被黑,250萬用戶需更換手機SIM卡
本周一��,沃達豐(Vodafone)旗下的意大利移動運營商Ho Mobile證實發(fā)生大規(guī)模數(shù)據(jù)泄露���,目前正采取一種罕見的措施�,替換所有受影響客戶的SIM卡。據(jù)信��,黑客竊取大約250萬客戶的個人信息���。該數(shù)據(jù)泄露事件上個月(12月28日)首次曝光�����,當時一名安全分析師在一個黑暗的網(wǎng)絡(luò)論壇上發(fā)現(xiàn)了要出售的電信公司數(shù)據(jù)庫��。HoMobile的聲明證實了安全研究人員的評估�,即黑客入侵了Ho Mobile的服務(wù)器并竊取了HoMobile客戶的詳細信息��,包括全名�、電話號碼、社會安全號碼�、電子郵件地址、出生日期和地點�����、國籍和家庭住址等����。雖然Ho Mobile聲稱黑客沒有竊取任何財務(wù)數(shù)據(jù)或電話詳細信息���,但Ho Mobile承認黑客已經(jīng)掌握了與客戶的SIM卡相關(guān)的詳細信息。為了避免電話欺詐或SIM卡交換攻擊的威脅��,Ho Mobile表示愿意為所有受影響的客戶(如有需要)更換SIM卡��,并且不收取任何費用����。盡管世界各地的多家電信運營商都發(fā)生過數(shù)據(jù)泄露事故,但Ho Mobile這種客戶至上�����,高度重視SIM卡交換攻擊給客戶帶來的潛在巨大風(fēng)險(SIM卡被劫持是數(shù)字社會消費者面臨的最大安全風(fēng)險之一)�,不惜提供免費SIM卡更換服務(wù)的做法非常罕見。
首款2021年面世的勒索軟件:新年伊始已有5家企業(yè)被黑
新的一年�,勒索軟件家族又添新成員。2021年剛剛過去幾天��,Babuk Locker就開始針對企業(yè)受害者發(fā)動人為操作攻擊��。Babuk Locker掀起的這輪全新勒索軟件攻勢�����,已經(jīng)給世界各地的幾家公司帶來不小的麻煩�。根據(jù)目前掌握的情況,其開出的贖金價格(要求以比特幣支付)在60,000美元到85,000美元之間����。Babuk Locker如何加密受害者設(shè)備?根據(jù)分析�����,Babuk Locker的各個可執(zhí)行文件都針對不同受害者進行了定制化調(diào)整���,借此添加硬編碼形式的擴展名����、勒索記錄以及Tor受害者URL���。根據(jù)安全研究員Chuong Dong的分析�,Babuk Locker的編碼質(zhì)量屬于業(yè)余級別�,但其中包含的安全加密機制足以防止受害者輕松完成文件恢復(fù)。Dong在報告中指出��,“雖然編碼實踐整體屬于業(yè)余水平,但其中使用的強大橢圓曲線Diffie–Hellman加密算法之前已經(jīng)給不少企業(yè)造成了沉重打擊����。”在勒索軟件啟動之后�����,攻擊者即可使用命令行參數(shù)來控制勒索軟件��,包括如何加密網(wǎng)絡(luò)共享文件以及是否在本地文件系統(tǒng)之前執(zhí)行加密����。一旦啟動,勒索軟件將終止已知的各類Windows服務(wù)與進程��,防止其打開目標文件致使加密操作無法執(zhí)行����。其終止的程序包括數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器�、備份軟件、郵件客戶端以及網(wǎng)絡(luò)瀏覽器等���。Babuk Locker Tor站點非常簡單��,其中只包含一個聊天界面��,受害者可以在其中與攻擊者交談并商議贖金事宜����。在談判過程中��,勒索攻擊方會詢問受害者是否購買了網(wǎng)絡(luò)安全保險�����,以及是否聯(lián)系過勒索軟件恢復(fù)廠商�����。攻擊者可以實施雙重勒索——受害者不僅無法訪問自己的文件�,而且如果拒絕支付贖金,文件內(nèi)容還會被發(fā)布到互聯(lián)網(wǎng)上��。Babuk Locker掀起的這輪全新勒索軟件攻勢��,已經(jīng)給世界各地的幾家公司帶來不小的麻煩��。