普普每日安全資訊一周概覽(01.16—01.22)
各大游戲公司遭遇與APT27有關(guān)的勒索軟件攻擊
最近一系列的針對電子游戲公司的勒索軟件攻擊與臭名昭著(zhù)的APT27威脅組織有密切的關(guān)系���,已經(jīng)有五家公司受到了攻擊的影響���。更重要的是�����,其中兩家受影響的公司是世界上最大的公司之一����。APT27(又稱(chēng)Bronze Union����、LuckyMouse和Emissary Panda)�����,據說(shuō)是在中國境內運營(yíng)的一個(gè)威脅組織�,自2013年以來(lái)就一直存在�。該組織向來(lái)是利用開(kāi)源的工具來(lái)接入互聯(lián)網(wǎng)��,其攻擊目的是為了收集政治和軍事情報�。而且����,它此前一直在做網(wǎng)絡(luò )間諜和數據竊取方面的攻擊����,而不是僅僅為了金錢(qián)利益而發(fā)動(dòng)攻擊�����。Profero和Security Joes的研究人員在周一的聯(lián)合分析中指出:'此前�,APT27并不是為了經(jīng)濟利益而發(fā)動(dòng)攻擊����,因此此次采用勒索軟件的攻擊策略是很不同尋常的��。然而此次事件發(fā)生時(shí)����,正值COVID-19在中國國內流行�����,因此轉為為了經(jīng)濟利益而發(fā)動(dòng)攻擊也就不足為奇了�����。此次攻擊是通過(guò)第三方服務(wù)商來(lái)進(jìn)行攻擊的�,而且該服務(wù)商此前曾被另一家第三方服務(wù)商感染�。這表明高級持續性威脅(APT)正在改變過(guò)去的間諜集中戰術(shù)����,轉而采用勒索軟件進(jìn)行攻擊����。
隨著(zhù)調查的深入��,SolarWinds“日爆木馬”(SUNBURST)供應鏈APT攻擊持續發(fā)酵���,據Politico報道����,知情官員近日透露��,美國能源部(DOE)和負責管理美國核武器儲備的國家核安全局(NNSA)有證據表明��,其網(wǎng)絡(luò )已經(jīng)遭到黑客入侵����,這些入侵活動(dòng)屬于SolarWinds日爆木馬大規模間諜活動(dòng)的一部分�,該間諜活動(dòng)已經(jīng)影響了至少六個(gè)聯(lián)邦機構�。聯(lián)邦能源監管委員會(huì )(FERC)���、新墨西哥州和華盛頓州的桑迪亞和洛斯阿拉莫斯國家實(shí)驗室����、美國國家安全局(NNSA)的安全運輸辦公室以及美國能源部Richland外地辦公室的網(wǎng)絡(luò )中發(fā)現了可疑活動(dòng)�。一直在幫助管理聯(lián)邦對廣泛黑客攻擊活動(dòng)做出反應的網(wǎng)絡(luò )安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency)本周向FERC表示��,CISA不堪重負�,可能無(wú)法分配必要的資源來(lái)應對��。官員們說(shuō)��,因此�����,即使FERC是一個(gè)半自治機構�,DOE也會(huì )向FERC分配額外的資源來(lái)幫助調查黑客行為�����。美國能源部發(fā)言人Hynes在一份聲明中說(shuō):“迄今的調查顯示���,惡意軟件被隔離到商業(yè)網(wǎng)絡(luò )中��,包括國家核安全局在內的國家安全職能關(guān)鍵任務(wù)并未受到影響�����。當美國能源部發(fā)現易受攻擊的軟件時(shí)�����,立即采取了行動(dòng)以減輕風(fēng)險��,并且所有被確定為易受攻擊的軟件都已經(jīng)與能源部網(wǎng)絡(luò )斷開(kāi)了連接����?��!?/span>“攻擊仍在持續��,已經(jīng)影響了聯(lián)邦政府內部的網(wǎng)絡(luò )�?����!泵绹形磳⒑诳托袨闅w咎于任何特定行為者����,但網(wǎng)絡(luò )安全專(zhuān)家表示���,該活動(dòng)帶有俄羅斯情報部門(mén)的標志黑客攻擊聯(lián)邦能源管理委員會(huì )(FERC)造成的損失比攻擊其他機構更大�����,這次襲擊可能是為了破壞美國的大電網(wǎng)���。FERC會(huì )在電網(wǎng)上存儲敏感數據����,這些數據可被黑客用來(lái)識別最具破壞性的攻擊點(diǎn)���,作為日后攻擊的目標�。
軌跡隱私是一種特殊的個(gè)人隱私��,指用戶(hù)的運行軌跡本身含有的敏感信息(如用戶(hù)去過(guò)的一些敏感區域等)����,或者可以通過(guò)運行軌跡推導出其他的個(gè)人信息(如用戶(hù)的家庭住址�����、工作地點(diǎn)���、健康狀況��、生活習慣等)���。因此��,軌跡隱私保護既要保證軌跡本身的敏感信息不泄露����,又要防止攻擊者通過(guò)軌跡推導出其他的個(gè)人信息����。軌跡數據本身蘊含了豐富的時(shí)空信息����,對軌跡數據的分析和挖掘結果可以支持多種移動(dòng)應用����,因此�,許多政府及科研機構都加大了對軌跡數據的研究力度��。例如:美國政府利用移動(dòng)用戶(hù)的GPS軌跡數據分析基礎交通設施的建設情況�,進(jìn)而為是否更新和優(yōu)化交通設施提供依據�;社會(huì )學(xué)的研究者們通過(guò)分析人們的日常軌跡來(lái)研究人類(lèi)的行為模式��;某些公司通過(guò)分析雇員的上下班軌跡來(lái)提高雇員的工作效率等�。然而�����,假如惡意攻擊者在未經(jīng)授權的情況下����,計算推理獲取與軌跡相關(guān)的其他個(gè)人信息�����,則用戶(hù)的個(gè)人隱私會(huì )通過(guò)其軌跡完全暴露����。數據發(fā)布中的軌跡隱私泄露情況大致可分為以下兩類(lèi)�。① 軌跡上敏感或頻繁訪(fǎng)問(wèn)位置的泄露導致移動(dòng)對象的隱私泄露���。軌跡上的敏感或頻繁訪(fǎng)問(wèn)的位置很可能暴露其個(gè)人興趣愛(ài)好�����、健康狀況�、政治傾向等個(gè)人隱私�����;② 移動(dòng)對象的軌跡與外部知識的關(guān)聯(lián)導致隱私泄露�。例如���,某人每天早上在固定的時(shí)間段從地點(diǎn)A出發(fā)到地點(diǎn)B�����,每天下午在固定的時(shí)間段從地點(diǎn)B出發(fā)到地點(diǎn)A���,通過(guò)挖掘分析�,攻擊者很容易做出判斷:A是某人的家庭住址��,B是其工作單位���。軌跡隱私保護既要保證軌跡本身的敏感信息不泄露����,又要防止攻擊者通過(guò)軌跡推導出其他的個(gè)人信息
幾十年來(lái)�����,計算機科學(xué)家一直都想驗證是否存在絕對安全的方法來(lái)加密計算機程序��,讓人們在使用計算機的同時(shí)卻無(wú)法破解其程序���。在2020年底��,幾位學(xué)者成功找到了一種加密方式��,讓計算機用戶(hù)無(wú)法通過(guò)獲取代碼破解程序�����。對于程序員來(lái)說(shuō)�,最寶貴的自然是代碼���,一旦源代碼被人獲取����,基本上就等于程序員編寫(xiě)代碼花費的心血付諸東流��,還會(huì )涉及到知識產(chǎn)權糾紛����。為了保護代碼���,有的程序員會(huì )在導出程序之前采取一些手段來(lái)混淆程序�����。當前程序混淆有兩種方式�,第一種是全文替換關(guān)鍵詞��,把整段代碼中所有的“命名”全部替換成數字;第二種是直接輸出編譯過(guò)后的代碼����,將人們可以看懂的源代碼轉換成電腦看得懂的機器碼�����,這樣別人就沒(méi)法直接打開(kāi)這個(gè)文件看到原本的代碼了���。但這兩種方式并不是真正意義上的混淆�,因為如果把這樣的代碼放入編譯器中���,讓編譯器去分析整個(gè)編程語(yǔ)言的語(yǔ)法結構���,很容易就能看出些端倪��。真正意義上的混淆被稱(chēng)作虛擬黑盒(Virtual Black Box Obfuscation�����,VBB)��,相當于將一個(gè)程序C嵌入一個(gè)黑盒中���,我們可以在黑盒的一端輸入x�,另一頭會(huì )輸出C(x)�。2001年��,7位研究者聯(lián)手提出了一種特殊構造的程序����,并證明通用的VBB混淆是絕對不可能的���。不過(guò)���,這7位研究者的成果中���,提出了一種混淆的新型定義——如果一對程序A和B具有相同的功能性��,能否通過(guò)一種新的混淆算法����,使第三方無(wú)法區分兩個(gè)程序呢?對于這樣的混淆��,我們稱(chēng)之為不可區分混淆(indistinguishability obfuscation�����,簡(jiǎn)稱(chēng)IO)�����。IO是一種強大的加密算法����,它不僅能隱藏數據集����,還能隱藏程序本身��,從而實(shí)現幾乎所有的加密協(xié)議���。雖然幾位科學(xué)家聯(lián)手證明了IO的存在性����,但量子計算機的超強計算能力��,會(huì )使得目前絕大部分加密算法都無(wú)法抵擋��。現在研究者們正試圖開(kāi)發(fā)一條新的通往IO的潛在途徑�����,希望能抵擋住量子攻擊�����。
近日�,研究人員發(fā)現黑客通過(guò)破壞SolarWinds的”Orion網(wǎng)絡(luò )管理產(chǎn)品”入侵了聯(lián)邦機構和FireEye的網(wǎng)絡(luò )����。此外���,多達1.8萬(wàn)的Orion客戶(hù)也正面臨著(zhù)這次供應鏈攻擊帶來(lái)的巨大威脅���。這可能是近年來(lái)最嚴重的網(wǎng)絡(luò )事件之一���。目前�,攻擊者已經(jīng)入侵了SolarWinds����,他們利用該公司的軟件更新在屬于政府�、國防和軍事實(shí)體以及許多私營(yíng)部門(mén)公司的系統上安裝了 SUNBURST后門(mén)�。那么在本次事件中�,我們能夠看出哪些常見(jiàn)的安全問(wèn)題呢��?1���、遠程監控和管理工具常被用作攻擊媒介:SolarWinds事件表明遠程監控和管理(RMM)工具更頻繁地被攻擊者用作攻擊媒介�����。RMM通常具有操作系統級別的訪(fǎng)問(wèn)權限���,能夠監視修補程序���、版本級別以及硬件性能問(wèn)題等�����。而這些遠程工具的安全并沒(méi)有受到企業(yè)重視并得到有效的防護�����。2����、構建系統時(shí)需要完善的安全機制:攻擊者可能通過(guò)訪(fǎng)問(wèn)公司的網(wǎng)絡(luò )系統或 CI/CD環(huán)境�,將SUNBURST惡意軟件插入到合法軟件的更新中�����。因此���,企業(yè)需要在軟件開(kāi)發(fā)生命周期中注意安全性���。3��、信任可能導致危機:攻擊者將惡意代碼插入到 SolarWinds 的 Orion 網(wǎng)絡(luò )管理產(chǎn)品的合法更新中���,正是利用了企業(yè)對SolarWinds的信任��。在這種情況下�,接收更新的人很難意識到惡意軟件隱藏在數字簽名的軟件組件中���。4�����、企業(yè)需要為長(cháng)遠的安全做打算:許多APT網(wǎng)絡(luò )攻擊很難被第一時(shí)間發(fā)現和檢測��,難以攔截��。并且�,對攻擊從何入侵的檢測可能存在錯誤�,其影響范圍和代價(jià)也難以預估����。因此�����,企業(yè)應當為長(cháng)遠的安全做打算���,事后補救不如未雨綢繆�����。目前���,多數無(wú)文件攻擊和APT攻擊利用了某些應用程序和操作系統所特有的結構與系統工具�����,而這正是反惡意軟件工具在檢測和防御方面的疏漏點(diǎn)��。企業(yè)應當為長(cháng)遠的安全做打算�,事后補救不如未雨綢繆�。有效的解決方案是使用基于內核級的監控��,捕獲每個(gè)目標程序的動(dòng)態(tài)行為��,防御并終止在業(yè)務(wù)關(guān)鍵應用程序中的無(wú)文件攻擊�、0day漏洞攻擊等高級威脅��,防止黑客利用零日漏洞或未修復漏洞進(jìn)行的攻擊�����。
意大利移動(dòng)運營(yíng)商被黑����,250萬(wàn)用戶(hù)需更換手機SIM卡
本周一���,沃達豐(Vodafone)旗下的意大利移動(dòng)運營(yíng)商Ho Mobile證實(shí)發(fā)生大規模數據泄露�,目前正采取一種罕見(jiàn)的措施��,替換所有受影響客戶(hù)的SIM卡���。據信�����,黑客竊取大約250萬(wàn)客戶(hù)的個(gè)人信息�����。該數據泄露事件上個(gè)月(12月28日)首次曝光��,當時(shí)一名安全分析師在一個(gè)黑暗的網(wǎng)絡(luò )論壇上發(fā)現了要出售的電信公司數據庫�����。HoMobile的聲明證實(shí)了安全研究人員的評估���,即黑客入侵了Ho Mobile的服務(wù)器并竊取了HoMobile客戶(hù)的詳細信息�����,包括全名��、電話(huà)號碼�����、社會(huì )安全號碼�����、電子郵件地址�、出生日期和地點(diǎn)�����、國籍和家庭住址等�����。雖然Ho Mobile聲稱(chēng)黑客沒(méi)有竊取任何財務(wù)數據或電話(huà)詳細信息���,但Ho Mobile承認黑客已經(jīng)掌握了與客戶(hù)的SIM卡相關(guān)的詳細信息�。為了避免電話(huà)欺詐或SIM卡交換攻擊的威脅���,Ho Mobile表示愿意為所有受影響的客戶(hù)(如有需要)更換SIM卡��,并且不收取任何費用�����。盡管世界各地的多家電信運營(yíng)商都發(fā)生過(guò)數據泄露事故����,但Ho Mobile這種客戶(hù)至上����,高度重視SIM卡交換攻擊給客戶(hù)帶來(lái)的潛在巨大風(fēng)險(SIM卡被劫持是數字社會(huì )消費者面臨的最大安全風(fēng)險之一)����,不惜提供免費SIM卡更換服務(wù)的做法非常罕見(jiàn)����。
首款2021年面世的勒索軟件:新年伊始已有5家企業(yè)被黑
新的一年����,勒索軟件家族又添新成員��。2021年剛剛過(guò)去幾天���,Babuk Locker就開(kāi)始針對企業(yè)受害者發(fā)動(dòng)人為操作攻擊��。Babuk Locker掀起的這輪全新勒索軟件攻勢�,已經(jīng)給世界各地的幾家公司帶來(lái)不小的麻煩�。根據目前掌握的情況���,其開(kāi)出的贖金價(jià)格(要求以比特幣支付)在60,000美元到85,000美元之間���。Babuk Locker如何加密受害者設備��?根據分析��,Babuk Locker的各個(gè)可執行文件都針對不同受害者進(jìn)行了定制化調整���,借此添加硬編碼形式的擴展名����、勒索記錄以及Tor受害者URL���。根據安全研究員Chuong Dong的分析�����,Babuk Locker的編碼質(zhì)量屬于業(yè)余級別�����,但其中包含的安全加密機制足以防止受害者輕松完成文件恢復�。Dong在報告中指出��,“雖然編碼實(shí)踐整體屬于業(yè)余水平�,但其中使用的強大橢圓曲線(xiàn)Diffie–Hellman加密算法之前已經(jīng)給不少企業(yè)造成了沉重打擊�����?����!痹诶账鬈浖?dòng)之后�����,攻擊者即可使用命令行參數來(lái)控制勒索軟件�,包括如何加密網(wǎng)絡(luò )共享文件以及是否在本地文件系統之前執行加密�。一旦啟動(dòng)�,勒索軟件將終止已知的各類(lèi)Windows服務(wù)與進(jìn)程����,防止其打開(kāi)目標文件致使加密操作無(wú)法執行����。其終止的程序包括數據庫服務(wù)器���、郵件服務(wù)器��、備份軟件�、郵件客戶(hù)端以及網(wǎng)絡(luò )瀏覽器等�����。Babuk Locker Tor站點(diǎn)非常簡(jiǎn)單���,其中只包含一個(gè)聊天界面�����,受害者可以在其中與攻擊者交談并商議贖金事宜���。在談判過(guò)程中��,勒索攻擊方會(huì )詢(xún)問(wèn)受害者是否購買(mǎi)了網(wǎng)絡(luò )安全保險�,以及是否聯(lián)系過(guò)勒索軟件恢復廠(chǎng)商���。攻擊者可以實(shí)施雙重勒索——受害者不僅無(wú)法訪(fǎng)問(wèn)自己的文件�����,而且如果拒絕支付贖金�,文件內容還會(huì )被發(fā)布到互聯(lián)網(wǎng)上�。Babuk Locker掀起的這輪全新勒索軟件攻勢�,已經(jīng)給世界各地的幾家公司帶來(lái)不小的麻煩���。