工程中心为大家收集了一些近期国内外发生的网络安全事件,一起来看看吧!
目录
1. 苹果T2芯片曝严重漏洞,可为攻击者提供Root访问权限
2. 数千家企业机构遭受DDoS勒索攻击威胁
3. 黑客入侵乌干达移动支付系统 涉及多家银行、运营商
4. Fitbit间谍软件可通过表盘窃取个人数据
5. 德国软件巨头Software AG遭遇勒索软件攻击
今日看点
01 苹果T2芯片曝严重漏洞,可为攻击者提供Root访问权限
10月6日,据媒体报道,有网络安全研究人员表示,苹果T2芯片存在无法修复的漏洞,使搭载该芯片的macOS设备更容易受到攻击。据称,漏洞可能会给攻击者提供根访问权限。
值得一提的是,T2是苹果在A系列主芯片外,另外增加的一颗专门用于安全方面的芯片。现在,这颗安全芯片却面临着安全质疑。
苹果在自己的电脑产品中加入第二个芯片的做法,最早可以追溯到iPhone上,苹果采用Touch ID指纹识别后,为iPhone预留了一个独立的安全模块。
T1芯片在2016年随着当时的MacBook Pro推出,T2是在此基础上,苹果推出的第二代Mac定制芯片。它最重要的功能就是让Mac产品更安全。
根据上述安全研究人士的说法,黑客可以利用最新曝光的漏洞与黑客团队Pangu开发的另一个漏洞配合,进而规避DFU(iPhone固件强制升降级模式)出口安全机制。一旦攻击者获得对T2芯片的访问权,他们将拥有完全的根访问权和内核执行特权。
对于T2芯片的严重缺陷,苹果无法在不进行硬件修改的情况下修补此漏洞。
据悉,该漏洞影响所有带有T2芯片和Intel处理器的Mac产品。用户只需不要插入未经验证的 USB-C 设备即可规避相关漏洞。截至目前,苹果暂未对此给出回应。
02 数千家企业机构遭受DDoS勒索攻击威胁
近期,全球多个行业的数千家企业机构受到DDoS攻击威胁,向其勒索比特币。自8月以来,负责提供安全数字化体验的智能边缘平台阿卡迈技术公司(Akamai Technologies)所监测到的来自声称是Armada Collective、Cozy Bear、Fancy Bear和Lazarus Group组织的攻击日渐增多。这些勒索要求与DDoS勒索团体过去所使用的方法并无大异。具体而言:
勒索信:
一开始,勒索组织会发出威胁性的电子邮件,警告如果公司不支付比特币,则将对公司发起DDoS攻击。勒索信的措辞与过去攻击活动中在媒体上公开的信件内容非常相似,并且与Akamai在2019年11月记录的最近一次DDoS勒索活动相似。
有些勒索信会警告说,如果公开披露勒索要求(即向媒体发布),则将立即发起威胁中所提到的攻击。
“如果你向媒体报道此事并用我们的名字进行免费宣传,而不付给我们任何费用,那么我们会一直发起攻击,你们将承受很长时间的攻击。(原文即此)”——Armada Collective
勒索信还会提到声誉,警告即将发起的攻击不但会破坏基础设施,而且还会造成更大的影响。
“……没有人能够访问你的网站和其他联网服务。请注意,这还会严重影响你在客户心目中的声誉。[……]我们会完全毁掉你的声誉并让你的服务一直离线,直到你肯付钱为止。(原文即此)”——Fancy Bear
支付赎金:
在Akamai观察到的Armada Collective勒索要求中,最开始的赎金为5比特币,如果错过了最后期限,则增加到10比特币,此后每天增加5比特币。Fancy Bear最开始的赎金为20比特币,如果错过了最后期限,则增加到30比特币,此后每天增加10比特币。
大多数此类勒索要求一般会提出一定的金额,但威胁发起者也会心血来潮地提出其他财务条件。
主动攻击:
这些信件会明确受害者机构内的目标资产并承诺会进行一次小的“测试”攻击来证明情况的严重性。一些勒索信中声称,威胁发起者可以发动高达2Tbps的DDoS攻击。
Akamai发现其网络上的一家客户遭到50Gb/sec的攻击。该流量包括基于UDP的ARMS协议反射攻击。目前尚不清楚所使用的反射器数量。
Akamai的安全情报响应小组怀疑该勒索要求来自模仿者,他们利用知名攻击组织的名声作为恐吓手段来加快付款速度。
近期,Akamai发现北美、亚太地区以及欧洲、中东和非洲企业收到的勒索信日益增加。尽管一开始金融服务业是受威胁最大的行业,但勒索信最近将目标对准了其他行业的企业机构,包括商业服务、高科技、酒店、零售和旅游。
迄今为止,采取有效Prolexic DDoS缓解控制措施的Akamai客户并未经历这些威胁组织所威胁的服务中断。最近几周,Akamai缓解了50多次符合此类特征的攻击,并将继续与客户合作,采取0秒SLA主动缓解控制措施,这些措施能够非常有效地应对Akamai所观察到的攻击模式。
如果企业受到RDoS的威胁,Akamai建议不要支付赎金,因为企业不一定会遭到攻击,也无法保证支付赎金就能阻止DDoS攻击。此时,企业应该召集IT、运营、安全和客户沟通人员,确保自己做好准备并知道在遭到攻击时该怎么做。
Akamai提供用于帮助客户快速入门的紧急安全集成包,企业机构可拨打Akamai DDoS热线启动该集成包。Akamai将立即采取措施对风险进行分类,使用合适的Akamai安全工具并执行我们的攻击事件应对程序。值得一提的是,近期,Akamai已成功地为数十家企业进行了紧急上线。在这些实例中,如果事先准备好GRE Tunnels所需的网络前缀,就能大大缩短上线时间。
现有的Akamai客户应联系自己的客户团队或联系“Akamai支持”部门,而托管式安全服务(MSS)客户应遵循他们与Akamai安全运营控制中心(SOCC)建立的现有流程。任何受到威胁的客户都将立即进入“高度戒备”状态,SOCC将对情况进行评估并作好应对攻击的准备。每个客户的情况都将根据其业务和应用需求加以调整。
值得注意的是,尽管Akamai迄今为止所观察到的大多数威胁均已被其Prolexic DDoS缓解服务所缓解,但根据最佳实践,企业还应在DNS和应用层部署综合全面的DDoS缓解措施,包括评估自身的DNS解决方案,最理想的是确保在遭到攻击时拥有辅助DNS服务,以及在网络应用防火墙(WAF)中落实速率控制和拒绝规则以管控大规模攻击。
03 黑客入侵乌干达移动支付系统 涉及多家银行、运营商
日前,不明身份黑客闯入了 Pegasus Technologies 的系统,后者是一家整合了电信公司、银行以及其他本地、地区和国际转账服务之间的移动货币交易的公司。黑客盗取了一笔尚不清楚的金额,但据说有数十亿先令。
受影响最严重的公司是领先的电信公司,如乌干达的 Airtel 和 MTN,以及乌干达最大的银行 Stanbic 银行,它也支持大部分的移动货币交易。
在 2020 年 10 月 5 日发布的联合声明中,乌干达 Stanbic 银行、MTN Uganda 和 Airtel Uganda 的首席执行官 Anne Juuko、Wim Vanhelleputte 和 VG Somasekhar 分别承认发生了 " 事件 ",但没有透露细节。
" 乌干达 Stanbic 银行,MTN Uganda 和 Airtel Uganda 通知公众和他们的客户,在 2020 年 10 月 3 日星期六,第三方服务提供商经历了一次系统事故,影响了银行的移动货币交易。所有从银行到移动钱包的服务都已暂停。"
" 这次系统事件对银行和移动钱包账户的余额没有影响。我们的技术团队正在分析事故,并将尽快恢复服务。我们对由此造成的任何不便向所有客户道歉,并重申我们提供无缝银行和移动货币服务的承诺。"
Pegasus Technologies Limited 董事总经理罗纳德阿泽维 ( Ronald Azairwe ) 既不能否认也不能证实这一事件。
但刑事调查理事会发言人 Twiine Charles 向媒体证实,警方接到了一起电子欺诈事件的报告。
一家受影响公司的消息人士告诉记者,周四晚上,黑客侵入了 Pegasus 公司的系统,该公司处理 MTN 到 Airtel 和 Airtel 到 MTN 的交易,以及各自的电信公司到银行的支付。
Pegasus 还负责 Stanbic 银行的 Flexipay,这是一种无现金的解决方案,可以让银行的客户通过移动支付支付商品和服务。
" 从周四晚上开始,黑客一直到周六才被发现。到目前为止,黑客已经给自己发送了将近 13 亿乌干达先令,已经设法从 Airtel 的资金中取出了 9 亿乌干达先令。我们估计 MTN 也损失了差不多两倍的钱,因为他们是移动货币的领导者。当欺诈被发现时,所有通过 Pegasus 进行的交易都被暂停。" 消息来源称。
除了当地的移动货币公司,其他国际货币汇款公司也受到了影响。
" 黑客通常会在周末以金融机构为攻击目标,此时金融机构活动较少,警惕性也较低。" 这位对此类网络欺诈非常熟悉的内部人士表示。
Pegasus 成立于 2007 年,每年处理高达 1.7 万亿乌干达先令的金融交易。
这包括移动钱包聚合、移动支付和汇款、贷款和储蓄,以及短信、通话时间和数据加载等增值服务。
该公司的旗舰产品 PegPay 支付平台目前正被银行、电信、公用事业公司 ( 如零售商、付费电视提供商和学校 ) 等多家机构用于汇总和管理用于内部和外部目的的金融交易。
04 Fitbit间谍软件可通过表盘窃取个人数据
据印度媒体 "ABP news" 报道,当地时间 8 月 2 日,巴基斯坦 " 黎明电视台 "(Dawn TV)突然遭到黑客攻击,该频道在播放一则广告时,电视画面中突然出现一面印度国旗,下方还写着 " 独立日快乐 " 字样。
近日,Immersive Labs Researcher的安全研究人员利用松垮的Fitbit隐私控制功能开发了一个恶意间谍软件表盘(概念验证)。证明利用开放的开发者API,攻击者可以开发出可访问Fitbit用户数据的恶意应用程序,并将其发送到任何服务器。
Immersive Labs的网络威胁研究总监Kev Breen指出:
“从本质上讲,(开发者API)可以发送设备类型、位置和用户信息,包括性别、年龄、身高、心率和体重。”布雷恩解释说。“它还可以访问日历信息。尽管其中不包括PII个人资料数据,但日历邀请可能会暴露其他信息,例如姓名和位置。”
由于可以通过Fitbit开发API获得所有这些信息,因此开发应用程序进行攻击并不复杂。Breen很轻松就开发出了恶意表盘,随后他可以通过Fitbit Gallery(Fitbit的应用商店)发布。因此,这个间谍软件看起来合法,这大大提高了用户下载的可能性。
Breen解释说:“我们的间谍软件现已在fitbit.com上发布。重要的是要注意,尽管Fitbit并未将其视为‘可用于公共下载’,但该链接仍可在公共领域访问,而我们的‘恶意软件’仍可下载。”
Breen说,越多用户在任何移动设备上点击该链接,恶意软件的合法性就越来越高,它在Fitbit应用程序内打开,并且“所有缩略图都像是合法应用程序一样完美呈现,只需单击一下即可下载和安装,在Android和iPhone手机上都可以。”
Breen还发现,Fitbit的API允许对内部IP范围使用HTTP,他滥用这一点将恶意表盘变成原始的网络扫描仪。
他说:“有了这项功能,我们的表盘可能会威胁到企业。”“它可以用来做所有事情,从识别和访问路由器、防火墙和其他设备到暴力破解密码以及从公司的内部应用程序读取公司的内部网。”
冰山一角
截至本文发稿,Fitbit已经对Breen的安全报告做出回应,表示已迅速部署缓解措施。
当从专用链接安装应用程序时,Fitbit在用户界面中为用户添加了一条警告消息,它使消费者更容易识别即将安装的是否是公开列出的正规程序。
Breen说,Fitbit还致力于在授权流程中调整默认权限设置,使其默认为不选择。
然而,截至上周五,Breen的恶意表盘仍可在Fitbit应用商店中供大众访问。
Fitbit的安全漏洞只是近期一系列可穿戴物联网安全威胁的冰山一角,上周,联网成人用品(男性贞操环)发现严重漏洞,被黑客攻击锁死后,需要借助角磨机才能从器官上取下。
上个月,Mozi僵尸网络恶意软件占了IoT设备上全部流量的90%。而蓝牙欺骗漏洞让数十亿设备暴露在攻击火力之下,这些都让物联网安全态势进一步恶化。
05 德国软件巨头Software AG遭遇勒索软件攻击
德国企业软件巨头Software AG近日遭遇窃取信息的勒索软件攻击。
Software AG软件公司声称拥有10,000多个客户,年收入超过8亿欧元,上周晚些时候在简报中透露了遭受勒索软件攻击的消息。
简报指出,攻击自上周一以来一直在进行,尚未得到完全遏制。
“今天,Software AG获得了第一批证据,证明Software AG的服务器和员工笔记本中的数据被(勒索软件)下载。但仍然没有迹象表明向客户提供的服务(包括基于云的服务)会被中断。该公司正在不断完善其运营和内部流程。”Software AG在10月8日解释说。
“Software AG正在进一步调查此事件,尽其所能来遏制数据泄漏,并解决内部系统持续中断的问题,特别是尽快恢复其内部系统(由于安全原因已将其关闭) 。”
尽管该公司的网站似乎正常运行,但要求客户以邮件形式发送技术支持问题并附上电话号码, “由于我们的在线支持系统存在技术问题”。
研究人员MalwareHunterTeam在社交媒体上发消息称Software AG遭到Clop变种的打击,该勒索软件的赎金要价通常高达2000万美元。勒索软件运营者声称已经从Software AG掳走了超过1TB的数据。
针对Software AG的勒索软件攻击进一步佐证,勒索软件组织开始越来越多地针对财大气粗的大型企业目标。他们通常会执行详细的侦察,然后使用APT风格的策略进行高级多阶段攻击,以在隐藏数据最终部署勒索软件的过程中保持隐藏状态。
今年早些时候,IT服务巨头Cognizant透露勒索软件攻击在2020年第二季度使该公司损失了约5000-7000万美元。
来源:信息安全国家工程研究中心
