工程中心為大家收集了一些近期國內(nèi)外發(fā)生的網(wǎng)絡(luò)安全事件，一起來看看吧!

       目錄

　　1. 蘋果T2芯片曝嚴(yán)重漏洞，可為攻擊者提供Root訪問權(quán)限

　　2. 數(shù)千家企業(yè)機(jī)構(gòu)遭受DDoS勒索攻擊威脅

　　3. 黑客入侵烏干達(dá)移動支付系統(tǒng) 涉及多家銀行、運(yùn)營商

　　4. Fitbit間諜軟件可通過表盤竊取個(gè)人數(shù)據(jù)

　　5. 德國軟件巨頭Software AG遭遇勒索軟件攻擊

今日看點(diǎn)

　　01  蘋果T2芯片曝嚴(yán)重漏洞，可為攻擊者提供Root訪問權(quán)限

　　10月6日，據(jù)媒體報(bào)道，有網(wǎng)絡(luò)安全研究人員表示，蘋果T2芯片存在無法修復(fù)的漏洞，使搭載該芯片的macOS設(shè)備更容易受到攻擊。據(jù)稱，漏洞可能會給攻擊者提供根訪問權(quán)限。

　　值得一提的是，T2是蘋果在A系列主芯片外，另外增加的一顆專門用于安全方面的芯片?，F(xiàn)在，這顆安全芯片卻面臨著安全質(zhì)疑。

　　蘋果在自己的電腦產(chǎn)品中加入第二個(gè)芯片的做法，最早可以追溯到iPhone上，蘋果采用Touch ID指紋識別后，為iPhone預(yù)留了一個(gè)獨(dú)立的安全模塊。

　　T1芯片在2016年隨著當(dāng)時(shí)的MacBook Pro推出，T2是在此基礎(chǔ)上，蘋果推出的第二代Mac定制芯片。它最重要的功能就是讓Mac產(chǎn)品更安全。

　　根據(jù)上述安全研究人士的說法，黑客可以利用最新曝光的漏洞與黑客團(tuán)隊(duì)Pangu開發(fā)的另一個(gè)漏洞配合，進(jìn)而規(guī)避DFU(iPhone固件強(qiáng)制升降級模式)出口安全機(jī)制。一旦攻擊者獲得對T2芯片的訪問權(quán)，他們將擁有完全的根訪問權(quán)和內(nèi)核執(zhí)行特權(quán)。

　　對于T2芯片的嚴(yán)重缺陷，蘋果無法在不進(jìn)行硬件修改的情況下修補(bǔ)此漏洞。

　　據(jù)悉，該漏洞影響所有帶有T2芯片和Intel處理器的Mac產(chǎn)品。用戶只需不要插入未經(jīng)驗(yàn)證的 USB-C 設(shè)備即可規(guī)避相關(guān)漏洞。截至目前，蘋果暫未對此給出回應(yīng)。

　　02  數(shù)千家企業(yè)機(jī)構(gòu)遭受DDoS勒索攻擊威脅

　　近期，全球多個(gè)行業(yè)的數(shù)千家企業(yè)機(jī)構(gòu)受到DDoS攻擊威脅，向其勒索比特幣。自8月以來，負(fù)責(zé)提供安全數(shù)字化體驗(yàn)的智能邊緣平臺阿卡邁技術(shù)公司(Akamai Technologies)所監(jiān)測到的來自聲稱是Armada Collective、Cozy Bear、Fancy Bear和Lazarus Group組織的攻擊日漸增多。這些勒索要求與DDoS勒索團(tuán)體過去所使用的方法并無大異。具體而言：

　　勒索信：

　　一開始，勒索組織會發(fā)出威脅性的電子郵件，警告如果公司不支付比特幣，則將對公司發(fā)起DDoS攻擊。勒索信的措辭與過去攻擊活動中在媒體上公開的信件內(nèi)容非常相似，并且與Akamai在2019年11月記錄的最近一次DDoS勒索活動相似。

　　有些勒索信會警告說，如果公開披露勒索要求(即向媒體發(fā)布)，則將立即發(fā)起威脅中所提到的攻擊。

　　“如果你向媒體報(bào)道此事并用我們的名字進(jìn)行免費(fèi)宣傳，而不付給我們?nèi)魏钨M(fèi)用，那么我們會一直發(fā)起攻擊，你們將承受很長時(shí)間的攻擊。(原文即此)”——Armada Collective

　　勒索信還會提到聲譽(yù)，警告即將發(fā)起的攻擊不但會破壞基礎(chǔ)設(shè)施，而且還會造成更大的影響。

　　“……沒有人能夠訪問你的網(wǎng)站和其他聯(lián)網(wǎng)服務(wù)。請注意，這還會嚴(yán)重影響你在客戶心目中的聲譽(yù)。[……]我們會完全毀掉你的聲譽(yù)并讓你的服務(wù)一直離線，直到你肯付錢為止。(原文即此)”——Fancy Bear

　　支付贖金：

　　在Akamai觀察到的Armada Collective勒索要求中，最開始的贖金為5比特幣，如果錯(cuò)過了最后期限，則增加到10比特幣，此后每天增加5比特幣。Fancy Bear最開始的贖金為20比特幣，如果錯(cuò)過了最后期限，則增加到30比特幣，此后每天增加10比特幣。

　　大多數(shù)此類勒索要求一般會提出一定的金額，但威脅發(fā)起者也會心血來潮地提出其他財(cái)務(wù)條件。

　　主動攻擊：

　　這些信件會明確受害者機(jī)構(gòu)內(nèi)的目標(biāo)資產(chǎn)并承諾會進(jìn)行一次小的“測試”攻擊來證明情況的嚴(yán)重性。一些勒索信中聲稱，威脅發(fā)起者可以發(fā)動高達(dá)2Tbps的DDoS攻擊。

　　Akamai發(fā)現(xiàn)其網(wǎng)絡(luò)上的一家客戶遭到50Gb/sec的攻擊。該流量包括基于UDP的ARMS協(xié)議反射攻擊。目前尚不清楚所使用的反射器數(shù)量。

　　Akamai的安全情報(bào)響應(yīng)小組懷疑該勒索要求來自模仿者，他們利用知名攻擊組織的名聲作為恐嚇手段來加快付款速度。

　　近期，Akamai發(fā)現(xiàn)北美、亞太地區(qū)以及歐洲、中東和非洲企業(yè)收到的勒索信日益增加。盡管一開始金融服務(wù)業(yè)是受威脅最大的行業(yè)，但勒索信最近將目標(biāo)對準(zhǔn)了其他行業(yè)的企業(yè)機(jī)構(gòu)，包括商業(yè)服務(wù)、高科技、酒店、零售和旅游。

　　迄今為止，采取有效Prolexic DDoS緩解控制措施的Akamai客戶并未經(jīng)歷這些威脅組織所威脅的服務(wù)中斷。最近幾周，Akamai緩解了50多次符合此類特征的攻擊，并將繼續(xù)與客戶合作，采取0秒SLA主動緩解控制措施，這些措施能夠非常有效地應(yīng)對Akamai所觀察到的攻擊模式。

　　如果企業(yè)受到RDoS的威脅，Akamai建議不要支付贖金，因?yàn)槠髽I(yè)不一定會遭到攻擊，也無法保證支付贖金就能阻止DDoS攻擊。此時(shí)，企業(yè)應(yīng)該召集IT、運(yùn)營、安全和客戶溝通人員，確保自己做好準(zhǔn)備并知道在遭到攻擊時(shí)該怎么做。

　　Akamai提供用于幫助客戶快速入門的緊急安全集成包，企業(yè)機(jī)構(gòu)可撥打Akamai DDoS熱線啟動該集成包。Akamai將立即采取措施對風(fēng)險(xiǎn)進(jìn)行分類，使用合適的Akamai安全工具并執(zhí)行我們的攻擊事件應(yīng)對程序。值得一提的是，近期，Akamai已成功地為數(shù)十家企業(yè)進(jìn)行了緊急上線。在這些實(shí)例中，如果事先準(zhǔn)備好GRE Tunnels所需的網(wǎng)絡(luò)前綴，就能大大縮短上線時(shí)間。

　　現(xiàn)有的Akamai客戶應(yīng)聯(lián)系自己的客戶團(tuán)隊(duì)或聯(lián)系“Akamai支持”部門，而托管式安全服務(wù)(MSS)客戶應(yīng)遵循他們與Akamai安全運(yùn)營控制中心(SOCC)建立的現(xiàn)有流程。任何受到威脅的客戶都將立即進(jìn)入“高度戒備”狀態(tài)，SOCC將對情況進(jìn)行評估并作好應(yīng)對攻擊的準(zhǔn)備。每個(gè)客戶的情況都將根據(jù)其業(yè)務(wù)和應(yīng)用需求加以調(diào)整。

　　值得注意的是，盡管Akamai迄今為止所觀察到的大多數(shù)威脅均已被其Prolexic DDoS緩解服務(wù)所緩解，但根據(jù)最佳實(shí)踐，企業(yè)還應(yīng)在DNS和應(yīng)用層部署綜合全面的DDoS緩解措施，包括評估自身的DNS解決方案，最理想的是確保在遭到攻擊時(shí)擁有輔助DNS服務(wù)，以及在網(wǎng)絡(luò)應(yīng)用防火墻(WAF)中落實(shí)速率控制和拒絕規(guī)則以管控大規(guī)模攻擊。

　　03  黑客入侵烏干達(dá)移動支付系統(tǒng) 涉及多家銀行、運(yùn)營商

　　日前，不明身份黑客闖入了 Pegasus Technologies 的系統(tǒng)，后者是一家整合了電信公司、銀行以及其他本地、地區(qū)和國際轉(zhuǎn)賬服務(wù)之間的移動貨幣交易的公司。黑客盜取了一筆尚不清楚的金額，但據(jù)說有數(shù)十億先令。

　　受影響最嚴(yán)重的公司是領(lǐng)先的電信公司，如烏干達(dá)的 Airtel 和 MTN，以及烏干達(dá)最大的銀行 Stanbic 銀行，它也支持大部分的移動貨幣交易。

　　在 2020 年 10 月 5 日發(fā)布的聯(lián)合聲明中，烏干達(dá) Stanbic 銀行、MTN Uganda 和 Airtel Uganda 的首席執(zhí)行官 Anne Juuko、Wim Vanhelleputte 和 VG Somasekhar 分別承認(rèn)發(fā)生了 " 事件 "，但沒有透露細(xì)節(jié)。

　　" 烏干達(dá) Stanbic 銀行，MTN Uganda 和 Airtel Uganda 通知公眾和他們的客戶，在 2020 年 10 月 3 日星期六，第三方服務(wù)提供商經(jīng)歷了一次系統(tǒng)事故，影響了銀行的移動貨幣交易。所有從銀行到移動錢包的服務(wù)都已暫停。"

　　" 這次系統(tǒng)事件對銀行和移動錢包賬戶的余額沒有影響。我們的技術(shù)團(tuán)隊(duì)正在分析事故，并將盡快恢復(fù)服務(wù)。我們對由此造成的任何不便向所有客戶道歉，并重申我們提供無縫銀行和移動貨幣服務(wù)的承諾。"

　　Pegasus Technologies Limited 董事總經(jīng)理羅納德阿澤維 ( Ronald Azairwe ) 既不能否認(rèn)也不能證實(shí)這一事件。

　　但刑事調(diào)查理事會發(fā)言人 Twiine Charles 向媒體證實(shí)，警方接到了一起電子欺詐事件的報(bào)告。

　　一家受影響公司的消息人士告訴記者，周四晚上，黑客侵入了 Pegasus 公司的系統(tǒng)，該公司處理 MTN 到 Airtel 和 Airtel 到 MTN 的交易，以及各自的電信公司到銀行的支付。

　　Pegasus 還負(fù)責(zé) Stanbic 銀行的 Flexipay，這是一種無現(xiàn)金的解決方案，可以讓銀行的客戶通過移動支付支付商品和服務(wù)。

　　" 從周四晚上開始，黑客一直到周六才被發(fā)現(xiàn)。到目前為止，黑客已經(jīng)給自己發(fā)送了將近 13 億烏干達(dá)先令，已經(jīng)設(shè)法從 Airtel 的資金中取出了 9 億烏干達(dá)先令。我們估計(jì) MTN 也損失了差不多兩倍的錢，因?yàn)樗麄兪且苿迂泿诺念I(lǐng)導(dǎo)者。當(dāng)欺詐被發(fā)現(xiàn)時(shí)，所有通過 Pegasus 進(jìn)行的交易都被暫停。" 消息來源稱。

　　除了當(dāng)?shù)氐囊苿迂泿殴荆渌麌H貨幣匯款公司也受到了影響。

　　" 黑客通常會在周末以金融機(jī)構(gòu)為攻擊目標(biāo)，此時(shí)金融機(jī)構(gòu)活動較少，警惕性也較低。" 這位對此類網(wǎng)絡(luò)欺詐非常熟悉的內(nèi)部人士表示。

　　Pegasus 成立于 2007 年，每年處理高達(dá) 1.7 萬億烏干達(dá)先令的金融交易。

　　這包括移動錢包聚合、移動支付和匯款、貸款和儲蓄，以及短信、通話時(shí)間和數(shù)據(jù)加載等增值服務(wù)。

　　該公司的旗艦產(chǎn)品 PegPay 支付平臺目前正被銀行、電信、公用事業(yè)公司 ( 如零售商、付費(fèi)電視提供商和學(xué)校 ) 等多家機(jī)構(gòu)用于匯總和管理用于內(nèi)部和外部目的的金融交易。

　　04  Fitbit間諜軟件可通過表盤竊取個(gè)人數(shù)據(jù)

　　據(jù)印度媒體 "ABP news" 報(bào)道，當(dāng)?shù)貢r(shí)間 8 月 2 日，巴基斯坦 " 黎明電視臺 "(Dawn TV)突然遭到黑客攻擊，該頻道在播放一則廣告時(shí)，電視畫面中突然出現(xiàn)一面印度國旗，下方還寫著 " 獨(dú)立日快樂 " 字樣。

　　近日，Immersive Labs Researcher的安全研究人員利用松垮的Fitbit隱私控制功能開發(fā)了一個(gè)惡意間諜軟件表盤(概念驗(yàn)證)。證明利用開放的開發(fā)者API，攻擊者可以開發(fā)出可訪問Fitbit用戶數(shù)據(jù)的惡意應(yīng)用程序，并將其發(fā)送到任何服務(wù)器。

　　Immersive Labs的網(wǎng)絡(luò)威脅研究總監(jiān)Kev Breen指出：

　　“從本質(zhì)上講，(開發(fā)者API)可以發(fā)送設(shè)備類型、位置和用戶信息，包括性別、年齡、身高、心率和體重?！辈祭锥鹘忉屨f?！八€可以訪問日歷信息。盡管其中不包括PII個(gè)人資料數(shù)據(jù)，但日歷邀請可能會暴露其他信息，例如姓名和位置?！?/p>

　　由于可以通過Fitbit開發(fā)API獲得所有這些信息，因此開發(fā)應(yīng)用程序進(jìn)行攻擊并不復(fù)雜。Breen很輕松就開發(fā)出了惡意表盤，隨后他可以通過Fitbit Gallery(Fitbit的應(yīng)用商店)發(fā)布。因此，這個(gè)間諜軟件看起來合法，這大大提高了用戶下載的可能性。

　　Breen解釋說：“我們的間諜軟件現(xiàn)已在fitbit.com上發(fā)布。重要的是要注意，盡管Fitbit并未將其視為‘可用于公共下載’，但該鏈接仍可在公共領(lǐng)域訪問，而我們的‘惡意軟件’仍可下載?！?/p>

　　Breen說，越多用戶在任何移動設(shè)備上點(diǎn)擊該鏈接，惡意軟件的合法性就越來越高，它在Fitbit應(yīng)用程序內(nèi)打開，并且“所有縮略圖都像是合法應(yīng)用程序一樣完美呈現(xiàn)，只需單擊一下即可下載和安裝，在Android和iPhone手機(jī)上都可以。”

　　Breen還發(fā)現(xiàn)，F(xiàn)itbit的API允許對內(nèi)部IP范圍使用HTTP，他濫用這一點(diǎn)將惡意表盤變成原始的網(wǎng)絡(luò)掃描儀。

　　他說：“有了這項(xiàng)功能，我們的表盤可能會威脅到企業(yè)。”“它可以用來做所有事情，從識別和訪問路由器、防火墻和其他設(shè)備到暴力破解密碼以及從公司的內(nèi)部應(yīng)用程序讀取公司的內(nèi)部網(wǎng)?！?/p>

　　冰山一角

　　截至本文發(fā)稿，F(xiàn)itbit已經(jīng)對Breen的安全報(bào)告做出回應(yīng)，表示已迅速部署緩解措施。

　　當(dāng)從專用鏈接安裝應(yīng)用程序時(shí)，F(xiàn)itbit在用戶界面中為用戶添加了一條警告消息，它使消費(fèi)者更容易識別即將安裝的是否是公開列出的正規(guī)程序。

　　Breen說，F(xiàn)itbit還致力于在授權(quán)流程中調(diào)整默認(rèn)權(quán)限設(shè)置，使其默認(rèn)為不選擇。

　　然而，截至上周五，Breen的惡意表盤仍可在Fitbit應(yīng)用商店中供大眾訪問。

　　Fitbit的安全漏洞只是近期一系列可穿戴物聯(lián)網(wǎng)安全威脅的冰山一角，上周，聯(lián)網(wǎng)成人用品(男性貞操環(huán))發(fā)現(xiàn)嚴(yán)重漏洞，被黑客攻擊鎖死后，需要借助角磨機(jī)才能從器官上取下。

　　上個(gè)月，Mozi僵尸網(wǎng)絡(luò)惡意軟件占了IoT設(shè)備上全部流量的90%。而藍(lán)牙欺騙漏洞讓數(shù)十億設(shè)備暴露在攻擊火力之下，這些都讓物聯(lián)網(wǎng)安全態(tài)勢進(jìn)一步惡化。

　　05  德國軟件巨頭Software AG遭遇勒索軟件攻擊

　　德國企業(yè)軟件巨頭Software AG近日遭遇竊取信息的勒索軟件攻擊。

　　Software AG軟件公司聲稱擁有10,000多個(gè)客戶，年收入超過8億歐元，上周晚些時(shí)候在簡報(bào)中透露了遭受勒索軟件攻擊的消息。

　　簡報(bào)指出，攻擊自上周一以來一直在進(jìn)行，尚未得到完全遏制。

　　“今天，Software AG獲得了第一批證據(jù)，證明Software AG的服務(wù)器和員工筆記本中的數(shù)據(jù)被(勒索軟件)下載。但仍然沒有跡象表明向客戶提供的服務(wù)(包括基于云的服務(wù))會被中斷。該公司正在不斷完善其運(yùn)營和內(nèi)部流程。”Software AG在10月8日解釋說。

　　“Software AG正在進(jìn)一步調(diào)查此事件，盡其所能來遏制數(shù)據(jù)泄漏，并解決內(nèi)部系統(tǒng)持續(xù)中斷的問題，特別是盡快恢復(fù)其內(nèi)部系統(tǒng)(由于安全原因已將其關(guān)閉) ?！?/p>

　　盡管該公司的網(wǎng)站似乎正常運(yùn)行，但要求客戶以郵件形式發(fā)送技術(shù)支持問題并附上電話號碼， “由于我們的在線支持系統(tǒng)存在技術(shù)問題”。

　　研究人員MalwareHunterTeam在社交媒體上發(fā)消息稱Software AG遭到Clop變種的打擊，該勒索軟件的贖金要價(jià)通常高達(dá)2000萬美元。勒索軟件運(yùn)營者聲稱已經(jīng)從Software AG擄走了超過1TB的數(shù)據(jù)。

　　針對Software AG的勒索軟件攻擊進(jìn)一步佐證，勒索軟件組織開始越來越多地針對財(cái)大氣粗的大型企業(yè)目標(biāo)。他們通常會執(zhí)行詳細(xì)的偵察，然后使用APT風(fēng)格的策略進(jìn)行高級多階段攻擊，以在隱藏?cái)?shù)據(jù)最終部署勒索軟件的過程中保持隱藏狀態(tài)。

　　今年早些時(shí)候，IT服務(wù)巨頭Cognizant透露勒索軟件攻擊在2020年第二季度使該公司損失了約5000-7000萬美元。

       來源：信息安全國家工程研究中心