重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?中国网安科技情报研究团队将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。
3月14日,据工信微报消息,工业和信息化部高度重视用户权益保护工作,持续开展APP侵害用户权益专项整治行动。工信部开展APP侵害用户权益整治“回头看”,组织第三方检测机构对前期用户反映问题较多的内存清理类、手机优化类APP进行重点检测,并对去年发现问题的APP进行抽测,共发现14款APP仍然存在问题。
近日,国家计算机病毒应急处理中心曝光了名为“NOPEN”的木马工具(详见安天公众号发布的文章《“NOPEN”远控木马分析报告》),该工具是美国国家安全局的一款功能强大的综合型木马工具,也是美国国家安全局对外攻击窃密所使用的主战网络武器之一,相关泄露资料显示该木马已经控制全球多国的计算机系统。
针对3月15日央视播出“3·15”晚会报道的以免费Wi-Fi为名诱骗用户下载恶意APP、应用软件平台强迫捆绑下载、骚扰电话、儿童手表安全防护等问题,立即组织认真核查,依据等有关法律法规要求,进行严厉查处。
3月16日晚,据经济日报不完全统计,截至3月15日,微信、抖音、今日头条、淘宝、百度、大众点评、微博、小红书、京东等App均已上线算法关闭键,允许用户在后台一键关闭“个性化推荐”。
近几年,不少App以提供个性化服务为由,基于算法为用户提供精准推送。市场也很认可这种商业模式,许多平台实现了“精准收割”。但个性化背后意味着APP对用户个人信息的大规模搜集,在对流量的追逐中,极少有APP提供算法关闭设置。
直到2022年1月,《互联网信息服务算法推荐管理规定》出台,明确算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况;向用户提供不针对其个人特征的选项火狐动态,或者向用户提供便捷的关闭算法推荐服务的选项。该规定自3月1日起施行。
不过,目前大部分 App 的“个性化推荐”关闭键仍然比较隐蔽,一般会在隐私、广告相关的设置选项中找到。
3月16日,负责支持和保护数字化体验的解决方案提供商阿卡迈技术公司(Akamai)于近日发布最新数据,报告称亚洲在节日期间遭受大量恶意网络爬虫攻击。该数据显示,中国在2022年2月春节期间遭受的网络攻击增加了15%,这表明网络犯罪分子正想方设法在流量高峰时段攻击客户。
中国在2021年11月“双十一”电商节期间遭受了三倍于平时的网络爬虫攻击,这种情况在之后的春节再现。虽然在攻击流量在“双十一”后逐渐下降,但一直到年底仍然处于相对高位,之后随着春节期间零售流量的增加而再次达到高峰。
3月17日下午,国务院新闻办公室举行2022年“清朗”系列专项行动新闻发布会。国家网信办副主任盛荣华出席发布会,介绍2022年“清朗”系列专项行动情况,并回答记者提问。
盛荣华指出,以习同志为核心的党中央高度重视网络生态治理工作。习多次强调,网络空间是亿万民众的精神家园,要本着对社会负责、对人民负责的态度,依法加强网络空间治理,为广大网民特别是青少年营造一个风清气正的网络空间。
3月11日,美国众议院通过《关键基础设施网络事件报告》法案,关键基础设施所有者和运营商需要向网络安全和基础设施安全局(CISA)报告网络事件和勒索软件付款。CISA局长Jen Easterly表示,该立法改变了游戏规则,标志着国家集体网络安全向前迈出了关键一步。
该法案要求关键基础设施所有者和运营商在遇到重大网络攻击72小时内、被勒索软件勒索付款的24小时内向CISA报告。该法案还解决了实现政府网络安全态势现代化的需求,并授权联邦风险和授权管理计划(FedRAMP),以确保联邦机构能够快速安全地采用基于云的技术,以改善政府运营和效率。同时,该法案还将更新现行的联邦政府网络安全法,以改善联邦机构之间的协调,要求政府采取基于风险的网络安全方法,并要求所有民事机构向CISA报告所有网络攻击,并更新机构向国会报告网络事件的门槛。
网络安全公司Rapid7高管表示,网络安全对于确保关键基础设施的安全至关重要,这项法律将使联邦机构更深入地了解攻击趋势,并可能有助于在重大漏洞或攻击蔓延之前提供早期预警。但受限于资源、安全成熟度、风险、执法机构的权利等因素,最终报告的规则可能3-5年才能落实。
3月11日,根据Gosuslugi公共服务门户网站发布的消息,俄罗斯数字发展部预计将建立国有TLS证书颁发机构(CA),以解决该国受西方实施制裁后出现的网站访问问题。TLS 证书用于以数字方式将加密密钥绑定到组织的详细信息,使Web浏览器能够确认域的真实性,并确保客户端计算机与目标网站之间的通信安全。
当前,DigiCert、Avast、ESET、Fortinet和Imperva等公司因俄罗斯入侵乌克兰而暂停了在俄罗斯和白俄罗斯的业务。公钥基础设施(PKI)提供商在一份咨询报告中指出,“为了应对乌克兰不断变化的地缘政治局势,DigiCert公司正在暂停签发和重新发行与俄罗斯、白俄罗斯相关的所有顶级域名(TLD)和证书类型,包括.by、.moscow、.ru、.su、.tatar、.бел、.москва、.рус和 .рф”。
目前尚不清楚的是,Google Chrome、Microsoft Edge、Mozilla Firefox和Apple Safari等Web浏览器是否打算接受新的俄罗斯证书颁发机构颁发的证书,以便与认证服务器的安全连接可以按预期工作。但根据SentinelOne公司首席威胁研究员分享的推文,为了访问所有网站和必要的在线服务,该公共服务机构建议使用Yandex和Atom等支持俄罗斯证书的浏览器。
3月11日,据思科Talos的研究人员称,机会主义的网络犯罪分子冒充乌克兰IT军队的真正代表,并假装为他们提供工具,以提供分布式拒绝服务攻击(DDoS),最终被证明是恶意软件。
乌克兰IT军是一个通过Telegram平台动员起来的组织,最初是在冲突开始时由乌克兰部长组建的,目的是招募尽可能多的支持者在网络空间中与俄罗斯作战。该组织目前拥有超过300,000名成员,并每天发布“命中列表”——目标.ru URL列表,供精通技术的乌克兰支持者离线。最近的目标包括俄罗斯电子签名服务和俄罗斯军方的技术进口商。
研究人员表示,此类活动可能采取以下形式:新闻主题或捐款征集的主题电子邮件诱饵,旨在托管救济基金或难民支持站点的恶意链接,伪装成安全防御或进攻工具的恶意软件等。用户在打开可疑电子邮件之前必须仔细检查它们,并在下载之前验证软件或其他文件。
3月14日,美国陆军正在深入开展数字化转型,以建立全新的商业云产品访问模式,并从更具战略性的角度,以更安全的方式运用各种技术和数据。
美国国防部信息作战常务副顾问马特·伊斯(Matt Easley)少将指出,美国陆军网络拥有一百多万用户和一百万个端点,而云环境和软件定义型网络等新技术正在改变美国陆军的信息系统。美国陆军正在完善其云环境cARMY,陆军通过该环境购买和保护多云产品的经验教训将帮助国防信息系统局(DISA)打造“联合作战人员云能力”(JWCC),并为国防部的政策提供指引。目前cARMY已扩展到美国之外和战术领域,美国陆军正在云基础设施的搭建地点和运行用例方面与其它国防部门合作,同时也在与私营部门合作制定云基础设施的通用设计范式,以便在基本无需重新配置的情况下,将私有云环境中的企业能力和作战能力无缝部署到公共云环境中。
伊斯也提及了美国陆军的数据管理项目与平台Army Vantage。该平台的全球用户数量已超过35000人,其能提供分析所需的权威数据、通用作战图和自定义分析工具,以协助陆军各单位的决策。美国陆军还计划建立人工智能火狐电竞、机器人过程自动化和机器学习所需的标准认证工具集,以及供所有任务使用云中企业级数据湖(data lake)。此外美国陆军将继续通过“融合项目”(Project Convergence)等项目测试人工智能和机器学习的能力,以便更快地从来自陆军网络、系统和武器的海量数据中提取出更加复杂的知识。
3月14日,美国参议院情报特别委员会主席及一个网络安全专家团队团体近日称,尽管以乌克兰为目标的俄方网络行动“相对温和”,但美国应保持警惕,以防俄罗斯对私营机构或关键基础设施发动网络攻击。
根据美国智库“对外关系委员会”的研究,过去几个月来俄罗斯是对乌克兰发动了一系列网络攻击,其中包括对乌克兰政府和银行网站发动分布式拒绝服务(DDoS)攻击,以及用具有数据擦除功能的恶意软件感染乌克兰设备等。此外也有美方官员称俄方对卡霍夫卡(Kakhovka)水电站发动了网络攻击,但这些攻击均未造成任何显著破坏。
考虑到俄罗斯在网络攻防上的实力,网络安全界之前普遍预测乌克兰的通信网络将在战时遭受大规模网络攻击,但迄今尚未发生这种情况。这引发了网络安全界的各种猜测,部分专家认为背后的原因是乌克兰的网络安全水平近年来有所加强。但参议院情报特别委员会主席马克·华纳(Mark Warner)怀疑是俄方刻意保留了其网络力量,以便在关键时刻攻击西方世界,因此他提醒美国的私营机构和关键基础设施运营商要为此做好准备。
3月14日,以色列国家网络局在社交平台“推特”上证实,两家以色列电信提供商于14日遭到网络攻击,导致部分以色列政府网站暂时停止服务。
以色列国家网络局称已恢复相关服务,但互联网观察组织NetBlocks报告称,以色列之外的用户仍无法访问部分以色列政府网站。NetBlocks将此次事件归结于网络供应商Bezeq和Cellcom遭到分布式拒绝服务(DDoS)攻击,而一位“国防机构内部人士”称此次攻击为民族国家或大型黑客组织所为,但并未指明具体对象。
值得一提的是,与伊朗有关联的黑客组织经常对以色列发动网络攻击,而美国和英国负责网络事宜的官员于近日表示,伊朗政府旗下的黑客正在利用俄乌冲突来掩护其恶意网络活动。
3月14日,美国基础设施与网络安全局(CISA)发布公告,称已于上周举办了为期三天的“网络风暴VIII”网络演习,共有来自约200家政府机构、私营部门和外国组织的近2000人参与了此次演习。
“网络风暴VIII”演习的场景既涉及运营(如工业控制系统),也涉及传统企业系统,并为参演组织设置了勒索软件和数据泄露等威胁。此次演习的具体目标如下:检验国家网络安全计划和政策的有效性;厘清在产生或可能产生物理性影响的网络事件中,各方所应承担的职责;加强网络事件期间的信息共享和协调机制;促进公共机构和私营机构之间的合作关系,提高这些机构及时分享相关信息的能力。
“网络风暴”系列演习是美国涉及范围最广泛的网络安全演习之一,每两年举行一次。该系列演习并不针对任何具体或可信的威胁,而是考察国家关键基础设施面临网络危机时的各方反应,以此评估网络安全准备状况,同时检查相应的事件响应流程、程序和信息共享机制。每次演习后,CISA都将与各参与单位合作找出、分享和梳理经验教训,以改进网络事件响应规划、信息共享和响应活动。
08诺·格公司将为预警机安装具备加密现代化和超视距能力的Link-16战术数据链
3月15日,美海军航空系统司令部向诺斯罗普·格鲁曼公司授出1790万美元的E-2D“先进鹰眼”舰载预警机Link-16数据链合同,为15架E-2D“先进鹰眼”舰载预警机生产和安装具备加密现代化和组合超视距能力的Link-16数据链,以增强通信的安全性。该公司还将提供相关套件的验收测试和技术文件、能力改造相关的技术信息火狐电竞、安装并验证Link-16数据链加密现代化和组合超视距能力;并安装AN/ALQ-217电子支援措施以太网电缆。根据合同,该项工作预计于2023年5月完成。全程自动化和机器学习所需的标准认证工具集,以及供所有任务使用云中企业级数据湖(data lake)。此外美国陆军将继续通过“融合项目”(Project Convergence)等项目测试人工智能和机器学习的能力,以便更快地从来自陆军网络、系统和武器的海量数据中提取出更加复杂的知识。
3月15日,在最近通过的综合拨款法案中,国防部的软件和数字技术试点基金保持强劲增长,为实现数字密集型计划购买软件时提供更大的灵活性。2022 财年的资金总额约为 7.14 亿美元。这些项目分别是:海军风险管理信息计划(1370 万美元)、海上战术指挥与控制(1485 万美元)、陆军防御性网络软件原型开发(1.0888 亿美元)、空军和太空部队的联合太空作战中心(JSPOC)的资金任务系统(1.545 亿美元)、国家背景调查服务(1.2357 亿美元)、采购可见性(1830 万美元)、全球指挥和控制系统(3277 万美元)和算法战跨职能团队(2.4745 亿美元)。
3月15日,美联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA)发布联合网络安全咨询 (CSA) 以警告各组织,俄罗斯国家支持的网络参与者已通过利用默认 MFA 协议和已知漏洞获得网络访问权限。 早在 2021 年 5 月,俄罗斯国家支持的网络攻击者就利用了一个非政府组织 (NGO) 设置为默认 MFA 协议的错误配置帐户,允许他们为 MFA 注册新设备并访问受害者网络。然后,攻击者利用了一个关键的 Windows Print Spooler 漏洞“PrintNightmare”(CVE-2021-34527)以系统权限运行任意代码。俄罗斯国家支持的网络攻击者成功利用了该漏洞,同时针对使用思科 Duo MFA 的非政府组织,
该公告提供了策略、技术和程序、威胁指标 (IOC) 以及防范俄罗斯国家支持的恶意网络活动的建议。FBI 和 CISA 敦促所有组织应用本公告“缓解措施”部分中的建议,包括以下内容:实施 MFA 并审查配置策略以防止出现“失败打开”和重新注册情况;确保在 Active Directory 和 MFA 系统中统一禁用非活动帐户;修补所有系统。优先修补已知被利用的漏洞。
3月13日,美国国防研究人员最近开始与私营部门合作,战略性地探索建造世界上第一台实用的量子超级计算机。
美国国防高级研究计划署项目经理乔·阿尔特彼得 (Joe Altepeter) 领导了新推出的用于实用规模量子计算或US2QC 的未开发系统,研究人员打算弄清楚是否有其他方法能够比传统手段更快地实现公用事业规模的可操作量子计算机。
DARPA 以外的其他联邦机构也在投资和推行开发量子系统和探索相关用例的计划。一些人预测,量子进步最终可能会在医学或国家安全方面带来几乎无法想象的突破,比如实现无法破解的通信。
3月15日,欧洲标准组织(ESO)、CEN、CENELEC和ETSI与欧盟网络安全局ENISA联手组织了第6届年会。虚拟会议的重点是支持欧盟网络安全立法的欧洲标准化,吸引了来自欧盟和世界各地的900多名与会者。欧盟网络安全局抓住标准化会议的机会,发布了两份关于标准化的新报告,以支持网络安全政策。第一部分是与风险管理相关的现有标准的概述,描述了用于满足标准要求的方法和工具。第二份报告侧重于5G网络安全,并分析了有助于缓解5G生态系统中技术和组织风险的标准。两份报告都指出了标准化方面的差距,并根据利益相关者的需求,提出了加强这些领域标准覆盖率的建议。CENELEC总裁Wolfgang Niedziella表示:毫无疑问,欧洲标准化在网络安全方面发挥着关键作用:它有助于加强欧洲对网络威胁的集体抵御能力,并确保所有公民和企业都能从可信赖和可靠的产品,服务和流程中受益。因此,CENELEC与CEN一起致力于与ENISA和所有相关利益相关者合作,建立一个可持续的欧洲网络安全标准化系统,以支持欧洲利益并促进网络安全解决方案在单一市场中的采用。
3月15日, Top10VPN定期发布有关全球虚拟私有newtork(VPN)使用情况的数据,该研究强调了俄罗斯和乌克兰前所未有的需求。当然,VPN会创建私人隧道,以掩盖某人在线操作的内容,并允许连接的机器看起来好像它位于不同的国家/地区。这解释了大规模的激增,特别是在俄罗斯,访问流行的社交媒体网站和新闻服务已被切断。
俄罗斯VPN使用量在3月14日达到顶峰(截至发布),比平均每日需求(在入侵乌克兰之前的一周内测量)增长了2,692%。这可能是由俄罗斯的Instagram禁令推动的,数字仍在上升。3月4日Facebook和Twitter的禁令导致1000%的跳跃,2月下旬的互联网速度限制也导致了飙升。乌克兰对VPN的使用在3月2日达到609%的峰值,接近冲突开始。在俄罗斯入侵之前的几天里,乌克兰的VPN需求增长了544%,最近又有所下降,尽管仍然远高于基线,在战争前火狐电竞几周的需求增长了389%。
3月16日, Emotet恶意软件僵尸网络正在利用2022年美国税收季节,发送假装是美国国税局发送税表或联邦申报表的恶意电子邮件。Emotet 是一种恶意软件感染,通过网络钓鱼电子邮件分发,并附加了包含恶意宏的 Word 或 Excel 文档。打开这些文档后,它们将诱使用户启用将Emotet恶意软件下载到计算机上的宏。安装Emotet后,恶意软件将窃取受害者的电子邮件以用于将来的回复链攻击,发送进一步的垃圾邮件,并最终安装其他恶意软件,这些恶意软件可能导致受感染网络上的Conti勒索软件攻击。在电子邮件安全公司Cofense的一份新报告中,研究人员发现了多个冒充互联网税务局(IRS.gov)的网络钓鱼活动,这些活动使用与2022年美国税收季节相关的诱饵。这些电子邮件假装是美国国税局向收件人发送其2021年纳税申报表,W-9表格以及纳税季节通常需要的其他税务文件。
3月17日,在拜登总统本周签署的1.5万亿美元2022财年支出计划中,一项新的人工智能基金可能有助于五角大楼努力在战斗指挥层面增加人工智能的采用。这笔资金与国防部的人工智能努力相一致,特别是国防部副部长凯瑟琳·希克斯(Kathleen Hicks)去年宣布的人工智能和数据加速计划。2亿美元的人工智能和发展基金旨在改善战斗指挥部的战术人工智能。
这笔资金与国防部的人工智能努力相一致,特别是国防部副部长凯瑟琳·希克斯(Kathleen Hicks)去年宣布的人工智能和数据加速计划。在这项努力下,作战数据和人工智能技术专家团队正在被发送到军方的11个战斗指挥部,以帮助他们更好地了解他们的数据并创建人工智能工具来简化决策。根据2021年6月宣布该计划的国防部备忘录,国防部希望利用从团队和战斗指挥部收集的信息来更新其网络基础设施,消除政策障碍并确保其全球作战能力的可靠性和有效性。
16DirtyMoe僵尸网络在Wormable模块中获得新的漏洞以迅速传播
3月17日, 最新研究发现,被称为DirtyMoe的恶意软件已经获得了新的类似蠕虫的传播能力,使其能够在不需要任何用户交互的情况下扩大其覆盖范围。一个蠕虫模块每天可以生成和攻击数十万个私有和公共IP地址;许多受害者处于危险之中,因为许多机器仍然使用未修补的系统或弱密码。DirtyMoe僵尸网络自2016年开始活跃,用于执行加密劫持和分布式拒绝服务(DDoS)攻击,并通过PurpleFox等外部漏洞利用工具包或Telegram Messenger的注入安装程序进行部署。
作为攻击序列的一部分还使用了DirtyMoe服务,该服务触发了两个附加进程的启动,即Core和Dectukener,用于加载Monero挖矿的模块并以类似蠕虫的方式传播恶意软件。蠕虫模块的主要目标是在管理员权限下实现代码执行漏洞并安装新的DirtyMoe实例,此外,另一个正在开发的蠕虫模块被发现包含针对PHP,Java Deserialization和Oracle Weblogic服务器的漏洞,这意味着攻击者正在寻求扩大感染的范围。
3月18日,流行的node-ipcNPM软件包背后的开发人员发布了一个新版本,该版本擦除俄罗斯,白俄罗斯系统以抗议俄罗斯入侵乌克兰。Node-ipc 节点模块允许本地和远程进程间通信,支持 Linux、macOS 和 Windows。它每周的下载量超过100万次。该攻击于2022年3月15日被发现,当时流行的Vue.js前端JavaScript框架的用户开始体验破坏的影响。这是嵌套的依赖关系node-ipc和peacenotwar被破坏的结果,作为node-ipc软件包维护者的抗议行为。此安全事件涉及一个维护者损坏磁盘上文件的破坏性行为,以及他们试图以不同形式隐藏和重述该故意破坏的企图。虽然这是一次具有抗议驱动动机的攻击,但它突显了软件供应链面临的一个更大的问题:代码中的可传递依赖关系会对您的安全性产生巨大影响。对于任何需要NPM软件包的系统,如果与俄罗斯或白俄罗斯的地理位置相匹配,都将发生非常明显的滥用和关键的供应链安全事件。
3月17日,CISA和联邦调查局表示,他们意识到美国和全球卫星通信(SATCOM)网络面临的可能威胁。
安全公告还警告美国关键基础设施组织,在网络违规后,SATCOM提供商的客户将面临风险。成功入侵SATCOM网络可能会在SATCOM网络提供商的客户环境中产生风险,CISA和FBI强烈鼓励关键基础设施组织和其他SATCOM网络提供商或客户组织审查和实施本CSA中概述的缓解措施,以加强SATCOM网络网络安全。虽然这两个联邦机构建议SATCOM网络提供商增加额外的入口和出口监控以检测异常流量,但他们也分享了客户和提供商应实施的常见缓解措施,包括:
3月17日,社交媒体巨头Meta发现并删除了一段Deepfake视频,声称泽伦斯基总统发表了一份他从未做过的声明。据报道,它出现在一个遭到入侵的网站上,然后开始在互联网上显示。然而,泽伦斯基迅速回击,在Telegram上发布了自己对Deepfake黑客的蔑视信息Meta已迅速审查并删除了此视频,因为它违反了我们针对误导性操纵媒体的政策,并通知了其他平台的同行。据报道,有问题的受感染网站是俄语乌克兰新闻网站Segodnya,在乌克兰24日的电视直播中,有文字报道了同样的假新闻出现在新闻自动收报机上。这一事件标志着Deepfake首次被用来在动能战争中向民众传播不确定性和虚假信息。然而,专家多年来一直警告说,这项技术正变得越来越准确和负担得起。Meta2020年初禁止其平台上使用AI驱动的技术。根据其政策,如果视频是人工智能或机器学习的产物,包括深度学习技术(例如技术deepfake),合并,组合,替换和/或将内容叠加到视频上,创建看起来真实的视频,视频将被删除。
3月17日, “匿名者”集体及其附属团体继续以俄罗斯政府和私人组织为目标。3月16日匿名者宣布俄罗斯紧急情况部的网站遭到黑客攻击,黑客污损了他们并发布了以下消息:主页上出现了超链接,上面写着:不要相信俄罗斯媒体 - 他们在撒谎,关于乌克兰战争的完整信息和俄罗斯的违约迫在眉睫。/Sda25gSVfK— 匿名操作(@AnonOpsSE) 2022 年 3 月 16 日“匿名者”还声称入侵了俄罗斯Rosatom国家核能公司,该公司是一家专门从事核能,核非能源产品和高科技产品的俄罗斯国有公司。该组织从该组织窃取了数据,并开始泄漏千兆字节的数据。