V9网络研究院

研究中心  应用中心
规范标准  国际交流

国内外最新网络安全发展动态

更新时间:2022-08-22 16:05:53点击:252

国内外最新网络安全发展动态(图1)

Part 1. 国内


《票交所关于会员机构做好网上银行票据业务相关数据安全防范的通知》
上海票据交易所8月12日发布《票交所关于会员机构做好网上银行票据业务相关数据安全防范的通知》指出,近期,票交所监测发现,个别所谓“票据交易服务平台”诱导企业用户,通过非正常渠道截留、上传票据数据或通过安装外挂软件等方式,获取会员机构网银系统中的票据数据信息,并对相关票据数据进行再加工,形成服务产品对外出售获利,导致个别用票企业的票据业务数据及商业秘密存在泄露和被滥用的风险。了解更多》》

网信办发布境内互联网信息服务算法备案信息

8月15日,根据《互联网信息服务算法推荐管理规定》,现公开发布境内互联网信息服务算法名称及备案编号,相关信息可通过互联网信息服务算法备案系统(https://beian.cac.gov.cn)进行查询。任何单位或个人如有疑议,请发送邮件至pingguchu@cac.gov.cn,提出疑议应以事实为依据,并提供相关证据材料。后续将在本页面持续更新算法备案清单。了解更多》》

未落实通信网络安全防护管理责任,上海6家单位被通报

 8月15日晚,上海市通信管理局发布了关于通信网络安全防护管理情况的通报(2022年7月)。
上海市通信管理局检查发现,有18家单位的22个定级系统存在未按期落实通信网络安全防护管理整改要求等问题通报称,上述单位应当在2022年9月15日前(本通报发布之日起30日内)落实整改工作。逾期落实整改的,市通管局将依法依规组织开展处置和执法工作。了解更多》》

《网络安全标准实践指南——健康码防伪技术指南》公开征求意见

 8月17日,为指导健康码技术提供方提升健康码技术防伪能力,秘书处组织编制了《网络安全标准实践指南——健康码防伪技术指南(征求意见稿)》。
根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,秘书处现组织对《网络安全标准实践指南——健康码防伪技术指南(征求意见稿)》面向社会公开征求意见。如有意见或建议,请于2022年8月30日前反馈至秘书处。了解更多》》

银保监会下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》

近日,银保监会下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,引发关注。早在2016年,《关于银行业金融机构客户个人信息泄露案件风险提示的通知》就曾对相关问题进行规范,但个人金融账户信息泄露的情况近年来仍频频发生:某脱口秀演员控诉其个人流水遭某银行泄露;某银行客户经理因非法出售客户信息被判刑……这些现象,不时引发人们对于金融机构内控存在漏洞、个人信息泄露的担忧与讨论。了解更多》》
国内外最新网络安全发展动态(图2)

Part 2. 国外

1、网络空间安全政策与管理动态

白宫网络总监:网络的“防御是新的进攻”

8 月 14 日消息,周五在黑客大会 DEF CON 上与记者 Kim Zetter 的对话中,白宫国家网络主管 Chris Inglis 断言,网络安全的前进方向是防御、明确的角色和责任以及对弹性和稳健性的投资。 
根据英格利斯的说法,近年来出现了“三波攻击”。
 第一波“专注于将数据和系统置于风险之中的对手”。其次,攻击者“仍然使数据和系统处于危险之中,但他们随后将其抽象为使关键功能处于危险之中”。第三是对信心的攻击,例如对殖民管道的攻击。 
“从中得到的最重要的教训是 [攻击者] 然后让数百万人处于危险之中,”英格利斯说。“他们最终成功的是击败了一个人,他们击败了所有人。因为一个人的错误,他们打败了千万人。我们需要翻转剧本。”
英格利斯宣称,解决方案是专注于防守,特别是集体防守。
“唯一合理的解决办法是认真对待防守;让防守成为新的进攻,如果你是这个领域的对手,你必须击败我们所有人才能击败我们中的一个,”他说。“这需要对弹性和稳健性进行前期投资,不仅在数据和系统方面,而且在角色和责任方面。这就是您捍卫协作和信心的方式,因此您需要确保系统中的每个人都了解他们在该系统的防御中所扮演的角色,以便每个人都可以参与自己的防御。” 

英国发布新海事安全战略以提高技术、创新和网络安全方面的能力

8 月15日消息, 针对最新物理和网络威胁,英国发布了新海事安全战略,以加强海事技术、创新和安全,并减少对环境的破坏。
新的海事安全战略阐明了英国将如何提高其在技术、创新和网络安全方面的能力。五年战略将正式承认环境破坏是一个海事安全问题,英国需要解决非法捕鱼和污染行为等现代问题,通过提高可用海底测绘数据的数量和质量,可扩展我们的知识并帮助识别新出现的威胁。这将为英国政府管理国内外威胁和风险的方法制定了指导原则,包括利用英国世界领先的海底测绘社区和解决海上非法捕鱼和污染活动。

美网络安全审查委员会在 Log4j 调查后改进流程

8 月15日消息,美网络安全审查委员会正在利用从其Log4j 漏洞探测中汲取的经验来加强其调查过程。
在黑帽网络安全会议期间,CSRB 主席兼负责战略、政策和计划的国土安全部副部长Rob Silvers承认对漏洞的初步审查如何证明了董事会工作背后概念的有效性,但指出需要采取更多行动需要进一步完善评估过程。据 SC Media 报道,CSRB 的计划包括在 GitHub 上创建众包列表,其中包含使用 Log4j 上易受攻击代码的产品。

美立法者要求 HHS 提供有关网络态势的信息

8 月15日消息,美网络空间日光浴室委员会要求卫生与公众服务部提供有关针对医疗保健网络的勒索软件攻击的更多信息。
在致 HHS 秘书 Xavier Becerra 的一封信中,参议员 Angus King 和众议员 Mike Gallagher 要求与该机构进行简报,以确定解决整个医疗保健部门网络安全漏洞的方法。他们说,不良行为者知道医疗保健和公共卫生组织支付更快的费用来解决问题和保护患者安全。
King 和 Gallagher 正在寻求对该机构的组织结构、漏洞、网络劳动力和预算资源进行评估。
7 月,美国联邦调查局、财政部和网络安全与基础设施安全局发布联合警告称,朝鲜国家资助的黑客自 2021 年 5 月以来一直在使用勒索软件攻击美国医院。这些机构指出,攻击者使用了Maui 勒索软件用于加密医疗保健服务,包括电子健康记录和诊断服务。

ONCD 寻求美国防御性网络规划和运营的领导者

8 月15日消息,国家网络总监办公室正在寻求聘请网络安全规划和运营总监来协调防御性网络安全规划和运营,其主要职责是负责制定、协调和实施与网络防御运营规划、弹性规划和网络事件响应计划。
该职位的职位发布列出了工作任务,包括监督部门和机构级别的防御性网络活动以及国防网络规划和运营中的角色。
根据 ONCD 的职位公告,该职位的责任人将与国家安全委员会、国家情报局局长办公室、网络安全和基础设施安全局、联邦调查局和国防部等合作。

国务院局与私营部门合作解决网络问题

年8 月17日消息,国务院网络空间和数字政策局官员在加利福尼亚州旧金山会见了私营部门领导人,以与商业技术行业建立更强大的技术合作伙伴关系。据部门发言人称,预计此次访问将频繁进行,以推动解决若干技术政策问题的合作努力。
据 Nextgov 报道,CDP 高级官员 Jennifer Bachus 是前往加利福尼亚与私营部门领导人讨论关键政策举措的官员之一,重点是互联网连接、数据政策、网络安全、网络劳动力发展和在线安全。
这位发言人表示,与科技公司、行业协会、民间社会组织和外国政府官员等外部合作伙伴保持沟通,将有助于该部门确定并优先考虑在网络空间安全、国际通信和信息政策以及数字自由方面应解决的问题。
战略性公私网络安全合作得到了政府问责办公室和网络安全与基础设施安全局的支持。在最近的一份报告中,GAO 强调了建立此类伙伴关系的必要性,以防止对美国关键基础设施(包括管道、通信网络和运输)的网络攻击。在 CISA,在影响工业控制系统的网络事件不断增加的情况下,成立了一个名为联合网络防御协作组织的公私团队。

美国陆军和网络司令部致力于开发进攻性网络行动培训课程

8 月17日消息,美国陆军正在与美国网络司令部合作开展一项试点培训计划,该计划将使整个军队的网络人员具备执行进攻性行动所需的技能。
领导陆军网络卓越中心的Paul Stanton少将在最近的 TechNet 奥古斯塔会议上表示,新计划旨在培养能够在训练的早期阶段就已经执行任务的现役军人。与外国情报行动不同的风险概况,后者需要更长的培训时间。然后操作员可以继续他们的教育,以获得执行更复杂任务所需的技能。
据 FedScoop 报道,斯坦顿表示,该计划可能会在 6 到 12 个月内投入使用,并将在不同地点开设课程。

陆军增加了更多的网络团队

8 月17日消息,佐治亚州奥古斯塔——据一位高级官员称,今年陆军将为美国网络司令部再建立两个网络任务部队。
Barrett 还指出,在这两个团队之后,还有另外两个团队将在今年加入 Cybercom。
近年来,网络司令部已获准从最初的 133 个执行防御、进攻和支援任务的团队中扩大其网络任务部队。
“在 FY22-FY24 之间,我们预计 CMF 的存在将继续发展。在 22 财年——[将增加]4 支球队,在 23 财年——5 支球队,总共 142 支球队,” Cybercom 发言人告诉 FedScoop。

美国管理与预算局将落实零信任作为文职机构的头等大事

8月18日报道,美国管理与预算局(OMB)于7月向所有联邦文职机构发布了一份备忘录,其中概述了政府在2024财年预算中的“跨机构网络投资优先事项”,并强调各机构必须把落实零信任和推进IT现代化放在首位。
OMB的备忘录指出,零信任的目标是在机构范围内实现一致的网络安全基线,即以最小特权原则为基础,最大限度地减少攻击面,并围绕“机构边界可能被攻破”这一假设来设计保护措施。
备忘录同样指出,过时的系统和由此产生的技术欠账既限制了政府向客户提供现代服务的能力,也妨碍了政府落实现代的安全最佳做法。因此备忘录强调,各文职机构应优先开展“能在设计阶段以及整个系统生命周期中实现整体安全集的技术现代化工作”。这些工作这包括:
  • 通过零信任架构来加快运用安全的云基础架构和服务。
  • 开发和部署支持安全客户体验的联邦共享产品、服务和标准。
  • 使用共享安全技术(包括国土安全部的“持续诊断与缓解计划”)。
  • 在整个联邦机构的安全和IT运营团队之间共享零信任意识。
  • 使用敏捷开发实践并将NIST的安全软件开发框架和软件供应链安全指南集成到机构的软件采购和开发实践中。
该备忘录还指示文职机构加强与私营部门的合作,以保护关键基础设施。各行业风险管理机构(SRMA)必须确保它们在预算中申请了足够的资源来履行其职责,包括建立与关键基础设施所有者和运营商之间的合作机制,以识别、理解和减轻各行业面临的威胁、漏洞和风险。
该备忘录还指出,供应链风险管理(SCRM)是“管理网络安全风险的关键能力”。虽然国会要求各机构为各自的采办流程制定正式的SCRM 计划(尤其是针对信息和通信技术和服务的SCRM计划),但预计到2023年底后国会将不再提出此类要求,然而OMB呼吁各机构在2023年后继续制定此类计划。
这份OMB备忘录旨在敦促联邦文职机构落实零信任理念,以确保各机构不能以“进展缓慢”为由阻碍零信任架构的落地。

美国国家标准与技术研究所将发布人工智能指南

8月17日消息,为减轻人工智能系统的算法偏见和其它风险,美国国家标准与技术研究所(NIST)将于数日内发布NIST《风险管理框架》的一份关于人工智能的配套指南。
NIST的研究科学家兼首席人工智能研究员列娃·施瓦兹(Reva Schwartz)表示,该指南是公共和私人组织根据其内部架构量身定制的综合性指南,旨在帮助人们了解风险管理框架,并在内部采取一些实用做法。该手册虽强调了防止人工智能技术偏见的具体方法,但其并非必须照章执行的金科玉律。
该指南旨在防止人工智能算法出现系统性偏见,即因业务或运营流程而导致决策存在偏见。施瓦茨指出,许多程序员会关注认知偏见和统计偏见,但却忽视了使系统因数据问题而产生偏见的组件。

美国陆军将启动士兵自带设备入网试点工作

8月17日消息,美国陆军即将开始实施“自带设备”(BYOD)概念的试点,即允许士兵将他们的个人通信和IT设备连接至陆军网络。
美国陆军G-6副参谋长约翰·莫里森(John Morrison)中将表示,这项工作将于9月或10月初开始,在接下来的1个月到45天内,美国陆军将尝试允许士兵用个人设备登录陆军网络并开展任务。莫里森称已根据零信任原则对安全权限进行了分级,并对整个过程中都进行了网络安全评估。由于BYOD登录的是国防部托管在云中的虚拟化环境,所以非常安全。
美国陆军希望BYOD概念能够提高作战效率并节省资金,最初的试点将在国民警卫队和预备役部队中展开,随后扩大到现役部队乃至驻扎在美国本土以外的部队。

美国网络安全与基础设施安全局希望加强与白帽黑客的合作

8月17日消息,美国网络安全与基础设施安全局(CISA)局长珍·伊斯特利(Jen Easterly)表示,CISA与黑客社区的合作将是加强国家网络安全的关键。
在 DEF CON 22黑客大会上,伊斯特利称CISA在与白帽黑客开展合作方面取得了成功,并正在寻找巩固这种关系的方法。她补充说,政府与白帽黑客之间的合作将确保网络安全领域的参与者得到适当的指导,并拥有保卫国家所需的资源。伊斯特利还指出,透明度对于促进黑客社区内部的信任至关重要。
为了像伊斯特利所说的巩固关系,美国政府必须保持谦逊,认识到政府不能仅靠自己的力量解决网络安全问题。

美国与墨西哥网络问题工作组推进双边合作

8月18日消息,8月10日,美墨网络问题工作组举行了双边网络对话会,会议的主要目标是根据两国关于开放、可互操作、安全、可靠的互联网和稳定网络空间的共同承诺,推进双边网络问题合作。
会议期间,代表团讨论了两国国家应对网络空间威胁的体制架构和战略,如何预防和打击网络犯罪的机构能力,如何努力培养更好的网络安全意识和网络卫生文化,以及在网络防御和网络安全方面的具体合作(包括保护关键基础设施)。
两国政府还讨论了他们在多边领域的共同利益,以促进所有公民访问开放、可互操作、安全和可靠的互联网。美国和墨西哥重申国际法也适用于网络空间,并将继续推动遵守和实施联合国大会通过的“负责任国家行为框架”,以促进网络空间的稳定和问责制度。
两国代表团作出以下承诺:
  • 加强协调以网络和数字经济问题为重点的双边合作倡议,包括促进发展安全、有弹性和可靠的技术生态系统。
  • 加强技术协调机制,以便更好地关注和应对那些“会影响共两国共用的国家关键信息基础设施”的网络事件。
  • 酌情加强双边合作,以交换有助于网络犯罪调查的网络威胁情报信息。
  • 继续开展双边培训计划和相关工作,以促进联邦和州级机构(特别是安全和执法机构)的网络安全文化,并在两国的公共部门和私营部门培养网络安全意识和事件报告文化。
  • 加强美国国土安全部(DHS)——包括网络安全和基础设施安全局(CISA)和国土安全调查局(HSI)——与墨西哥同行在信息共享、事件响应管理、勒索软件、执法和调查等问题上的合作以及对关键基础设施的保护。
  • 继续分享关于网络安全资源的信息,并支持积极参与美国国家标准与技术研究所(NIST)“网络安全框架2.0”和“国家网络安全教育倡议”(NICE)等倡议,比如推进“网络安全教育与培训地区倡议”(RICET)等活动。
  • 继续就网络安全多边进程开展对话与合作,包括美洲国家组织的美洲反恐怖主义委员会(OAS-CICTE)工作组在“网络空间内的合作与互信措施”方面的合作和网络犯罪方面的合作。
  • 继续参与全球网络专家论坛(GFCE)、互联网治理论坛(IGF)和自由在线联(FOC)等多方利益相关者论坛,包括继续加强和推进网络空间中内的基本自由和尊重人权。
  • 与加拿大进行协调,以便在2022年召开三边网络专家会议。

俄罗斯加快开发人工智能型武

8月18日消息,在俄陆军2022年峰会上,俄罗斯国防部宣布其新成立了一个专门开发人工智能型武器的部门。
俄军创新发展部门负责人生成该部门将向美国国防部的人工智能机构“首席数字与人工智能办公室”(CDAO)看齐。2017年,俄罗斯总统弗拉基米尔·普京表示,人工智能是“是俄罗斯和全人类的未来,它带来了巨大的机会,但也带来了难以预测的威胁。谁成为这个领域的领导者,谁就会成为世界的统治者。”
俄罗斯副总理德米特里·切尔尼申科在俄陆军2022年峰会上同时宣布,俄罗斯将于9 月启动其国家人工智能中心,该中心将专注于从商业到科学再到政府的跨领域搜索和分析人工智能,并促进人工智能项目扩展到研究机构和技术公司等各类组织中。

美国陆军将加强全球网络防御协调

8月19日消息,美国陆军网络司令部(ARCYBER)计划将其位于美国的一个区域中心转变为能够协调全球数字行动的枢纽。
ARCYBER司令玛丽亚·巴雷特(Maria Barrett)中将此举有助于改善五个现有区域网络中心之间的合作,而这些中心正是各战区网络资源和网络责任的焦点。这五个中心分别位于美国的亚利桑那州和夏威夷、德国、科威特以及韩国。
巴雷特表示,美国国防部正从战斗了数十年的中东地区转向,开始准备与中国和俄罗斯进行更广泛、技术更先进的战斗,为此需要协调全球范围内的网络能力。这一变动预计不会影响美国各战区的运作。
2、信息通信与网络安全技术发展
美国海军陆战队订购防御性网络武器
8月12日消息,Seal Technologies已收到海军陆战队系统司令部1.6848亿美元的任务订单,为USMC提供国防网络武器系统(DCWS)解决方案。
DCWS是“防御性网络运营(DCO)团队的独立飞行套件,用于进行漏洞分析,事件响应,地形测绘和其他DCO功能”,国防部在8月11日的公告中指出。Seal Technologies将在12个月的基期内执行合同,然后是四个12个月的期权,可能完成日期为2027年9月。
工作将包括提供软件和硬件、测试和评价、生产和部署、业务和支助、培训、质量管理和承包商后勤支助。

美国NOAA希望提高卫星数据可用性

8月12日消息,美国国家海洋和大气管理局寻求有关商业天基数据中继能力的信息,这些能力可以提高卫星数据的可用性和弹性。NOAA的国家环境卫星,数据和信息服务(NESDIS)需要一个更敏捷,可扩展的信息系统来处理数据,其商业服务集成产品团队将天基数据中继(SBDR)确定为一种新兴技术,可以满足这一需求。
该服务管理国家气象局收集的数据。与NASA非常相似,NESDIS计划从政府拥有和运营的卫星服务过渡到与工业界合作管理的服务,因此它需要像SBDR这样具有成本效益的商业技术,以改善天地通信和任务运营。

印度陆军启动本国初创企业量子密钥分发技术采购和部署工作

8月14日消息,印度国防部宣布,在国防部“卓越国防创新”(iDEX)计划-国防创新组织(DIO)的支持下,总部位于班加罗尔的印度专深技术初创企业量子实验室公司(QNu Labs)开发出了量子密钥分发(QKD)系统,实现了创新的安全通信,成为“卓越国防创新”计划下“开放式挑战-2”(Open Challenge-2)活动中的优胜者之一。
在由“卓越国防创新”计划-国防创新组织和印度陆军设计局(Army Design Bureau)、陆军信号理事会(Army Signals Directorate)联合进行的试验中,量子实验室公司的系统打破了印度量子密钥分发传输的距离纪录。试验取得成功后,印度陆军正发布商业招标书(RFP),启动对量子实验室公司量子密钥分发系统的采购和部署流程。

黑客在2022黑客大会上测试微电网技术

8月16 日消息,最近在拉斯维加斯举行的2022年度网络安全和黑客大会上 ,超过 1,700名的与会者参加了五角大楼的微电网黑客挑战,其中许多人成功关闭了模拟电网。
五角大楼认为,微电网的网络安全保护非常重要。陆军设施停电将对国家安全造成令人担忧的影响,微电网的性能也会影响公众,因为陆军设施附近的社区也将接入网络。因此,陆军将致力于推动微电网的努力,因为这些系统具有能源效率、成本效益,并且即使网络攻击或自然灾害摧毁了更大的电网,也可以保持基地正常运行。但也有一个缺点。由于微电网依靠先进技术来连接各种提供智能和自动化的组件,因此它们容易受到广泛的攻击。
黑客尝试了许多创造性的方法来破坏电网。最成功的方法之一是将不良代码注入国家海洋和大气管理局的天气预报,微电网赖以发挥作用。

政府比企业更快地实施零信任架构

8月16日报道,根据IT 公司 Okta 周二发布的一份报告,政府机构在采用和实施零信任安全架构方面领先于企业,与 56% 的公司相比,72% 的政府组织已经在使用零信任框架。
在题为“2022 年零信任安全状况”的白皮书中,Okta 对全球 700 位安全领导者进行了调查,“以评估他们在实现完全零信任安全态势的过程中所处的位置。” 零信任框架是一种安全策略,默认情况下不信任所有实体,并要求网络内外的所有用户在用户浏览整个网络时不断进行身份验证、授权和验证以进行安全保护。
Okta 的联邦首席安全官 Sean Frazier 告诉Nextgov ,零信任“已成为安全的自然演变” 。“零信任上升到每个人都开始关心的最重要的事情,因为它确实是我认为是我们现在正在处理的东西的不可避免的安全架构。”
政府领先于行业同行的一个原因是联邦关于零信任的规定。2021 年 5 月,乔·拜登总统发布了一项行政命令,旨在通过零信任架构等加强联邦政府的计算机系统和网络。2021 年 9 月,政府发布了零信任架构指南草案。各机构必须在 2024 年 9 月之前实现五个零信任目标:身份、设备、网络、应用程序和数据。
该报告还强调了身份措施对政府机构的重要性,作为其零信任计划的一部分。本月早些时候,NIST 和网络安全和基础设施安全局发布了 SolarWinds 攻击后的身份和访问管理指南,其中包括零信任架构的实施和使用。报告发现,19% 的政府受访者认为身份支柱至关重要。
Frazier 指出,身份和访问管理是“零信任的第一支柱,这是有原因的,因为它是所有这些东西的关键。” 
根据该报告,只有大约 7% 的政府组织已经或即将计划进行无密码访问。与此同时,大约 22% 的金融服务公司受访者和 16% 的医疗保健和软件公司都在使用它。该报告指出,无密码访问包括“使用高保证因素,例如因素排序、通过 Web 身份验证 (WebAuthn) 的基于生物特征的登录以及通用第二因素 (U2F) 安全密钥”。
该报告还强调,“政府受访者计划在未来 12-18 个月内在成熟度曲线上取得重大进展。具体来说,他们的计划相当于 12 个身份项目中的 6 个的进展几乎翻了一番,优先考虑为员工和用户组部署 MFA 等举措。” 该报告指出,政府实体在身份项目方面落后于其他受访者,但预计未来会开展这些工作。 

NOAA 评估应用程序和设备的多因素身份验证

8 月17日消息,据其首席信息官称,美国国家海洋和大气管理局正在探索其网络之外的多因素身份验证,因为它希望根据联邦零信任战略加强网络安全。
Zach Goldstein 告诉 FedScoop,他的机构已经需要通用访问卡 (CAC) 和个人身份号码来对其网络进行身份验证,但仍在继续对应用程序和设备的多因素身份验证 (MFA) 解决方案进行比较分析。
“我们正在研究 CAC 卡以外的东西,智能令牌的东西 - 知道我是谁,可以与证书服务器交换证书,可以轻松撤销,可以拥有多种特权,”Goldstein 说.
Goldstein 补充说,根据白宫 2021 年 5 月发布的 网络安全行政命令,网络安全是他的“首要任务” ,他希望在 2023 财年第二季度之前选择一个用于应用程序和设备身份验证的令牌。
美国国家海洋和大气管理局还在增加对软件即服务的供应链风险评估——不仅关注公司,还关注他们购买和使用的服务——在戈德斯坦的领导下,戈德斯坦在该机构工作了 17 年半,自 2015 年以来一直是首席信息官。
Goldstein 希望扩大 NOAA 对云的使用,以进一步改善该机构的网络态势,同时阐明迁移的进展情况。
“我们计划创建一个云项目管理办公室 (PMO),其工作之一就是为我和 NOAA 领导层提供这个答案,”他说。

BAE公司推出新型军事通信网络

8月17日消息,英国BAE Systems公司推出了其最新的可部署网络产品NetVIPR,该软件解决方案能提供智能和安全的军事通信网络,连接从小型侦察无人机到战车、战斗机、航空母舰或军事指挥部的一切。
NetVIPR由一系列节点组成,安全网络中的每个节点都能够添加、访问和移动数据。这意味着即使某些节点在战争中受损,其余节点也会自动新建线路以保持最佳网络速度和信息流,这一特点赋予了NetVIPR高度的网络弹性。
NetVIPR不会仅仅依赖卫星或固定基础设施(这些基础设施往往是对手的目标),而是能使用各种各样的通信基础设施,因此能更好地在电子与网络攻击中维持通信网络。
此外NetVIPR通过软件来执行过去由硬件执行的功能,并可实现远程线上更新,从而提供不间断的网络访问和数据传输。

BAE公司开发下一代雷达与通信技术

8月17日消息,美国国防先进研究项目局(DARPA)已授予英国BAE Systems公司的FAST Labs实验室一份价值1750万美元的合同,以用于“使用光子振荡器产生低噪声”(GRYPHON)计划。该计划有望开发出低噪声、尺寸紧凑和频率捷变的下一代机载传感与通信装备。
电子振荡器是驱动几乎所有微电子系统的重要技术,而要达到较高的性能,就需要使用耗电的大型系统,而BAE Systems公司的创新解决方案结合了数字电子的效率和敏捷性,以及光子学的带宽和稳定性,能以前所未有的小尺寸(缩小至原先系统的四分之一)提供精密微波源。这将极大改善雷达与通信装备的尺寸、重量、功率和成本。
GRYPHON计划是BAE Systems公司先进电子产品组合的一部分,其工作包括与分包商GenXComm的合作,而GenXComm将开发用于射频信号处理的先进微光子学,以实现高吞吐量、超低延迟、无干扰的无线网状网络。

陆军官员预测明年将“更快地移动”到云端

8 月17日消息,TECHNET AUGUSTA 2022 — 陆军负责指挥、控制、通信和计算机的副参谋长 (G-6) 今天表示,预计明年陆军在迁移到云方面会出现明显、迅速的进展。 
“明年你会看到向云计算的移动速度要快得多,”约翰·莫里森中将在 AFCEA TechNet 奥古斯塔 2022 年会议上告诉记者。“现在已经奠定了基础。我们正在将必要的能力交到我们的作战部队手中,这样他们就可以了解现在需要迁移到云端的应用程序,我们正在调整必要的战斗力来协助迁移。它会快得多。”

美国海军加紧升级其机构网络

8月18日消息,美国海军于8月3日授予2 Twelve Solutions公司一份估计价值为9350万美元的“替代交易协议”(OTA),以改造、升级和管理美国海军的机构网络。
2 Twelve Solutions公司提供的全面解决方案包括公司的高级应用程序编程接口(API)、多云平台和使用其安全数据中心基础设施的企业编排存储库(ORE)。该公司表示,该平台和ORE底层的云原生解决方案最初是为美国商业金融部门开发的,后来的工作证明该技术可用于提高美国海军信息技术(IT)平台和系统(比如海军数字化转型的关键要素“海军数字平台”(NDP))的任务效率。
2 Twelve Solutions公司称,这种云原生技术是该公司端到端工程实验室(E3 Lab)的成果,E3 Lab包括各种云平台,具有高度可配置性和可扩展性,能够精确模拟企业环境,并提供端到端解决方案。

美国能源部开发电网网络安全技术

8月18日消息,美国能源部(DOE)于8月17日发布了一份4500万美元的融资机会公告(FOA),以供创建、加速和测试多种保护电网免受网络攻击的技术。
DOE的网络安全、能源安全及应急响应(CESER)办公室表示,该FOA将资助多达15个新的研究、开发和示范项目,以便通过先进的网络安全工具和技术来降低美国能源业的网络风险。这笔资金还将加强能源部与能源行业的公司、供应商、大学、国家实验室和服务提供商的现有合作伙伴关系,从而建立有弹性的能源输送系统。
CESER希望由此开发的工具和技术可使能源系统能够识别网络攻击,自主阻止网络攻击,并在不中断能源输送的情况下自动隔离和根除网络威胁。
该FOA涉及的领域包括自动防范和减轻网络攻击,将网络安全和网络弹性理念融入工具和技术的设计,建立能源输送系统的网络认证机制,自动发现和减轻能源输送控制系统应用程序中的漏洞,制定先进的网络安全软件解决方案,将新的网络安全理念和技术与现有基础设施相结合,以及验证和展示可集成到现有基础设施中的尖端网络安全技术等。

美国陆军加紧开发新型电子战与网络战系统

8月19日消息,美国陆军与洛克希德马丁(Lockheed Martin)公司和通用动力任务系统(General Dynamic Mission System)公司签订了一份价值1500万美元的合同,以用于开发电子战与网络战系统“陆地层系统-旅级以上梯队”(TLS-EAB)。
TLS-EAB是一款集成了网络、信号情报和电子战能力的电磁攻击与信号系统,其能向士兵提供数千英里外的环境信息并发出警报,并能以整体、同步的方式为大规模作战行动提供致命和非致命火力。陆军项目经理电子战与网络办公室表示,虽然尚未敲定TLS-EAB系统的搭载平台,但正在考虑采用中型战术车辆系列。
与TLS-BCT相比,TLS-EAB将装备给更高层级、更具战略意义的陆军梯队,这些梯队需要更远的射程以及与更大范围内的友军乃至外国盟军进行互操作的能力。
3、安全业界动态
联邦首席信息官委员会致力于零信任实施
8月12日消息,美国联邦首席信息官委员会的机构间零信任领导指导小组正在集中精力确定联邦机构在实施零信任安全架构时面临的挑战。
在ATARC零信任峰会上,可信互联网连接3.0计划经理肖恩·康纳利(Sean Connelly)分享说,该委员会正在研究各机构在获得零信任实施工作资金时如何向前发展。据FedScoop报道,自乔·拜登(Joe Biden)总统签署网络安全行政命令以来,资金一直是首席信息官和首席信息安全官关注的问题,其中包括要求各机构提交零信任架构实施计划。
各机构正在考虑实施零信任的一些工具是技术现代化基金,网络安全和基础设施安全局的联邦高价值资产计划和TIC 3.0。联邦高价值资产计划帮助机构保护敏感数据,而 TIC 3.0 通过补充零信任的用例为 IT 环境提供安全架构。除了资金问题外,美国政府还在努力确保零信任实施问题得到解决。CISA正在与管理和预算办公室以及美国数字服务局合作,审查联邦机构的零信任实施计划,并确定他们需要在哪些方面开展工作。他们还在研究跨组织的网络安全相关挑战。
从机构间工作中收集的信息与CISA主持的CyberStat工作组共享,这些工作组每月开会讨论零信任支柱的实施:身份,设备,网络,应用程序和工作负载以及数据。

CISA加大力度打击选举虚假信息

8月12日消息,自2020年大选以来,虚假信息已成为选举官员面临的更大挑战,导致国土安全部网络安全和基础设施局加大力度打击可能破坏民主进程的谎言。
CISA局长Jen Easterly于8月11日在拉斯维加斯举行的DEF CON 网络安全会议的新闻发布会上说,虚假信息的危险已经成为一个“非常困难的问题”。Easterly已采取若干具体措施来解决这个问题,包括将前国务卿怀曼带入CISA以支持其选举工作。
伊斯特利指出,怀曼是共和党人,她特意从两党招募人员参与CISA的选举工作。“我们认识到这不是党派问题,”伊斯特利说,并补充说她在职业生涯早期曾为前总统乔治·W·布什工作。“我担心系统会以惊人的方式崩溃的地方是,如果CISA突然变成一个党派机构。”她说,自拜登总统在2020年击败前总统特朗普以来,威胁形势发生了很大变化。在2016年和2018年选举之后,国土安全部和CISA官员主要关注网络安全问题。她说,情况变了。“现在威胁形势要复杂得多,”伊斯特利说。“当然,我们仍然关注网络安全方面,但我们 [也] 关注内部威胁……我们专注于错误信息和虚假信息的威胁。”CISA的信息运营团队已经扩大,她指出她最近从哈佛大学聘请了 Maria Barsallo Lynch,她是该校贝尔弗中心捍卫数字民主项目的执行主任。
最近,针对选举工作人员的人身暴力威胁激增,伊斯特利表示,她“非常关注”这个问题,并认为这是自 2020年以来最大的变化。她说,许多选举官员因为家人受到威胁而离职。美国选举基础设施面临的复杂和多方面的网络威胁让 Easterly 认为中期和 2024 年的选举“将是一个非常具有挑战性的时期”。

macOS 上的软件补丁缺陷可能让黑客绕过所有安全级别

8月15 日消息, 与 macOS 如何处理系统上的软件更新有关的注入漏洞可能允许攻击者访问 Mac 设备上的所有文件。
该消息来自 Mac 安全专家 Patrick Wardle,他在 Sector7博客文章中(以及在拉斯维加斯举行的黑帽会议上)展示了威胁行为者如何滥用该漏洞来接管设备。
在部署初始攻击后,Alkemade 能够逃脱 macOS 沙箱(旨在将成功黑客攻击限制在一个应用程序的功能),然后绕过系统完整性保护 (SIP),从而有效地启用了非授权代码的部署。
这位网络安全研究人员表示,他于 2020 年 12 月首次发现该漏洞,随后通过公司的漏洞赏金计划向苹果公司报告了该问题。
Wardle 还解释说,虽然该漏洞在他向 Apple 发现后利用了多个漏洞,但该公司在 2021 年4 月解决了大部分漏洞,并在 2021 年10 月修补了一个漏洞。
这两个更新都没有深入研究漏洞的技术细节,只是说该漏洞可能允许恶意应用程序泄露敏感的用户信息并提升攻击者的权限。
“在当前 macOS 的安全架构中,进程注入是一种强大的技术,”Wardle 在他的博客文章中写道。
“一个通用的进程注入漏洞可用于逃离沙箱、提升 root 权限并绕过 SIP 的文件系统限制。我们已经展示了我们如何在加载应用程序的保存状态时使用不安全的反序列化来注入任何 Cocoa 进程,”该咨询总结道。
“Apple 在 macOS Monterey 更新中解决了这个问题。”
该漏洞及其补丁的披露是在 ESET 的安全研究人员发现一个他们称为“CloudMensis”的 macOS 后门之后数周发布的,该后门被用于有针对性的攻击以窃取受害者的敏感信息。

陆军为美国网络司令部试行新的进攻性网络课程

8月16日消息,陆军正在开发一个试点项目,以代表美国网络司令部更好地培训全军进攻性网络作战人员,以解决战备差距。
所有军种的进攻性网络人员在第一天还没有准备好执行他们的工作,因此陆军作为高级网络工作角色课程开发的执行机构,正在为所有美国军事部门试行新课程和课程。
这项新计划将采用分布式模式,在德克萨斯州、戈登堡、佐治亚州、米德堡、马里兰州和华盛顿的地点教授课程,从投入使用大约需要六个月到一年的时间,Paul Stanton 少将陆军网络卓越中心指挥官说:“这是一项共同努力,与美国网络司令部和其他军种协调,以培养准备成为其网络任务部队成员的服务成员,”他指出,该试点正在与网络司令部的培训理事会一起执行。

CISA 警告黑客利用 Zimbra 协作套件中的多个漏洞

8月17日消息,网络安全和基础设施安全局 (CISA) 发布了新的咨询警告,警告攻击者积极利用 Zimbra 协作套件 (ZCS) 中的五个不同漏洞。
该文件是与多国信息共享与分析中心 (MS-ISAC) 合作编写的,并解释了威胁行为者如何针对政府和私营部门网络中未修补的 ZCS 实例。
第一个发现的漏洞(跟踪 CVE-2022-27924)是一个高严重性漏洞,使未经身份验证的威胁参与者能够将任意 memcache 命令注入 ZCS 实例并导致任意缓存条目被覆盖。
“然后,攻击者可以在没有任何用户交互的情况下以明文形式窃取 ZCS 电子邮件帐户凭据,”该公告写道。
文档中提到的第二个和第三个漏洞是链式的(分别为 CVE-2022-27925 和 CVE-2022-37042),前者允许经过身份验证的用户将任意文件上传到系统,后者是身份验证绕过漏洞.
CISA 报告中提到的其余 Zimbra 漏洞是 CVE-2022-30333(Linux 和 UNIX 上的 RARLAB UnRAR 中的高严重性目录遍历漏洞)和 CVE-2022-24682(影响 ZCS 网络邮件客户端的中等严重性漏洞)。

工业设施 USB 驱动器上 81% 的恶意软件会破坏 ICS

8月17日消息,根据霍尼韦尔本周发布的一份报告,去年在工业设施中使用的 USB 驱动器上发现的恶意软件中有很大一部分能够针对和破坏工业控制系统 (ICS)。
这家工业巨头发布了其第四份年度报告,重点关注其专用安全产品之一在带入其客户工业环境的 USB 驱动器上发现的恶意软件。
霍尼韦尔对数据的分析发现,工业特定恶意软件的百分比已经从2021 年报告的 30% 和2020 年报告的 11% 增加到 32% 。旨在通过 USB 传播或专门利用 USB 进行感染的恶意软件的百分比增加到 52%,显着高于 2021 年的 37%。
可能导致运营技术 (OT) 系统中断的恶意软件也略有增加——这包括失去控制或失去视野。具体来说,霍尼韦尔产品在 USB 驱动器上检测到的恶意软件中有 81% 具有破坏性,高于 2021 年的 79%。

恶意 PyPi 包将 Discord 变成密码窃取恶意软件

8月17 日消息,已发现十几个恶意 PyPi 软件包安装了恶意软件,这些恶意软件将 Discord 客户端修改为信息密封后门,并从 Web 浏览器和 Roblox 窃取数据。
这 12 个包于 2022 年 8 月 1 日由名为“可怕的编码器”的用户上传到 Python 包索引 (PyPI),并由Snyk的研究人员发现。
与常见的拼写错误方法相反,这些包使用自己的名称并承诺提供各种功能以向感兴趣的开发人员推销自己。
Python 包伪装成 Roblox 工具、线程管理和基本黑客模块,但没有一个具有承诺的功能。相反,这些软件包会在开发人员的设备上安装窃取密码的恶意软件。
不幸的是,在撰写本文时,这套恶意 PyPi Python 包尚未从开源包存储库中删除,因此软件开发人员仍处于危险之中。
作为 Snyk 新报告的一部分,研究人员分析了其中一个名为“cyphers”的恶意 Python 包,显示了隐藏在“setup.py”文件中的恶意代码如何用于从 Discord CDN 服务器安装两个恶意软件可执行文件,即“ ZYXMN.exe”和“ZYRBX.exe”。
除了“hackerfileloll”和“hackerfileloll”使用名为“Main.exe”的单个恶意可执行文件外,该集合中的所有包的行为都是相同的。
第一个二进制文件 ZYXMN.exe 用于从 Google Chrome、Chromium、Microsoft Edge、Firefox 和 Opera 窃取信息,包括存储的密码、浏览器历史记录、cookie 和搜索历史记录。
为了从浏览器中窃取信息,该恶意软件将解密 Web 浏览器的本地数据库主密钥,以检索受害者搜索历史、浏览历史、cookie、书签、存储密码和存储信用卡的明文数据。然后,此信息通过 Discord Webhook 上传给威胁参与者。
然而,更有趣的是,该恶意软件会修改 Discord 客户端使用的实际 JavaScript 文件,以注入一个后门,该后门可以直接从您的 Discord 帐户中窃取信息。
为了从 Discord 中窃取数据,恶意软件会修改“discord_desktop_core”文件夹下的 index.js 文件,以添加恶意 Discord-Injection 脚本。此注入的目标客户是 Discord、Discord Development、Discord Canary 和 Discord PTB(公共测试构建)。

谷歌公司阻止迄今最大规模的HTTPS DDoS 攻击

8月18日消息 ,谷歌公司披露称,在今年6月1日,一位Google Cloud Armor 客户受到了基于HTTPS协议的分布式拒绝服务(DDoS)攻击,此次攻击持续了69分钟,其规模达到了每秒4600万次请求(RPS),这是有史以来此类攻击中规模最大的一次。
此次攻击始于太平洋时间6月1日上午09:45开始,最初以10,000 RPS的速度攻击受害者的HTTP/S负载均衡器,8分钟内,攻击加剧到100000 RPS,谷歌公司的Cloud Armor Protection系统根据流量分析数据拉响了攻击警报。谷歌公司称,此次攻击的规模相当于在10秒内将所有日常请求都发送到维基百科。幸运的是,受到攻击的客户已经部署了Cloud Armor的推荐规则,因此其运行并未受到攻击的影响。
谷歌公司表示,攻击流量仅来自分布在132个国家/地区的5256个IP地址,并利用了加密请求(HTTPS),这表明发送请求的设备具有相当强大的计算资源。
该攻击的另一个特点是使用Tor出口节点来传递流量。尽管近22%或者说1169 个来源是通过Tor网络引导请求,但它们仅占攻击流量的3%。尽管如此,谷歌公司还是认为Tor出口节点可用于向网络应用程序和服务提供“大量不受欢迎的流量”。
用于攻击的恶意软件尚未确定,但所用服务的地理分布指向DDoS僵尸网络Mēris。Mēris以使用不安全的代理发送不良流量而闻名,曾两次创下DDoS攻击的纪录。

Mandaint公司披露伊朗黑客组织UNC3890的活动特征

8月18日消息,美国Mandiant公司发现,伊朗黑客组织UNC3890主要通过社会工程学引诱(可能还包括水坑攻击)的方式攻击以色列的航运、政府、能源和医疗保健组织。
UNC3890使用至少两种独特的工具,其中一个是被命名为SUGARUSH的后门,另一个是被命名为SUGARDUMP的浏览器凭据窃取程序,UNC3890会这两件工具从Gmail、Yahoo和Yandex电子邮件服务窃取盗数据。此外UNC3890还使用了多种公开可用的工具,比如METASPLOIT框架和NorthStar C2。
Mandiant还发现UNC3890运行着一个由命令和控制(C2)服务器组成的互连网络,这些服务器托管域和虚假登录页面,以用于欺骗Office 365等合法服务以及通过机器人程序在LinkedIn和Facebook等社交网络上发布虚假的工作机会和广告。
Mandiant称UNC3890主要对以色列的政府、航运、能源和医疗保健组织开展网络间谍活动,但同时也攻击了一些全球性企业,尤其是航运企业。
4、网络攻防动态
研究人员用25美元自制设备搞定Starlink
8月12日消息,一名比利时安全研究人员使用自制印刷电路板成功入侵了SpaceX的Starlink卫星互联网系统,该电路板的开发成本约为25美元。研究人员在Black Hat USA 2022会议上的演讲中谈到了他的研究成果。
Lennert Wauters拆解了一个卫星天线并创建了一个可以连接到天线的模块芯片。连接星链天线后,模组芯片发起故障注入攻击,导致系统暂时关闭,以造成崩溃并绕过星链的防御。使用自制工具,Wouters通过入侵用户Starlink UT终端的安全控制中心的启动盘来获得root访问权限。连接到Starlink盘后,该工具发起了一次攻击,并引入了错误以暂时使系统短路。这允许绕过Starlink的保护,以便Wouters可以渗透到系统的锁定部分。
Wouters攻击导致第一个引导加载程序(ROM引导加载程序)失败,该加载程序闪烁到片上系统(SoC)中,无法更新。然后,他将修补的固件部署到以后的引导加载程序中,使他能够控制该碟。根据专家的说法,这种攻击会导致Starlink UT的不可逆转的妥协,并允许您执行任意代码。当Wouters获得Starlink UT的root访问权限时,他能够研究Starlink网络及其通信渠道。专家补充说,其他研究人员可以使用这项工作来进一步研究Starlink生态系统。

Killnet声称他们从洛克希德·马丁公司窃取了员工数据

8月14日消息,近日,来自Killnet的亲俄黑客声称对总部位于美国的全球安全和航空航天公司洛克希德·马丁公司(Lockheed Martin)的DDoS攻击负责。该组织于8月11日在其Telegram频道上声称,它拥有洛克希德·马丁公司员工的PII(个人身份信息)数据。这些信息显然包括公司数百名员工的电子邮件地址,全名和联系电话。黑客还上传了两个电子表格。
Killnet专门从事DoS和DDoS攻击。它成立于2022年3月,旨在报复反俄势力/实体。该组织此前曾与立陶宛,意大利,罗马尼亚,捷克共和国,摩尔多瓦,拉脱维亚,挪威和欧洲电视网2022年出于政治动机的袭击有关。另一方面,洛克希德·马丁公司向美国军方和乌克兰军队提供军事/国防装备。它生产了一种高机动性火炮火箭系统,美国在对抗俄罗斯入侵的斗争中向乌克兰提供该系统。

微软破坏了针对北约国家的与俄罗斯有关的黑客

8月15 日消息, 微软公司今天宣布,该公司已采取行动破坏与高度持久的俄罗斯威胁行为者有关的黑客活动,该攻击者针对国防和情报咨询公司以及其他实体,主要是在北约国家。
自 2017 年以来,微软威胁情报中心 (MSTIC) 一直在跟踪俄罗斯国家赞助的组织 SEABORGIUM,其活动涉及网络钓鱼和凭据盗窃活动。该公司在一份咨询报告中表示,其入侵还与黑客和泄密活动有关,在这些活动中,被盗数据“被用来塑造目标国家的叙述”。
该公司表示,在 SEABORGIUM 入侵期间收集的信息可能支持传统的间谍目标和信息操作,而不是财务动机。
该公司表示,SEABORGIUM 通过 LinkedIn 帐户和电子邮件地址使用虚假的在线角色向个人和组织发送网络钓鱼附件。微软还证实,已经观察到 SEABORGIUM 从收件箱中窃取电子邮件和附件,设置从收件箱到演员控制的死投帐户的转发规则,在这些帐户中它可以长期访问收集的数据,并使用在他们和他们之间共享敏感信息的模拟帐户。
“在上述行动中,演员泄露了 2018 年至 2022 年的电子邮件/文件,据称这些邮件/文件是从属于英国退欧高级支持者的消费者 Protonmail 账户中窃取的,以建立参与者正在策划政变的叙述,”该咨询报告称。“使用社交媒体和特定的政治主题媒体资源,这些故事得到了放大,这些媒体资源获得了相当大的影响力。”

新的 Evil PLC 攻击将 PLC 武器化

8月16 日消息,网络安全研究人员开发了一种新颖的攻击技术,将可编程逻辑控制器 ( PLC ) 武器化,以在工程工作站中获得初步立足点,随后入侵操作技术 (OT) 网络。
该问题被工业安全公司 Claroty称为“ Evil PLC ”攻击,影响罗克韦尔自动化、施耐德电气、通用电气、贝加莱、新杰、OVARRO 和艾默生的工程工作站软件。
可编程逻辑控制器是控制关键基础设施部门制造过程的工业设备的重要组成部分。除了编排自动化任务外,PLC 还配置为启动和停止流程并生成警报。
因此,PLC 提供的根深蒂固的访问权限使机器成为十多年来复杂攻击的焦点,从Stuxnet 到 PIPEDREAM(又名 INCONTROLLER),目标是造成物理中断,这并不奇怪。
“这些工作站应用程序通常是运营技术网络和企业网络之间的桥梁,”Claroty说。“能够破坏和利用工程工作站漏洞的攻击者可以轻松进入内部网络,在系统之间横向移动,并进一步访问其他 PLC 和敏感系统。”
在 Evil PLC 攻击中,控制器充当达到目的的手段,允许攻击者破坏工作站,访问网络上的所有其他 PLC,甚至篡改控制器逻辑。

俄罗斯国家黑客继续使用 Infostealer 恶意软件攻击乌克兰实体

8月16 日消息,俄罗斯国家支持的行为者继续使用窃取信息的恶意软件攻击乌克兰实体,这是疑似间谍活动的一部分。
赛门铁克是 Broadcom 软件的一个部门,将恶意活动归因于追踪到Shuckworm的威胁行为者,也称为Actinium、Armageddon、Gamaredon、Primitive Bear 和 Trident Ursa。乌克兰计算机应急响应小组 (CERT-UA)证实了这一发现。
攻击者至少从 2013 年开始活跃,以明确挑出乌克兰的公共和私人实体而闻名。自 2022 年末俄罗斯军事入侵以来,袭击事件愈演愈烈。

黑客攻击英国供水商

8月16 日消息,Thames Water 是英国最大的水供应商和废水处理供应商,黑客声称已告知泰晤士水务公司其网络存在安全缺陷,并访问了SCADA 系统,此举将对 1500 万客户造成伤害,但同时声称他们的行为是负责任的,没有加密他们的数据,只从受感染的系统中泄露 5TB。
英供水公司随即发表声明,确认网络攻击导致 IT 中断,但是安全和配水系统仍在运行,因此 IT 系统的中断不会影响向其客户或其子公司的客户供应安全水。声明称,这要归功于我们一直以来对供水和质量的强大系统和控制,以及我们团队为应对这一事件并实施我们为预防措施而采取的额外措施的快速工作。

微软宣布破坏了俄罗斯APT组织针对北约的网络攻击活动

8月16日消息,微软周一宣布对与俄罗斯政府有关的 APT 组织进行另一次重大破坏,切断了对用于攻击前侦察、网络钓鱼和电子邮件收集的账户的访问。被微软认定为 SEABORGIUM 。
据悉, SEABORGIUM 至少自 2017 年以来一直活跃,其活动涉及持续的网络钓鱼和凭据盗窃活动,导致入侵和数据盗窃。APT 主要针对北约国家,但专家也观察到针对波罗的海、北欧和东欧地区(包括乌克兰)的活动。主要专注于国防和情报咨询公司、非政府组织 (NGO) 和政府间组织 (IGO)和高等教育。
微软表示,该组织在包括持续网络钓鱼、凭证盗窃和数据盗窃在内的活动中滥用 OneDrive 服务和伪造的 LinkedIn 账户。

朝鲜黑客使用签名的 macOS 恶意软件瞄准 IT 求职者

8月17 日消息,来自 Lazarus 集团的朝鲜黑客一直在使用 macOS 的签名恶意可执行文件来冒充 Coinbase 并引诱金融技术部门的员工。
虽然他们针对 Web3 公司的员工并不奇怪,但到目前为止,有关此特定社会工程活动的详细信息仅限于 Windows 平台的恶意软件。
Lazarus 黑客过去曾使用虚假工作机会,在最近的一次行动中,他们使用伪装成 PDF 文件的恶意软件,其中包含有关 Coinbase 职位的详细信息。
虚假文件的名称是“Coinbase_online_careers_2022_07”。启动时,它会显示上面的诱饵 PDF 并加载一个恶意 DLL,最终允许攻击者向受感染的设备发送命令。
网络安全公司 ESET 的安全研究人员发现,黑客还为 macOS 系统准备了恶意软件。他们说,恶意文件是为使用英特尔和苹果芯片的 Mac 编译的,这意味着旧型号和新型号的用户都是目标。 

乌克兰核电运营商宣称遭到网络攻击

8月17日消息,乌克兰核电运营商Energoatom于8月16日称其遭到了来自俄罗斯的“前所未有的”网络攻击,但表示其运营并未受到干扰。
Energoatom公司称,名为popular cyberarmy的俄罗斯黑客组织使用超过700万个互联网机器人程序攻击了该公司网站,攻击时间长达三个小时,但并未对Energoatom网站的工作产生太大影响。

美国网络司令部向克罗地亚部署网络防御部队

8月18日消息,美国网络司令部披露称,其于7月向克罗地亚派出了“国家网络任务部队”(CNMF)执行“前出追猎”(hunt forward)行动,这是该司令部第35次此类主动网络防御任务。
CNMF与克罗地亚安全和情报局下辖的网络安全中心合作开展这项行动,以搜寻对国家意义重大的优先网络,并寻找恶意网络活动和漏洞。网络司令部表示,“前出追猎”行动是其“持续参与”战略的一部分,而按照该战略,美军需要不断快速而灵活地与网络空间中的对手交战。CNMF不会直接消除合作伙伴网络上的威胁,而是使合作伙伴有能力追踪并解决所发现的威胁。
CNMF已在18个国家和50多个外国网络中开展了“前出追猎”行动,其中包括爱沙尼亚、立陶宛、黑山、北马其顿和乌克兰等国。
网络司令部司令保罗·中曾根(Paul Nakasone)表示,这些国家要求美国提供帮助,因此美国部署了网络防御团队,以便能够识别对手正在使用的恶意软件和伎俩,然后与商业供应商广泛分享这些信息。

Trustwave公司发布俄乌网络武器报告

8月18日消息,美国网络安全公司Trustwave 今天发布题为《俄乌战争所用网络武器概况》的报告。
该报告揭示了俄罗斯的网络犯罪分子、勒索软件运营商和其他威胁行为者如何操纵合法的商业工具对乌克兰进行网络间谍活动和其它破坏性网络攻击。
该报告指出,在今年3月至7月期间针对乌克兰政府的网络攻击中,Cozy Bear(亦称APT28)和Fancy Bear(亦称APT29)等与俄罗斯对外情报局(SVR)和联邦安全局(FSB)有关联的网络犯罪集团至少六次使用了一种名为Cobalt Strike的商业渗透工具,而使用Cobalt Strike的攻击大多都是网络钓鱼攻击。其中一些攻击旨在使系统无法运行,而另一些攻击旨在“建立立足点并从目标系统中窃取数据。”
该报告表示,最常用的入侵方法包括通过鱼叉式网络钓鱼的恶意附件或恶意链接向受害者投送CobaltStrike和 GraphSteel后门,以及利用面向公众的应用程序(如在Viasat网络攻击中受损的VPN设备),未来也可能继续如此。
该报告还指出,关键基础设施和私营机构是对乌网络攻击中的首选目标,并建议乌方采取积极主动的方法来应对渗透工具及其它方面的漏洞挑战。
用于攻击乌克兰政府机构的渗透工具只是为网络安全研究人员和专业人员设计的众多合法安全产品之一,用于评估和改进安全控制。一旦进入,攻击者可以使用该工具插入后门功能,使他们能够访问任何其他连接的系统。

爱沙尼亚挫败近年来最大网络攻击之一

8月18日消息,爱沙尼亚官员表示,该国周三成功挫败了针对其公共和私人机构的网络攻击。
俄罗斯黑客组织Killnet声称对此次袭击负责,而媒体称攻击很可能是为了报复此前爱沙尼亚东部城市拆除苏联战争纪念碑。今年6月,为报复立陶宛中断俄罗斯与其飞地加里宁格勒之间的运输,Killnet组织曾对立陶宛的公共和私营部门网站发动了网络攻击。
自2007年以来,爱沙尼亚的外交部、国防部、银行和媒体机构遭遇了一系列破坏性网络攻击,但爱沙尼亚也在长年的网络对抗中锻炼出了较强的网络防御能力。
5、网络作战演训动向
美国网络司令部举行年度大型演习“网络旗帜22”
8月14日消息,美国网络司令部于7月20日至8月12日举行年度大型演习“网络旗帜22”,旨在增强多国参与团队的战备状态和互操作性。该演习在美国网络司令部位于马里兰州的“梦想港”中开展,同时跨9个时区和5个国家远程开展。2022年度“网络旗帜”演习将分两次迭代,包括7月的“网络旗帜22”和10月的“网络旗帜23”,后者仍在规划中。
该演习为防御性演习,防御方由来自美国国防部、美国联邦机构和盟国的超过275名网络专业人员组成,攻击方由来自英国和美国的60多名“红队”操作人员组成。“五眼”联盟国家的网络保护团队(CPT)均参与了此次演习,各团队在虚构设施中处理遭入侵网络,目标是检测、识别、隔离和对抗其网络上的敌对存在。
在保护网络时,各团队被鼓励使用其所在机构在实际任务中使用的所有工具。为了增加演习场景的复杂性,在场景允许交叉通信前,各团队被禁止直接相互协作。除战术演习外,美国网络司令部还单独举行了一场多国研讨会和桌面演习,召集伙伴国代表参加研讨会、圆桌讨论和工作组,并围绕培训和演习中的互操作性概念提供观点和想法。
“网络旗帜22”演习继续使用美军正在构建的“持续网络训练环境”(PCTE),演习的虚拟训练环境几乎是先前演习的五倍。