5th域安全微讯早报【20240516】118期

2024-05-16 星期四         Vol-2024-118

1. 白宫表示网络信任标签将在今年年底前到位

2. 欧盟未能遏制间谍软件反映出缺乏政治意愿

3. 美国FCC表示电信公司缺乏对加勒比海海底电缆连接的适当审查

4. 英国NCSC保护选举候选人的手机免受网络攻击

5. 欧洲政府网络上的新后门疑为俄罗斯所植

6. Sonne Finance向盗窃2000万美元加密货币的黑客发布悬赏

7. FBI再次查封BreachForums并敦促用户举报犯罪活动

8. 国际货币基金组织警告大规模失业和信息失控

9. 荷兰法院因洗钱罪判处Tornado Cash联合创始人5年监禁

10. 美国政府要求MineOne公司出售其在怀俄明州的加密货币农场

11. Ebury僵尸网络在15年的活动中感染了400,000台服务器

12. 谷歌的误算让所有云服务器的可靠性受到质疑

13. D-Link路由器因0day漏洞最终落入黑客手中

14. Microsoft Windows DWM零日漏洞准备被大规模利用

15. 美国NVD因漏洞积压而陷入困境

16. 谷歌为Android设备推出人工智能盗窃和数据保护功能

17. 英国人工智能安全研究所向全球推出了新的开放式人工智能安全测试平台

18. 2024年RSA大会工业网络安全趋势总结

19. 2024年RSA大会后工业网络安全的未来机遇

20. 美国CISA、DHS、FBI和国际合作伙伴发布保护高风险社区安全指南

1. 白宫表示网络信任标签将在今年年底前到位

白宫高级官员5月15日表示，拜登政府希望在今年年底前将获得自愿网络安全标签计划批准的消费设备上架。美国联邦通信委员会今年早些时候一致投票批准了美国网络信任标志计划，以帮助消费者了解婴儿监视器和远程恒温器等日常家居用品的安全性，并激励制造商纳入基线数字防御措施，将其与其他产品区分开来。负责网络和新兴技术的副国家安全顾问安妮·纽伯格表示，该项工作正在经历一些法律程序，目标是在今年年底前在商店和网上推出带有标签的设备，大量公司已经签约提交其产品以供认可的实验室进行测试。她指出，联邦政府是世界上最大的科技买家之一，准备“启动泵”并“利用金钱的力量”向制造商发出信号，一旦他们的联网设备通过了认证，“明确表示我们尽头处等待着一个大市场。”

参考来源：https://therecord.media/cyber-trust-label-coming-this-year

2. 欧盟未能遏制间谍软件反映出缺乏政治意愿

欧洲议会的一位主要成员批评欧洲管理机构未能有效应对欧洲大陆间谍软件的滥用问题，认为这是由于缺乏政治意愿。议员索菲·因特·维尔德指出，各国政府明知应采取的措施，却不愿意行动，甚至对间谍软件的使用表现出一种偏好。她还谴责了欧洲向其他国家出口间谍软件的行为。欧洲数据保护监管机构的高级官员安娜·布赫塔表示，尽管存在滥用问题，但目前尚未讨论全面禁止间谍软件，因为许多政府希望将其用于执法和国家安全。NSO集团的Pegasus等商业间谍软件在欧洲被广泛用于监控反对派政客、记者等，引起了对个人隐私的严重担忧。维尔德和布赫塔质疑一些国家以国家安全为由使用Pegasus的行为，并指出欧洲法院已有判例法明确国家安全不能作为滥用监控技术的借口。近期，波兰被爆出2017至2022年间有578名公民成为Pegasus攻击的目标，再次引发了对间谍软件滥用的广泛关注。

参考来源：https://therecord.media/eu-failure-spyware-political-will

3. 美国FCC表示电信公司缺乏对加勒比海海底电缆连接的适当审查

美国联邦通信委员会（FCC）对两家电信公司——波多黎各电话公司和LATAM电信公司分别处以100万美元的罚款，原因是这两家公司未经美国政府审查便增加了与加勒比海海底电缆网络的连接。这些电缆登陆站分别在2021年和2022年上线，而没有得到负责审查外国与美国基础设施连接的跨部门单位的批准。América Móvil海底系统包括与佛罗里达州的基站连接。随着数据传输需求的增长和全球对网络安全的重视，水下电信电缆受到越来越严格的监管。FCC强调，这些电缆对于传输敏感个人信息和美国政府信息至关重要，因此必须经过适当的审查，以保护美国人民的通信和数据安全。司法部助理司法部长马修·奥尔森强调，电信团队的审查对于国家安全至关重要，并表示将继续与FCC合作确保合规。

参考来源：https://therecord.media/companies-lacked-review-undersea-cables-caribbean

4. 英国NCSC保护选举候选人的手机免受网络攻击

英国国家网络安全中心（NCSC）推出了一项名为个人互联网保护（PIP）的新服务，旨在保护高风险个人的手机免受网络攻击。这项服务特别针对即将参加大选的议会候选人，以及其他政治、学术、新闻和法律领域的工作人员。PIP服务通过配置用户的设备使用特定的DNS服务器来防止连接到可疑域名，从而为个人设备增加一层额外的安全保护。此外，该服务还会在用户尝试访问已知恶意域名时发出警告。NCSC强调，政治候选人和选举官员的个人及官方账户对于网络行为者来说是非常吸引人的目标。此前，英国政府已警告俄罗斯和中国黑客针对英国的恶意活动，而NCSC的这一新服务正是为了应对此类威胁。

参考来源：https://therecord.media/british-signals-agency-cyberattacks-phones

5. 欧洲政府网络上的新后门疑为俄罗斯所植

斯洛伐克网络安全公司ESET的研究人员发现两个未知的后门程序LunarWeb和LunarMail，这些后门可能由与俄罗斯联邦安全局（FSB）有关的黑客组织Turla部署。Turla主要针对欧洲、中亚和中东的政府和外交机构。ESET没有公开受影响的欧洲国家，但指出LunarWeb后门是在该外交部的外交机构发现的，而LunarMail后门则使用不同的命令和控制通信方法。研究人员观察到这两个后门在短时间内被同时部署在中东的三个外交机构。据信这些后门至少从2020年初就已经存在。俄罗斯的网络活动最近在欧洲引起争议，德国、英国和捷克均因网络攻击和间谍活动召回或召见俄罗斯大使。

参考来源：https://therecord.media/backdoor-malware-european-government-turla-suspected

6. Sonne Finance向盗窃2000万美元加密货币的黑客发布悬赏

加密货币借贷协议Sonne Finance遭遇了一起盗窃事件，损失约2000万美元。该团队向实施盗窃的黑客提供了一笔未公开的赏金，并承诺若黑客退还资金，将不再追究。Sonne Finance提供的服务包括允许用户无需银行等中介直接借出和借入资金。在最近发现攻击后，他们迅速暂停了所有市场，并在攻击发生25分钟内通过技术手段帮助用户避免了约650万美元的损失。事件发生后，黑客已将部分被盗资金转换为比特币和其他加密货币。近期，执法部门加大了对加密货币盗窃和洗钱行为的打击力度，已有多名涉嫌市场操纵者和盗窃者被定罪和判刑。

参考来源：https://therecord.media/sonne-finance-cryptocurrency-heist-bounty-offered

7. FBI再次查封BreachForums并敦促用户举报犯罪活动

执法机构再次控制了臭名昭著的BreachForums平台，该平台是一个以出售被盗数据而知名的在线市场。此次行动是由澳大利亚、冰岛、新西兰、瑞士、英国、美国和乌克兰当局的联合实施。BreachForums的网站已被FBI的扣押横幅取代，表明其目前处于FBI控制之下。FBI还接管了Baphomet运营的Telegram频道，Baphomet是该论坛的管理员，其前任pompompurin去年被捕。目前尚不清楚Baphomet及其另一位管理员ShinyHunters是否已被捕。BreachForums曾于2023年6月被查封，但在RaidForums解散后，Baphomet与ShinyHunters合作重新推出了同名新网站。该平台被用作网络犯罪分子购买、出售和交易违禁品的网络市场。

参考来源：https://thehackernews.com/2024/05/fbi-seizes-breachforums-again-urges.html

8. 国际货币基金组织警告大规模失业和信息失控

国际货币基金组织（IMF）总裁提请注意与将人工智能引入业务流程相关的问题。克里斯塔利娜·格奥尔基耶娃(Kristalina Georgieva)总裁在瑞士国际问题研究所组织的一次活动上发表讲话时称，由于人工智能技术的广泛使用，全球劳动力市场将面临一场“海啸”。格奥尔基耶娃表示担心，尽管人工智能的采用相对缓慢，但其影响可能是普遍的。她强调，这是一场缓慢移动的海啸。尽管围绕该技术进行了各种炒作，但其全部效果尚未被充分感受到。然而，这种影响是不可避免的，从初级开发人员的阴郁表情就可以看出，他们的工作正在被GitHub Copilot等人工智能助手取代。国际货币基金组织预测，人工智能可能影响全球40%的就业岗位和发达经济体60%的就业岗位，而这60%的就业岗位中的一半可能会被完全消除。格奥尔基耶娃强调，如果人们正确管理流程，人工智能可以显著提高生产力，但人工智能也可能导致错误信息的传播并加剧社会不平等。企业和整个社会都需要为这一挑战做好准备。

参考来源：https://www.securitylab.ru/news/548254.php

9. 荷兰法院因洗钱罪判处Tornado Cash联合创始人5年监禁

荷兰法院近日对加密货币混合服务Tornado Cash的联合创始人之一、俄罗斯公民阿列克谢·佩尔采夫（Alexey Pertsev）判处5年零4个月监禁。佩尔采夫因洗钱指控在荷兰等待审判，他于2022年8月在阿姆斯特丹被捕，此前美国财政部对Tornado Cash实施制裁，指控其为包括Lazarus Group在内的恶意行为者提供洗钱服务。除了监禁，佩尔采夫预计将被没收价值190万欧元的加密货币资产和一辆保时捷汽车。法院认为，Tornado Cash的运营完全由其创始人负责，他们未能整合足够的机制来防止服务被滥用。Tornado Cash作为一个去中心化的加密货币混合器，允许用户混合非法和合法资金以掩盖交易痕迹。此案在美国也引起了关注，美国司法部已起诉Tornado Cash的另外两名创始人，指控他们串谋洗钱和违反制裁规定。这一判决引发了隐私权倡导者和政府之间的辩论，前者认为匿名工具不应被定罪，而后者则担心这些工具可能被用于非法目的。荷兰法院指出，Tornado Cash的设计使其容易被用于洗钱，而没有添加任何防止滥用的条款。

参考来源：https://thehackernews.com/2024/05/dutch-court-sentences-tornado-cash-co.html

10. 美国政府要求MineOne公司出售其在怀俄明州的加密货币农场

美国总统乔·拜登签署了一项行政命令 ，要求中国公司MineOne出售其在怀俄明州的加密货币农场。原因是该设施靠近美国空军基地，对国家安全构成威胁。加密货币公司MineOne于2022年购买了夏延附近的一块土地，目标是在那里建立加密货币挖矿中心。然而，5月13日，乔·拜登签署了一项行政命令，要求该公司在120天内出售其资产。事实上，该设施距离弗朗西斯·E·沃伦空军基地不到1.5公里，那里储存着带有核弹头的民兵III洲际弹道导弹。白宫表示，这种情况对国家安全构成威胁。该命令指出，有可靠的证据表明MineOne Partners Limited“可能采取威胁美国国家安全的行动”。值得注意的是，该公司注册地为英国维尔京群岛，控股权为中国公民。最初，该财产的收购并未在美国外国投资委员会（CFIUS）登记。直到一名公民向当局举报后，该公司的意图才为人所知。CFIUS随后的调查确定数据中心内的设备存在安全风险。MineOne不仅必须在120天内出售设施，而且必须在90天内移除危险设备。然而，未经CFIUS批准，该公司不得进行新建或其他改进。该法令还限制了潜在买家的范围，以防止财产被转让给另一家外国公司。

参考来源：https://www.securitylab.ru/news/548242.php

11. Ebury僵尸网络在15年的活动中感染了400,000台服务器

ESET的一份新报告揭示了Ebury僵尸网络自2009年以来已感染近400,000台Linux服务器，截至2023年底，约有10万台服务器仍处于风险之中。Ebury通过攻击托管服务提供商并进行供应链攻击，利用窃取的凭据来获取对服务器的访问权限。恶意软件能够记录SSH凭据、提升权限、拦截加密货币钱包，并使用ARP欺骗技术。Ebury还采用了混淆技术和域名生成系统来逃避检测。除了加密货币攻击，Ebury还涉及信用卡数据盗窃、网络流量重定向、垃圾邮件发送和出售凭据等货币化策略。ESET与荷兰国家网络犯罪部门合作，查获了犯罪分子使用的备份服务器，但调查仍在进行中，尚未有具体指控。

参考来源：https://www.securitylab.ru/news/548241.php

12. 谷歌的误算让所有云服务器的可靠性受到质疑

谷歌云平台发生重大失误，意外删除了澳大利亚养老基金UniSuper的私有云账户，该账户管理着1250亿美元资产。这一错误导致UniSuper超过50万会员一周内无法访问自己的账户，公司不得不使用其他云供应商的备份账户恢复服务，直至5月2日才完全恢复。谷歌云CEO Thomas Kurian和UniSuper CEO Peter Chan联合声明称，这是一次“孤立的、史无前例的事件”，并保证将采取措施防止再发。此次故障引发了对云服务可靠性的担忧，尤其是考虑到越来越多的公司和政府机构，包括美国国家安全局等，正在将其关键信息转移至云平台。全球约有50万家公司使用Google Cloud，其中包括全球最大企业中的60%和人工智能领域90%的最成功初创公司。

参考来源：https://www.securitylab.ru/news/548247.php

13. D-Link路由器因0day漏洞最终落入黑客手中

SSD Secure Disclosure 发现了D-Link EXO AX4800 (DIR-X4860) 路由器中的漏洞，可让黑客完全控制设备。最新固件版本“DIRX4860A1_FWV1.04B03”的DIR-X4860路由器中发现了缺陷。这些漏洞允许未经身份验证的远程攻击者访问HNAP端口，从而获得 root权限并远程执行命令（远程代码执行 ( RCE )）。通过将身份验证绕过与命令执行相结合，攻击者可以完全破坏设备。访问家庭网络管理协议 (HNAP) 端口非常简单，因为通常可以通过路由器的远程管理界面通过 HTTP（端口80）或 HTTPS（端口443）进行访问。SSD分析师提供了利用已发现漏洞的分步说明，公开了概念验证(PoC)。攻击首先通过路由器的管理界面发送特制的登录请求，其中包括设置为“用户名”的“PrivateLogin”参数和用户名“Admin”。路由器以质询、cookie 和公钥进行响应，这些密钥用于生成登录“管理员”帐户的有效密码。然后，使用 HNAP_AUTH 标头和生成的 LoginPassword 发送重新提交的登录请求，从而有效地绕过身份验证。SSD声称在过去30天内曾3次联系D-Link分享其发现结果，但所有通知尝试均未成功，导致漏洞仍未得到解决。

参考来源：https://www.securitylab.ru/news/548232.php

14. Microsoft Windows DWM零日漏洞准备被大规模利用

微软在五月的“补丁星期二”更新中解决了61个CVE，其中包括三个已知被积极利用的零日漏洞。特别值得关注的是CVE-2024-30051，这是一个中等严重性（CVSS评分7.2）的Windows DWM（桌面窗口管理器）核心库权限提升（EoP）漏洞。该漏洞允许网络上的本地攻击者升级到系统权限，与代码执行漏洞结合使用时，可能使攻击者完全控制目标系统并实现横向移动，这是勒索软件攻击者常用的策略。据卡巴斯基研究人员报告，自4月以来，多个威胁行为者已经开始利用此漏洞，特别是使用QakBot木马的攻击者，QakBot是勒索软件攻击中的常见初始访问工具。这一情况凸显了及时更新系统和保持高度警惕的重要性。趋势科技零日计划（ZDI）的威胁计划负责人Dustin Childs强调，由于漏洞已经被公开，利用行为可能会迅速增加，因此应该优先修补。

参考来源：https://www.darkreading.com/vulnerabilities-threats/microsoft-windows-dwm-zero-day-mass-exploit

15. 美国NVD因漏洞积压而陷入困境

美国国家标准与技术研究所（NIST）管理的全球最大漏洞数据库NVD近期遭遇重大故障，导致未发布的漏洞数量激增。自2024年2月中旬起，NVD在处理新数据时出现问题，并于5月9日完全停止更新，引发网络安全界担忧。NIST自2月12日以来仅能分析并添加4524个漏洞至数据库，远低于14286个漏洞的总量，影响了安全团队的响应速度，为攻击者提供了可乘之机。NVD的暂停发布被归咎于过渡至新的CVE数据格式JSON所引发的问题，直至5月14日系统更新完成。在此期间，私营公司如RiskHorizon.ai推出平台追踪未修补漏洞，而其他公司如Trend Micro和VulnCheck提供NVD的替代方案。美国网络安全和基础设施安全局（CISA）和MITRE也在采取措施，以改善漏洞处理流程。尽管目前努力有助于减少积压，但业界呼吁需要长期解决方案，如自动化漏洞披露过程。

参考来源：https://www.securitylab.ru/news/548255.php

16. 谷歌为Android设备推出人工智能盗窃和数据保护功能

谷歌宣布了一系列针对Android操作系统的隐私和安全更新，包括一系列高级保护功能，旨在帮助用户在设备被盗时保护其数据。这些功能将通过Google Play服务更新提供给运行Android 10及更高版本的设备。新功能包括“私人空间”，允许用户将敏感应用锁定在一个专用区域，并通过独立的PIN码进行保护。谷歌还增加了额外的安全层，要求用户在更改敏感设置或访问关键账户和设备设置前输入PIN、密码或生物识别信息。此外，谷歌正在集成一项AI功能，该功能能够在检测到手机被抢走时自动锁定屏幕，以及离线设备锁，防止长时间断开连接的尝试。Android 10+设备还允许用户将设备标记为丢失，并通过“查找我的设备”进行跟踪，或通过电话号码远程锁定手机屏幕。这些措施旨在减少手机盗窃的动机，并帮助用户在设备丢失或被盗后保护个人信息。

参考来源：https://thehackernews.com/2024/05/google-adds-ai-powered-theft-protection.html

17. 英国人工智能安全研究所向全球推出了新的开放式人工智能安全测试平台

英国人工智能安全研究所新的开放式人工智能安全测试平台Inspect是一个软件库，允许从初创公司到政府机构的团体评估人工智能模型，从基础知识和推理到自主能力。该平台是在开放许可证下发布的，因此任何人都可以使用它。检查包括三个主要组成部分：数据集：提供评估测试样本；解决问题的工具：进行测试；绩效评估工具：将分数总结为指标。该平台还可以使用用Python编写的第三方包进行扩展，从而可以对其进行调整和开发以实现高质量的评估。AI安全研究所的灵感来自GPT-NeoX、OLMo和Pythia等领先的开源AI开发人员，这些开发人员提供公开可用的训练数据、OSI许可的训练和评估代码、模型权重以及部分训练的基准。据该研究所称，Inspect是对该列表做出贡献的一次尝试。在推出Inspect的同时，人工智能孵化器(i.AI)和总理办公室将与领先的人工智能开发人员联手开发新的开源人工智能安全工具。此类工具可以更轻松地集成到现有模型中，有助于提高其理解性和安全性。

参考来源：https://www.securitylab.ru/news/548250.php

18. 2024年RSA大会工业网络安全趋势总结

2024年RSA大会突出了多个将重塑工业网络安全格局的关键趋势和创新：一是软件供应链安全：随着工业运营对软件的依赖性增加，保护软件供应链的安全变得至关重要。会议强调了软件物料清单（SBOM）的重要性，强调了对工业环境中使用的软件组件进行更高透明度和可见性的需求。二是人工智能集成：人工智能和机器学习在网络安全实践中的应用正在改变威胁检测和响应的方式。会议讨论了生成式AI工具的使用，如ChatGPT，并强调了在没有适当监督的情况下采用这些技术的潜在风险。三是零信任架构：随着工业网络复杂性的增加，零信任方法成为保护网络的关键。零信任运动在OT中体现为可防御的架构设计，具有明确定义的分段，以限制不同生产区域之间的影响。四是威胁检测的创新：生成式AI和机器学习模型已成为实时识别和缓解威胁的重要工具，增强了对工业网络中异常情况的检测能力。五是协作和信息共享：加强行业、政府和技术提供商之间的合作受到高度重视。RSAC 365创新展示和OT-CERT等倡议鼓励共享威胁情报和最佳实践。六是自动化发现和精确安全：在自动化发现方面有许多创新，这要求从被动到主动的方法转变，以提高能力和便利性。七是人工智能的广泛应用：人工智能在工业网络安全中的应用无处不在，从控制系统的逻辑预测到更广泛的评估和精细化处理。这些趋势表明，工业网络安全正在向更智能、更自动化的方向发展，同时强调了跨部门合作和透明度的重要性。随着技术的不断进步，组织需要不断适应和采纳新的安全措施，以应对日益复杂的网络威胁。

参考来源：https://industrialcyber.co/features/elevating-industrial-cybersecurity-insights-from-the-2024-rsa-conference/

19. 2024年RSA大会后工业网络安全的未来机遇

根据2024年RSA会议的讨论，工业网络安全领域在未来几年将面临一系列机遇：一是AI和ML的整合：人工智能（AI）和机器学习（ML）与网络安全实践的整合将改变威胁检测和响应的方式。组织可以利用这些技术进行预测分析，识别漏洞，提高响应效率。二是软件供应链安全：随着SBOM（软件物料清单）和全面固件分析等解决方案的采用，软件供应链安全的可见性和透明度将得到提升，帮助识别和管理软件漏洞及配置风险。三是主动安全措施：从被动防御转向主动安全策略，重点在于预防和预测潜在的安全威胁。四是先进分析技术：继续采用先进的分析技术和生成式AI技术，如AI驱动的威胁检测和预测性维护，以提高工业网络的安全性。五是政府与私营部门的合作：加强政府机构和私营部门公司之间的合作，共享威胁情报和最佳实践，以加强关键基础设施的防御。六是人才和专业知识的发展：尽管人才短缺是一个挑战，但对OT网络安全专业人员的需求增加，为专业发展和职业机会提供了机遇。七是遗留系统的集成与保护：对于OT和ICS遗留系统的集成和保护，虽然是一个挑战，但也为开发新的安全解决方案提供了机遇。八是监管合规的创新：应对复杂的监管环境和不同地区的网络安全标准，需要创新的合规策略和解决方案。九是内部信任与关系的建立：在IT和OT团队之间建立信任和关系，为更有效的跨部门合作提供了机遇。十是人工智能在关键任务中的应用：探索和信任AI在执行关键OT任务中的应用，为提高操作效率和安全性开辟了新的可能性。这些机遇表明，尽管工业网络安全领域面临诸多挑战，但通过技术创新、合作和主动防御策略，可以推动该领域向前发展，确保关键基础设施的安全。

参考来源：https://industrialcyber.co/features/elevating-industrial-cybersecurity-insights-from-the-2024-rsa-conference/

20. 美国CISA、DHS、FBI和国际合作伙伴发布保护高风险社区安全指南

美国网络安全和基础设施安全局（CISA）联合国土安全部（DHS）、联邦调查局（FBI）和国际网络安全合作伙伴发布了一份指南，旨在提升民间社会组织的网络安全防护能力，特别是那些面临国家支持的网络威胁的高风险组织。该指南名为“利用有限资源缓解网络威胁：民间社会指南”，提供了一系列实用步骤，帮助非营利组织、倡导团体、学术机构、记者等了解网络威胁并增强数字防御。指南强调了针对民间社会实体的主动措施和最佳实践，包括软件更新、多因素认证、最小特权原则等，并提供了网络安全培训、供应商审查和事件响应计划的建议。此外，还强调了国际合作的重要性，以及为民间社会成员提供密码安全、隐私保护和社会工程策略意识的指导。该指南的发布是对全球范围内增强网络安全弹性的共同承诺的体现，并提供了定制风险评估工具、数字紧急情况帮助热线和免费或打折的网络安全服务等资源。

参考来源：https://www.cisa.gov/news-events/news/cisa-dhs-fbi-and-international-partners-publish-guide-protecting-high-risk-communities

往期推荐