中国骇客组织Volt Typhoon于去年上半被揭露,当时美国政府发出警告,指出这些骇客针对当地的关键基础设施发动攻击,后来有多家资安业者对于该组织的攻击手法进行分析,指出骇客利用生命周期已经结束的路由器、防火墙、VPN设备来充当代理伺服器,而且,英国和澳洲也是这些骇客攻击目标。
但到了最近,传出美国政府已采取了反制,背后原因很有可能和台海局势的军力布局有关。
【攻击与威胁】
1月29日资安业者RedHunt Labs揭露汽车大厂宾士(Mercedes-Benz)资料外泄的情况,他们在1月11日发现该公司员工不慎在程式码储存库GitHub曝露Token,一旦有人取得,就能对该公司自行管理的GitHub Enterprise Server完整存取其中的原始码,完全不受监控及限制。
研究人员指出,此程式码储存库包含大量智慧财产,以及资料库连线资讯、云端服务存取金钥、设计图、设计文件、单一签入(SSO)密码、API金钥,以及其他重要的内部讯息。根据他们的调查,上述的Token是在去年9月曝光。研究人员寻求科技新闻媒体TechCrunch合作,向宾士通报此事并得到确认,宾士获报后随即注销相关API的Token。
1月24日资安业者Wordfence揭露WordPress网域迁移辅助外挂程式Better Search Replace的重大漏洞CVE-2023-6933,攻击者可在未经授权的情况下,透过反序列化的不受信任输入,有机会借此漏洞进行PHP物件注入攻击。
此外,若是目标系统部署了额外的外挂程式或是布景主题,从而产生属性导向程式设计(Property-Oriented Programming,POP)链,攻击者甚至有机会删除任意档案、收集敏感资料、执行程式码,CVSS风险评为9.8,对此,外挂程式开发商WP Engine获报后发布1.4.5版予以修补。
值得留意的是,Wordfence在该漏洞公布的24小时之内,已侦测到逾2,500起漏洞利用攻击,他们呼吁网站维护者尽速更新该外挂程式。
另一方面,研究人员也针对支付赎金的受害组织进行调查,结果发现,愿意付钱的组织比例越来越少,去年第4季仅有29%,为近5年来最低,原因是企业韧性增强,很有可能在无须解密金钥的情况下恢复运作,而且,企业也不愿意为网路罪犯的承诺付钱。
【漏洞与修补】
为了防范中国人工智慧技术带来的国家安全威胁,美国总统拜登去年10月30日发布行政命令,要求各部会强化AI安全管理及风险防御,并在90天内回报进度。1月29日,美国副幕僚长Bruce Reed举行白宫AI会议,召集一级部会首长参加,检视执行成果。
在拜登的行政命令当中,其中一项是根据国防生产法要求AI开发商向商务部通报AI安全测试等重要资讯;另一项则是打算透过立法的方式,要求基础设施即服务(IaaS)业者提供外国人服务时,向商务部进行报告,避免外国人将其用于训练带有恶意功能的人工智慧模型。此外,美国联邦机构9大部会必须向国土安全部提出风险评估报告。而在周一举行的会议里,商务部表示已经拟出要求云端平台提供国外客户训练AI资讯的命令草案,而9大部会已完成AI使用的基础架构风险评估。