在9月第一星期的资安新闻,防护态势上有两个重点消息,第一个新闻突显网际网路BGP路由安全的重要性,先前已有一些国家推动这项议题,像是去年荷兰政府宣布全面导入RPKI标准,现在美国拿出具体规画要求联邦政府实施。至于台湾,过去几年TWNIC曾推动RPKI、路由来源验证等,但后续发展状况还需要大家关注。
第二个新闻是呈现后量子密码学(PQC)在产业的最新发展态势,工研院在2024国际半导体展秀出后量子安全晶片公版的设计,而且有多家业者投入PQC应用发展,包括全濠、宇鼎、威宏、智能资安、竣盟科技、池安量子资安等。
●美国白宫针对边界闸道协定(BGP)安全问题,发布强化网路路由安全的蓝图,强调联邦政府须以身作则,加速对BGP安全措施的采用。
●2024国际半导体展登场,数发部数产署与台湾资安业者在「SECPAAS资安馆」呈现半导体产业资安最新方案,其中又以PQC公版应用案例的发展最吸睛。
关于威胁态势方面,我们列出下列4大消息,其中法国资安业者开发的红队演练工具MacroPack遭滥用值得关注,因为其中有一起攻击行动范围涵盖台湾,而有两个新闻与滥用合法云端服务有关。
●红队演练工具MacroPack遭多组攻击者滥用,已发现4起攻击行动。
●后门程式Voldemort的攻击行动被揭露,滥用Google Sheets并假冒美、欧、亚洲税务机关名义以窃取企业税务资料。
●有锁定M365用户的攻击活动在7月暴增,当中滥用微软云端简报服务Sway来引诱受害者上当,并结合QR Code网钓手法。
●美国司法部宣布扣押俄罗斯用来散布不实言论的网域,以打击俄罗斯持续操弄美国总统大选的行径。
在资安警讯与事件方面,有4则重要新闻,当中以RansomHub勒索软体的相关消息最要重视,不仅多个美国政府机关发布联合公告,揭露其手法与入侵指标,同时也传出美国石油公司Halliburton向美国SEC通报网路安全事件,也是遭其所骇。
●美政府警告半年前现身的RansomHub勒索软体,受害者已超过210家。
●美国石油及天然气业者Halliburton证实内部资料遭到外流
●英国伦敦交通局证实遭遇网路攻击,传出问题出在外部供应商系统。
●提供思科品牌服装与配件的思科网路商店遭植入恶意JavaScript,信用卡资料、帐密恐外流。
至于漏洞利用消息方面,居易的VigorConnect有两个2021年修补的已知漏洞:CVE-2021-20123和CVE-2021-20124,用户要注意是否已进行缓解或更新修补,因为它们近期被美国CISA列入已知漏洞利用清单,此外,上周Chrome零时差漏洞修补有后续消息揭露,指出北韩骇客Citrine Sleet是幕后挖掘漏洞并利用的组织,攻击行动还利用了另一微软零时差漏洞,而能在受害电脑作业系统核心植入rootkit程式FudModule。
还有一个漏洞修补情形引起硬体安全界的重视,因为Yubico旗下FIDO装置存在Eucleak弱点,Yubico指出这是英飞凌加密库中关于ECDSA实作的旁路攻击漏洞,将导致攻击者有机会取得ECDSA金钥。
过往骇客意图借由提供应用程式发动攻击,引诱使用者上当,从而散布恶意软体,进而存取企业内部网路环境,过往骇客多半是宣称提供常见的应用程式,或是IT人员会用到的系统工具,但如今,有人以特定厂牌SSL VPN软体作为幌子发动攻击。
值得留意的是,这意味著骇客的攻击目标相当有针对性,因为使用者很有可能是该厂牌SSL VPN系统的用户,这样的诱饵显然能够降低使用者的戒心,而有可能得逞。
美国总统大选如火如荼进行,这段期间不时传出伊朗骇客攻击川普、贺锦丽阵营,并企图散布假消息影响选情的情况。不过,俄罗斯想要采取类似手段干预该国选举已有先例,但美国直到最近才采取执法行动引起关注。
本周美国宣布扣押俄罗斯用来散布不实言论的网域,原因是这些网域都被用来架设冒充民主阵营的新闻网站,并指出俄罗斯不只打算操弄美国总统大选,也意图干预其他国家选举。