在今年9月的资安新闻中,国家级骇客组织威胁日益严峻的议题,成为最受关注的焦点之一。
最让我们印象深刻就是,我们的iThome总编辑吴其勋在9月中旬应邀前往美国华盛顿特区,参加Mandiant举办的mWISE Conference 2023资安防御会议,直击了美国政府官员与资安大厂专家们对于当今网路攻击局势的看法与解析,当中并探讨了中国骇客网攻对国家、企业与民生所带来的危害与严重性。
特别的是,身为美国国内的情报与安全机构,也是美国主要联邦执法机关的美国联邦调查局(FBI),该单位最高负责人亦现身这场大会,阐述国家级骇客与网路犯罪的问题,并指出中国策画的骇客攻击规模,已经远比其他所有主要骇客国家攻击规模加总还大,甚至指出FBI所有资安专家面对人数50倍以上中国骇客的局势。
这样的第一手消息报导,不像往常资安日报所汇整的众多资安攻击事件与资讯,多是间接透过研究报告发布而取得,因此也让应邀参与的我们,以身为长期关注台湾资安动态的媒体角度,在这场活动当中更深刻感受到,国家级骇客发动大规模网攻的严重性。
对于台湾而言,我们多年来饱受中国骇客攻击威胁,因此这场会议的一些内容,也值得我国政府或企业的一再重视,尤其是联防、情资与善用AI技术的对抗策略。当然,对于俄罗斯与北韩骇客的网攻威胁,我们同样也要留意。
面对大50倍的中国骇客人数,FBI局长呼吁公私联防
具体而言,在这场会议中,除了有多项2023年最新网路威胁趋势、挑战与经验的探讨,其中关于讲述重大地缘政治事件与新技术需求下,威胁格局的改变的议题上,在今年mWISE Conference 2023大会上有不少这方面的内容,也是我们关注的重点。
还要注意的是,今年7月Adobe修补ColdFusion的3个漏洞(2023-29300、CVE-2023-38203、CVE-2023-38204),如今资安业者指出已有针对未修补用户的攻击行动。另外,我们在此补充本周资安日报未提及的一个重大漏洞消息。今年5月23日揭露的在国际攻击活动焦点方面,有6起事件值得关注,涉及勒索软体、合作供应商遇害,国家关键基础建设遭锁定,以及网钓等形式的恶意行为。
●英国栅栏设备制造商Zaun发布资安公告说明上月初遭勒索软体LockBit攻击,该国的军事要塞采用该公司的产品,但因为骇客发动攻击而拿到Zaun资料,以及骇客后续流出数千页资料的影响,引发英国国防机密因合作厂商遭骇而外泄的事件。
●德国联邦宪法保护局(BfV)发出报告指出,中国骇客组织APT15、APT31针对路由器、防火墙、NAS、网路印表机、智慧家电等家用IoT装置的漏洞发动攻击,接管这些装置后,再用于向政府机关发动攻击。
●乌克兰电脑紧急应变小组(CERT-UA)揭露当地的能源基础设施受到攻击,并指出是遭俄罗斯骇客组织APT28攻击行动锁定。
●韩国资安业者揭露北韩骇客Lazarus旗下组织Andariel锁定韩国国防工业,自今年开始使用多种恶意程式发动攻击。
●有骇客组织GhostSec声称取得伊朗IT金融服务及IT服务业者FANAP的原始码,并指出该公司的软体被伊朗政府用于监控民众。
●资安业者揭露中国骇客发起大规模钓鱼简讯攻击行动Smishing Triad,攻击者假冒多个邮政单位名义,透过遭骇的iCloud帐号对使用者发送iMessage讯息。
另外,今年5月中国骇客Storm-0558入侵25个使用微软电子邮件系统的组织,以及今年8月勒索软体Akira锁定思科SSL VPN设备的攻击行动,近期都有更详细的后续调查公布。
而在最新的威胁态势上,有三起事件值得留意,包括:勒索软体骇客Ransomed竟以付赎金可免受GDPR巨额罚款的话术来进一步要胁,以及贩售多种网钓工具W3LL Store的揭露,还有微软SQL Server遭勒索软体FreeWorld锁定的消息。
另有2份个资隐私研究出炉,大家应关注与敦促厂商强化相关防护,一份是针对浏览器安全设计的研究,美国的大学研究人员指出,Chrome、Firefox与Safari浏览器的安全设计不够完善,若有心人士结合网站漏洞,可透过浏览器外挂程式,存取使用者密码等机密资料:另一是个资保护政策在汽车品牌业者领域未获重视,25个品牌均未达Mozilla最低安全标准,最离谱的是,厂商居然表示能搜集车主的性活动,显然与车辆无关的个资,却又未说明如何搜集。
至于防御态势方面,在半导体资安、软体开发与供应链安全领域有新动向。首先是SEMI E187资安标准规范,这一周举行的国际半导体展台湾场,宣布有首批设备通过合格性验证,它们分别是均豪精密的AOI自动光学检测设备,以及东捷科技的OHS空中行走式无人搬运系统:另一个进展是Google Cloud与GitLab宣布扩大合作,未来Google Cloud的开发人员可存取GitLab的DevSecOps平台,而GitLab的用户也可存取Google Cloud的软体供应链安全框架SLSA评等,以及软体物料清单(SBOM)。
,将有助于识别和分析云储存服务中资料潜在安全威胁。还有关于PQC演算法升级,我们发现本土厂商网擎资讯开始有具体行动,他们在9月11日表示已开发部署相关防护。
在本周重要漏洞修补消息中,有4个最受注目,包括:网际网路系统协会(ISC)修补DNS软体BIND高风险漏洞,JetBrains修补CI/CD软体平台TeamCity重大漏洞,以及Atlassian针对旗下多款产品发布更新。此外,9月上旬思科针对已遭利用的零时差漏洞CVE-2023-20269先提供缓解,当时已遭Akira勒索软体组织锁定利用,29日思科新释出临时的更新修补。
还有多个已知漏洞,近期因为遭锁定利用情形被美国CISA列入限期修补清单,是本周资安日报未提及的漏洞消息,我们也特别整理如下,包括:Red Hat JBoss RichFaces Framework的漏洞(CVE-2018-14667)、Laravel的Ignition漏洞CVE-2021-3129、Laravel框架Ignition的漏洞(CVE-2021-3129)、Zyxel EMG2926路由器的漏洞(CVE-2017-6884)、Realtek SDK的漏洞(CVE-2014-8361)、Samsung行动装置的漏洞(CVE-2022-22265),以及Owl Labs视讯会议设备Meeting Owl的4个已知漏洞(CVE-2022-31463、CVE-2022-31462、CVE-2022-31461、CVE-2022-31459)。
在网路威胁焦点上,有四大议题值得关注:
(一)美国NSA、FBI、CISA与日本国家资安事件整备与策略中心(NISC)发布联合公告,指出中国骇客组织BlackTech借由窜改思科路由器的韧体方式来隐藏其行动,从美国、日本企业跨国公司的子公司进一步渗透总公司的网路环境。
(二)近日Akamai与Perception Point相继揭露新网钓攻击活动,出现锁定饭店业者、订房业,以及订房客户的复杂攻击,尤其是入侵订房网站或饭店系统冒用合法发动典型网钓。
(三)除了勒索软体Akira自今年3月以来攻击活动节节攀升需要关注,美国FBI与CISA在20日也针对勒索软体Snatch发布安全通告,详细说明该组织的技术手法与IoC指标。
(四)关于GPU.zip的GPU旁路漏洞早期揭露,目前发现的大学研究人员已通报GPU供应商、以及浏览器供应商Google,后续厂商修补的动向需要留意。
其他值得关注的国际威胁态势,有多个产业被攻击者锁定的消息,受到不同资安业者揭露,包括:
●中东、西欧、南亚次大陆的电信业者成锁定目标,攻击者散布恶意软体LuaDream发动精准攻击。
●乌克兰军方成锁定目标,攻击者利用无人机手册散布恶意程式。
●中东政府机关被锁定,攻击者利用了新型态后门程式Deadglyph。
●巴西与墨西哥等逾40家拉丁美洲的银行用户遭锁定,有骇客利用银行木马BBTok发动大规模攻击行动。
●美国卫生暨公共服务部(HHS)旗下HS3揭露,近年中国骇客组织APT41、北韩骇客组织APT43与Lazarus肆虐,对美国公卫部门与生技公司已造成严重危害。
在防御态势的消息上,我们特别注意到,在越来越多人重视的软体物料清单(SBOM)之外,近日美国CISA推出硬体物料清单框架(HBOM),希望进一步帮助有效评估与减少供应链存在的资安风险。在国内,也有两起事件受关注,一是行政院公共工程委员会新发布资讯服务采购作业指引,明订公部门编列专属资安预算;另一是数位部预告修正资安法,将明订公部门禁用危害国家安全的资安产品。
还有多个已知漏洞,近期因为遭锁定利用情形被美国CISA列入限期修补清单,是本周资安日报未提及的漏洞消息,我们也特别整理如下,包括:Red Hat JBoss RichFaces Framework的漏洞(CVE-2018-14667)、Laravel的Ignition漏洞CVE-2021-3129、Laravel框架Ignition的漏洞(CVE-2021-3129)、Zyxel EMG2926路由器的漏洞(CVE-2017-6884)、Realtek SDK的漏洞(CVE-2014-8361)、Samsung行动装置的漏洞(CVE-2022-22265),以及Owl Labs视讯会议设备Meeting Owl的4个已知漏洞(CVE-2022-31463、CVE-2022-31462、CVE-2022-31461、CVE-2022-31459)。
在网路威胁焦点上,有四大议题值得关注:
(一)美国NSA、FBI、CISA与日本国家资安事件整备与策略中心(NISC)发布联合公告,指出中国骇客组织BlackTech借由窜改思科路由器的韧体方式来隐藏其行动,从美国、日本企业跨国公司的子公司进一步渗透总公司的网路环境。
(二)近日Akamai与Perception Point相继揭露新网钓攻击活动,出现锁定饭店业者、订房业,以及订房客户的复杂攻击,尤其是入侵订房网站或饭店系统冒用合法发动典型网钓。
(三)除了勒索软体Akira自今年3月以来攻击活动节节攀升需要关注,美国FBI与CISA在20日也针对勒索软体Snatch发布安全通告,详细说明该组织的技术手法与IoC指标。
(四)关于GPU.zip的GPU旁路漏洞早期揭露,目前发现的大学研究人员已通报GPU供应商、以及浏览器供应商Google,后续厂商修补的动向需要留意。
其他值得关注的国际威胁态势,有多个产业被攻击者锁定的消息,受到不同资安业者揭露,包括:
●中东、西欧、南亚次大陆的电信业者成锁定目标,攻击者散布恶意软体LuaDream发动精准攻击。
●乌克兰军方成锁定目标,攻击者利用无人机手册散布恶意程式。
●中东政府机关被锁定,攻击者利用了新型态后门程式Deadglyph。
●巴西与墨西哥等逾40家拉丁美洲的银行用户遭锁定,有骇客利用银行木马BBTok发动大规模攻击行动。
●美国卫生暨公共服务部(HHS)旗下HS3揭露,近年中国骇客组织APT41、北韩骇客组织APT43与Lazarus肆虐,对美国公卫部门与生技公司已造成严重危害。
在防御态势的消息上,我们特别注意到,在越来越多人重视的软体物料清单(SBOM)之外,近日美国CISA推出硬体物料清单框架(HBOM),希望进一步帮助有效评估与减少供应链存在的资安风险。在国内,也有两起事件受关注,一是行政院公共工程委员会新发布资讯服务采购作业指引,明订公部门编列专属资安预算;另一是数位部预告修正资安法,将明订公部门禁用危害国家安全的资安产品。