网络空间对抗资讯快报

1、网络战争在乌克兰盛行但影响却隐藏在暗处

随着俄罗斯入侵乌克兰的行动继续进行，双方都在密集部署黑客攻击、网络破坏和其他网络战行动，尽管事实证明，这些秘密行动在战场上并没有起到决定性作用——至少到目前为止是这样。西方盟友最初担心，乌克兰的军事指挥系统和关键基础设施会遭受网络攻击的海啸，从而阻碍乌克兰抵御俄罗斯军队越境入侵的能力。据瑞士非政府组织网络和平研究所(Cyber Peace Institute)统计，自2月入侵以来，双方的57个不同实体发起了近450次攻击——大约每周12次。然而，在欧洲和美国的帮助下，基辅基本上抵挡住了高科技的冲击。魁北克大学(University of Quebec)的研究员亚历克西斯•拉平(Alexis Rapin)表示:“大规模网络攻击确实发生了，但人们普遍认为，它们显然没有产生一些人预测的‘震慑’效果。”拉平在为战略研究网站Le Rubicon撰写的文章中表示，最具破坏性的袭击通常需要数月甚至数年的时间来计划和执行，“这使得很难将它们与常规军事行动同步进行。”另一个因素可能是乌克兰从盟友那里得到了大量帮助，包括保护其系统的软件和专业知识，以及可能阻碍莫斯科网络战略的反击。巴黎雅克•德洛尔研究所(Jacques Delors Institute)研究员阿尔诺特•巴里切拉(Arnault Barichella)表示:“过去几个月，俄罗斯不断受到一个由志愿者、非政府黑客组织组成的国际联盟的网络攻击，其中最著名的是‘匿名者’运动。” 虽然尚不清楚这些“自发”攻击的效果如何，但“俄罗斯完全低估了乌克兰的网络韧性，就像它低估了乌克兰的武装力量一样。”尽管如此，这场战争仍然提供了实地证据，证明网络攻击将是21世纪武装冲突的重要组成部分。

2、大多数黑客在10小时内发现漏洞

美国私营非盈利公司SANS Institute与信息安全公司Bishop Fox一起对300名专家进行了调查 ，根据调查，有道德的黑客平均可以在不到10小时的时间内找到漏洞。此外，一旦发现漏洞，64%的渗透测试者可以在5小时内渗透环境。调查还显示，黑客利用的最常见缺陷包括易受攻击的配置、软件缺陷和不安全的Web服务。Bishop Fox咨询副总裁Tom Aston表示，结果反映了现实世界的网络攻击率，并突显出公司检测和应对威胁的时间有限。根据Eston的说法，在5或6小时内进行黑客攻击，尤其是当他们使用社会工程、网络钓鱼和其他攻击媒介时，防御的时间实在有限。 该调查提供了有关信息安全公司在估计在造成重大损害之前阻止攻击者并中断其活动的平均时间方面表现的最新数据。根据Bishop Fox-SANS的调查 ，近75%的道德黑客认为大多数组织缺乏必要的检测和响应能力来防止攻击。埃斯顿表示，该调查应说服组织努力快速检测和响应攻击，以减轻损害。然而，人为因素仍然是最危险的漏洞。据受访者称，社交工程和网络钓鱼攻击共占攻击的49%。Web应用程序攻击、口令破解攻击和勒索软件攻击占25%。埃斯顿表示，该调查应提醒公司，仅靠技术无法解决网络安全问题——解决方案需要对员工进行培训，以提高他们对攻击的认识。

3、研究人员警告针对Windows和Linux系统的基于Go的新型恶意软件

近几个月来，一种名为Chaos的新型多功能基于Go的恶意软件的数量迅速增长，将各种Windows、Linux、小型办公室/家庭办公室(SOHO)路由器和企业服务器诱入其僵尸网络。“Chaos功能包括枚举主机环境、运行远程shell命令、加载附加模块、通过窃取和暴力破解SSH私钥自动传播以及发起DDoS攻击的能力，”来自Lumen的Black Lotus Labs的研究人员在一篇文章中与黑客新闻分享上述信息。大多数机器人位于欧洲，特别是意大利，中国和美国也报告了其他感染，在2022年6月中旬至2022年7月中旬的一个月时间内，它们共同代表“数百个唯一IP地址”。该僵尸网络以中文编写并利用基于中国的基础设施进行指挥和控制，加入了一长串恶意软件，这些恶意软件旨在建立长时间的持久性，并可能滥用立足点进行恶意目的，例如DDoS攻击和加密货币挖掘。如果有的话，这一发展还表明威胁参与者转向像Go这样的编程语言以逃避检测并使逆向工程变得困难，更不用说同时针对多个平台了。Chaos（不要与同名的勒索软件制造商混淆）名副其实，它利用已知的安全漏洞获得初始访问权限，随后滥用它进行侦察并在受感染的网络中发起横向移动。该恶意软件具有类似恶意软件所不具备的多功能性，使其能够在 ARM、Intel(i386)、MIPS和PowerPC的各种指令集架构上运行，从而有效地让威胁行为者扩大其目标范围并迅速积累量。

4、L2网络安全控制绕过缺陷影响多个思科产品

思科本周证实，其数十台企业路由器和交换机受到二层(L2)网络安全控制中的旁路漏洞的影响。攻击者可以通过发送精心制作的数据包绕过这些企业设备提供的控制，这些数据包会触发拒绝服务(DoS)或允许它们执行中间人(MitM)攻击。卡内基梅隆大学的CERT协调中心(CERT/CC)在一份报告中指出，在以太网封装协议的L2网络安全控制中总共发现了四个中等严重的安全问题。这些漏洞分别为CVE-2021-27853、CVE-2021-27854、CVE-2021-27861和CVE-2021-27862，它们代表了不同类型的第二层网络包检测功能绕过。这些漏洞允许VLAN (virtual local area network)头和802.2 LLC/SNAP头的堆叠，使攻击者能够绕过设备的各种过滤功能，包括IPv6 RA Guard、动态ARP检查和IPv6邻居发现(ND)保护。攻击者可以绕过安全控制，欺骗本地连接的目标主机，将流量路由到任意目的地。受害者设备要么经历DoS(黑流量)，要么经历MitM(观察未加密的流量)，”CERT/CC的建议写道。CERT/CC表示，已经有超过200家供应商收到了这些漏洞的警告，但其中只有两家确认了影响，即Cisco和Juniper Networks。尽管Juniper Networks认为这些漏洞的严重程度已经达到了“发布的门槛”，但本周思科发布了一份建议，要求分享潜在受影响设备的详细信息。思科表示，运行其IOS、IOS XE、IOS XR和NX-OS软件的多款企业路由器和交换机型号以及几款小型企业交换机型号受到影响，但指出大多数受影响的产品不会发布固件更新。

5、俄罗斯创建的自治蜂窝塔可在偏远地区提供通信

俄罗斯无线电科学研究所(NIIR)所长奥列格·伊万诺夫(Oleg Ivanov)表示，专家们已经开发出一种用于电信设备的非易失性支持，这将为俄罗斯的高速公路和偏远地区提供可靠的通信。该解决方案旨在为俄罗斯偏远地区提供通信。根据介绍，该综合体可提供0.3至5kW的功率。无线电研究所表示，这足以对安装在支架上的所有类型的有效载荷进行全天候维护。设备齐全时，这是一个4G LTE基站、一个对流层或无线电中继站、一个物联网基站，以及配套设备：照明、视频监控、警报、气象站。杆式电池的设计使用寿命长达20年，无需维护，位于地下一个特殊的难以触及的沉箱中，位于杆上的太阳能电池板具有防破坏功能。支架的原型已安装在莫斯科附近巴拉希哈的试验场，NIIR将在不久的将来展示它。非易失性移动塔可以解决高速公路偏远路段的蜂窝覆盖问题。实施这样一个项目的成本将取决于生产规模，开发商尚未命名。

6、Nord Stream天然气管道损坏事件可能与俄罗斯有关

乌克兰国防情报局周一警告称俄罗斯可能对其关键基础设施实施网络攻击，并预计最初的攻击将针对能源部门的企业。紧接着，网络运营商Nord Stream AG周二（27日）表示，波罗的海海底的Nord Stream天然气管道系统的三条海上管线在一天内遭受了“前所未有的”破坏。该公告是在瑞典海事局发布关于Nord Stream 1管道两次泄漏的警告后发布的，不久之后发现附近的Nord Stream 2管道泄漏，促使丹麦限制在5海里半径范围内的航运。Nord Stream表示，无法估计天然气网络系统的工作能力何时恢复。天然气运营商在周一的一份声明中表示，“Nord Stream 1控制中心的调度员记录了天然气管道两根管柱的压力下降。原因正在调查中。”“随着乌克兰防御者的有效反击将俄罗斯军队推得更远，随着最近的动员宣言引发的政治和公众动荡加剧，俄罗斯越来越关注它可以打的剩余牌，网络攻击有可能提供速战速决的选项，Darktrace的全球威胁分析主管Toby Lewis在电子邮件声明中写道。刘易斯还指出，乌克兰政府最近能够领先于攻击者，在攻击开始之前发出相当具体的警告。他补充说：“这表明情报的使用可能得到欧洲和北约盟国的支持，以便能够了解网络行动的规划和准备情况，并有可能提供切实的抵御未来攻击的能力。”Contrast Security 网络战略高级副总裁汤姆·凯勒曼 (Tom Kellermann) 在一封电子邮件声明中写道，地缘政治紧张局势已达到临界点。“就在乌克兰警告关键基础设施遭到袭击的几个小时后，俄罗斯昨晚破坏了通往欧洲的天然气管道。”“就像我们在一月份看到了一波破坏性的网络攻击一样，随着俄罗斯的手套脱落，一场戏剧性的升级正在发生，”凯勒曼说。“我们应该期待一波针对西方关键基础设施的破坏性网络攻击。”

7、美国商业杂志Fast Company遭黑影响网站和Apple新闻帐户

美国商业杂志Fast Company证实，在黑客入侵其内容管理系统(CMS)后，其Apple News帐户被劫持。该月刊侧重于商业、技术和设计。除了在线版本外，该杂志每年还出版六期印刷版。周二晚上，Apple News在Twitter上宣布 Fast Company的帐户在黑客使用它发布两条攻击性消息后被暂停。“Fast Company发出了令人难以置信的攻击性警报，该警报已被黑客入侵。Apple News已禁用他们的频道，” Apple News说。几个小时后，Fast Company通过 Twitter证实，在黑客获得其CMS的访问权限后，其Apple News帐户被劫持。“Fast Company的Apple News帐户在周二晚间遭到黑客入侵。两个淫秽和种族主义的推送通知相隔大约一分钟发送。这些信息是卑鄙的，不符合Fast Company的内容和精神，”该杂志说。该出版物还宣布，它已经暂停了提要及其网站，该网站继续处于离线状态。网络攻击是 Fast Company在几天内第二次成为受害者。周日，该杂志遭遇了类似的黑客攻击，导致该出版物主页上的文章被修改为包含淫秽语言。在周二的事件中，攻击者还在Fast Company的网站上留言，以羞辱该出版物对周日事件的不良补救措施。“哇，Fast Company。尽管拥有数百万访问者的网站遭到公开破坏，但你所做的只是匆忙更改数据库凭据，禁用与数据库服务器的外部连接，并修复文章，”部分消息写道。黑客还声称，Fast Company为多个帐户使用了一个简单的默认口令，这允许他们访问敏感数据，例如访问令牌和API密钥。黑客还声称在周日的违规行为中窃取了6,000多条Fast Company员工记录，但没有客户记录。

8、黑客使用Telegram和Signal支持伊朗的抗议者

多个黑客组织正在使用Telegram、Signal和暗网工具来帮助伊朗的反政府抗议者绕过政权限制。这一消息来自Check Point Research(CPR)的安全专家，在Mahsa Amini去世几周后，一名抗议者因违反要求女性戴头巾的法律而被捕，据称在警方拘留期间死亡。“我们看到的是来自电报、黑暗和‘常规’网络的团体，帮助抗议者绕过伊朗政权目前实施的限制和审查制度，作为应对抗议的一种方式，”利亚德·米兹拉奇 (Liad Mizrachi) 说，Check Point的安全研究员告诉Infosecurity杂志。“我们开始看到这些团体在抗议开始后大约一天出现。”CPR见证了黑客组织，尽管政府进行了审查，但伊朗人仍可以相互交流。“关键活动是数据泄露和出售，包括官员的电话号码和电子邮件，以及敏感位置的地图，”Check Point在与Infosecurity杂志分享的一份报告中写道。“CPR看到共享开放 VPN服务器以绕过审查和报告伊朗的互联网状况，以及对对话和指南的黑客攻击。”更具体地说，CPR分享了这些群体的五个例子。第一个是Telegram上的官方Atlas Intelligence Group频道。该频道拥有900多名成员，专注于泄露有助于反对伊朗政权的数据。第二个Telegram群组是ARVIN，该群组约有5000名成员，提供伊朗抗议活动的新闻、抗议活动所在街道的报道和视频，以及有关伊朗互联网状况的信息。第三个Telegram群组是RedBlue，该频道拥有约4000名成员，主要关注黑客对话和指南。除了这些Telegram频道之外，Check Point还提到or项目和Signal作为提供代理的平台，使伊朗公民能够绕过政府审查、访问互联网和安全通信。

9、GAO报告称海岸警卫队需要改善其网络人才状况

问责办公室（GAO）呼吁美国海岸警卫队改善其网络人才现状，并提出了服务应遵循的6项关键建议。这些建议包括采取措施，更好地确定员工的需求，以及建立一个策略性的网络员工计划。在GAO做出上述评估之前，海岸警卫队在过去两年中遭受了多次网络攻击，难以招募和保留其关键的网络人才。国土安全部是海岸警卫队运作的直属机构，它同意政府问责局的建议。海岸警卫队越来越依赖其网络空间工作人员来维护和保护其信息系统和数据免受威胁。近年来，其网络和信息遭到了利用，海上关键基础设施遭受了网络攻击，”GAO题为《应对日益增长的网络空间任务需求所需的劳动力规划行动》的报告称。GAO的报告补充说:“这些事件增强了海岸警卫队网络能力以及操作和维护这些能力的工作人员的重要性。”GAO对海岸警卫队的三个主要招募建议是:创建一个战略方向;进行供给、需求和差距分析;第三，监测该计划的进展，以满足所有网络空间能力和人员需求。2015年，海岸警卫队成立了一个网络空间团队，以保护美国海上运输系统免受在线和电信威胁，GAO发现，由于发生了网络攻击和总计造成数亿美元损失的数据泄露，这些威胁需要改进。去年，海岸警卫队宣布了一份网络战略展望报告，建立更多的网络团队，专注于海上关键基础设施的网络安全，防止受到攻击。此前，一系列黑客和勒索软件事件导致关键服务关闭。

10、容器供应链利用加密劫持赚钱

针对云原生基础设施的威胁正在上升，特别是当攻击者瞄准云和容器资源来支持他们的非法加密操作时。最新的情况是，网络犯罪分子正在破坏云资源，以昂贵的方案传播和运行加密劫持企业，罪犯每从这些计算储备中开采价值1美元的加密货币，受害者就会损失约50美元的云资源。根据Sysdig发布的一份新报告得出的结论。报告显示，尽管坏人会不加区别地攻击他们能得到的任何弱云或容器资源，为赚钱的加密方案提供动力，但他们也有巧妙的策略。事实上，许多最狡猾的软件供应链攻击在很大程度上是为了通过受感染的容器映像。根据Sysdig的《2022年云本地威胁报告》，攻击者不仅利用最常被认为在进攻性供应链攻击中的源代码依赖关系，他们还利用恶意容器映像作为有效的攻击工具。网络犯罪分子正在利用开发社区内的趋势，通过Docker Hub等容器注册中心预先制作的容器映像来共享代码和开源项目。容器映像在一个易于部署的工作负载中安装和配置了所有所需的软件。虽然这为开发人员节省了大量时间，但它也为攻击者创建内置恶意有效负载的映像打开了通道，然后将其恶意工具植入DockerHub等平台。开发人员只需要从平台上运行Docker pull请求，就可以运行恶意映像。更重要的是，Docker Hub的下载和安装是不透明的，这使得发现潜在问题更加困难。该团队在搜索过程中发现了1600多张恶意图片，其中包括加密程序、后门程序和其他伪装成合法流行软件的恶意软件。隐密者无疑是最普遍的，占样本的36%。“安全团队不能再自欺欺人地认为‘容器太新或太短暂，威胁分子不会去打扰它们’，”Sysdig的高级安全研究员、报告的合著者Stefano Chierici说。“攻击者在云端，他们在拿真钱。加密劫持活动的高度流行是由于犯罪者的低风险和高回报。”