网络空间对抗资讯快报

1、印度一名学生试图用朋友的指纹顶替他参加招聘考试

   为了通过艰难的公职考试，印度一名学生从拇指上取下一块皮肤，贴在朋友的手指上，希望他能骗过生物识别扫描仪并代表他参加考试。该事件于8月22日在印度西部古吉拉特邦的巴罗达市发生，当时正在印度铁路公司进行招聘考试。为防止欺诈（通过冒充他人），所有申请人都必须提供指纹，并使用生物识别设备与Aadhaar的数据进行匹配。 一名叫Manish Kumar的学生为了找工作，请他的朋友Rajyaguru Gupta代替他参加考试。而为了欺骗认证系统，Manish Kumar在考试前夕，将手指放在热煎锅上，用刀片将产生的水泡切掉。而Rajyaguru Gupta将那块指纹皮肤贴在他的手指上并试图进行扫描。然而，在候选人提供指纹的那一刻，生物识别设备多次未能验证通过，确认他的身份。注意到该男子可疑行为的员工向他的手上喷洒了消毒剂。结果，移植的皮肤脱落了。Manish Kumar和他的知己Rajyaguru Gupta已被捕。他们被指控伪造文件、冒充他人进行欺诈和犯罪阴谋。

2、黑客正在为对俄罗斯公共部门的新一波攻击做准备

   DLBI专家注意到，攻击者第一次开始有兴趣购买包含口令加密代码（哈希）的数据库，以便在网站和服务上进行识别。专家们认为，这里主要指的是公务员和大公司员工的数据——他们需要被用于入侵关键信息基础设施。大多数组织和部门的口令安全策略非常薄弱，他们强调：使用简单的口令，以及每个部门的通用登录，而且即使员工离开也不会发生更换。DLBI暗网监控系统记录了网络犯罪分子对购买包含俄罗斯服务和网站口令哈希（分配给用户并用于识别的加密代码）的数据库的兴趣激增。该公司的代表将此事告诉了《生意人报》。DLBI澄清说，这是第一次观察到对此类细分市场的需求，并且只能从零基数估计增长。DLBI专家分析了交换数据库的资源，得出的结论是，收集的目的是识别属于公务员和大公司员工的登录名和口令，以便他们随后用于入侵关键信息基础设施（能源综合体、金融机构，电信运营商等）。卡巴斯基实验室的网络安全专家Sergey Shcherbel证实，在暗网上，您可以找到搜索感兴趣字符串的服务，包括登录名、电子邮件、电话号码、口令哈希，卡巴斯基实验室的网络安全专家证实：“泄露的数据库落入攻击者手中为单个用户找到的数据越多，该工具在准备网络攻击时就越有效。”Group-IB尚未观察到此类带有密码散列的数据库的销售情况，但指出，总体而言，俄罗斯组织的待售和公共领域的数据库数量正在增长：仅6月以来，已有大约100个此类报价建造。该公司表示，这是第一次观察到这样的激增。

3、Evil勒索团伙应被视为对卫生部门的重大威胁

   美国卫生与公众服务部的卫生部门网络安全协调中心(HC3)发布了一份关于Evil Corp的威胁情况报告，基于几个因素，网络犯罪集团应被视为对国家卫生部门的重大威胁。该网络犯罪团伙也被称为UNC2165、GOLD DRAKE和Indrik Spider，它们也被确定为自2009年以来运作的俄罗斯网络犯罪集团。“勒索软件是他们的主要作案手法之一，因为他们已经开发并维持了许多菌株。许多勒索软件运营商发现卫生部门是一个诱人的目标，因为由于其运营的性质，他们可能会支付某种形式的赎金来恢复运营，”HC3在29日的简报中表示。“医疗机构特别容易受到数据盗窃的影响，因为个人健康信息(PHI)经常在暗网上出售给那些希望利用它进行欺诈的人。”有人猜测Evil Corp是俄罗斯情报机构的前线组织。简报称，尽管如此，应该指出的是，在他们的行动历史中，他们从受害者那里窃取了大笔资金。“众所周知，他们与俄罗斯情报机构合作，包括但不一定限于FSB。虽然这并不能使它们独一无二，但它们的活动在多大程度上受个人贪婪和国家政治议程的驱动，使它们成为世界上所有主要网络威胁行为者中最广泛的潜在动机之一，”报告补充说。众所周知，他们的目标是在大型游戏狩猎中财力雄厚的大型组织。然而，在地理上，它们倾向于攻击美国和欧洲的目标。他们的目标是金融、政府、医疗保健、媒体、交通、制造、非营利组织、技术和教育领域。 

4、Pwn2Own为家庭办公室黑客场景提供100,000美元奖金

   趋势科技的零日计划(ZDI)宣布了其下一次Pwn2Own黑客竞赛的目标和奖项，并引入了一个旨在模拟现实世界家庭办公环境的新类别。下一届Pwn2Own将于2022年12月6日至8日在ZDI位于加拿大多伦多的办公室举行。注册截止日期为 12月2日。该活动不会与会议同时举行，因此ZDI决定报销3,000美元的差旅费，以鼓励黑客亲自参与。漏洞赏金猎人也可以远程竞争，多伦多的ZDI员工为他们运行漏洞利用程序。主办方为针对手机、无线路由器、家庭自动化集线器、智能扬声器、打印机和NAS设备的攻击提供总计超过100万美元的现金和奖品。今年，ZDI推出了一个名为“SOHO Smashup”的新类别，参与者可以赚取高达100,000美元的奖金。此类别旨在模拟小型办公室/家庭办公室 (SOHO) 场景，其目标是通过其 WAN 接口入侵路由器，然后转向研究人员需要入侵不同设备（例如打印机）的局域网、智能音箱或NAS设备。在第一阶段，他们可以破解TP-Link、Netgear、Synology、Cisco、MikroTik或Ubiquity路由器。在第二阶段，他们可以从Meta、Amazon、Google、Sonos、Apple、HP、Lexmark、Canon、Synology和WD的近十几个IoT设备列表中进行挑选。虽然这个版本的Pwn2Own不再称为Mobile Pwn2Own，但从财务角度来看，手机仍然是最有吸引力的目标。如果他们破解iPhone 13或Pixel 6，参与者可以获得高达250,000美元的收入。破解Galaxy S22可以获得高达50,000美元。

5、FBI警告针对DeFi平台的攻击激增

   FBI警告称，针对去中心化金融DeFi）平台窃取加密货币的攻击将会增加。据该机构称，不法分子正在利用对加密货币的兴趣增加以及DeFi平台的复杂功能和开源性质来执行邪恶活动。FBI表示，网络犯罪分子正在利用管理DeFi平台的智能合约中的安全漏洞窃取虚拟货币并导致投资者亏损。智能合约被定义为在其代码行中包含买卖双方协议条款的自动执行合约，在去中心化区块链网络中无处不在。网络犯罪分子在2022年1月至2022年3月期间窃取的13亿美元加密货币中约有97%来自DeFi平台，比2021年的72%和2020年的30%有所增加。FBI表示，它还看到网络犯罪分子发起闪电贷以触发DeFi平台智能合约中的漏洞利用（导致300万美元的加密货币损失），利用DeFi平台令牌桥中的签名验证漏洞（损失3.2 亿美元），并操纵加密货币价格（窃取3500万美元的加密货币）。建议投资者在投资前研究DeFi平台、协议和智能合约，以识别潜在风险，并确保DeFi投资平台的代码至少经过一次审计。此外，他们应该警惕加入时间有限、智能合约快速部署的DeFi投资池，以及众包解决方案在寻找漏洞和修补时带来的风险。FBI表示， DeFi平台应实施代码的实时分析、监控和测试，以解决漏洞和潜在的可疑活动，并应实施包括通知投资者任何可疑活动（包括智能合约利用）的事件响应计划。

6、英国发布针对移动和宽带运营商的新网络安全法规

   经过三年多的制定，英国政府今天宣布了一套新的、全面的规则，它将对宽带和移动运营商实施，以加强其网络安全以抵御网络攻击——旨在让其成为“世界上最强大的运营商之一。新要求涵盖的领域包括供应商如何（以及从谁那里）采购基础设施和服务；提供者如何监管活动和访问；他们对安全和数据保护以及对其进行监控的投资；提供商如何告知利益相关者由此产生的数据泄露或网络中断；等等。这些规则将于10月开始实施，预计运营商将在2024 年3月之前全面实施新程序。至关重要的是，那些不遵守新规定的人将面临巨额罚款：违规可能导致高达10%的年收入的罚款；持续违规将面临每天100,000英镑（117,000美元）的罚款。与国家网络安全中心合作制定新法规和业务守则的通信监管机构Ofcom将强制执行合规和罚款。这些规则是《电信（安全）法》中的第一个大型执法指令，该法于 2021年11月通过投票成为法律。数字基础设施部长马特沃曼在一份声明中说：“我们知道对关键基础设施的网络攻击可能造成多大的破坏，我们的宽带和移动网络是我们生活方式的核心。” “我们正在通过引入世界上最严格的电信安全制度之一来加强对这些重要网络的保护，以保护我们的通信免受当前和未来的威胁。”NCSC技术总监Ian Levy博士在一份声明中说：“我们的日常生活、经济和我们都使用的基本服务越来越依赖我们的电信网络。” “这些新法规将确保这些网络的安全性和弹性，以及支撑它们的设备，适用于未来。”

7、俄罗斯流媒体平台确认数据泄露影响750万用户

   俄罗斯媒体流媒体平台“START”（start.ru）已证实有关数据泄露影响数百万用户的传言。该平台的管理员分享说，网络入侵者设法从其系统中窃取了2021年的数据库，现在正在在线分发样本。被盗数据库包含电子邮件地址、电话号码和用户名。START将其描述为对大多数网络犯罪分子没有兴趣，因为它不能用于接管帐户。财务信息、银行卡数据、浏览历史记录或用户口令没有受到影响，因为数据库中不存在这些详细信息。“我们已经修复了这个漏洞，并且关闭了对我们数据的访问，” Telegram上的声明提到。即使START未强制执行全局重置，建议所有用户更改其口令。有关影响START的数据泄露的谣言首次出现在8月28日（星期日)，当时包含近4400万用户信息的72GB MongoDB JSON转储开始在社交网络上分发。其中许多条目涉及测试帐户。但是，转储包含7,455,926个唯一的电子邮件地址，这可能接近暴露用户的真实数量。记录日期最近是2022年9月22日，因此此事件不会影响在该日期之后注册服务的用户。俄罗斯新闻媒体Medusa报道称，他们在START的口令恢复工具上测试了泄露数据库中的随机条目，结果所有登录都是有效的。START的声明与泄露的转储之间的一个差异是后者包含md5crypt口令哈希、IP地址、登录日志和订阅详细信息，这些都没有包含在平台的官方声明中。由于针对俄罗斯在线平台的网络攻击活动增加，莫斯科正在实施保护用户数据免受未经授权访问并保护其公民免受暴露的方法。

8、英国间谍基金为女性程序员开设新课程

   英国负责处理网络威胁的主要情报机构希望通过新的训练营课程吸引更多女性程序员加入其行列。GCHQ正在赞助由社会企业Code First Girls开设的为期14周的“纳米学位”课程之一，旨在吸引可能正在考虑转行的女性。GCHQ机构战略政策和参与主管乔·卡文 (Jo Cavan)告诉《卫报》，“我们一直在努力增加这一数字，以便我们拥有更多样化的团队，并更好地应对我们今天需要应对的威胁”。“我们知道，如果我们得到正确的思想组合，它将给我们带来竞争优势，这就是为什么我们将劳动力多样性视为关键任务的原因。”Cavan声称，GCHQ需要更大的多样性来提高其地位的一个关键领域是应对来自东方的威胁。“例如，如果你看看中国，以及技术如何向东移动，而中国正在寻求将非西方价值观强加于技术，那么我们有一些非常重要的工作要做，以确保我们处于塑造的最前沿那些国际技术标准和规范，”她说。“因此，重要的是要有一个多元化的团队来研究这些威胁以及来自其中一些技术的机会。”根据认证组织ISC2的数据，在全球网络安全领域，女性仍然只占25%的职位。有趣的是，其2021年行业报告发现，该行业的女性(38%)来自IT背景的人数少于男性(50%)，而且女性通过自学的进入率高于男性(20%对14%) 。这些数字表明，可能有大量女性求职者希望将职业转向网络领域。国防承包商BAE Systems等组织已经以与GCHQ类似的方式与Code First Girls合作，赞助训练营课程，然后为公司提供人才管道并为毕业生提供机会。

9、世界上第一个针对PyPI用户的网络钓鱼活动

   PyPI管理员正在提醒用户有关存储库的信息——这使Python开发人员能够发布和查找用于构建软件的代码包——声称他们正在实施“强制性‘验证’过程”的电子邮件，他们在一系列推文中说，概述了如何骗局有效。这些消息邀请PyPI用户点击一个链接来执行验证，“否则就有可能将包从PyPI中删除”。管理员在帖子中向用户保证，他们永远不会从索引中删除有效项目，他们只会删除被发现有恶意或违反公司服务条款的项目。管理员称该活动是同类活动中的第一个，它窃取用户凭据以将受感染的软件包加载到存储库中。管理员指出，网络钓鱼活动并未将代码存储库作为通过软件供应链传播恶意软件的一种方式。据PyPI称，该骗局背后的攻击者已经成功窃取了几个PyPI用户的凭据，并将恶意软件上传到他们维护的项目中，作为这些项目的最新版本。“这些版本已从PyPI中删除，维护者帐户已被暂时冻结，”根据PyPI的Twitter消息。最初的网络钓鱼邮件声称谷歌支持新的和现有的PyPI包的验证过程。具有讽刺意味的是，该邮件声称新流程是由于“上传到PyPI.org域的恶意程序包激增”。该链接将用户带到模仿 PyPI登录页面的网络钓鱼站点，该站点窃取通过网络钓鱼站点“sites[dot]googledot]com/view/pypivalidate”输入的任何凭据。根据PyPI，数据被发送到域“linkedopports[dot]com”上的URL。PyPI管理员无法确定网络钓鱼站点是否旨在中继基于TOTP的双因素代码，但指出受硬件安全密钥保护的帐户不易受到攻击。

10、白宫将向航空业高管提供机密网络威胁情报简报

   白宫一直在与来自选定关键基础设施部门的高管举行机密网络安全简报会，作为持续努力迫使行业领导者在其数字防御方面投入更多资金的一部分。一位白宫网络安全高级官员告诉CyberScoop，下一次会议定于9月举行，届时将有来自航空业的高管参加。拜登政府于去年夏天正式启动了增加行业对关键基础设施升级的支持的努力，当时总统签署了一项国家安全备忘录，指派联邦机构为各种关键基础设施计划制定网络安全绩效目标。从那时起，白宫高级官员一直在悄悄地与贸易组织的高管和领导人会面，努力为关键基础设施运营商制定即将出台的网络安全法规。到目前为止，威胁简报已被证明非常有效，拜登负责网络和新兴技术的国家安全副顾问安妮·纽伯格在本月早些时候的一次采访中告诉CyberScoop。“通过这种方式，他们能够通过与我们相同的视角来看待问题，”领导简报会的纽伯格说。“对于私营部门来说，这是一种成本；对于政府来说，这是一项不允许外国行为者破坏关键服务的承诺。......如果一家公司在佛罗里达州运营一个为50,000名美国人提供服务的供水设施，我们都同意遵守这些规定对于确保在发生网络入侵未遂事件时的连续性至关重要。”Neuberger补充说，威胁简报强调了政府承诺“一旦每个人都在处理相同的情报，就会做出合理的妥协”。即将与航空官员举行的会议是在多年记录的黑客企图破坏航空实体之后进行的。2月，网络安全公司Proofpoint发表的研究表明，至少自2017年以来，航空业面临着“持续、活跃的网络犯罪威胁”。与航空官员的会议将紧随白宫最近为特定运输部门高管量身定制的另一场简报。Neuberger 说，来自全国各地的铁路公司高管于8月4日来到白宫参加关于针对其行业的网络威胁的机密简报会。