网络空间对抗资讯快报

1、美参议员提出两党量子计算网络安全法案

美国参议院已提出一项旨在加强国家安全以应对量子计算威胁的两党法案。该法案由参议员Rob Portman (R-OH) 和Maggie Hassan(D-NH)共同发起，于4月在众议院提出并于7月通过。《量子计算网络安全准备法案》解决了联邦机构对量子计算的准备情况，并要求他们采取适当的防御措施来防止启用量子计算的数据泄露。该法案强调了将联邦机构的信息技术系统迁移到后量子密码学的必要性，并要求管理和预算办公室(OMB)监督迁移过程。“量子计算的快速发展表明，美国的对手今天有可能使用经典计算机窃取敏感的加密数据，并等到足够强大的量子系统可用后对其进行解密，”该法案写道。根据该法案，在美国国家标准与技术研究院(NIST)发布后量子密码学标准后，OMB还将指导联邦机构一年，并将向国会通报联邦机构向后量子密码学标准迁移的状态以及后量子密码学的风险、防御和必要的资金。如果参议院通过，该法案也得到谷歌、IBM和Quantinuum等科技公司的支持，然后将提交总统签署成为法律。“量子计算将带来计算能力的巨大进步，但也会带来新的网络安全挑战。这项两党立法将要求政府清点其加密系统，确定哪些最容易受到量子计算的威胁，并相应地升级这些系统。我敦促我的同事和我们一起支持这项立法，”波特曼说。

2、 FileWave移动设备管理(MDM)产品的漏洞使上千组织面临远程攻击

据工业网络安全公司Claroty称，影响FileWave移动设备管理(MDM)产品的漏洞使许多组织面临远程攻击。Claroty研究人员最近发现FileWave MDM产品受到两个关键安全漏洞的影响：身份验证绕过问题(CVE-2022-34907)和硬编码加密密钥(CVE-2022-34906)。供应商迅速修补了这些缺陷。身份验证绕过漏洞可能允许远程攻击者实现“super_user”访问并完全控制连接到Internet的MDM实例。从那里，攻击者可以入侵使用FileWave产品管理的所有设备，包括窃取敏感信息和传播恶意软件。研究人员确定了1,100多个暴露在互联网上的易受攻击的 MDM服务器实例，其中包括企业、教育机构、政府机构和中小型企业的实例。这可能使这些系统成为希望破坏组织内许多系统的恶意行为者的诱人目标。这家网络安全公司进行了实验，以展示攻击者如何利用CVE-2022-34907获取有关托管设备的信息并在每个系统上安装勒索软件，包括macOS、iOS、Windows和Android 设备。“如果恶意使用此漏洞，远程攻击者可以轻松攻击和感染由FileWave MDM管理的所有互联网可访问实例，允许攻击者控制所有托管设备，访问用户的个人家庭网络、组织的内部网络等等，”Claroty在25日发表的一篇博文中说。FileWave 在本月早些时候发布的14.7.2版本中修补了该漏洞。据这家网络安全公司称，该供应商已积极联系客户，敦促他们修补受影响的系统。

3、日内瓦协会最新报告强调了网络保险公司在应对勒索软件攻击方面的关键作用

日内瓦协会研究小组表示，网络犯罪分子带来的日益增长的风险要求保险公司在预防和保护潜在受害者方面发挥越来越重要的作用。该报告称，勒索软件攻击的急剧上升影响了当前网络保险公司的承保业绩，这些攻击占2020年所有网络保险索赔的近75%。“通过勒索软件，我们看到了保险公司作为风险管理者所扮演的重要‘预防和缓解’角色的一个例子，”日内瓦协会的医学博士Jad Ariss说。“他们通过激励客户维持强大的网络安全控制和标准的能力控制了一个关键杠杆，帮助降低公司的攻击脆弱性并提高他们的网络弹性。”该报告建议监管机构和政府不要禁止支付赎金或保险公司报销，称这可能导致黑客利用新的危险方法敲诈受害者。“禁止保险公司支付赎金或偿付赎金可能会推动交易转入地下，从而丧失当局记录和分析事件以及起诉犯罪分子的能力，”日内瓦协会网络和不断演变的责任主任兼报告作者达伦·佩恩说。Ariss博士表示，政府需要采取更多措施来遏制不断增长的勒索软件市场，重点关注加密货币的非法使用，并鼓励执法部门之间开展国际合作以应对网络攻击。

4、NSO集团向14个欧盟国家出售间谍软件

欧洲议会飞马和类似间谍软件调查委员会(PEGA)的9人代表团前往以色列，讨论监视工具的滥用 及其对欧洲民主、法治和基本权利的影响。“NSO集团不是唯一的供应商，而是最大的供应商之一。该公司已使用以色列政府颁发的出口许可证向14个欧盟政府出售间谍软件，”PEGA发言人Sophie说。在据称对记者、政治家、执法人员和其他公民使用Pegasus后，调查使用Pegasus的委员会于2022年4月成立。据委员会主席Jeroen Lenars的说法，此次访问强调了未来需要采取更多措施来防止此类技术的滥用。该委员会计划访问波兰和匈牙利，因为据称政府使用 Pegasus来监视他们的批评者。委员会将在工作12个月后提交最终报告。

5、美国司法部敦促采用零信任以加强安全态势

为了继续努力改善联邦机构和私人组织的安全态势，司法部(DoJ)发布了一份完整的报告，对他们为减少网络威胁所做的努力进行了为期120天的审查。美国司法部的评估强调了拜登政府在其网络安全行政命令中概述的安全态势的至关重要性，并提出了破坏危险网络威胁的步骤，同时加强防御对关键基础设施的不可避免的攻击。该报告由美国副司法部长丽莎·摩纳哥发起，她在202 年国际网络安全会议(ICCS)的主题演讲中指出了这种方法的重要性：“在司法部，保护美国人民免受所有威胁，国外和国内，是我们使命的重要组成部分。这就是为什么在过去一年中，我们一直专注于从各个角度攻击网络威胁。我们正在采取积极主动的方式应对威胁。”美国司法部的正式审查很明确：跨机构合作是关键。它强调各机构需要在联邦、州、地方、部落和地区各级共同努力——同时还要将私营部门纳入其信息和知识共享中，以使国家的整个基础设施每天都更加安全。当今存在超过19亿个Web应用程序，其中许多在整个政府中使用，掌握国家的安全态势是关键任务。报告呼应了管理和预算办公室( M-22-09) 先前备忘录中的指导，通过零信任方法的范围审查了安全需求，并提出了组织和机构可以采取的重要步骤来改善企业身份和访问控制。

6、俄罗斯正在悄悄加强其互联网审查能力

 自3月弗拉基米尔·普京屏蔽Facebook、Instagram和Twitter 以来，俄罗斯一直在快速远离全球互联网。都柏林城市大学数字媒体与社会学教授Tanya Lokot表示：“俄罗斯入侵乌克兰为加强严厉审查创造了额外的借口，同时也通过了更多法律，禁止更多事情，并使更多人受到刑事起诉的威胁。”，研究数字权利和互联网自由。在过去的两个月里，俄罗斯官员发布了大约六项政策或法律公告，旨在加强对网络和该国科技生态系统的控制。7月，到目前为止，立法者已经提议创建一个安装在新手机上的俄罗斯应用程序商店，并引入了一项可能限制人们将数据转移到国外的法律。俄罗斯议会还投票允许从银行收集人们的生物特征数据并将其添加到一个大型数据库中。谷歌因不遵守规定被罚款3.74亿美元，苹果因未在俄罗斯存储数据而被罚款。6月，俄罗斯收紧了对“外国代理人”的法律，进一步打击了VPN的使用，公布了一个收集手机IMEI代码的数据库，告诉官员不要使用Zoom和即时通讯应用等外国视频会议软件，以及启动了一项法律草案，到2025年将停止在该国的关键基础设施中使用外国软件。综合起来，这些政策（如果实施）将加强对俄罗斯人技术使用的监督，并进一步加强国家对通信的控制。但这些新政策建立在莫斯科十年来不断收紧的控制之上。俄罗斯数字权利组织Roskomsvoboda的联合创始人、科技发展组织Privacy Accelerator的创始人Stanislav Shakirov表示，俄罗斯自2012年以来一直在立法监管和控制互联网。

7、印度政府警告Apple Watch存在多个严重漏洞

据政府称，运行watchOS 8.6及更早版本的Apple Watch型号存在风险。这些漏洞的严重性等级很高，攻击者可以运行任意代码并绕过运行watchOS 8.6及更早版本的任何目标Apple Watch的安全限制。作为解决方案，政府建议 Apple Watch 户通过更新到最新可用版本watchOS 8.7来应用必要的补丁。苹果还在其支持网站上列出了该漏洞。印度计算机应急响应小组(CERT-in)在一份漏洞说明中表示，运行比8.7旧版本watchOS的Apple Watch机型受到多个漏洞的影响。网络安全节点机构已将其严重程度评为高。根据CERT-in的说法，这些漏洞可能允许攻击者执行任意代码并绕过Apple对目标智能手表的安全限制。检测到的漏洞是由于AppleAVD组件中的缓冲区溢出、AppleMobilityFileIntegrity组件中的授权问题、Audio、ICU和WebKit组件中的越界写入而存在的。CERT-in 还提到了Apple Watch型号中存在这些漏洞的其他原因。其中包括“多点触控组件中的类型混淆、GPU驱动程序组件中的多个越界写入和内存损坏、内核组件中的越界读取以及libxml2 组件中的内存初始化”。远程攻击者可以通过向目标设备发送特制请求来利用上述漏洞。

8、勒索软件集团攻击了意大利税务机构

据意大利安莎社25日报道，当局正在调查从意大利税务机构l'Agenzia delle Entrate窃取的大约78GB数据被盗事件。25日早些时候，最活跃和最多产的勒索软件组织之一LockBit 3.0在其网站上发布了一条通知，声称它从该机构窃取了“100GB：公司文件、扫描、财务报告、合同”，以及六张截图，声称显示文件样本。该机构网站上发布的一条消息称，它“立即要求SOGEI SPA提供反馈和澄清”，这家上市IT公司“负责管理财务管理的技术基础设施并正在进行所有必要的检查”。当天发送到SOGEI SPA的新闻电子邮件的消息被退回，因为无法投递。LockBit 3.0于2019年9月作为ABCD勒索软件首次作为一种独特的勒索软件即服务变体出现，此后已经发展了多次。它已经成长为可能是该领域最活跃的群体。Palo Alto Networks的Unit 42在6月报告称，截至5月，该组织占2022年所有与勒索软件相关的违规事件的46%，并在全球范围内造成850多名受害者。专家们过去曾警告说，LockBit之前曾提出过虚假声明，或者声称从一个实体窃取的信息实际上是来自另一个实体的数据。

9、OMB在机构预算提交之前确定2024财年的网络优先事项

随着各机构准备在今年秋天向白宫提交预算申请，管理预算办公室和国家网络总监办公室当地时间22日发布了一份备忘录，确定了政府2024财年的网络安全优先事项。在2024财年，执行机构将投资于三个网络优先事项：通过关注零信任实施和IT现代化来提高政府网络的防御和弹性；深化跨部门合作以保护关键基础设施；“加强我们数字化未来的基础。”除了寻求足够的资金来支持这项工作外，OMB和ONCD将联合“审查机构对这些优先事项的反应，确定潜在差距以及这些差距的潜在解决方案，”由OMB主任Shalanda Young和国家网络主任克里斯·英格利斯签署的备忘录说。“OMB将与ONCD协调，向机构提供反馈，说明优先事项是否得到充分解决并与整体网络安全战略和政策一致——通过常规预算流程帮助机构的多年规划，”备忘录说。然而，这份备忘录的大部分内容是对本届政府或其他人之前发布的早期战略文件和行政命令的重述——例如推动“加速采用和使用安全的云基础设施和服务，利用零信任架构”和“在其法定权限范围内酌情探索基于技能的替代招聘和薪酬激励做法，以确保技术人才能够获得IT和网络劳动力的机会。”

10、黑客使用更复杂的骗局来驱动代价高昂的数据泄露

根据福布斯顾问对FBI互联网犯罪投诉中心(IC3)的数据进行的五年分析，针对企业电子邮件的数据泄露对犯罪分子来说是最赚钱的，从2017年到2021年，受害者损失超过75亿美元。这些报告的违规行为包括商业电子邮件泄露和电子邮件帐户泄露（BEC/EAC），在审查的时间段内总共影响了94,814名受害者。根据IC3的202 年互联网犯罪报告，随着犯罪分子为应对预防性网络安全措施而变得更加老练，BEC/EAC诈骗不断演变。欺诈者现在不只是欺骗电子邮件地址并要求收件人将资金电汇到银行账户，而是使用第三方平台在入侵电子邮件账户后为其请求添加合法性的外衣。IC3报告称：“这些计划历来涉及泄露供应商电子邮件、索取W-2信息、针对房地产行业以及欺诈性索取大量礼品卡。” “现在，欺诈者正在使用虚拟会议平台来破解电子邮件并欺骗商业领袖的凭据，以发起欺诈性电汇。”IC3将通过虚拟会议服务导致的BEC/EAC数据泄露事件的增加归因于冠状病毒大流行导致远程办公的增加。通过入侵通常会要求员工参加虚拟会议的高级员工的电子邮件帐户，犯罪分子能够欺骗员工向他们汇款。这些以欺诈手段获得的资金“通常会立即转移到加密货币钱包并迅速分散，使得追回工作更加困难。”从2017年到2021年，福布斯顾问分析发现，数据泄露影响了超过200万美国人，并造成近200亿美元的经济损失。

11、黑客论坛上发布的基于Rust的信息窃取器的源代码

用Rust编码的信息窃取恶意软件的源代码已在黑客论坛上免费发布，安全分析师已经报告说该恶意软件被积极用于攻击。该恶意软件作者声称只用了六个小时就开发出来了，它非常隐蔽，VirusTotal返回的检测率约为22%。由于信息窃取器是用Rust编写的，一种跨平台语言，它允许攻击者瞄准多个操作系统。然而，以目前的形式，新的信息窃取程序只针对Windows操作系统。网络安全公司Cyble的分析师 对新的信息窃取器进行了抽样并将其命名为“Luca Stealer”，他们报告称，该恶意软件具有此类恶意软件的标准功能。执行时，恶意软件会尝试从30个基于Chromium的Web浏览器中窃取数据，从而窃取存储的信用卡、登录凭据和cookie。该窃取者还针对一系列“冷”加密货币和“热”钱包浏览器插件、Steam 帐户、Discord 代币、Ubisoft Play等。Luca Stealer与其他信息窃取者相比脱颖而出的地方在于，它专注于密码管理器浏览器插件，为17个此类应用程序窃取本地存储的数据。Cyble报告说，它已经看到至少25个Luca Stealer实例在野外使用，因此虽然一些网络犯罪分子接受了免费提供，但尚不清楚这种新恶意软件是否会大规模部署。

12、参议院军事委员会关注国防部的网络任务部

根据新的立法，参议院军事委员会（SASC）正在寻求帮助国防部解决和纠正与其网络部队战备相关的问题。委员会助手25日告诉记者，在与网络指挥官的讨论中，包括招募和保留在内的战备问题变得更加明显。SASC版本的2023财年国防授权法案要求制定解决战备不足的计划，并研究军队在组织、训练和向美国网络司令部派遣部队方面的责任。“我们举行了一次听证会，这是一次关于它的机密听证会，真正告知了今年早些时候的这些规定，我们从所有向网络任务部队提供部队的联合部队总部网络组织获得了证词，”一名委员会助手说，参考为Cybercom提供网络任务部队团队的服务网络组件。“他们在获得所需的保留率和招聘率方面面临一些挑战。”据委员会助手称，一些准备问题源于吸引和留住人才，这是政府和私营部门网络安全领域长期存在的问题。长期以来，准备就绪一直是Cybercom的首要任务。近年来，国防部一直在为其网络团队制定战备指标，首先从以防御为重点的网络保护团队开始，然后转向进攻和支持团队。一位委员会助理指出，国防部了解这些准备问题，并正在努力解决这些问题。“我们已经与五角大楼的负责人就此进行了多次讨论。我们认为，问题和潜在修复的范围已经很好地确定了。我们将由他们来确定最有意义的补救措施组合，”这位助手说。然而，委员会担心网络任务部队将在未来几年内再增加14个团队。SASC工作人员表示，该立法授权增加委员会认为军方可以使用更多资源以获得更好能力的领域的预算，同时强调国防部落后的领域。