网络空间安全动态第138期
一、发展动向热讯
1、《中华人民共和国数据安全法》审议通过
6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》。本法自2021年9月1日起施行。相较于《数据安全法(二次审议稿)》,最终稿做出以下修改:一是建立工作协调机制,加强对数据安全工作的统筹;二是明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度;三是要求提供智能化公共服务应当充分考虑老年人、残疾人的需求,不得对老年人、残疾人的日常生活造成障碍;四是进一步完善保障政务数据安全方面的规定;五是加大对违法行为的处罚力度。(信息来源:中国新闻网)
2、《中华人民共和国反外国制裁法》审议通过
6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国反外国制裁法》,自公布之日起施行。该法规定,外国国家违反国际法和国际关系基本准则,以各种借口或者依据其本国法律对我国进行遏制、打压,对我国公民、组织采取歧视性限制措施,干涉我国内政的,我国有权采取相应反制措施。该法明确列举了三类反制措施:一是不予签发签证、不准入境、注销签证或者驱逐出境;二是查封、扣押、冻结在我国境内的动产、不动产和其他各类财产;三是禁止或者限制我国境内的组织、个人与其进行有关交易、合作等活动。同时,还作了一个兜底性规定,即“其他必要措施”。(信息来源:新华社)
3、美国参议院通过《2021年美国创新与竞争法案》
6月8日,美国国会参议院通过《2021年美国创新与竞争法案》,该法案强调通过战略、经济、外交、科技等手段同中国开展竞争,以对抗中国日益增长的影响力。该法案是《无尽前沿法案》的升级拓展版,总规模达2500亿美元,包括分阶段向美国国家科学基金会注资1900亿美元,加强人工智能及量子科学等研发,设立技术和创新局,专注开发新技术及培训人才,同时禁止将基金会研发的知识产权转让给中国等外国实体。另外亦包括半导体生产激励措施的520亿美元资金,用于半导体零部件的本土化生产。此外,该法案中还提到国际联盟外交事务、航天、芯片和5G无线、购买美国制造、网络安全和人工智能、无人机、医学研究等诸多议题。(信息来源:路透社)
4、拜登签署行政令将59家中企列入黑名单
6月3日,美国总统拜登签署行政令,宣布禁止投资与中国国防、监控科技相关的企业,并点名59家中企,包括电信设备供应商华为、最大芯片制造商中芯国际,中国三大电信公司中国移动、中国电信与中国联通等。根据这份行政令,美国投资者不得投资以上企业,并在未来一年内抛售已持有的股票。拜登表示,该行政令是为确保美国资金不会用于支持破坏美国与盟友的安全或价值观的中企,并应对中国透过监控科技在国内外造成的威胁,包括监控宗教或民族少数派,透过监控加强施压或造成严重侵害人权问题。该行政令将在8月2日生效。(信息来源:美国白宫网站)
5、拜登签署新行政令取代TikTok和Wechat禁令
6月9日,美国总统拜登签署《关于保护美国人的敏感数据不受外国敌对势力侵害的行政命令》,撤销前总统特朗普在任期间对TikTok和Wechat的禁令,并要求商务部对外国对手控制的应用程序进行更广泛的安全审查,并酌情采取行动。美国政府认为,这些敏感数据包括个人身份信息和基因信息,可能直接泄露给外国对手(包括中国),对美国数据隐私和国家安全构成风险。(信息来源:美国白宫网站)
6、美国防部公布2022财年预算申请
5月28日消息,美国防部公布2022财年预算申请7150亿美元,较2021财年增长1.6%。美国防部2022财年预算申请贯彻了拜登政府《临时国家安全战略指南》的战略方向和优先事项,包括:一是重点渲染“中国威胁论”,明确“中国是能够组合经济、外交、军事与技术力量向国际秩序发起持续挑战的唯一对手,对美国构成最严峻长期挑战”,为“太平洋威慑计划”申请51亿美元,为印太地区申请逾660亿美元。二是强调微电子(23亿美元)、高超声速(38亿美元)、人工智能(8.74亿美元)和5G(3.98亿美元)等“先进能力赋能器”价值。三是重视创新与现代化,提升研究、开发、试验与鉴定经费至1120亿美元。还包括推动先进关键武器项目采办;关注网络安全和作战;大幅增加太空军预算等。(信息来源:美国国防部网站)
7、美国防部制定实施负责任人工智能基本原则
6月1日消息,美国防部备忘录制定实施负责任人工智能(RAI)的基本原则,主要包括六项内容:一是RAI治理。确保国防部范围内严格的治理结构和流程,以便进行监督和问责,并明确国防部关于RAI的指导方针和政策以及相关激励措施,加速国防部采用RAI。二是作战人员信任AI。建立试验、鉴定以及验证和确认框架,确保作战人员对AI的信任。三是产品和采办生命周期。开发工具、政策、流程、系统和指南,以在整个采办寿命周期内同步AI产品的RAI实施。四是要求验证。将RAI纳入所有适用的AI要求中,以确保RAI包含在国防部AI能力中。五是建立RAI生态系统。建立国家和全球RAI生态系统,以改善政府间、学术界、工业界和利益相关者的合作,并促进基于共同价值观的全球规范。六是AI人才队伍建设。建立、训练、装备和留住RAI人才队伍,以确保强有力的人才规划、招聘和能力建设措施。(信息来源:美国国防部网站)
8、美国防部长签署联合全域指挥控制战略
6月4日消息,美国防部长劳埃德·奥斯汀签署了“联合全域指挥控制”战略文件,旨在推进人工智能技术在战场上的应用以及数据共享。该战略确定了各军事部门如何连接空中、陆地、海洋、太空和网络空间传感器,使用网络化方法进行作战。“联合全域指挥控制”旨在通过全球弹性网络共享数据,为美国提供更大的军事优势。在联合全域指挥控制框架内,陆军“融合计划”重点提高地面弹药精度,空军“先进战斗管理系统”项目注重共享飞行数据,海军“超越计划”聚焦建立海上网络。“联合全域指挥控制”战略的关键,是将各军种的计划项目协调成一个可互操作的技术和行动框架。(信息来源:美国FedScoop网)
9、美太空军斥资数十亿美元推动新的数据管理战略
5月24日消息,美太空军斥资数十亿美元推动新数据管理战略,并将新数据管理战略命名为“数据即服务”。根据新战略,美太空军将把存储在独立系统中的大量数据转换为联通的数字架构并整合到云平台上,随后使用人工智能工具分析数据,将结果更快速地交付给使用者。如目前执行监控与在轨物体跟踪任务的作战人员,需从多个独立数据集获取信息,再手动使用Excel表格进行数据汇总分析,而“数据即服务”可使整个过程自动化。(信息来源:国防科技要闻)
10、英海军“强大盾牌”演习测试人工智能反导能力
5月31日消息,英国海军表示,在苏格兰赫布里底群岛试验靶场举行的“强大盾牌”防空反导海上实弹演习中,首次采用人工智能软件测试了反导能力。演习测试了Startle人工智能与Sycoiea机器学习应用程序。Startle人工智能系统可减轻船员在指挥室中监控“空情图”的负担,并能提供实时建议和警告。Sycoiea系统在此基础上进行威胁评估武器分配,并提供应对威胁的最佳建议。“强大盾牌”演习参与国包括比利时、丹麦、法国、德国、意大利、荷兰、挪威、西班牙、英国和美国。参演兵力包括15艘战舰、数十架飞机和约3300名人员。(信息来源:美国海军技术网站)
二、安全事件聚焦
11、Fastly CDN服务故障致全球互联网大面积宕机
6月8日,全球大量热门网站突然无法访问,显示“服务不可用”503错误。受影响网站包括亚马逊、PayPal、Shopify、Reddit、GitHub、Hulu、HBO、英国政府网站gov.uk以及CNN、BBC、卫报、纽约时报等新闻网站。据悉,此次事件可能与云服务厂商Fastly有关,Fastly官方服务状态页面显示,已发现CDN服务故障,正在逐步修复程序,但Fastly CDN服务中断的原因尚不清楚。(信息来源:安全内参网)
12、丹麦情报局帮助美国国家安全局监视欧洲政客
5月30日,丹麦国家广播电视台(DR)报道称,丹麦国防情报局(FE)允许美国国家安全局(NSA)进入丹麦的一个主要互联网和电信枢纽,并允许美国情报机构通过监控平台XKeycore监视欧洲政治家的通信,对包括默克尔等在内的欧洲政府高官进行监视。这项名为Dunhammer的间谍行动是由欧洲一些最大的新闻机构联合调查发现的。美国国家安全局和丹麦情报部门曾签署一项秘密协议,允许网络间谍在2012年至2014年期间窃听敏感通信。XKeyscore可提供最广泛的在线数据收集、分析电子邮件、社交媒体和浏览历史内容。BBC表示,美国国家安全局已收集了德国、法国、瑞典和挪威官员的情报。(信息来源:SecurityAffairs网)
13、中国台湾内存和固态硬盘制造商威刚遭勒索攻击
6月9日,全球第二大存储器和存储制造商威刚(ADATA)表示,曾在5月23日遭到勒索软件攻击,被迫关闭受影响系统。威刚总部在中国台湾,在2018年被评为第二大DRAM内存和固态硬盘(SSD)制造商,生产高性能DRAM内存模块、NAND闪存存储卡和其他产品,包括移动配件、游戏产品、电力传动系统和工业解决方案。勒索团伙Ragnar Locker声称是此次攻击的始作俑者,已经从威刚的网络中窃取了1.5TB的敏感数据。截图显示,攻击者收集了专有商业信息、机密文件、原理图、财务数据、Gitlab和SVN源代码、法律文件、员工信息、NDAs和工作文件夹。(信息来源:FreeBuf网)
14、勒索攻击冲击美国猪牛肉供应
5月31日,全球最大肉类供应商JBS公司发表声明,承认部分用于支持北美及澳大利亚IT系统的服务器遭遇有组织的勒索软件攻击。此次攻击对肉类供应链造成了巨大影响,导致美国农业部无法及时公布牛肉与猪肉的批发价格,给数千家农产品市场机构造成直接冲击。JBS公司已经被迫叫停了美国及澳大利亚多处加工厂的肉类处理班次,并表示将关闭爱荷华州、犹他州等多个加工厂。(信息来源:ZDNet网)
15、勒索攻击导致美国议员选民沟通平台服务中断
6月8日消息,美国议员选民沟通平台iConstituent遭勒索攻击导致服务中断,众议院近60位议员数周无法检索选民信息。美国众议院首席行政官表示,议员们确实收到了iConstituent通讯系统遭受勒索软件攻击的消息,但攻击者没有从众议院获取或访问到任何数据,众议院使用的网络也未受影响。目前,iConstituent正在与相关机构合作解决这一问题。(信息来源:ZDNet网)
16、勒索攻击致美国多个广播和电视台停播
6月3日消息,美国最大传媒集团之一考克斯媒体集团旗下广播和电视台遭遇勒索软件攻击,导致直播被迫中断,考克斯的网络流媒体与移动应用业务无法正常运转,部分直播节目无法按计划播出。这是勒索软件团伙第二次向美国主要媒体集团发动攻击。2019年9月,某勒索软件团伙就曾攻击CBS旗下的全美第二大广播网络Entercom,并导致部分广播电台被迫离线。(信息来源:TheRecord网)
17、日本富士胶片公司遭勒索攻击
6月2日,日本富士胶片公司称遭受勒索软件攻击,攻击影响了其所有外部通信,包括电子邮件和电话服务。该公司正在调查对服务器未经授权的访问,且关闭了网络。此次攻击可能与REvil勒索软件有关。(信息来源:BleepingComputer网)
18、内含84亿条密码记录的数据库遭泄露
6月7日消息,用户在某黑客论坛上发布了一个100GB的txt文件,其中含有84亿条密码记录,其中有3200万条明文密码记录,很可能是整理了历史上多起密码泄露事件后合并而成。发布者称,该集合中的所有密码长度都在6-20个字符之间,并移除了所有的非ASCII码字符和空格,并将其命名为RockYou2021。RockYou2021包含的密码记录约是全球网民数量的2倍(全球约有47亿网民),84亿条唯一密码集的密码和其他包含用户名、邮箱地址的密码集可以组合使用,因此攻击者可以使用RockYou2021数据集来进行词典攻击和一系列暴力破解攻击。(信息来源:CyberNews网)
19、加拿大邮政供应商95万条个人数据遭泄露
5月28日消息,加拿大邮政供应商Canada Post披露,其第三方解决方案供应商Commport Communications遭受勒索软件攻击,95万名发件人、收件人数据及44名邮局商业用户的运输清单遭泄露。Canada Post是加拿大主要邮政运营商,为1650万个加拿大住宅和商业地址提供服务。加拿大邮政表示,此次攻击很可能是今年4月出现的勒索软件组织Lorenz所为。(信息来源:安全牛网)
20、东京奥组委遭网络攻击工作人员信息外泄
6月6日消息,受富士通安全事件影响,参与东京奥运会网络安全演习的约90家组织安全管理人员的个人信息泄露,包括姓名、职级与隶属关系等,相关组织涉及奥运会与残奥会组委会、日本各部委、东京与福岛县等赛事举办地政府以及多家赞助商。日本内阁表示,预计在东京奥运会期间,日本的关键基础设施很可能遭受网络攻击,目前内阁已经做好应对此类安全事件的准备。(信息来源:安全内参网)
21、美国士兵使用抽认卡APP意外泄露核信息
5月30日消息,开源情报机构Bellingcat称,驻扎在欧洲的美军士兵在使用抽认卡APP时,可能意外暴露了有关美国核武器储备的信息,包括欧洲基地位置、可能装有核武器的确切位置、摄像机位置、巡逻频率甚至禁区所需要的唯一标识符密码和其他信息。研究人员称,士兵们未将APP设置为“私密”,且一些士兵使用的照片与LinkedIn个人资料上的照片相同,因此将其与核信息联系起来并不难。目前,带有敏感信息的抽认卡已被撤下。(信息来源:TheVerge网)
三、安全风险警示
22、工控产品软件CODESYS被曝存在10个严重漏洞
6月4日消息,俄罗斯网络安全公司Positive Technologies的研究人员从多款工控产品都在使用的 CODESYS工业自动化软件中发现10个漏洞,其中6个为严重漏洞,可通过特殊构造的请求执行远程代码或导致系统崩溃;3个为高危漏洞,可通过特殊构造的请求,用于执行拒绝服务攻击或远程代码执行;1个为中危漏洞,可用于破坏目标系统。CODESYS软件用于十多家企业的PLC中,如 Beckhoff、Kontron、Moeller、Festo、三菱、HollySys和多家俄罗斯企业。目前,CODESYS公司已发布CODESYS V2 web服务器、Runtime Toolkit和PLCWinNT产品的更新以解决漏洞,建议客户安装更新。(信息来源:E安全网)
23、中国台湾工业制造商固件曝高危漏洞影响多家厂商
6月4日消息,网络安全咨询公司SEC Consult发现,中国台湾工业网络解决方案提供商Korenix Technology生产的工业交换机存在五种类型的高危漏洞,包括未经身份验证的设备管理、后门账户、跨站点请求伪造、经过身份验证的命令注入和TFTP文件读/写问题。攻击者可利用这些漏洞完全控制设备并获取敏感信息。这些交换机用于重工业、运输、自动化、电力和能源、监控和其他部门网络中的关键位置,多家厂商受影响。Korenix Technology在收到漏洞通知后,发布了补丁和解决方法。(信息来源:SecurityWeek网)
24、Realtek RTL8710C WiFi 模块存在严重漏洞
6月3日消息,以色列物联网公司Vdoo发布报告,称Realtek RTL8710C WiFi模块中存在两个栈缓冲区溢出漏洞CVE-2020-27301 和 CVE-2020-27302,CVSS评分为8.0。攻击者可利用上述漏洞获取使用该模块的嵌入式设备操作系统(如Linux或安卓)的根访问权限,完全控制该WiFi模块,获取设备的提升权限并劫持无线通信。Realtek RTL8710C 支持Ameba。Ameba是一款兼容Arduino的可编程平台,配有外围接口,供设备构建多种物联网应用程序,涵盖农业、汽车、能源、医疗、工业和智能家居等行业。漏洞影响所有使用该组件连接至WiFi网络的嵌入式和物联网设备。目前尚未发现利用这些漏洞的攻击活动,且固件版本已发布。建议用户使用强大的私密WPA2密码以阻止攻击。(信息来源:TheHackerNews)
25、华为USB LTE dongles中存在提权漏洞
6月2日消息,Trustwave的研究人员披露了华为E3372型USB LTE dongles中的提权漏洞。USB dongles是一种可以插入笔记本电脑和台式电脑的硬件,外观像u盘,可以访问互联网。插入USB dongles时会自动运行mbbserviceopen,攻击者可以将文件替换为恶意代码。目前,华为已发布有关缓解措施。(信息来源:BleepingComputer网)
26、新后门Facefish可窃取Linux系统信息
5月30日消息,研究团队发现了一个新的后门Facefish,可控制Linux系统并窃取敏感数据。该新后门支持多种功能,包括上传设备信息、窃取用户凭证、弹回shell和执行任意命令。此外,研究人员表示Facefish采用了复杂的通信协议和加密算法,它使用以0x2XX开头的指令来交换公钥,并使用BlowFish与C2服务器加密通信数据。(信息来源:SecurityAffairs网)
27、多个恶意软件家族可感染Pulse Secure VPN
5月28日消息,Fireeye研究团队发现多个可感染Pulse Secure VPN设备的恶意软件家族。这些恶意软件主要利用的是身份验证绕过漏洞CVE-2021-22893,CVSS评分为10,允许未经身份验证的攻击者远程执行任意代码。目前已发现16个此类恶意软件,包括用于解析PSC日志文件的Bloodmine、窃取凭据的Bloodbank、内存补丁工具Cleanpulse和Web shell Rapidpulse等。(信息来源:ZDNet网)
28、首款利用Windows Server容器的恶意软件现身
6月7日消息,网络安全公司Palo Alto Networks发现针对并逃逸Windows Server容器以感染受害者 Kubernetes集群基础设施的首款恶意软件Siloscape。研究人员称3月初发现此类攻击,但攻击可能至少发生了一年之久。攻击者一直在扫描互联网中的常见云应用程序,如Web服务器并部署老旧漏洞的exploit,在未修复应用程序上下载并安装Tor客户端以联系其命令和控制服务器并接受命令。Siloscape并不会主动执行任何损害集群的动作,而是专注于不被检测到和不被追踪到,并在集群中打开后门。截至目前,尚未发现攻击者发动恶意活动。(信息来源:TheRecord网)
四、前沿技术瞭望
29、中国科学家将光存储时间提升至1小时
4月26日消息,中国科学技术大学郭光灿院士团队李传锋、周宗权研究组在光量子存储领域取得重要突破,将相干光的存储时间提升至1小时,刷新了2013年德国团队光存储1分钟的世界纪录。中国科学技术大学科研团队精确刻画了掺铕硅酸钇晶体光学跃迁的完整哈密顿量,成功实现了光信号的长寿命存储。通过加载相位编码,实验证实在经历了1个小时存储后,光的相位存储保真度高达96.4±2.5%。这一科研成果将光存储时间从分钟量级推进至小时量级,满足了量子U盘对光存储寿命指标的基本需求。(信息来源:央视新闻)