美國將惡意軟體植入俄羅斯電力網路,以在網路戰中先發制人

紐約時報報導,美國國防與情報單位已將惡意軟體植入俄羅斯電力網路之中,以便在網路戰中取得優勢地位。

紐約時報指出,該報掌握的資訊指出,美國為了防止俄羅斯透過網路進行滲透,或再次發生操弄選舉情形,已經在俄羅斯的電力網路中植入惡意軟體,必要時可先發制人發動攻擊。

紐約時報指出,有兩名美國情治單位官員證實這個消息,並且指出相關單位尚未向川普總統報告此事。

川普總統得知此事後,在推特上發文否認紐約時報的報導;俄羅斯政府發言人則表示該國一直在對抗類似的人侵行為,這類行為無法傷害俄國的經滴與關鍵產業。

資料來源:

  1. https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html
  2. https://edition.cnn.com/2019/06/15/politics/us-ramping-up-cyberattacks-russia/index.html

美軍網路作戰司令部對伊朗武器系統發動駭侵攻擊

華盛頓郵報報導,美國總統川普批准針對伊朗飛彈射控系統的駭侵攻擊行動,並在上周四發動攻擊。

據華郵報導指出,川普總統批准這項駭侵攻擊行動,名目上是為了報復上周伊朗在阿曼灣攻擊兩艘油輪,以及擊落美軍無人機的事件。

美軍的駭侵攻擊行動在上周四展開,由美國網路作戰司令部(US Cyber Command)執行目標是伊朗用以控制火箭與飛彈發射的射控系統,使之無法運作。

與傳統以火砲為主的攻擊不同,這場網路攻擊行動並沒有造成任何人員傷亡。

消息人士指出,美國網站司令部為這類攻擊行動已經籌畫了數周到數月之久,但美國官方並未證實確有這次攻擊行動。曾服務於川普政府的白宮前資深資安官員指出,這類攻擊對美國布署在荷姆茲海峽的海軍艦艇人員有防衛作用。

資料來源:

  1. https://www.washingtonpost.com/world/national-security/with-trumps-approval-pentagon-launched-cyber-strikes-against-iran/2019/06/22/250d3740-950d-11e9-b570-6416efdc0803_story.html?utm_term=.cc6605f649eb
  2. https://www.bbc.com/news/world-us-canada-48735097

美國海關包商遭駭,旅客相片資料疑似外洩

美國海關暨邊境保衛局於本周一指出,與該局簽約的下包廠商疑似遭到駭侵,導致通關旅客的面部與車牌相片外洩。

美國海關暨邊境保衛局大量使用各種影像監控儀器,用於通關監視與邊防安檢之用;旅客的面孔與其車牌影像也被用於出入境監控確認之上。

該局表示這次遭竊的資料,主要是以汽車進行單次入出境的旅客面孔與車牌相片,受害旅客約有十萬名之多;雖然當局表示並未發現資料在暗網上求售的跡象,但英國科技媒體 The Register 報導卻說他們發現有疑似來自該外包商的大量個資在暗網供人自由下載。

資料來源:

  1. https://www.washingtonpost.com/technology/2019/06/10/us-customs-border-protection-says-photos-travelers-into-out-country-were-recently-taken-data-breach/?utm_term=.5aaca22277c1&wpisrc=nl_cybersecurity202&wpmm=1
  2. https://www.theregister.co.uk/2019/05/23/perceptics_hacked_license_plate_recognition/

美國各種公共事業遭高危險駭侵團體鎖定

資安研究單位指出,某些全球最危險的駭侵團體,顯已鎖定包括電力與石化產業在內的美國重要公用事業,列為駭侵攻擊目標。

資安公司 Dragos 的研究人員指出,一個稱為「Xenotime」的駭侵團體,自去年開始便鎖定美國的部分供電網路,伺機發動攻擊。

這個 Xenotime 駭侵團體,於兩年前曾針對沙烏地阿拉伯的石油化學工廠發動駭侵攻擊,成功破壞多個石油與瓦斯廠的運作。Dragos 指出,Xenotime 接下來的目標,極可能是美國與亞太地區的能源基礎設施。

資安專家指出,該駭侵團體可以用一個名為「Triton」的強大惡意軟體,入侵石油與電力公司的系統並造成破壞,而且不惜造成生命財產損失。這個惡意軟體係針對石油與電力公司使用的電腦系統進行客製。

資料來源:

  1. https://www.eenews.net/stories/1060575609
  2. https://www.fireeye.com/blog/threat-research/2019/04/triton-actor-ttp-profile-custom-attack-tools-detections.html

美國情治單位成功測試利用 BlueKeep 漏洞,於目標電腦上執行任意程式碼

美國國土安全部的資安小組,已經發展出透過 WIndows 的 BlueKeep 漏洞遠端執行任意程式碼的模擬攻擊軟體,並且測試成功。

美國國土安全部表示,目前多個利用 BlueKeep 漏洞的惡意軟體,多半用以發動 DDoS 攻擊,意圖癱瘓被攻擊對象;但該部轄下的資安單位,已經成功發展出利用 BlueKeep 漏洞,以遠端執行程式碼的惡意軟體。

該單位在本周一發布公告,指出針對 Windows 2000 電腦的 BlueKeep 遠端程式執行模擬攻擊已告成功。Windows 2000 電腦並不在先前微軟發布 BlueKeep 修補程式的支援對象內。

資安專家指出,可進行遠端程式執行的 BlueKeep 惡意軟體,將有可能如同 2017 年的 WannaCry 勒贖攻擊一樣,引發全球性的資安危機。

美國國土安全部稍早也曾發布公告,強烈建議 Windows 各版本用戶盡速進行安全更新,以修補 BlueKeep 漏洞。

資料來源:

  1. https://www.us-cert.gov/ncas/alerts/AA19-168A
  2. https://techcrunch.com/2019/06/05/nsa-advisory-bluekeep-patch/
  3. https://techcrunch.com/2019/06/17/cisa-bluekeep-working-exploit/

Facebook 開發的兩支 WordPress 插件程式,遭爆內含資安漏洞

資安研究人員發現 Facebook 為 WordPress 開發的兩支插件擴充程式,內含 0-Day 漏洞,無法阻擋 CSRF/XSRF 攻擊。

據該研究人員通報,出現漏洞的兩支由 Facebook 開發的 WordPress 插件程式,一支是 Messenger Customer Chat,另一支是 Facebook for WooCommerce,各有二十萬和二萬個安裝次數。

這兩支插件程式的漏洞在於未能檢測並阻擋跨站請求偽造攻擊(Cross-Site Request Forgery, CSRF/XSRF),讓不同網站可以偽裝成用戶本人以進行各種操作。

目前 Facebook 已經修復這兩支插件,但由於發表這兩個漏洞的資安研究者並沒有依照慣例,搶在修補程式發布前就公告漏洞資訊,因此也引起資安與開發社群的批判。

資料來源:

  1. https://threatpost.com/irked-researcher-discloses-facebook-wordpress-plugin-flaws/145771/
  2. https://www.pluginvulnerabilities.com/2019/06/17/automattic-is-having-woocommerce-install-by-default-an-insecure-plugin-by-facebook/
  3. https://www.pluginvulnerabilities.com/2019/06/17/facebooks-wordpress-plugin-messenger-customer-chat-contains-an-authenticated-settings-change-vulnerability/

新型釣魚詐騙活動,以加密訊息為由,騙取用戶帳號密碼

資安專家發現網路上出現新型態釣魚詐騙活動,以解開加密訊息為由,騙取用戶的帳號與密碼等登入資訊。

資安專家 Lawrence Abrams 指出,最近發現一種新型態的網路約魚詐騙;受害者會收到偽裝成系統通知信件的釣魚郵件,偽稱有一封加密的訊息寄送給你,需要登入才能讀取內容。

用戶一旦上當,點按登入按鈕後,就會被導向到假的 Microsoft One Drive 登入頁面;用戶輸入的帳號與密碼等登入資訊,就會遭駭客取得。

資安專家提醒用戶,注意不明的系統通知信,如果發現寄送地址有問題,就應提高警覺,不要任意輪入登入資訊;另外儘可能啟用二階段登入驗證,以確保安全。

資料來源:

  1. https://www.bleepingcomputer.com/news/security/phishing-scam-asks-you-to-login-to-read-encrypted-message/

全球電信業者疑遭駭侵團體滲透,長期竊取通聯資料

資安專家指出,全球超過十家大型電信業者疑遭駭侵團體 APT10 長期滲透,大量通聯資料已遭竊。

資安研究單位 Cybereason 日前發布研究報告,指出全球至少有十家以上電信業者,長期遭到 APT10 駭侵團體攻擊,竊取大量通聯資料。

據報告指出,在這個稱為「Operation Softcell」的長期攻擊行動中,遭竊的資料以對話的 Metadata 為主,包括每通電話的來電時間、持續時間、日期、手機所在基站的位置等等,但不包含對話內容。

報告也指出,駭侵行動的攻擊非常深入,駭客有能力在任何時間直接癱瘓受害電信業者的行動電話服務;但攻擊的主要目的在於監聽並竊取資料,而非阻斷服務。

報告沒有點名受害的十家電信業者,但這些業者遍及歐洲、亞洲、非洲與中東地區;北美電信業者尚未受害。

Operation Softcell 攻擊行動使用的手法十分純熟先進,透過技術比對,Cybereason 懷疑這次攻擊行動係由與中國政府關係密切的 APT10 駭侵團體所為。

資料來源:

  1. https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-agahttps://techcrunch.com/2019/06/24/hackers-cell-networks-call-records-theft/inst-telecommunications-providers
  2. https://techcrunch.com/2019/06/24/hackers-cell-networks-call-records-theft/
  3. https://www.theverge.com/2019/6/25/18744020/operation-softcell-hack-call-detail-records-apt10-cybersecurity-cell-network-providers

Linux 主機新威脅:HiddenWasp

資安研究單位發現一個專門攻擊 Linux 主機的新惡意軟體 HiddenWasp,幾乎可以躲過所有防毒系統偵測,造成極大威脅。

資安公司 Intezer 發表研究報告指出,該公司的研究團隊發現一隻前所未見的新型惡意軟體,專門攻擊 Linux 主機,而且現今所有防毒軟體均無法偵測。

這隻被取名為 HiddenWasp 的惡意軟體,並不像最近常見的惡意軟體一樣著重在虛擬貨幣挖礦或 DDoS,而是用來進行遠端遙控。

根據分析結果,研究人員認為 HiddenWasp 使用許多已經開源的惡意軟體程式碼,和許多源自中國的惡意軟體也有相當類似的特徵。

Intezer 的報告中詳述了 HiddenWasp 的感染途徑與運作方式,提供資安人員參考防範。

資料來源:

  1. https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/
  2. https://www.securityweek.com/sophisticated-hiddenwasp-malware-targets-linux

Netflix 發現 FreeBSD 和 Linux 的 TCP 安全漏洞

Netflix 的研究人員發表研究報告,指出多個 FreeBSD 與 Linux 核心的 TCP 安全漏洞。

Netflix 的報告指出,新發現的 TCP 安全漏洞與「最大分段大小」(Maximum Segment Size, MSS)與「TCP 選擇確認」(Selective Acknoledgement, SACK)功能有關。

其中最嚴重的安全漏泂,稱為「SACKPanic」,係透過操弄一連串的 SACK 指令,引發整數溢位錯誤,最後導至 Linux 發生核心錯誤(kernel panic)。

Netflix 在 GitHub 中發表的公告,內含各個安全漏洞的修補指南或暫時性解決方案,請使用 Linux 或 FreeBSD 主機的管理員注意並安裝更新。

資料來源:

  1. https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
  2. https://www.computing.co.uk/ctg/news/3077598/netflix-warns-of-several-new-tcp-networking-vulnerabilities