网络空间安全动态（202420期）

       编者按：网安动向热讯，本期有七点值得关注：一是工信部等四部门联合印发《国家人工智能产业综合标准化体系建设指南（2024版）》；二是中德双方共同签署《关于中德数据跨境流动合作的谅解备忘录》；三是我国牵头提出的国际标准《网络安全 物联网安全与隐私 家庭物联网指南》正式发布；网安标委发布《网络安全标准实践指南—大型互联网平台网络安全评估指南》；四是美国防部发布《支点：美国防部信息技术推进战略》；五是美卫生高级研究计划局宣布启动“通用漏洞修补自主防御计划”；六是美日韩加强供应链、半导体等关键技术合作；七是欧洲理事会通过《欧盟关键基础设施蓝图》。

      网安事件聚焦，本期有两点建议关注：一是网络攻击目标越来越广泛，涉及体育、通讯、制造、零售、医疗卫生等行业。本期介绍：研究人员发现针对欧洲杯的网络攻击激增；克罗地亚萨格勒布大学医院中心遭网络攻击，被迫关闭IT基础设施；意大利三家公司遭勒索软件攻击；俄罗斯多个行业遭“钓鱼”邮件攻击；日本知名出版社角川集团遭勒索软件攻击，1.5TB数据被窃取；克里米亚电信运营商遭DDoS攻击导致互联网中断；二是数据泄露原因多样，既有外部攻击造成的泄露，也有因内部管理疏忽而导致的泄露。本期介绍：印度国家电信有限公司BSNL再遭网络攻击，278 GB敏感数据被泄露；美医疗保健提供商Geisinger 100万患者数据被泄露；美国弗吉尼亚州选举部门数据库遭泄露。

      网安风险警示，本期有六点建议关注：一是39亿安卓设备面临远程木马攻击风险；二是瞻博网络Session Smart路由器和导体产品存在满分漏洞；三是黑客利用D-Link DIR-859路由器严重漏洞窃取用户密码；四是开源项目GitLab社区版和企业版存在访问控制不当漏洞；五是MOVEit管理软件的SFTP模块中存在漏洞，威胁全球多家组织；六是安全网络实用程序OpenSSH存在远程代码执行漏洞。

      一、网安动向热讯

       （一）工信部等四部门联合印发《国家人工智能产业综合标准化体系建设指南（2024版）》

       7月2日，工业和信息化部、中央网信办、国家发展改革委、国家标准委等四部门联合印发《国家人工智能产业综合标准化体系建设指南（2024版）》。提出到2026年，我国标准与产业科技创新的联动水平持续提升，新制定国家标准和行业标准50项以上，引领人工智能产业高质量发展的标准体系加快形成。开展标准宣贯和实施推广的企业超过1000家，标准服务企业创新发展的成效更加凸显。参与制定国际标准20项以上，促进人工智能产业全球化发展。（信息来源：工信微报）

      （二）中德双方共同签署《关于中德数据跨境流动合作的谅解备忘录》

       6月26日，中国国家互联网信息办公室主任庄荣文在京会见德国数字化和交通部部长维辛一行，双方共同签署《关于中德数据跨境流动合作的谅解备忘录》。庄荣文表示，今年4月，习近平主席与到访的朔尔茨总理深入交流，为双边关系和各领域务实合作指明了方向、作出了规划。中方愿同德方一道，落实好两国领导人合作共识，以签署《关于中德数据跨境流动合作的谅解备忘录》为契机，推进中德网络空间交流合作取得更多成果。在该框架下，双方建立“中德数据政策法规交流”对话机制，加强在数据跨境流动议题上的交流，为两国企业营造公平、公正、非歧视的营商环境。（信息来源：网信中国）

       （三）我国牵头提出的国际标准《网络安全 物联网安全与隐私 家庭物联网指南》正式发布

       7月1日，我国牵头提出的国际标准ISO/IEC 27403:2024《网络安全 物联网安全与隐私 家庭物联网指南》正式发布。ISO/IEC 27403识别了家庭物联网系统的主要相关方以及各自的生命周期阶段，分析了家庭物联网系统的安全和隐私风险，并从网络安全、人工智能安全、数据安全等方面提出了安全控制措施。该标准可指导相关方防范家庭物联网系统中的安全风险，对于提升家庭物联网安全与隐私风险防护能力，完善物联网安全标准体系具有积极作用。（信息来源：全国网安标委网站）

       （四）网安标委发布《网络安全标准实践指南—大型互联网平台网络安全评估指南》

       6月25日，全国网络安全标准化技术委员会发布《网络安全标准实践指南—大型互联网平台网络安全评估指南》，提出了对大型互联网平台开展网络安全评估的内容和方法。《指南》提到的大型互联网平台是指通过网络技术将个人与个人、商品、信息、服务、线下资源、资金、软件等进行连接，并以此为基础提供业务的较大规模的网络平台。《指南》提出，大型互联网平台开展网络安全评估需要首先设立网络安全评估工作组，要求工作组从核心业务连续性风险、灾难恢复能力、关键软硬件产品供应链安全性、对外提供数据的可控性、数据泄露事件发生后应急处置、平台控制权、用户权益保护等七个方面展开。（信息来源：全国网安标委网站）

      （五）美国防部发布《支点：美国防部信息技术推进战略》

       6月26日消息，美国防部发布《支点：美国防部信息技术推进战略》，旨在利用技术力量推动变革并催化作战数字化现代化。该战略概述了四条主要路线：一是提供联合作战IT能力，以扩大美军和任务伙伴的战略优势；二是实现信息网络和计算的现代化，以快速满足任务和业务需求；三是优化IT治理，提高服务交付效率并节省成本；四是建立一流的数字化劳动力队伍，随时准备好部署支持作战人员的新兴技术。（信息来源：美国防部网站）

      （六）美卫生高级研究计划局宣布启动“通用漏洞修补自主防御计划”

       6月27日消息，美卫生高级研究计划局（ARPA-H）宣布启动“通用漏洞修补自主防御计划”，旨在保护美医疗设备的整个系统和网络，以确保解决方案大规模使用。ARPA-H承诺投资5000万美元，为提高医院网络韧性创建定制且可拓展的软件套件。该计划将聚焦四大技术领域，包括创建漏洞缓解软件平台，开发高保真数字孪生医院设备，自动检测漏洞以及自动开发定制防御。通过探测数字医院模型环境中的软件弱点，实现对潜在漏洞的主动评估。（信息来源：美ARPA-H网站）

      （七）美联邦风险和授权管理计划发布“新兴技术优先级框架”

       6月28日消息，美总务管理局运营的联邦风险和授权管理计划（FedRAMP）发布“新兴技术优先级框架”。FedRAMP成立于2011年，旨在为政府采购云服务提供风险管理方法，确保联邦政府云技术推广与使用安全。“新兴技术优先级框架”概述了FedRAMP如何与政府和行业合作，以确定需要优先考虑的新兴技术；云提供商如何请求对其服务进行优先级排序；FedRAMP如何确定需要优先考虑的服务。该框架将优先考虑生成式人工智能功能，特别是聊天界面、代码生成和调试工具、基于提示的图像生成、以及提供这些功能的相关应用编程接口。符合产品标准的云服务商可提交申请，FedRAMP将进行评估并进行优先级排序，以确保联邦各机构能够使用现代云技术。（信息来源：FedRAMP网站）

       （八）美日韩加强供应链、半导体等关键技术合作

       6月26日，首届日美韩产业部长会议在美国华盛顿举行。三国探讨了如何利用这一三边机制来促进关键技术和新兴技术的发展，并加强经济安全和供应链的韧性。三方强调亟需密切合作，以确定潜在战略物资供应链漏洞，并解决此类供应链依赖导致的系统性弱点；同时表示将在半导体、清洁能源、关键矿物、网络安全和人工智能等关键战略领域优先开展合作，建立更具韧性的供应链。（信息来源：联合早报）

      （九）欧洲理事会通过《欧盟关键基础设施蓝图》

       6月25日，欧洲理事会通过“欧盟关键基础设施蓝图”，以协调欧盟层面应对重大跨境相关的关键基础设施的中断响应。该蓝图目标是促进对事件起源和后果的共享态势感知，加强公共沟通协调并加强有效应对措施，建议采取多项举措，包括共享信息、建立危机协调和应急机制、撰写事件报告、提供技术支持等；并明确当成员国受到具有重大跨境相关的关键基础设施事件时，应与理事会轮值主席国和欧盟委员会分享有关事件信息。（信息来源：欧洲理事会网站）

       二、网安事件聚焦

       （十）研究人员发现针对欧洲杯的网络攻击激增

       6月28日消息，网络安全公司Cyberint报告显示，针对欧洲杯的网络攻击激增，黑客组织正积极分享有关欧洲足联、假球票、廉价流媒体服务以及被盗客户凭证销售等信息。黑客通过账户劫持与欺诈、假冒官方APP、第三方售票网站诈骗等手段，窃取个人敏感信息，以获取资金或支付卡访问权。研究人员还发现欧洲足联的官网也存在安全漏洞，可能成为黑客组织发起攻击的入口。Cyberint建议球迷对未经请求的通信保持谨慎，核实网站的真实性，并使用安全的支付方式。（信息来源：Cyberint网站）

       （十一）克罗地亚萨格勒布大学医院中心遭网络攻击，被迫关闭IT基础设施

       6月28日消息，克罗地亚最大医院萨格勒布大学医院中心遭网络攻击，其IT基础设施被迫关闭。由于无法打印医疗报告，医护人员不得不手写报告，医院服务遭到显著延误，部分患者被迫被转送至其他医院。目前该医院的急诊服务和医学实验室服务已恢复，初步调查显示，患者的医疗记录未被窃取，但尚不清楚该医院是否是勒索软件攻击的受害者。（信息来源：SecurityAffairs网）

       （十二）意大利三家公司遭勒索软件攻击

       6月29日消息，黑客组织RansomHub和RansomHouse声称在24小时内针对意大利三家公司发动了重大网络攻击，分别是Cloud Europe（专门从事数据中心的设计和管理）、Mangimi Fusco（动物食品制造商）和Francesco Parisi（货运和船运代理集团）。RansomHub声称加密了Cloud Europe的服务器，窃取了超541.41 GB敏感数据，同时从Mangimi Fusco窃取了490 GB私人和机密数据。RansomHouse声称入侵了Francesco Parisi的网站，窃取了150 GB数据。目前，Cloud Europe和Mangimi Fusco网站似乎运行正常，并未出现黑客所称的勒索软件攻击迹象，但Francesco Parisi在其主页上发布了遭黑客攻击的通知。（信息来源：TheCyberExpress网）

      （十三）俄罗斯多个行业遭钓鱼邮件攻击

       6月26日消息，安全研究人员发现一批攻击者正针对俄罗斯各公司和部门发送恶意电子邮件，研究人员将攻击者命名为ReaverBits。目前，研究人员共捕获5封恶意电子邮件，分别针对俄罗斯联邦基金，以及零售公司、电信公司、加工公司和农工协会。这些邮件地址经过伪装，内容为通知用户获得高额礼品卡、汽车备件折扣等，其中包含存在恶意文件的zip压缩包，一旦打开，用户主机便可感染窃取程序MetaStealer，攻击者可借此从受害者设备中窃取敏感信息。（信息来源：天际友盟）

       （十四）日本知名出版社角川集团遭勒索软件攻击，1.5TB数据被窃取

       6月28日，日本知名出版社角川集团遭勒索软件攻击，导致网络系统出现故障，旗下知名弹幕视频网站Niconico和电商平台Ebten一度无法访问。俄罗斯黑客组织BlackSuit宣称对此次攻击事件负责，声称加密了角川集团整个网络环境内部的关键数据文件，并获得约1.5 TB的内部资料，主要包含合约、签名文件、法律文件、平台用户信息、企业员工个人隐私信息、财务资料等内容，要求该集团在6月底前支付赎金，否则将公开数据。角川集团回应正与外部专业机构合作调查，表示用户信用卡等资料未储存在公司内部，因此没有泄露风险。（信息来源：IT之家）

       （十五）克里米亚电信运营商遭DDoS攻击导致互联网中断

       6月26日，克里米亚电信运营商遭大规模DDoS攻击，导致网络服务中断。受影响最严重的是米兰达媒体公司，该公司与俄罗斯国家电信提供商Rostelecom有关，曾因服务克里米亚而受欧盟制裁。此次攻击还扰乱了塞瓦斯托波尔市紧急呼叫中心运营，当地政府已迅速恢复其功能。乌克兰军事情报局声称对此次网络攻击负责，表示将“系统地”攻击俄罗斯的数字基础设施，包括互联网提供商。（信息来源：TheRecord网）

      （十六）印度国家电信有限公司BSNL再遭网络攻击，278 GB敏感数据被泄露

       6月27日，印度国家电信有限公司BSNL再遭黑客组织kiberphant0m攻击，泄露了超278 GB敏感数据，包括国际移动用户识别码、SIM卡详细信息、归属位置寄存器数据和关键安全密钥等，数百万用户将面临SIM卡克隆、身份盗窃和金融欺诈的风险。遭窃取数据还可能引发针对BSNL及其互联系统和网络的攻击，对印度的国家安全造成重大风险。目前遭泄露数据在暗网以5000美元价格出售。此次事件是BSNL在过去六个月内遭遇的第二次数据泄露。（信息来源：GBHackers网）

       （十七）美医疗保健提供商Geisinger 100万患者数据被泄露

       6月28日消息，美医疗保健提供商Geisinger披露一起超一百万患者数据的重大安全事件，指控为其提供服务的IT外部供应商Nuance Communications前员工窃取患者数据。Geisinger称发现可疑访问行为后立即通知Nuance公司，要求对方切断该离职员工的访问权限并报警。调查显示该前员工可能已经访问并窃取了Geisinger患者的各种个人详细信息，包括姓名、出生日期、地址、病历编号、电话号码和其他敏感数据，但未访问财务信息、社会安全号码和保险信息。该前雇员目前已被捕，将面临美联邦指控。（信息来源：IT之家）

       （十八）美国弗吉尼亚州选举部门数据库遭泄露

       6月30日，黑客组织IntelBroker在暗网论坛上泄露了弗吉尼亚州选举部门的数据库。该数据库包含65000行信息，涵盖候选人的详细信息、选举结果和相关统计数据（如候选人ID、姓名、总票数、政党、地点代码、选区名称、办公室名称等）。目前，弗吉尼亚州选举部门和当局尚未对此次事件发表评论，泄露数据仍可访问。（信息来源：DailyDarkWeb网）

       三、网安风险警示

       （十九）39亿安卓设备面临远程木马攻击风险

       6月28日消息，网络安全公司Check Point Research（CPR）研究报告指出，开源远程控制Rafel木马正被用于攻击安卓设备，窃取数据、监视用户甚至锁定手机，全球超39亿安卓设备面临与该木马相关的网络间谍和勒索软件攻击风险，主要攻击目标包括美国、中国和印度。在最新的Rafel木马攻击中，CPR收集了多个恶意软件样本并追踪到120个控制服务器，发现大多数受害者使用的是三星手机，其次是小米、vivo和华为。受影响最严重的版本是安卓11，其次是安卓8和5。建议用户保持警惕，定期更新系统。（信息来源：安全内参）

       （二十）瞻博网络Session Smart路由器和导体产品存在满分漏洞

       6月28日，瞻博网络发布安全公告，披露Session Smart路由器和导体产品存在严重漏洞CVE-2024-2973（CVSS评分10.0），影响所有在高可用性冗余配置中运行的Session Smart路由器和导体。攻击者可利用该漏洞绕过身份验证措施，从而获得对敏感网络配置的不受限制的访问权限，并可进一步实施恶意活动。瞻博网络已修复该漏洞，建议用户尽快更新。（信息来源：BleepingComputer网）

      （二十一）黑客利用D-Link DIR-859路由器严重漏洞窃取用户密码

       6月30日，研究人员发现黑客正积极利用D-Link DIR-859 WiFi路由器中的关键漏洞CVE-2024-0769（CVSS评分9.8）收集账户信息，包括用户密码。黑客通过向‘/hedwig.cgi’发送恶意POST请求来利用该漏洞，通过‘fatlady.php’文件访问敏感的配置文件（‘getcfg’），从而导致用户凭证泄露。一旦攻击者获得凭证，即可完全控制该设备。供应商表示，DIR-859系列路由器已达使用寿命，因此该漏洞可能不会被修复，建议客户尽快更换设备。（信息来源：BleepingComputing网）

       （二十二）开源项目GitLab社区版和企业版存在访问控制不当漏洞

       6月27日，开源项目GitLab社区版和企业版中存在访问控制不当漏洞CVE-2024-5655（CVSS评分9.6），攻击者可利用该漏洞在某些情况下以其他用户的身份触发运行管道。GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。目前该漏洞已修复，建议受影响用户尽快升级。（信息来源：启明星辰）

      （二十三）MOVEit管理软件的SFTP模块中存在漏洞，威胁全球多家组织

       6月27日消息，MOVEit管理软件的SFTP模块中存在漏洞CVE-2024-5806（CVSS评分9.1），攻击者可利用该漏洞轻松绕过身份验证，不仅可访问存储在MOVEit Transfer服务器上的数据，而且能够外渗、删除或更改数据信息。安全研究人员称，该漏洞被披露后不久即遭黑客利用，对全球多家组织构成威胁。MOVEit是Progress Software公司销售的一款专为企业定制的管理工具，帮助企业使用SFTP、SCP和HTTP协议传输和管理文件，全球已有超2700个组织和机构部署了该系统。Progress Software公司目前已修复该漏洞，敦促企业尽快更新。（信息来源：IT之家）

       （二十四）安全网络实用程序OpenSSH存在远程代码执行漏洞

       7月2日消息，安天CERT监测发现安全网络实用程序OpenSSH修复了远程代码执行漏洞CVE-2024-6387（CVSS评分8.1），该漏洞是由于OpenSSH服务器（sshd）中的信号处理程序竞争问题导致，未经身份验证的攻击者可利用该漏洞在Linux系统上以root身份执行任意代码，技术细节（含PoC）已在互联网上公开。OpenSSH是一套基于安全外壳（SSH）协议的安全网络实用程序，它提供强大的加密功能以确保隐私和安全的文件传输，是远程服务器管理和安全数据通信的必备工具。鉴于该漏洞影响范围较大，建议受影响用户尽快升级版本。（信息来源：安天CERT）