网络空间安全动态(202440期)
编者按:网安动向热讯,本期有八点值得关注:一是国家数据局印发《可信数据空间发展行动计划(2024—2028年)》;二是国家数据局就《国家数据基础设施建设指引》公开征求意见;三是四部门开展“清朗·网络平台算法典型问题治理”专项行动;四是工信部、中央网信办等十二部门联合印发《5G规模化应用“扬帆”行动升级方案》;五是美成立国家安全人工智能风险测试工作组;六是英国拟成立人工智能安全研究实验室;七是欧盟与新加坡签署有关人工智能安全合作的行政安排;八是澳大利亚《网络安全法》加强网络防御,保护关键基础设施。
网安事件聚焦,本期有两点建议关注:一是接二连三的全球性宕机事件,给网络安全再次敲响警钟。本期介绍:微软又全球宕机11小时,多项核心服务遭大规模中断;俄黑客组织APT28通过“近邻攻击”远程入侵美国企业WiFi网络;供应链管理公司Blue Yonder遭勒索软件攻击,导致客户配送系统中断;美两市政府遭黑客组织RansomHub攻击。二是数据安全成为网络安全领域“新风口”,科技、金融、医疗行业的高价值数据成为攻击者的主要目标。本期介绍:金融科技公司Finastra确认因其安全文件传输平台系统遭攻击导致客户数据泄露;泰国跨国企业集团Central Group再次发生数据泄露事件,500多万用户数据疑似被窃取;美医疗集团PPMG患者敏感信息遭勒索软件组织泄露;中国视频门铃制造商因数据安全问题遭美FCC罚款约73万美元。
网安风险警示,本期有七点建议关注:一是国家安全部提醒:警惕深度伪造技术带来的安全风险;二是“银狐”新木马通过微信群传播病毒下载链接;三是工信部:关于防范Remcos RAT恶意软件新变种的风险提示;四是美CISA警告称Array Networks SSL VPN产品中的漏洞正被积极利用;五是网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞;六是俄罗斯黑客RomCom利用Firefox和Tor零日漏洞发起攻击;七是开源项目GitLab存在权限提升漏洞。
一、网安动向热讯
(一)国家数据局印发《可信数据空间发展行动计划(2024—2028年)》
11月23日,国家数据局印发《可信数据空间发展行动计划(2024—2028年)》。《行动计划》提出,到2028年,可信数据空间运营、技术、生态、标准、安全等体系取得突破,建成100个以上可信数据空间,基本建成广泛互联、资源集聚、生态繁荣、价值共创、治理有序的可信数据空间网络,各领域数据开发开放和流通使用水平显著提升,初步形成与我国经济社会发展水平相适应的数据生态体系。《行动计划》主要包括三大行动:一是实施可信数据空间能力建设行动,通过构建可信管控能力,提高资源交互能力,强化价值共创能力,打造可信数据空间的核心能力体系;二是开展可信数据空间培育推广行动,主要是布局企业、行业、城市、个人、跨境五类可信数据空间建设和应用推广,探索各类数据空间的场景创新、模式创新、机制创新;三是推进可信数据空间筑基行动,围绕制订关键标准、攻关核心技术、完善基础服务、强化规范管理、拓展国际合作五个方面,全面夯实可信数据空间发展基础。(信息来源:国家数据局)
(二)国家数据局就《国家数据基础设施建设指引》公开征求意见
11月22日,国家数据局就《国家数据基础设施建设指引(征求意见稿)》向社会公开征求意见。征求意见稿提出,2024—2026年,利用2—3年左右时间,围绕重要行业领域和典型应用场景,开展数据基础设施技术路线试点试验,支持部分地方、行业、领域先行先试,丰富解决方案供给。制定统一目录标识、统一身份登记、统一接口要求的标准规范,夯实数据基础设施互联互通技术基础。完成国家数据基础设施建设顶层设计,明确国家数据基础设施建设的技术路线和实践路径。到2029年,基本建成国家数据基础设施主体结构,初步形成横向联通、纵向贯通、协调有力的国家数据基础设施基本格局,构建协同联动、规模流通、高效利用、规范可信的数据公共服务体系,协同构筑数据基础设施技术和产业良好生态,国家数据基础设施建设和运营体制机制基本建立。(信息来源:国家数据局)
(三)四部门开展“清朗·网络平台算法典型问题治理”专项行动
11月24日,中央网络安全和信息化委员会办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅四部门开展“清朗·网络平台算法典型问题治理”专项行动。主要任务包括:深入整治“信息茧房”、诱导沉迷问题;提升榜单透明度打击操纵榜单行为;防范盲目追求利益侵害新就业形态劳动者权益;严禁利用算法实施大数据“杀熟”;增强算法向上向善服务保护网民合法权益;落实算法安全主体责任。工作目标包括:算法导向正确;算法公平公正;算法公开透明;算法自主可控;算法责任落实。(信息来源:网信中国)
(四)工信部、中央网信办等十二部门联合印发《5G规模化应用“扬帆”行动升级方案》
11月26日消息,工业和信息化部、中央网信办等十二部门联合印发《5G规模化应用“扬帆”行动升级方案》(以下简称《扬帆升级方案》),持续增强5G规模应用的产业全链条支撑力、网络全场景服务力和生态多层次协同力,全力推进5G实现更广范围、更深层次、更高水平的多方位赋能。《扬帆升级方案》明确了5G应用发展目标:到2027年底,每万人拥有5G基站数达38个,5G个人用户普及率超85%,5G网络接入流量占比超75%,5G物联网终端连接数超1亿,构建形成“能力普适、应用普及、赋能普惠”的发展格局,全面实现5G规模化应用。《扬帆升级方案》部署了四方面主要任务,一是应用升级,推动多方位深度赋能;二是产业升级,构筑全链条发展支撑;三是网络升级,提升全场景服务能力;四是生态升级,强化多层次协同创新。(信息来源:工信微报)
(五)美成立国家安全人工智能风险测试工作组
11月22日消息,美商务部国家标准与技术研究院(NIST)人工智能安全研究所宣布成立国家安全人工智能风险测试工作组,旨在识别、衡量和管理快速发展的人工智能技术对国家安全和公共安全的新影响。该工作组包括美商务部、能源部、国防部等部门,将在关键的国家安全和公共安全领域(如辐射和核安全、化学和生物安全、网络安全、关键基础设施、常规军事能力等)对先进的人工智能模型进行协调研究和测试,推动美国政府保持美国在人工智能发展领域的领先地位,防止对手滥用美国的创新来破坏国家安全。(信息来源:美NIST官网)
(六)英国拟成立人工智能安全研究实验室
11月26日消息,英国计划联合多方力量,共同成立新的人工智能安全研究实验室。该实验室将协助研发网络国防工具和整理网络攻击情报,旨在与相关国家展开人工智能“军备竞赛”,并保护英国及其盟友免受人工智能威胁。英国政府预计投入1030万美元,并希望其他行业实体参与其中,包括英国有关政府部门、学术机构,以及五眼联盟和北约相关国家。(信息来源:元战略)
(七)欧盟与新加坡签署有关人工智能安全合作的行政安排
11月20日,新加坡数字发展与信息部宣布与欧盟达成一项新的行政安排,以加强在人工智能安全方面的合作。合作的关键领域包括交流人工智能实践和治理信息、人工智能模型的联合测试和评估、开发评估工具、标准化人工智能、推进人工智能安全研究以及分享对人工智能技术趋势的见解。此次行政安排的签署是双方于2023年签署的《欧盟-新加坡数字伙伴关系协定》的重要交付成果,进一步加强了新加坡与欧盟之间现有的数字合作伙伴关系。双方目前的合作涵盖数字贸易便利化、数字基础设施建设、6G创新、可信的数据跨境流动、半导体供应链、人工智能等多个领域。(信息来源:综合欧盟官网、MDDI官网)
(八)澳大利亚《网络安全法》加强网络防御,保护关键基础设施
11月26日消息,澳大利亚议会颁布一项网络安全法案,旨在增强国家网络防御和恢复能力,保护关键基础设施。该法案包括《2024年网络安全法》《2024年情报服务和其他立法修正案(网络安全)法》及《2024年关键基础设施安全和其他立法修正案(增强响应和预防)法》。该法案强制执行智能设备的安全标准,并要求企业报告勒索软件和网络勒索事件,以增强政府对网络威胁的应对能力。网络事件报告义务适用于关键基础设施组织和年营业额超过300万澳元的私营部门,未按规定报告的企业将面临高额罚款。(信息来源:Industrial Cyber网站)
二、网安事件聚焦
(九)微软又全球宕机11小时,多项核心服务遭大规模中断
11月25日,微软又全球宕机11小时,包括Microsoft 365、Exchange Online、Teams和Outlook,遭遇全球性大规模中断,导致网站崩溃、页面错误、用户无法在社交媒体上发送邮件等问题,部分受影响用户还表示在连接OneDrive、Purview、Copilot等服务时也遇到障碍。微软随后承认存在上述问题,并发布声明称正在寻找缓解措施。故障持续11个小时后,微软选择手动重启服务器,并在管理中心的事件报告中确认该中断阻止了客户通过多种方式访问Exchange Online。微软称此次事故是因一个导致服务器路由重试请求激增的更改引起,目前正在努力恢复全部功能。(信息来源:BleepingComputer网)
(十)俄黑客组织APT28通过“近邻攻击”远程入侵美国企业WiFi网络
11月23日消息,网络安全公司Volexity曝光俄黑客组织APT28成功突破物理攻击范围,入侵一家美国企业的Wi-Fi网络。2022年2月,华盛顿一家企业的WiFi网络被发现遭不寻常攻击,此次攻击被归因于俄罗斯国家黑客组织APT28。该组织通过一种名为“近邻攻击”的新技术,远程入侵了该美国企业的WiFi网络。此次事件暴露了企业WiFi网络被忽视的致命盲区和漏洞,同时也展现了APT28不断创新的攻击方式。APT28是隶属于俄罗斯军事情报总局第26165部队的黑客组织,早在2004年便开始活跃,主要攻击目标是西方政府、军事部门。(信息来源:安全内参)
(十一)供应链管理公司Blue Yonder遭勒索软件攻击,导致客户配送系统中断
11月25日,供应链管理公司Blue Yonder遭勒索软件攻击,导致其托管服务中断,影响其客户,特别是英国的杂货连锁店。Blue Yonder已与外部网络安全公司合作应对此事件,并实施了多项防御和取证协议,但尚未透露全面恢复的具体时间表。Blue Yonder作为松下的子公司,为包括DHL、雷诺、雀巢、特易购、星巴克等知名企业在内的3000家客户提供人工智能驱动的供应链解决方案。目前,尚未有任何勒索软件组织宣布对此次攻击负责。(信息来源:BleepingComputer网)
(十二)美两市政府遭黑客组织RansomHub攻击
11月27日,黑客组织RansomHub声称对美德克萨斯州科佩尔市及明尼阿波利斯公园和娱乐委员会发动勒索软件攻击。科佩尔市遭攻击后,其互联网、图书馆服务、许可和检查平台及市法院等多个系统瘫痪,给当地居民带来严重困扰。直至11月下旬,部分市政运营才陆续恢复。同时,明尼阿波利斯公园和娱乐委员会也报告其技术系统遭攻击,导致电话线路中断,目前正在努力确定信息泄露情况。黑客组织RansomHub今年迅速崛起,已对机场、医疗机构和关键基础设施等数百个组织发动攻击。(信息来源:FreeBuf网)
(十三)金融科技公司Finastra确认因其安全文件传输平台系统遭攻击导致客户数据泄露
11月20日,全球金融科技巨头Finastra确认,其安全文件传输平台(SFTP)系统遭黑客攻击后,客户数据可能被泄露。该公司在11月7日发现攻击者使用被盗凭证访问SFTP系统,目前正在与第三方网络安全专家合作展开调查。初步评估显示,攻击范围仅限于SFTP平台。一名为“abyss0”的黑客在地下论坛声称掌握了Finastra的400 GB数据并试图出售,但相关帖子已被删除,数据是否已售出尚未可知。Finastra是一家总部位于英国伦敦的金融软件公司,该公司为全球130多个国家的金融科技公司(包括45家全球顶级银行)提供产品和服务。该公司在2020年3月曾遭遇勒索软件攻击。(信息来源:蚁景网安实验室)
(十四)泰国跨国企业集团Central Group再次发生数据泄露事件,500多万用户数据疑似被窃取
11月20日消息,泰国跨国企业集团Central Group再遭数据泄露事件。早在2021年10月,Central Restaurant Group曾遭到名为DESORDEN的黑客攻击。另一名攻击者0mid16B声称,在2024年8月至11月期间,通过Central Retail网络暴露的受损API端点,访问并窃取了500多万条Central Group The1 Card会员个人信息记录,包括姓名、国民身份证号码、会员号码、电话和电子邮件等敏感信息,总大小为582MB。The1 Card是Central Group旗下所有零售和消费品牌采用的会员系统,拥有超过1700万会员。0mid16B声称,由于与Central Group的谈判失败,决定出售被盗数据,并在黑客论坛和X.com上发布数据列表和验证真实性的方法。(信息来源:Databreaches网)
(十五)美医疗集团PPMG患者敏感信息遭勒索软件组织泄露
11月23日,加利福尼亚州太平洋肺部医疗集团(PPMG)确认遭严重数据泄露事件。10月25日,勒索软件组织Everest在暗网发布了PPMG的患者信息,包括2021至2024年的未加密个人信息和受保护的健康信息。遭泄露的数据以150多个图像文件和多个.csv文件形式存在,图像文件主要展示患者的主次保险卡及部分驾照信息,而.csv文件则涵盖两周内300至500名患者的就诊记录,包含姓名、出生日期、电话号码、电子邮件地址、健康信息及账单详情等。截止目前,PPMG网站及美卫生与公共服务部的公共违规工具上均未发布相关通知。(信息来源:BleepingComputer网)
(十六)中国视频门铃制造商因数据安全问题遭美FCC罚款约73万美元
11月21日,美联邦通信委员会(FCC)提议拟对总部位于中国香港的智能家居设备制造商Eken处以73万美元的罚款,原因是该公司涉嫌违反FCC规定以及未指定位于美国的代理人。FCC执法局正在继续调查与Eken及其他中国设备制造商相关的隐私和数据安全问题。FCC主席宣布,将对使用与Eken相同的美国指定代理信息的数百项认证进行审核。FCC称Eken视频门铃暴露了用户家庭IP地址和Wi-Fi网络名称,并允许外部人员通过一系列简单步骤即可访问摄像头照片和视频,引发严重隐私担忧。(信息来源:安全内参)
三、网安风险警示
(十七)国家安全部提醒:警惕深度伪造技术带来的安全风险
11月23日消息,国家安全部提醒警惕深度伪造技术带来的安全风险。视频伪造技术。攻击者将提供的人物面部照片特征“转换”到其他人物形象上,从而实现“改头换面”的目的。音频伪造技术。攻击者利用“语音克隆”技术,以高仿真度模拟目标人物的声音。深度伪造技术可能侵害个人权益。攻击者利用深度伪造技术可以轻易盗用他人身份,侵害他人肖像权、隐私权等权利,甚至可能利用深度伪造技术进行诈骗。深度伪造技术可能引发社会忧虑和信任危机。深度伪造技术可以随时随地制造大量假新闻,影响社会舆论走向,引起民众恐慌。深度伪造技术可能威胁国家安全和公共安全。某些境外间谍情报机关可能进一步利用该技术迭代情报技术手段,开展招募策反、污蔑抹黑、混淆视听等活动。国家安全机关提示:使用技术要注意。广大公民应注意保护好个人隐私,特别是核心涉密岗位人员,切勿将国家秘密、商业秘密或个人隐私等敏感信息输入相关技术软件中,不用网络传播涉密内容。信息安全要防范。相关平台企业应加强信息安全管理,采取必要的技术措施保护相关信息的安全存储和传输,防止信息泄露、丢失或被非法使用。同时加强对深度伪造技术发布内容的甄别,使其遵守法律“红线”和道德“底线”。可疑信息要警惕。谨慎对待相关视听内容,在转发网络信息前先多方验证信息可靠性,不做谣言传播者,以官方渠道发布的信息为准。(信息来源:国家安全部)
(十八)“银狐”新木马通过微信群传播病毒下载链接
11月22日消息,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室通过监测发现木马病毒最新变种—“银狐”。攻击者虚构财务、税务等主题的钓鱼网页,通过微信群传播病毒下载链接。病毒感染的特征为:钓鱼信息特征、文件特征、系统驻留特征和网络通信特征。安全机构建议采取以下防范措施:一是不要轻信社交媒体软件中传播的所谓政府主管部门或金融机构发布的通知;二是不要从社交媒体软件的聊天群组中传播的网络链接(或二维码)下载所谓的官方程序;三是一旦发现社交媒体软件被盗,应告知相关情况并修改密码,同时对设备进行杀毒和安全检查;四是对安全性未可知的官方文件,可访问国家计算机病毒协同分析平台进行提交检测。(信息来源:国家计算机病毒应急处理中心)
(十九)工信部:关于防范Remcos RAT恶意软件新变种的风险提示
11月25日消息,工业和信息化部网络安全威胁和漏洞信息共享平台监测到一种Remcos RAT恶意软件新变种持续活跃,主要以Windows用户为攻击目标,可能导致敏感信息泄露、勒索攻击、业务中断等风险。Remcos RAT最早出现于2016年,是一种使用高级技术感染Windows系统、窃取数据并获得远程控制权的远程访问木马。该恶意软件主要利用欺骗性钓鱼邮件附件,诱骗用户打开文件并利用已知漏洞下载、部署、执行恶意代码,实现对目标系统的远程控制,向控制端服务器发送包含受感染系统用户、网络和版本信息的注册数据包,并接收用于收集信息、执行命令、操作文件、键盘记录、屏幕录像的命令。建议相关单位和用户立即排查,及时更新防病毒软件并修复安全漏洞。(信息来源:网络安全威胁和漏洞信息共享平台)
(二十)美CISA警告称Array Networks SSL VPN产品中的漏洞正被积极利用
11月26日,美CISA警告称,黑客正在积极利用SSL VPN产品Array Networks AG和vxAG ArrayOS中的远程代码执行漏洞CVE-2023-28461(CVSS评分9.8)发起攻击。该漏洞存在于易受攻击的URL中,允许在Array AG系列和vxAG 9.4.0.481及更早版本中执行远程代码。Array Networks的SSL VPN产品被全球超过5000个用户使用,包括企业、服务提供商和政府机构。美CISA建议所有联邦机构和关键基础设施组织在12月16日前应用安全更新或采取缓解措施,否则应停止使用该产品。Array Networks在漏洞披露一周后发布修复版本Array AG 9.4.0.484。(信息来源:启明星辰)
(二十一)网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞
11月26日消息,国际网络安全巨头Palo Alto Networks日前修复了两个被积极利用的漏洞,影响PAN-OS 10.2、11.0、11.1和11.2版本。攻击者可利用CVE-2024-0012(CVSS评分9.3)漏洞绕过身份验证,获取Web管理界面的管理员权限,从而执行管理操作或更改设备配置;第二个漏洞CVE-2024-9474允许拥有Web管理员权限的用户,在类Linux操作系统上以root最高权限执行恶意代码,从而完全控制设备。威胁监控平台Shadowserver称全球范围内至少有超过2700台易受攻击的PAN-OS设备。目前,上述漏洞所有受影响版本均已发布补丁。(信息来源:安全内参)
(二十二)俄罗斯黑客RomCom利用Firefox和Tor零日漏洞发起攻击
11月27日,俄罗斯黑客组织RomCom利用两个零日漏洞CVE-2024-9680和CVE-2024-49039,向使用Firefox或Tor浏览器的用户发送恶意代码,影响Mozilla软件和Windows系统。上述漏洞导致访问受感染网站的任何用户都会无意识地下载RomCom后门,而无需任何点击,受感染网站模仿了真实组织的网站,包括ConnectWise、Devolutions和Correctiv等。Mozilla和Windows在收到通知后均已修复漏洞。RomCom的主要目标似乎是公司,绝大多数受害者位于北美和欧洲,但新西兰和法属圭亚那也有零星受害者。(信息来源:DarkReading网)
(二十三)开源项目GitLab存在权限提升漏洞
11月27日,启明星辰集团VSRC监测到GitLab社区版和企业版中修复一个权限提升漏洞CVE-2024-8114(CVSS评分8.2)。由于GitLab中对LFS令牌的权限管理不当,当攻击者获取目标用户的个人访问令牌(PAT)后,可进一步滥用该PAT生成的LFS令牌,利用该漏洞实现权限提升,可能导致敏感信息泄露或执行未授权操作。GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。Git LFS(Git Large File Storage)是一个用于管理和存储大文件的Git扩展,避免将大文件直接存储到Git仓库中;LFS令牌是一种临时认证凭据,用于授权访问Git LFS中的大文件,该令牌的生成基于用户的身份验证凭据(如个人访问令牌PAT)。目前该漏洞已被修复,受影响用户可升级到GitLab CE/EE 17.6.1、17.5.3、17.4.5或更高版本。(信息来源:启明星辰)
