一周安全資訊20220916：西北工業(yè)大學(xué)被美國國家安全局網(wǎng)絡(luò )攻擊事件新進(jìn)展

發(fā)布日期：2022/09/16

1. 《網(wǎng)絡(luò )安全法》首次修訂，擬加大違法處罰力度
9月14日，國家網(wǎng)信辦發(fā)布《關(guān)于修改〈中華人民共和國網(wǎng)絡(luò )安全法〉的決定（征求意見(jiàn)稿）》，旨在做好《中華人民共和國網(wǎng)絡(luò )安全法》與相關(guān)法律的銜接協(xié)調，完善法律責任制度，保護個(gè)人、組織在網(wǎng)絡(luò )空間的合法權益，維護國家安全和公共利益，向社會(huì )公開(kāi)征求意見(jiàn)。
本次修訂主要針對《網(wǎng)絡(luò )安全法》中“第六章 法律責任”部分條款進(jìn)行了修訂完善。一是增加與營(yíng)業(yè)額掛鉤的處罰措施，顯著(zhù)提升對大型企業(yè)組織的震懾力度；二是增加禁業(yè)處罰措施，有力強化對涉及違法行為的相關(guān)管理人員的懲戒效果；三是整合提升同一大類(lèi)違法行為的行政處罰幅度，就高不就低；四是與其他法律法規處罰措施保持一致；五是增加兜底性條款。
 
2. 西北工業(yè)大學(xué)被美國國家安全局網(wǎng)絡(luò )攻擊事件新進(jìn)展
9月13日，國家計算機病毒應急中心發(fā)布《美國NSA網(wǎng)絡(luò )武器“飲茶”分析報告》顯示，一個(gè)名為“飲茶”的嗅探竊密類(lèi)網(wǎng)絡(luò )武器，是導致該事件中大量敏感數據遭竊的最直接“罪魁禍首”之一。
相關(guān)網(wǎng)絡(luò )安全專(zhuān)家介紹，“飲茶”可以在服務(wù)器上隱蔽運行，實(shí)時(shí)監視用戶(hù)在操作系統控制臺終端程序上的輸入，并從中截取各類(lèi)用戶(hù)名密碼。而一旦這些用戶(hù)名密碼被TAO獲取，就可以使用這些用戶(hù)名密碼訪(fǎng)問(wèn)其他服務(wù)器和網(wǎng)絡(luò )設備，進(jìn)而竊取服務(wù)器上的文件或投送其他網(wǎng)絡(luò )武器。技術(shù)分析表明，“飲茶”可以與美國國家安全局其他網(wǎng)絡(luò )武器有效進(jìn)行集成和聯(lián)動(dòng)，實(shí)現“無(wú)縫對接”。
據調查，技術(shù)團隊還在西北工業(yè)大學(xué)之外的其他機構網(wǎng)絡(luò )中發(fā)現了“飲茶”的攻擊痕跡，很可能是TAO利用“飲茶”對中國發(fā)動(dòng)了大規模的網(wǎng)絡(luò )攻擊活動(dòng)。


1. GhostSec黑客組織入侵以色列多家企業(yè)和組織
　名為GhostSec的黑客組織聲稱(chēng)破壞了以色列多達55個(gè)可編程邏輯控制器（PLC）設備，表示這是“自由巴勒斯坦”運動(dòng)的一部分。
9月4日，GhostSec在其Telegram頻道分享了一段視頻，證實(shí)了該組織成功登錄以色列一些企業(yè)和組織的PLC系統，并從被入侵的設備轉存數據。以色列公司表示，數據轉存和屏幕截圖是黑客通過(guò)公共IP地址未經(jīng)授權訪(fǎng)問(wèn)控制器后導出的。GhostSec對以色列企業(yè)組織實(shí)施了多次攻擊，受害者包括以色列電信公司Bezaq和以色列科學(xué)工業(yè)中心。
GhostSec黑客組織是一個(gè)支持伊斯蘭極端主義的黑客組織。該組織在俄烏沖突中對烏克蘭提供了支持，還參與了對以色列企業(yè)和組織的攻擊活動(dòng)。
 
2. WPGateway插件漏洞影響超28萬(wàn)個(gè)WordPress網(wǎng)站 
WordPress公司安全部門(mén)Wordfence指出，WPGateway插件中的一個(gè)零日漏洞正被廣泛利用，可能被攻擊者用于接管受影響的網(wǎng)站。
該零日漏洞代號CVE-2022-3180，威脅等級評分9.8，正被武器化利用以將惡意管理員用戶(hù)添加到運行WPGateway插件的站點(diǎn)上。WPGateway插件是站點(diǎn)管理人員用于管理、安裝和備份WordPress插件和主題的工具，攻擊者可利用該插件漏洞在WordPress站點(diǎn)上增加一個(gè)名為rangex的管理員賬戶(hù)。Wordfence表示，它在過(guò)去30天內阻止了超過(guò)460萬(wàn)次試圖利用該漏洞的攻擊行動(dòng)，這些攻擊指向28萬(wàn)個(gè)WordPress站點(diǎn)。

3. 美國查獲朝鮮黑客竊取的價(jià)值3000萬(wàn)美元加密貨幣
美國當局追回了朝鮮Lazarus黑客組織從Axie Infinity視頻游戲公司竊取的價(jià)值超過(guò)3000萬(wàn)美元的加密貨幣，這也是美國首次在這一重大網(wǎng)絡(luò )盜竊活動(dòng)中追回贓款。
今年3月，黑客入侵了美國視頻游戲公司Axie Infinity的區塊鏈網(wǎng)絡(luò )Ronin Network，竊取了價(jià)值約6.2億美元的以太坊和USDC加密貨幣，這是有史以來(lái)金額最大的加密貨幣黑客攻擊活動(dòng)?？紤]到加密貨幣的價(jià)格變化，此次美國當局追回的資金約占黑客盜取資金的10%，表明攻擊者越來(lái)越難兌現不義之財。資料顯示，黑客盜竊成功后，將獲取的以太坊代幣橋接到BNB平臺，然后兌換成USDD代幣，最后橋接到BitTorrent平臺，希望通過(guò)跨平臺交易的形式進(jìn)行洗錢(qián)。由于美國政府對各類(lèi)虛擬貨幣交易平臺進(jìn)行重點(diǎn)管控，黑客的洗錢(qián)計劃并未如期實(shí)現。

4. 蘋(píng)果公司針對新的零日漏洞發(fā)布安全更新程序
蘋(píng)果公司于9月13日發(fā)布最新的安全更新程序，以解決iOS和macOS中的多個(gè)安全漏洞，并重點(diǎn)修復最新發(fā)現的一處零日漏洞。
最新發(fā)現的零日漏洞代號為CVE-2022-32917，源于內核組件，可能被惡意程序利用從而以?xún)群藱嘞迗绦腥我獯a。目前已發(fā)現該漏洞被不明分子利用。此外，此次更新程序還修復了其它10個(gè)安全漏洞，主要涉及聯(lián)系人模塊、地圖模塊、媒體庫、Safari和WebKit等功能組件；同時(shí)還引入了一項快速安全響應（Rapid Security Response）的功能，使用戶(hù)可以在iOS設備上自動(dòng)安裝安全更新程序。

5. 微軟發(fā)布最新安全更新程序
微軟公司9月13發(fā)布最新安全更新程序，修復了64個(gè)安全漏洞，其中包括一個(gè)被積極利用的零日漏洞。
此次修復的64個(gè)安全漏洞中，5個(gè)被評為嚴重漏洞，57個(gè)被評為重要漏洞，1個(gè)被評為中等漏洞，1個(gè)被評為低風(fēng)險漏洞。被積極利用的零日漏洞代號CVE-2022-37969，威脅等級評分7.8，涉及Windows通用日志文件系統驅動(dòng)程序的權限提升漏洞，攻擊者可利用該漏洞獲取系統權限。此外，此次修復的漏洞CVE-2022-34718，威脅等級評分9.8，涉及TCP/IP遠程代碼執行漏洞；漏洞CVE-2022-34721威脅等級評分9.8，涉及互聯(lián)網(wǎng)密鑰交換協(xié)議遠程代碼執行漏洞。