工业网络安全周报（2024年第7期）

1、白宫成立人工智能安全联盟

白宫正在招募200多家人工智能公司、利益相关者和公共社会的众多组织，组建美国首个致力于人工智能安全的联盟。根据美国商务部2月8日发布的公告，人工智能安全研究所联盟将制定红队、安全评估和其他安全措施指南。这个新联盟隶属于美国国家安全技术研究所的人工智能安全研究所，旨在充当人工智能开发商和联邦机构之间的联络人。它还将致力于为高级人工智能模型制定协作研究和安全指南。网络安全专家、立法者和法律学者此前曾担心人工智能开发者在开发可能对国家安全和公共健康造成重大风险的先进模型时缺乏全面的法规、标准甚至一套可遵循的最佳实践。

资料来源：http://k3vab.dwa1.sbs/MkCXUIT

2、CISA发布联合网络防御协作(JCDC)2024年优先事项

美国网络安全和基础设施安全局周一(2月12日)发布了联合网络防御合作组织2024年的优先事项，该组织是一个以行动为重点的政府和私人合作组织，最近面临批评。三大优先事项的宣布将标志着“资源和战略方向”的协调。未来一年，JCDC将重点关注：防御高级持续威胁(APT)行动、提高关键基础设施所有者和运营商的基线保护，以及预测新兴技术和风险。

资料来源：https://cyberscoop.com/cisa-jcdc-2024-priorities/

3、头部科技公司制定“技术协议”来打击人工智能深度造假

在所谓的“技术协议”中，主要科技公司表明它们愿意共同努力，打击可能威胁今年全球民主选举的人工智能(AI)生成的内容。该协议草案将在16日开始的慕尼黑安全会议上公布，Meta、微软、谷歌、TikTok和OpenAI等公司将公布细节。该协议达成之际，64国家和欧盟将于今年举行全国大选。据《时代》杂志报道，全球20亿合格选民将前往投票站，约占全球人口的49%。大型科技公司在一份联合声明中表示：“在全球选举的关键一年，科技公司正在制定一项协议，打击针对选民的人工智能欺骗行为。” “Adobe、谷歌、Meta、微软、OpenAI、TikTok和其他公司正在共同努力，以实现这一共同目标。

资料来源：http://lzksa.dwa1.sbs/6pIgVs3

4、智能头盔缺陷使数百万人面临黑客和监视的风险

据网络安全公司Pen Test Partners称，Livall的智能头盔存在固有缺陷，可能导致包括位置数据在内的关键、敏感用户信息泄露。Oakley/Recon护目镜和智能滑雪头盔扬声器等智能滑雪技术的出现使滑雪或骑自行车变得更加有趣，但互联网连接设备带来的危险也不容忽视。Pen Test Partners(PTP)进行的研究强调了智能头盔和其他联网设备的最新安全和隐私问题。据PTP称，Livall的智能头盔存在固有的安全漏洞，可能导致关键、敏感的用户数据泄露。

资料来源：https://www.hackread.com/smart-helmets-flaw-hacking-surveillance-risk/

5、沙特阿拉伯的伊斯兰慈善机构遭受复杂的网络攻击

总部位于沙特阿拉伯的一家伊斯兰慈善非营利组织一直是长期网络间谍活动的目标。该活动于2023年5月开始，涉及身份不明的威胁行为者采用的复杂策略。根据网络安全公司Talos的一份新报告，攻击者使用名为“Zardoor”的恶意软件在目标组织的网络中建立持久性，其初始访问向量仍未公开。为了逃避检测，他们广泛使用开源反向代理工具，例如快速反向代理(FRP)、sSocks和Venom。

资料来源：http://90soc.dwa1.sbs/fo9iTPZ

6、罗马尼亚18家医院遭网络攻击瘫痪

在罗马尼亚，由于大规模勒索软件攻击导致当地医疗管理系统瘫痪，至少18家医院面临严重运营问题。罗马尼亚医院用来管理医疗活动和患者数据的希波克拉底信息系统(HIS)在周末遭到攻击。结果，系统数据库被加密，导致HIS无法访问。罗马尼亚卫生部于2月11日至12日晚报告了这一事件。由于运行HIS信息系统的生产服务器遭到攻击，系统完全瘫痪，文件和数据库被加密。IT专家正在调查这一事件，其中包括罗马尼亚国家网络安全局(DNSC)的专家。

资料来源：https://www.securitylab.ru/news/545993.php

7、最大的飞机发动机供应商Willis Lease Finance遭遇网络攻击

威利斯租赁金融公司(Willis Lease Finance Corporation)是一家喷气发动机租赁 公司，是一次网络攻击的受害者，在此期间机密数据最终落入Black Basta组织手中。这是从2月9日向美国证券交易委员会(SEC)提交的8-K表文件中得知的。该公司于1月31日发现了未经授权访问的迹象，并立即开始对该事件进行补救。文件指出，已聘请网络安全领域的顶尖专家来调查该事件并予以平息。尽管如此，该公司承认，由于某些系统中断，必须开发临时解决方案才能继续运营和服务客户。

资料来源：https://www.securitylab.ru/news/546007.php

8、英国南方水务通知客户和员工数据泄露

南方水务公司证实，客户和员工的个人数据在最近的勒索软件攻击中被访问。英国自来水供应商透露，计划通知5-10%的客户群，告知他们的个人信息已受到影响。该公司为英格兰南部约460万客户提供服务，这可能相当于230,000至460,000人。此外，该公司在2024年2月13日的帖子中表示，所有现任员工和部分前员工将收到通知，称他们的个人数据可能已被访问。这些通知将就受影响者的潜在风险提供建议和指导，以及如何减轻风险的预防措施。

资料来源：http://nzyfa.dwa1.sbs/VTTprxN

9、“风暴”黑客组织袭击美国第五舰队泄露美在巴林军事基地秘密

塔斯社报道称，2月11日，来自巴林的一个名为“Storm”的黑客组织成功对美国第五舰队舰艇的舰载系统进行了网络攻击。塔斯社参考法尔斯通讯社。黑客表示，他们获得了美国军事机密文件，包括巴林美军基地的照片和详细计划。他们还分发了一些被盗的文件，警告他们有更重要的信息。它将落入那些支持对抗美国的“抵抗轴心”的人手中。“抵抗轴心”联合了各种穆斯林激进组织，主要是什叶派，包括真主党、哈马斯、安萨尔安拉和伊拉克伊斯兰抵抗组织。

资料来源：https://www.securitylab.ru/news/546045.php

10、间谍软件TheTruthSpy被黑：波及公共领域数万用户的数据

根据TechCrunch记者的最新数据，名为TheTruthSpy的Android间谍软件 可供所有人公开下载，该软件存在许多漏洞，因此，来自数万台感染恶意软件的设备的信息不仅会被不幸的跟踪者获取决定使用非法应用程序的人，而且一般来说也适用于任何具有足够技术知识的爱好者。最近，两组黑客独立发现并利用了一个漏洞，使他们能够直接从TheTruthSpy服务器大规模访问受害者被盗的移动设备数据。

资料来源：https://www.securitylab.ru/news/546011.php

11、德国电池生产商遭遇网络攻击扰乱了生产线

德国电池制造商VARTA AG宣布，其IT系统于2月12日晚遭受网络攻击。据该公司的新闻公告称，这次袭击影响了五个生产工厂及其管理部门。因此，该公司的IT系统及其装配线已暂时关闭并与互联网断开连接。此次攻击的范围和影响仍在确定中，因此尚不清楚电池公司正在应对哪种类型的攻击，是勒索软件还是其他攻击。VARTA AG还指出，它已采取预防措施来防止进一步的攻击，并成立了一个工作组，以便在可能的情况下与网络安全专家一起帮助恢复运营。VARTA AG尚未提供有关何时恢复生产或其 IT 系统何时再次连接到互联网的任何其他信息。

资料来源：http://8owjc.dwa1.sbs/rlphpPf

12、2023年度ICS漏洞报告强调了CVE的现状和发展趋势

ICS咨询项目(ICS[AP])和Industrial Data Works周三(2月14日)发布了首份年度ICS漏洞报告，该报告显示2023年美国 CISA(网络安全和基础设施安全局)ICS咨询总数与上年相比略有下降年。2023年下半年也出现了这种咨询减少的趋势。具体而言，2023年上半年CISA ICS咨询数量比2022年上半年减少了1.6%。2023年CISA ICS公告中报告的CVE总数有所增加。自2022年起，CISA ICS公告中的CVE数量总体有所增加。这有助于识别和评估常见漏洞和暴露(CVE)的重要趋势，为运营技术 (OT)和ICS资产所有者提供见解。2023年，制造业和能源行业受CISA ICS建议的影响最大，分别占报告的CVE总数的44%和20%。

资料来源：http://ux5ic.dwa1.sbs/KnXmFxp

13、CISA和Fortinet警告新的FortiOS零日漏洞

网络安全供应商Fortinet发布了安全更新，以解决FortiOS中的远程代码执行漏洞(CVE-2024-21762、CVE-2024-23313)。这些漏洞可能被网络威胁者利用来控制受影响的系统。Fortinet指出，CVE-2024-21762可能会在野外被利用。根据Fortinet的建议，美国网络安全和基础设施安全局(CISA)于2024年2月9日更新了其已知被利用的漏洞(KEV)目录，添加了 CVE-2024-21762。CISA确认该漏洞影响多个版本，正在被积极利用进行攻击。

资料来源：http://wt96a.dwa1.sbs/lpaCuuQ

14、CISA就Qolsys、HID设备中的硬件漏洞发布ICS公告

美国网络安全和基础设施安全局(CISA)上周发布了工业控制系统(ICS)公告，警告江森自控子公司Qolsys以及部署在全球关键基础设施领域的HID设备存在硬件漏洞。这些通报及时提供了有关ICS周围当前安全问题、漏洞的信息。CISA在其通报中披露，Qolsys的IQ Panel 4和IQ4 Hub设备包含敏感信息暴露给未经授权的攻击者的漏洞。

资料来源：http://mabob.dwa1.sbs/VRwIqRZ

15、微软确认Windows系统安全功能被绕过的漏洞

微软周二(2月12日)推出了大量以安全为主题的软件更新，并呼吁紧急关注至少三个在实时恶意软件攻击中被利用的漏洞。全球最大的软件制造商记录了Windows生态系统中的72个安全漏洞，并警告用户存在远程代码执行、安全功能绕过、信息泄露和权限升级攻击的风险。微软在“已利用”栏中标记了三个漏洞，并警告网络犯罪分子正在发起绕过操作系统安全保护的网络钓鱼和欺骗攻击。

资料来源：http://bvxcc.dwa1.sbs/b4PxcBi

16、网络攻击继续袭击关键基础设施，暴露出石油、水、医疗保健行业的漏洞

近针对关键基础设施的网络攻击导致了严重的数据泄露，影响了一家加拿大石油管道公司、一家英国水务公司以及一家医院的运营，这家医院在其网络受到网络攻击后，与患者的沟通受到限制。这些事件揭示了老练的网络犯罪分子如何利用安全系统的弱点来破坏服务、窃取敏感信息或索要赎金。清除这些攻击会立即导致运营受挫，从而可能对公众信任和安全造成长期损害。此类事件清楚地提醒人们，保护关键基础设施免受网络威胁的紧迫性，凸显了加强网络安全防御、确保公共安全和信心的必要性。

资料来源：http://6daya.dwa1.sbs/rhgFzRT

17、研究人员称KeyTrap DNS攻击可能导致大部分互联网瘫痪

一组研究人员披露了一个与DNS相关的新漏洞，据称该漏洞可被用来禁用大部分互联网。该漏洞名为KeyTrap，官方编号为 CVE-2023-50387，被描述为域名系统安全扩展(DNSSEC)设计中的严重缺陷，DNSSEC是一种对域名查找响应进行身份验证的 DNS功能。DNSSEC的目标是防止攻击者操纵或毒害对DNS请求的响应。然而，德国ATHENE国家应用网络安全研究中心的研究人员发现，设计缺陷可能允许恶意行为者使用单个特制DNS数据包造成严重的互联网中断，从而导致CPU资源耗尽。

资料来源：http://gcpga.dwa1.sbs/oukK2IQ

18、IARPA主导的4年黑客心理学研究获支持

IARPA办公室上周宣布，国家情报总监的研究部门已开始研究网络攻击者的心理，作为将黑客的智力偏见武器化并阻止敌意入侵企图的一部分。ODNI表示，这项名为“利用基于网络心理学的网络防御重新构想安全性”(ReSCIND)的情报高级研究项目活动将“利用攻击者的人类局限性，例如先天的决策偏见和认知漏洞来破坏他们的攻击”。该项目公告补充道：“通过将传统的网络安全实践与新兴的网络心理学领域相结合，IARPA将设计出一种首创的网络技术，使攻击者的工作变得更加困难。”

资料来源：http://mhb1c.dwa1.sbs/djZH5xC