伺服器存取未设密码保护在网路「裸奔」的离谱情况不时传出,但过往这类事故外界关注的焦点,通常是这些资料曝光造成的危害,如今有一起事故成为国际的政治焦点。
近期有专门研究北韩相关事务的媒体指出,他们发现1台配置错误的云端储存伺服器,其内容与动画制作有关,而且当中存放的资料当中,竟然有多个美国串流服务平台播放的动画,以及制作这些数位内容的工作讨论。
【攻击与威胁】
北韩云端伺服器传出组态不当导致档案曝光,疑似间接承揽美国多家影音平台外包动画制作
专门关注北韩事务的新闻网站38 North指出,有研究人员于2023年底发现,1台位于北韩的云端储存伺服器的配置错误,且没有密码保护,任何人都能随意浏览该伺服器储存的档案。
而对于这台伺服器存放的资料内容,该媒体指出,根据他们在今年1月的观察,每天都会有新的一批档案出现,内容包含制作动画的工作说明,以及当日的工作成果,但他们无法确认上传这些资料的人士身分。
究竟伺服器存放了那些动画?38 North指出,其中包含Amazon原创的无敌少侠(Invincible)、HBO Max播映的Iyanu:奇迹之子(Iyanu: Child of Wonder)、BBC的海底小纵队(Octonauts),也有日本的魔导具师妲莉亚永不妥协,以及中国的大连牧童。假若这些发现属实,那么北韩动画公司很有可能运用某种方式绕过制裁的限制,承包美国公司的动画制作。
韩国国防承包商传出遭到北韩骇客组织攻击,对方利用管理不善的系统进行渗透
韩国国家警察局发出警告,指出他们发现国防工业公司遭到北韩骇客入侵的迹象,对方利用目标组织网路环境的漏洞,或是他们的承包商网路环境来发动攻击,从而植入恶意软体并外泄窃得资料。
这波攻击行动的发现,源自于韩国国家警察局与防卫事业厅(Defense Acquisition Program Administration,DAPA)今年初的特别行动,他们从1月15日至2月16日进行调查,结果发现,有多家国防工业公司从2022年底遇害,但直到收到通知之前,这些公司并未察觉遭到入侵。
自去年底宾州自来水公司传出工业控制系统遭到挟持,骇客控制了其中1个增压站,针对美国各地的水力设施攻击行动不时传出,最近又有新的事故出现:美国德州狭长地带(Texas Panhandle)的小镇传出两起攻击事故。而对于攻击者的身分,资安业者Mandiant推测,很有可能是恶名昭彰的俄罗斯骇客组织Sandworm(APT44)。
其中一起发生在拥有2千名居民的黑尔中心市(Hale Center),市长Mike Cypert指出,根据防火墙的事件记录,他们在4天里遭遇3.7万次的尝试存取。市府人员决定停用相关系统因应,并改以手动操作,迫使对方无法得逞。
另一起事故则是发生在贝利县的缪尔舒市(Muleshoe),市长Ramon Sanchez透露,在该城市西边约60英里、约有5千人的地方,导致供水系统出现溢流现象。随后该系统被关闭,并由相关人员手动控制。他强调供水系统并未出现危险,净水系统也没有受到影响。
CDN快取遭到滥用!骇客组织CoralRaider将其用来派送窃资软体,意图躲避资安侦测
思科旗下威胁情报团队Talos揭露从今年2月出现的骇客组织CoralRaider攻击行动,对方意图散布窃资软体Cryptbot、LummaC2、Rhadamanthys,至少有美国、奈及利亚、巴基斯坦等13个国家出现受害者。
攻击者起初向受害者传送恶意的Windows捷径档(LNK),此档案内含PowerShell命令,从特定的内容传递网路(CDN)服务下载HTML应用程式(HTA)并执行,最终于受害电脑植入窃资软体。
研究人员提及,由于对方使用CDN快取伺服器存放恶意程式,网路防御系统可能无法对其进行侦测而放行。
勒索软体仍是高科技制造业首要威胁,但云端服务与漏洞威胁不可掉以轻心
上云浪潮带来了高科技制造业新的资安风险,根据最新发布的iThome 2024资安大调查结果指出,云端服务(网路服务)的资安事件从去年的第四象限(低风险低冲击),一举进入了第一象限(高风险高冲击),甚至超过1成高科技制造业者资安主管开始认为,未来一年,自家企业极可能发生云端服务的资安事件。
高科技制造业的首要资安风险和一般制造业相同,都是勒索软体资安事件的威胁。高达57%高科技业者认为,一旦发生,就会产生重大冲击。
但值得留意的是,与资安漏洞有关的攻击事件仍是高科技制造业未来一年必须高度警戒的次要风险,尤其,今年开始出现锁定开源软体社群的社交工程攻击,这类威胁的危害将会加剧。
其他攻击与威胁
◆咖啡制造商Nespresso的网域被滥用,攻击者借由开发重新导向来从事网钓攻击,意图窃取使用者的微软帐号
◆北韩骇客锁定防毒软体发动供应链攻击,透过恶意程式GuptiMiner部署挖矿软体
◆骇客组织ToddyCat滥用OpenSSH、SoftEther VPN建立隧道隐匿攻击行动
◆俄罗斯骇客组织Sandworm破坏20个乌克兰关键基础设施运作
◆程式码储存库GitLab的CDN存在弱点,攻击者可用来存放恶意软体
近期资安日报
【4月23日】研究人员揭露新旧作业系统路径转换弱点,并指出能被当作rootkit发动攻击