关键基础设施 - HackerNews

罗马尼亚国家水务机构遭 BitLocker 勒索软件攻击

作者: hackernews 日期: 2025-12-23 分类: 国际动态

HackerNews 编译，转载请注明出处：

罗马尼亚国家水务管理机构于周日宣布遭受勒索软件攻击，导致约1000台计算机系统无法使用。

此次攻击影响了从工作站到服务器的各类设备，但国家网络安全局表示，包括大坝和防洪设施在内的水利技术基础设施等运营技术系统未受影响。

水务机构的基础设施仍在正常运行，但由于网络攻击影响了电子邮件服务器，员工被迫使用电话和无线电进行通信。

与传统勒索软件攻击从外部网络引入加密软件不同，罗马尼亚当局的初步技术评估显示，此次攻击者使用了合法的Windows工具BitLocker试图勒索该机构。

使用所谓的"LOLBins"——如现有的Windows工具——有助于攻击者在遍历和操控受害者网络时规避安全控制。

卡巴斯基实验室去年发布的研究指出，墨西哥、印度尼西亚和约旦的受害者——包括钢铁和疫苗制造公司以及政府实体——遭遇了一波此类勒索软件攻击。

去年，网络安全公司Bitdefender表示，ShrinkLocker恶意软件——一种将合法BitLocker工具用于攻击系统用户的脚本——正被"多个独立的威胁行为体用于针对老旧Windows系统的简单攻击"。

根据罗马尼亚网络安全机构的说法，攻击者已发出勒索信息，要求其在七天内取得联系。该机构强调，其自身的"政策和严格建议"是受害者不与网络勒索者进行接触或谈判。

...

亚马逊揭露俄罗斯网络攻击行动，已针对能源和云基础设施多年

作者: hackernews 日期: 2025-12-17 分类: 国际动态

HackerNews 编译，转载请注明出处：

亚马逊威胁情报团队披露了一项"长达数年"的俄罗斯国家支持网络攻击行动的细节，该行动在2021年至2025年间针对西方关键基础设施。

此次行动的目标包括西方各国的能源行业组织、北美和欧洲的关键基础设施提供商，以及拥有云托管网络基础设施的实体。该活动被高度确信归因于俄罗斯总参谋部情报总局（GRU），其攻击基础设施与APT44（也称为FROZENBARENTS、Sandworm、Seashell Blizzard和Voodoo Bear）存在重叠。

亚马逊表示，该活动的一个显著特点是利用管理界面暴露的配置不当客户网络边缘设备作为初始入侵向量，而N日漏洞和零日漏洞利用活动在此期间有所减少——这表明针对关键基础设施的攻击策略发生了转变。

亚马逊综合安全首席信息安全官（CISO）CJ·摩西表示："这种战术调整使得攻击者能够实现相同的操作结果，即窃取凭据并横向移动到受害组织的在线服务和基础设施中，同时减少了攻击者自身的暴露和资源消耗。"

已发现这些攻击在五年期间利用了以下漏洞和策略：

...

JSONFormatter 与 CodeBeautify 多年数据泄露事件曝光数千组密码及 API 密钥

作者: hackernews 日期: 2025-11-27 分类: 数据泄露

HackerNews 编译，转载请注明出处：

最新研究发现，包括政府、电信和关键基础设施在内的多个敏感行业组织，存在将密码和凭证粘贴到 JSONFormatter、CodeBeautify 等在线代码格式化与验证工具的行为。

网络安全公司 watchTowr Labs 表示，其在这些网站上捕获了超过 8 万份文件的数据集，从中发现数千组用户名、密码、代码库认证密钥、Active Directory 凭证、数据库凭证、FTP 凭证、云环境密钥、LDAP 配置信息、服务台 API 密钥、会议室 API 密钥、SSH 会话记录以及各类个人信息。

该数据集包含 JSONFormatter 五年的历史内容和 CodeBeautify 一年的历史内容，总计超过 5GB 的增强型带注释 JSON 数据。

...

英国关键基础设施防线告急，水务系统遭五次网攻

作者: hackernews 日期: 2025-11-04 分类: 国际动态

HackerNews 编译，转载请注明出处：

...

关键基础设施遭网络攻击，加拿大建议启用双重认证

作者: hackernews 日期: 2025-11-03 分类: 国际动态

HackerNews 编译，转载请注明出处：

加拿大网络安全中心（The Canadian Center for Cyber Security）警告，关键基础设施相关企业及机构已成为黑客组织的攻击目标，需采取额外安全措施。

近几周，加拿大网络安全中心与加拿大皇家骑警（Royal Canadian Mounted Police）收到多起安全事件报告，涉及可通过互联网访问的工业控制系统（ICS）。

其中一起事件发生在某供水设施。攻击者成功侵入该设施的 IT 网络，篡改供水压力数值，导致当地社区供水服务中断。

另有一家加拿大油气企业受影响，其自动油罐计量仪（ATG）遭篡改，触发虚假警报。此外，加拿大某农场的谷物烘干仓曾遭遇黑客攻击，对方试图篡改温度与湿度数据，此举可能导致安全隐患。

加拿大网络安全中心在新闻稿中表示：“尽管部分机构可能并非攻击者的直接目标，但仍可能成为‘机会性受害者’。目前黑客组织正越来越多地利用可联网的工业控制系统设备，以获取媒体关注、破坏机构声誉，并损害加拿大的国家形象。”

为抵御攻击者，关键基础设施领域的企业及机构需采取额外安全防护措施。

根据加拿大网络安全机构的建议，相关主体应采取以下行动：

...

黑客组织瞄准关键基础设施，攻击诱饵工厂

作者: hackernews 日期: 2025-10-10 分类: 国际动态

HackerNews 编译，转载请注明出处：

一个名为 TwoNet 的亲俄黑客组织在不到一年的时间里，从发起分布式拒绝服务（DDoS）攻击转向瞄准关键基础设施。

最近，该威胁行为者声称攻击了一家水处理厂，但事实证明这是一个由威胁研究人员专门设置的高仿真蜜罐系统，用于观察攻击者的行动。这场对诱饵设施的入侵发生在 9 月，揭示了威胁行为者从初始访问到实施破坏性行动仅用了约 26 小时。

为企业 IT 和工业网络提供 cybersecurity 解决方案的 Forescout 公司研究人员，在监控 TwoNet 在虚假水处理厂的活动时发现，黑客于上午 8:22 尝试使用默认凭证并获得了初始访问权限。在第一天，该黑客组织试图枚举系统上的数据库；在使用了适用于该系统的正确 SQL 查询后，他们在第二次尝试中取得了成功。

攻击者随后创建了一个名为 Barlati 的新用户账户，并利用一个编号为 CVE-2021-26829 的旧版存储型跨站脚本（XSS）漏洞宣布了他们的入侵。

他们利用这一安全问题在人机界面（HMI）上触发了一个弹出警报，显示信息为 “被 Barlati 黑客入侵”。

然而，他们还采取了更具破坏性的行动，以干扰流程并禁用日志和警报。Forescout 的研究人员表示，TwoNet 并未意识到自己入侵的是一个诱饵系统，他们通过从数据源列表中移除连接的可编程逻辑控制器（PLC）来禁用实时更新，并在人机界面中更改了 PLC 的设定值。“攻击者没有尝试权限提升或利用底层主机，而是完全专注于人机界面的 Web 应用层”。

第二天上午 11:19，Forescout 研究人员记录了入侵者的最后一次登录。

虽然 TwoNet 最初只是另一个亲俄黑客组织，专注于对支持乌克兰的实体发起 DDoS 攻击，但该团伙似乎正在从事各种网络活动。

Forescout 在攻击者的 Telegram 频道上发现，TwoNet 试图瞄准 “敌国” 关键基础设施组织的人机界面（HMI）或监控与数据采集（SCADA）系统界面。

该团伙还公布了情报和警务人员的个人详细信息，提供各种网络犯罪服务的商业报价，如勒索软件即服务（RaaS）、黑客雇佣，或提供对波兰 SCADA 系统的初始访问权限。

“这种模式与其他从 ' 传统 ' 的 DDoS 攻击 / 网站篡改转向操作技术（OT）/ 工业控制系统（ICS）操作的组织相似，”Forescout 研究人员表示。

为降低被入侵的风险，Forescout 建议关键基础设施领域的组织确保系统具有强大的身份验证，且不暴露在公共网络上。

对生产网络进行适当分段，结合基于 IP 的访问控制列表用于管理员界面访问，即使攻击者入侵了企业网络，也能将其阻挡在外。

...

国家关键基础设施该如何认定？国际最新认定指南发布

作者: 内容转载日期: 2023-05-16 分类: 安全快讯, 国际动态

澳大利亚网络和基础设施安全中心（CISC）日前发布《关键基础设施资产类别定义指南》，适用于所有相关的基础设施行业。指南简化了关键基础设施责任主体和直接利益相关方的义务，有助于提高运营弹性、降低复杂性。

作为类别定义文件，指南对关键基础设施资产分类提供了指导意见。关键基础设施资产的定义可参见2018年《关键基础设施安全法案》（SOCI法案），或者《SOCI定义规则》（LIN 21/039）。指南要求资产所有者和经营者参考《SOCI法案》和《SOCI定义规则》，确定他们的资产具体符合哪一项关键基础设施资产的定义。

指南涵盖了10大类别，共计22个关键基础设施行业。其中通信业（含广播、域名系统、电信）；金融业（含银行、金融市场基础设施、保险和养老金）；能源业（含电力、能源市场运营商、天然气和液体燃料）；以及运输业（含航空、货运基础设施、货运服务、港口和公共交通）四大类涵盖了16个行业。其他六类关键行业则分别对应6个行业，具体包括数据存储或处理、水和污水行业、国防工业、医疗保健业、高等教育和研究、食品杂货业。

以电力行业为例，指南对资产定义提供了如下指导意见：

首先，拥有资产的实体需要判断，资产是否为关键电力资产。其次，实体需要判断，资产是否位于澳大利亚。再次，实体需要判断，资产所有者是否并非联邦政府或联邦机构（国有企业除外）。

如果前两个问题的答案都是“是”，接下来需要判断，资产是否符合以下任何定义。指南提供了两种判断标准。

第一，该电网、电力系统或电力系统连接器是否向超过10万个客户输电配电。如果本条答案为“是”，资产应定义为能源业的关键电力资产。

第二，该发电站是否对州/领地电网或电力系统安全与可靠性起到至关重要的影响。这又细分为两种情况：（1）州/领地内的发电机装机容量超过30兆瓦并接入电力批发市场；（2）发电机所有者或运营者需履约向州/领地提供系统重启辅助服务。所谓“系统重启辅助服务”是指，在没有外部电源的情况下，启动发电机并网，并向电网或电力系统提供电能，实现输电配电。如果本条答案为“是”，资产应定义为能源业的关键电力资产。

确定资产属于能源业之后，接下来需要判断，实体是否是关键电力资产的报告实体。实体必须选出对其与关键电力资产关系描述最准确的选项。指南提供了三个选项。

第一个选项称“我是持有许可证，批准或授权操作关键电力资产并提供需交付服务的实体。”如果勾选此项，实体是关键电力资产的责任实体。

第二选项称“本人与合作伙伴一起持有不少于10%的关键电力资产权益（含共同权益）”；第三选项称“本人持有关键电力资产的权益，足以直接或间接控制该资产。”如果勾选第二或第三项，实体是关键电力资产的直接权益人。

如果任何一项都不符合，实体不是关键电力资产的报告实体。

今年2月，澳大利亚政府基于《2015年关键基础设施弹性战略》发布了《2023年关键基础设施弹性战略》。该战略提供了一个全国性框架，指导澳大利亚加强关键基础设施的安全性和弹性。在该文件框架内，业界、州/领地政府和联邦政府需要共同努力，提升关键基础设施的安全性和弹性，积极预测、预防、备战、应对各类隐患，并做好相关恢复工作。

4月，澳大利亚政府发布了一份讨论文件，征求航空和海事利益相关者对战略改革议程和新监管模式的意见。根据建议，文件重点确定了的五个高影响领域，计划尽快加以落实。这些领域分别是：删除安全计划中的解决方案、提供结果和基于风险的安全管理方法、内政部与筛选供应商的监管关系、筛选和未筛选的航空服务、通过行业参与和教育改进绩效与合规。

...