資安一周第67期：國家級攻擊頻傳，鎖定關鍵基礎設施與重要官員

1031-1106 一定要看的資安新聞

＃紅隊演練  ＃資安即國安

臺美首度聯手舉辦大規模網路攻防演練

臺美最近在資安領或合作的關係互動密切，從11月4日至11月8日，臺灣政府與美國國土安全部聯手，規畫大規模網路攻防演練（CODE），此次美方在4日與5日兩天，安排教育訓練，分享北韓針對金融產業的攻擊手法；之後從6日至8日三天，則由美國、捷克，以及馬來西亞等國，聯手扮演攻擊的紅隊，測試由臺灣官股銀行和民營銀行組成的金融藍隊聯隊，面對網路攻擊時的防禦能力。

此次參與大規模網路演練的國家超過10個，包括美國、日本、澳洲、馬來西亞、印尼，以及捷克等。至於本次演練的目的，主要是檢視臺灣關鍵基礎設施的防護能力，並且特別著重於金融產業領域。

由於面對各種網路威脅，必須各國通力合作，國家安全諮詢委員會諮詢委員李德財認為，這是臺灣資安國際合作上重要的里程碑，也是資安即國安戰略的具體實現。詳全文

＃關鍵基礎設施  ＃國家級攻擊

印度核電廠證實遭北韓惡意程式入侵網路

印度核電公司（NPCIL）坦承，今年9月初遭到北韓木馬程式DTrack感染網路。

攻擊事件遭到揭露的經過，最初是因為推特一名用戶上傳DTrack惡意程式樣本，並顯示是從印度庫丹庫拉姆核電廠（Kudankulam Nuclear Power Plant）網路竊取資料，包括網路上系統的IP位址、MAC位址、作業系統類型、瀏覽器上網紀錄、ipconfig，以及netstat等組態資訊等。該電廠所屬的印度核電公司起初否認，不過後來坦承確有此事。

印度資安專家Pukhraj Singh指出，該電廠網域控制器遭到存取，已有極為關鍵的系統受到影響。幾天前，該電廠就有一座核子反應爐因此停機，他認為此次惡意程式攻擊是戰爭行為，並表示這個反應爐是第二個攻擊目標，而拒絕透露其他細節。詳全文

圖片來源：India Water Portal

＃國家級攻擊  ＃簡訊挾持  ＃APT41

駭客集團大量解析電信網路的簡訊流量

資安業者FireEye指出，他們發現了由中國政府贊助的駭客集團APT41，企圖藉由滲透電信業者的簡訊服務中心伺服器，來攔截目標對象的簡訊流量。此外，電信組織似乎成為中國駭客集團的頭號目標，今年APT41就鎖定4家電信單位，還有4家被另一個疑似同樣由中國贊助的駭客集團鎖定。

APT41所蒐集的範圍，包括目標對象傳送或接收的簡訊，以及各種與中國政府理念背道而馳的簡訊內容。詳全文

＃數位身分證  ＃隱私疑慮

歐盟電子身分識別系統驚傳漏洞，可讓駭客冒充公民

最近，資安顧問業者SEC Consult在歐盟的電子身分識別系統發現弱點，其中的節點軟體存在驗證迴避漏洞，讓攻擊者能繞過身分驗證機制，傳送變造的SAML到其他節點，進而冒充受害者的身分。歐盟獲報後也推出新的2.1.3版軟體，並開放一般用戶下載。

由於自去年9月29日起，歐盟開始實施電子身分識別法（eIDAS），28個會員國公民可以跨國使用自己的電子身分證，進行各項業務，像是報稅、付款、銀行開戶，以及存取電子病歷等，因此，這樣的漏洞影響範圍，可說是相當廣泛。詳全文

圖片來源：Cédric

＃國家級攻擊

美國盟邦政府官員遭鎖定，成WhatsApp惡意程式攻擊目標

臉書在今年5月緊急修補了WhatsApp安全漏洞，並且控告相關攻擊行動的始作俑者NSO Group，而最近路透社的報導進一步指出，受害者中有相當比例為知名的政府及軍方官員，有許多人是美國的盟友。

此安全漏洞編號為CVE-2019-3568，當受害裝置接收到顯示為視訊的電話時，無論接聽與否，駭客都能傳遞惡意程式Pegasus到手機上。臉書與WhatsApp的調查顯示，打造Pegasus的以色列駭客公司NSO Group，就是幕後推手。

值得留意的是，這些受害官員來自全球各地，遍及五大洲、超過20個國家。而被指控的NSO Group向路透社表示，無論是客戶的身分還是所採用的技術，他們都不能透露。詳全文

＃資料外洩  ＃弱密碼濫用

財星500大企業登入憑證流落暗網

網路暨行動程式安全業者ImmuniWeb在暗網中發現超過2,100萬筆待售的使用者憑證，它們是隸屬於《財星》500大企業（Fortune 500），高達95%的憑證含有明文密碼，其中1,600萬筆是最近一年外洩。

若依照憑證外洩規模的產業來排序，由科技業以507萬筆拔得頭籌，居次的金融業也高達492萬筆，健康醫療為192萬筆，製造業為190萬筆，能源與電信業則分別有175及133萬筆。

值得留意的是，這些外洩記錄中，總共只用了490萬組密碼，這顯示就算是不同的使用者，也可能會設定相同的密碼。詳全文

＃網路釣魚

網釣駭客最愛的目標是微軟與PayPal用戶

內容遞送網路暨雲端服務供應商Akamai，最近出版了網釣攻擊狀態報告，指出科技業者為最受網釣駭客青睞的產業，前四名依序是微軟、PayPal、DHL，以及Dropbox。

駭客也申請各種網域名稱來執行網釣攻擊，而且，他們使用的多數網域名稱並不常見，像是.loan、.tk、.qq、.ooo、.cf或.ga等，為了避免遭到偵測，有89%的網釣網站存活不到24小時，有94%存在不超過3天。

此外，在眾多的網釣攻擊套件中，也有超過60%存在不超過20天。總而言之，在網釣攻擊上，駭客必須不斷開發新的技術，並且使用不同的網域名稱來閃避攔截。詳全文

＃BlueKeep  ＃RCE攻擊

首例大規模BlueKeep漏洞攻擊，引發藍色死亡螢幕

安全研究人員Kevin Beaumont警告，名為BlueKeep的Windows 遠端桌面協定（RDP）漏洞，在發現半年後，已經有人用來發動第一波攻擊，引發藍色死亡螢幕（BSOD）。

在此之前，僅有可疑的網路掃描行為，而沒有實際的攻擊事件發生。然而，Kevin Beaumont近期從誘捕系統發現，自10月23日至今，2周共發生2,600萬次BlueKeep攻擊事件。以破解WannaCry攻擊而廣為人知的研究人員Marcus Hutchins也證實，這是第一起大規模BlueKeep攻擊。

所幸，本次BlueKeep攻擊，不會自我複製與擴散。惡意程式的用途是植入挖礦軟體，而非蠕蟲，疑似駭客利用滲透測試框架Metasploit裡的模組修改而成。詳全文

更多資安動態

●遭踢爆防護不周導致金鑰外流，NordVPN啟動抓漏獎勵計畫
●Google緊急修補已被濫用的Chrome音訊功能漏洞
●Web.com與旗下子公司驚傳內部系統遭到入侵
●股市大盤指數突破11,000點，有駭客趁機發動DDoS攻擊
●內賊難防！趨勢科技驚傳家庭用戶個資外洩，已被濫用於撥打詐騙電話