Browsing: 供應鏈攻擊

    黑客盜取企業帳戶再入侵內部網絡的案例,相信大家也聽過不少,黑客通常會啟動勒索軟件索取贖金,又或為國家暗中刺探軍情,不過,這次一位俄羅斯莫斯科富豪兼科技公司老闆 Vladislav Klyushin 入侵的目的,竟然同炒賣股票有關, 由於他入侵的是專門為上市公司服務的第三方供應商,牽連巨大,據講還因此賺取了 3300 萬美元, 賺錢手法真是層出不窮。 想知最新科技新聞?立即免費訂閱 ! 今年 42 歲的 Vladislav Klyushin 據報是俄羅斯一間科技公司的老闆,在俄羅斯非常有名,而且公司專門為俄羅斯政府最高層服務。大約在兩年前,他乘搭私人飛機前往瑞士滑雪勝地度假,不過在抵埗後即被警方拘捕,指控他非法進入美國多間上市公司,盜取公司未公布的財政報告,並在稍後引渡美國,大約兩年後才被送上聯邦法院審訊。 富商否認指控 法院判監禁 14 年 美國檢察官指…

    早前一間專門提供商業網絡通話、視像會議及訊息傳輸服務的企業3CX遭受入侵,雖然很快已發現是北韓國家級黑客所為,但隨著其他專家參與調查,黑客集團原來亦已入侵了另外四間企業,受害機構分別來自能源基礎設施及金融行業,而且入侵方式與 3CX 基本上一樣,可見這類供應鏈攻擊(Supply chain attack)真是防不勝防。 想知最新科技新聞?立即免費訂閱 ! 3CX 入侵事件在今年三月公開,當時負責調查的網絡安全公司 Mandiant 專家,很快已指出事件與北韓國家級黑客集團 UNC4736 有關,估計入侵源頭是因為 3CX 一個員工在自己的電腦上,下載及安裝了一款帶有木馬病毒 VeiledSignal 的 X_Trader 交易軟件。 該軟件由…

    關於本次活動不斷增長的信息流為網絡犯罪分子通過在合作夥伴網絡中尋找「後門」,並對大型企業發起攻擊提供了新的機會。這種攻擊被稱為「供應鏈攻擊」。 要防止它們,大公司會使用越來越嚴格的網絡安全審計來選擇值得信賴的合作夥伴。在本次會議中,我們將介紹針對小公司的網絡攻擊的大小項,以幫助增加與大公司合作的機會。 活動將討論:哪些類型的網絡攻擊在小公司中更為普遍?我們在網絡安全領域看到了哪些趨勢?在保護數據時,所有人應該做的事情都是十分簡單。

    再有網絡安全公司發現,第三方軟件倉上存在多個內藏惡意功能的 Python packages,這些 packages 包括 loglib-modules、pyg-modules、pygrata、pygrata-utils 及 hyg-sol-utils,全部都可用於盜取開發者的 Amazon AWS 帳戶登入憑證。貪方便直接使用開源資源?好易誤中地雷。 為了加速應用服務開發,不少開發者都會使用軟件倉庫上的開源套件,直接將其功能加入自己的應用服務內。不過,在使用這些套件時卻未有審視內裏有否可疑功能,因此很容易將惡意功能加入自己的應用服務內,推出後更會波及用家。而這次被 Sonatype 安全研究員 Ax Sharma 發現的上述套件,便會在使用時將開發者的 AWS 帳戶憑證及環境變數等資料,一併上傳至黑客控制的伺服器,變相令黑客可以進入帳戶盜取公司的機密資料,甚至進行更多惡意行為如安裝挖礦程式、執行勒索軟件等。 更嚴重的是,研究員發現黑客控制的伺服器上存在數以百計帳戶憑證,而且全部伺服器對外開放,所收集的帳戶憑證亦只以…

    最近網絡安全公司頻頻失事,繼 Solarwind 事件後,今次主角輪到法國防火牆龍頭安全公司 StormShield,公司發言人指工單處理系統 (ticket system) 被入侵,同時黑客亦盜取了旗下網絡防火牆工具 Stormshield Network Security Firewall 的原始碼!系統潛在漏洞隨時被發現,引爆另一場供應鏈攻擊災難。 Solarwind 被黑客入侵後釀成大災難,不少全球知名科技公司、政府機構、醫療企業,全部因 Solarwind 本身的漏洞而被入侵,令供應鏈攻擊 (supply chain attack) 這種攻擊手法再度被重視。StormShield…

    新加坡政府一向希望取代香港的亞洲金融中心地位,而在維護網絡安全政策方面,反應更比港府敏捷得多。最新動作是修改了金融業的科技風險管理指引,強調行業必須加強對第三方服務供應商的規管,相信跟近年頻頻發生的供應鏈攻擊 (supply chain attack) 有絕大關係,例如令人聞風喪膽的 SolarWinds 事件…… 現時金融業在發展網上業務時,傾向與第三方服務供應商合作,例如 IT 管理工具、數據備份及災難復原服務等,雖然金融業本身有嚴格的網絡安全法規要遵守,但在第三方服務供應商上卻難以監管,黑客組織自然會捨難取易,選擇向這些服務供應商發動攻擊,從而入侵金融機構。最近 SolarWinds 火燒連環船事件就可看出,如果能成功入侵第三方服務供應商,成效有可能更大。 而今次新加坡金融管理局修訂的科技風險管理指引,明顯針對供應鏈攻擊而來,因為在新指引下,金融業必須嚴格監督第三方服務供應商,同時亦就任命第三方供應商及高級 IT 管理人員方面提供建議,例如必須嚴格監管對方員工是否有足夠的技能或證書,而在聘用 CIO 或 CISO 等職位時,亦要考慮對方是否持有相關的認證。在兩方面配合下,便能確保服務供應商有高規格安全標準之餘,金融機構內部亦有懂得如何監管服務供應商的能力。 此外,新加坡金管局亦規定金融業界必須確立網絡威脅情報分享平台,交換彼此收集到的網絡威脅資訊,以供業界定期進行內部滲透測試,堵塞可被入侵的漏洞。在這方面,雖然香港金管局推出的網絡安全防衛計劃…

    生產力局(HKPC)公布 2021 年資訊安全展望報告,預料在疫情影響下,針對新科技如 5G、物聯網(IoT)及人工智能會大幅度增加;而因應流動支付愈趨普及,加上虛擬銀行及虛擬金融業的發展,生產力局呼籲,業界應多留意資安資訊,加強保安,用戶也要注意密碼設定和保安措施。該局亦指出 ,供應鏈攻擊會升級,單在去年便增加了 430%,企業應多加留神。 在數碼轉型的新常態下,新技術如 5G、物聯網及人工智能的應用等,可能會導致更多系統或數據流量暴露在不可信的網絡中,以物聯網為例,因為密碼強度太低、通訊未有作加密等,存在保安漏洞,被入侵的風險相應會提高,生產力局建議,應深入了解這類新技術牽涉的保安議題,亦應定期進行網絡保安檢查,評估網絡和系統的保安,及持續監察接觸到互聯網的資訊科技配置。 促企業制定WFH保安指引 提升員工保安意識 生產力局數碼轉型部總經理兼 HKCERT 負責人陳仲文指,企業必須為新常態和新技術制定網絡保安策略,在管理計劃中應包括第三方風險、保護任何暴露於互聯網的系統、採用加強驗證並進行網絡保安檢查和監察;另外,企業需要提高員工的網絡保安意識,以應對攻擊。就供應鏈攻擊繞過企業的保安系統的情況,生產力局解釋,攻擊者會利用企業對合作夥伴的信任,來避開保安防禦,通常使用合法軟件發佈機制,將木馬化的軟件組件發布至 「下游」,令企業用家不慎中招。 Work From Home(WFH)工作安排亦為企業保安系統帶來衝擊,有黑客伺機入侵網絡會議,發放不雅內容,又會趁機攻擊缺乏保護的遙距工作端點,生產力局建議企業制訂新常態下的網絡保安策略,提供在家工作安排的保安指南,保護遙距存取設施和端點,並提高員工保安意識,提防釣魚電郵來襲;定期進行網絡保安檢查,評估網絡和系統的保安;持續監察接觸到互聯網的資訊科技配置。企業可以參考該局製作的在家工作的六大資訊保安建議(https://www.hkcert.org/tc/security-guideline/six-security-tips-for-home-office)及評估遠端存取服務保安指南(https://www.hkcert.org/tc/security-guideline/assessing-the-security-of-remote-access-services-guideline)。 使用虛擬銀行 宜設置單獨使用高強度密碼 而在疫情期間能有效減少人與人之間接觸的流動支付,也存在保安風險,陳仲文提到,有流動支付用家將付款…

    供應鏈(supply chain)攻擊,可以話係最易令人中招嘅攻擊手法,因為一般人對放喺官網嘅嘢都比較有信心,好少會懷疑提供下載嘅檔案會唔安全,當然如果所謂官網係細公司製作又或做得流流哋,咁又另當別論啦。今次出事嘅係加密貨幣門羅(Monero)幣,有用家話喺檢查由 GetMonero 下載落嚟嘅電子錢包時,發現同官網列出嘅雜湊值(hash)唔一致,懷疑電子錢包俾人做咗手腳。經調查後,發現呢個並唔係錯誤,而係針對 GetMonero 用家嘅惡意攻擊,目的係偷走佢哋嘅門羅幣。 事件發生後,GetMonero 即刻對自己網站上嘅各種版本電子錢包進行分析,發現 Linux 版本俾黑客加入咗幾項特別功能,其中一項係當用家開啟或創建一個電子錢包時,就會自動將用嚟進入錢包嘅 key,傳送去黑客嘅伺服器,黑客就可以用呢條 key 入受害者帳戶轉帳。GetMonero 證實喺 11 月 18 日凌晨兩點半至同日下午四點半期間,下載嘅電子錢包都可能存在問題,建議用家檢查清楚 hash 值,如發現唔同就要即刻刪除。…

    近年 IT 行業人材短缺,Cyber Security 網絡安全就更是重災區,人手極度不足;修讀相關課程的畢業生突然變得搶手,不少準畢業生表示將學歷放上 LinkedIn 等職場社交平台,很快就有人力資源顧問公司找上門。不過,所謂搶手實屬虛火,因為僱主最著重求職者的實際工作能力,要成功受聘,或加入心儀的大公司,還得先展示自己的實力。問題來了,對一個即將畢業的學生來說,如何憑空變出實力證明?參加黑客大賽,就是一個最佳捷徑。 貼地難題取材現實 一畢業就加入全球四大會計師事務所工作,相信是不少準大學畢業生的夢想。三位來自香港中文大學計算機科學與工程學系、信息工程學系和數學系的學生梁成悅(Jason)、湯湛飛(Chris)、陳兆俊 (Erwin),就於去年畢業後獲羅兵咸永道會計師事務所(PricewaterhouseCoopers, PwC)聘用,成為網絡安全部門的職員。能夠有這項令人葡萄不已的待遇,全因他們去年於「HackaDay 2018」黑客大賽勝出,展示了卓越的網絡安全工作能力。PwC 合伙人顏國定說公司在擬定賽事的題目時,內容非常貼地,都是客戶日常都會面對的網絡安全問題,所以能夠勝出賽事,代表優勝隊伍都非常熟悉相關問題,比起一般面試更能掌握求職者的實力,所以公司會向優勝隊伍提供實習或優先面試的機會。換言之拿著這張直通車票,如無意外都可成為 PwC 的一員,毋須再經人事部篩選,過五關斬六將。 Erwin(右二)、Jason(中)及Chris(左二)去完奪得 HackaDay 2018 賽事冠軍,當時也沒想到真的可以加入 PwC。…

    成日話要提升網絡安全,一定要將電腦設備嘅硬件軟件韌體全部保持喺最新版本,先可以堵塞保安漏洞,同時亦要認定係由原廠方提供嘅先好安裝。不過,Kaspersky 透過佢哋最新嘅偵測供應鏈攻擊(Supply Chain Attack)技術,發現100萬部 ASUS 電腦 就係因為咁而中招,俾黑客喺電腦上安裝咗木馬程式。 偷換 ASUS 自動更新檔 今次嘅保安事故係由網絡安全公司 Kaspersky 發現,透過佢哋最新嘅偵測供應鏈攻擊(Supply Chain Attack)技術,追蹤到有黑客喺 ASUS Live Update Utility 即時更新工具上造咗手腳,喺…