网络盾牌 | 1226-北约合作网络防御卓越中心举行年度十字剑网络演习-美国土安全部研究商用网络攻击自动化检测系统

北约合作网络防御卓越中心举行年度“十字剑”网络演习；

标签：北约，网络防御，网络演习

北约合作网络防御卓越中心（CCDCOE）12月5日举行十一届年度红队技术网络演习“十字剑”，试验在现代战场上整合进攻性网络空间作战。

北约“十字剑”演习旨在在网络红队、渗透测试、数字取证和态势感知领域提供独特的全方位培训课程，并为在“锁定盾牌”网络防御演习中扮演对手的“红队”成员提供了训练机会。自2018年以来，“十字剑”演习的范围和复杂性均大为扩大，涵盖了多个地理区域，涉及关键信息基础设施提供商以及军事单位的“网络-动能”交战。

此次年度演习在爱沙尼亚演习和训练中心CR14举行，由CCDCOE与法国网络司令部、爱沙尼亚国防军、CR14以及相关私营公司联合组织，汇集了来自24个北约和非北约国家约120名参演人员。演习使用了现实的技术和攻击方法，并在虚构场景的背景下进行演练。演习场景基于当前威胁国家安全的现实事件，侧重于在不断升级的冲突环境中的合作与同步，从而为作战要素的进一步整合做准备。

北约合作网络防御卓越中心（CCDCOE）12月5日在塔林开展第11届“十字剑”红队技术演习，试验在现代战场上整合进攻性网络空间作战。

“十字剑”是一项培训渗透测试人员、数字取证专家和态势感知专家的年度红队技术网络演习。多年以来，“十字剑”已经从一个相对简单的技术培训讲习班发展成为一项演习，其中还包括针对指挥要素、法律方面和联合“网络-动能”作战的领导力培训。该演习还为在“锁定盾牌”网络防御演习中扮演对手的“红队”成员提供了训练机会。

自2018年以来，“十字剑”演习的范围和复杂性都大大扩大，涵盖了多个地理区域，涉及关键信息基础设施提供商以及军事单位的“网络-动能”交战。

信源：奇安网情局

美国土安全部研究商用“网络攻击自动化检测系统”；

标签：美国，国土安全部，网络攻击，自动化检测系统

2023财年美国国土安全部（DHS）科学技术局小型企业创新研究（SBIR）计划现已正式公布。国土安全部在计划中向小型企业开放申请，希望解决七项“技术需求”，其中有一项为“为网络及边缘电子设备上的网络攻击，开发准确的硬件辅助型实时检测器。”

这项创新研究征集计划于12月15日发布，其中提到，“现代生活中的联网设备和系统越来越易受到攻击影响”，但现有网络保护机制“在检测效率和可扩展性方面均存在局限”。考虑到数字化威胁的广泛影响，以及当前可行保护技术的匮乏，本次征集希望寻求相关建议，用以分析“硬件生成的数据，并实现对网络威胁的实时、精确检测（>95%）和主动防护”。

根据征集计划，这项工作的目标是建立一个“设备嵌入式解决方案”，提供“无需人为干预的自动保护”机制，借此从网络防御体系中去除一个关键变量。征集还希望这种增强型自动解决方案能够“在提供多层及分布式防御能力的同时，将性能开销降至最低。”

SBIR计划设置了三阶段奖励制度，为员工少于500人的美国中小企业带来为国安领域开发创新技术的机会。据国土安全部介绍，SBIR计划每年开放一次意见征集，涵盖一系列“满足特定国土安全技术研发需求”的主题。

在第一阶段，应征企业需要在提交的网安相关研究提案中“确定利用硬件辅助模式准确、实时且自动探测网络威胁的技术可行性”。具体包括确定“用于提取各类网络威胁特征的机器学习算法的主要设计挑战和初步评估”。此外还须开发一套概念模型，研究“用于异常检测的机器学习方案的硬件特征与新兴实现方法。”

在第二阶段，应征企业将“展示用于实时自动检测网络威胁的原型”，包括其中的“硬件辅助型威胁感知与人工智能算法，展示对被入侵设备进行网络威胁检测的高置信度。”

国土安全部表示，计划的第三阶段为商业化论证，将着眼于“受保护电子设备的多功能性、在先进与遗留系统上的易用性、检测的高置信度及设备的性能/成本开销等指标”，借此确定硬件辅助型网络威胁检测技术是否成功。

除网络安全主题之外，SBIR项目征集的其他6个主题还包括：先进航空货物检查软件、应急人员数字软件认证、基于机器学习的机场安检用警报传感器、关键任务服务器到服务器间通信服务的互操作性、关键基础设施系统的排序建模，以及能够对历史未分类有毒化合物进行“理论光谱特征”分析等提案。

国土安全部SBIR总监Dusty Lang在一份声明中提到，“小型企业与国土安全部开展合作的最佳方式之一，就是通过SBIR计划获取专项资金，借此参与联邦政府的技术研发。年度征集计划的发布对我们项目来说是个激动人心的时刻，我们将与小型企业建立新的合作关系，共同支持对创新的追求。”

国土安全部表示，全部七大主题提案的接收截止日期为2023年1月17日下午1点。

信源：nextgov.com

俄罗斯黑客劫持美国机场出租车调度系统搞黑产；

标签：俄罗斯，美国，黑产

因涉嫌与俄罗斯黑客合谋入侵美国大型机场约翰·肯尼迪国际机场 (JFK)的出租车调度系统，两名美国公民被捕。他们涉嫌使用非法手段将特定出租车移至队列最前，以换取10美元非法收益。

出租车调度系统是一套计算机控制系统，负责统筹机场等候区的出租车资源，引导其在适当的航站楼接单载客。

通常，出租车需要在停车场等上几个小时才会收到调度系统的派单。这套系统的存在，是为了在机场这一需求量巨大的区域内为出租车司机们维持公平的运营环境。

根据美国司法部日前公布的未密封起诉书，Daniel Abayev和Peter Leyman两名男子在俄罗斯黑客的协助下，于2019年9月至2021年9月期间入侵了肯尼迪机场的出租车调度系统。

自2019年开始，Abayev和Leyman研究并尝试了各种对调度系统的访问机制，包括贿赂工作人员将包含恶意软件的U盘接入调度系统计算机，通过Wi-Fi连接获取对调度系统的未授权访问，以及窃取已接入调度系统的平板电脑。

参与此次计划的各位成员还相互发送消息，明确讨论了其入侵调度系统的意图。例如，2019年11月10日左右，Abayev用俄语向一名俄罗斯黑客发送消息称，“我知道五角大楼正在被黑客入侵。既然如此，难道我们就入侵不了出租车系统吗？”

司法部提到，黑客们利用未经授权的访问权限创建了一项付费服务，能够将停留在肯尼迪机场的特定出租车添加至队列最前端、迅速为其派单。

参与该计划的出租车司机必须以现金或者移动支付方式，向黑客们支付10美元。愿意向同行们推销这项服务的司机则能获得优惠，可以免费享受“插队”待遇。

出租车司机和黑客之间是通过聊天应用的私人群组进行交流的。Abayev和Leyman会在聊天中发布“开门营业”和“关门打烊”的公告。

起诉书中提到，“为了完成插队，出租车司机会将自己的车牌号码发送到群聊当中，而后由黑客成员发送操纵指令，告知司机应前往哪座航站楼、跳过正常排队直接接单。”

执法部门看到的电子表格文件表明，黑客们每周以非法方式帮助出租车司机拿下约2500份派单。2019年12月9日成为创纪录的一天，黑客们单日完成插队高达600次。

起诉书还指出，Abayev和Leyman共向俄罗斯黑客转移了至少10万美元，转账理由包括“支付软件开发费用”。

两人面临两项指控，罪名为串谋实施计算机入侵，最高可判处10年监禁。

如果被证明有罪，两人与所犯罪行直接或间接相关的所有财产也将被没收。

信源：bleepingcomputer.com

IAM巨头Okta源代码泄露；

标签：IAM，Okta，源代码

著名身份验证和IAM解决方案提供商Okta本周三披露其私有GitHub存储库本月遭到黑客攻击，源代码遭泄露。

源代码被盗，客户数据不受影响

据BleepingComputer报道，Okta在周三晚间已通过电子邮件给客户发送安全警报，已确认多个来源（包括IT管理员）已收到此电子邮件通知。

本月早些时候，GitHub曾提醒Okta其代码存储库遭可疑访问。

“经调查，我们得出结论，这种非法访问被用来复制Okta代码存储库。”该公司首席安全官（CSO）David Bradbury在电子邮件中写道。

Okta表示，尽管黑客窃取了Okta的源代码，但并未访问Okta服务或客户数据。Okta的“HIPAA，FedRAMP或DoD（国防部）客户”不受影响，因为Okta保护服务的手段“不依赖其源代码的机密性”。因此，无需其客户执行任何操作。

根据Okta的电子邮件通知内容，该数据泄露事件似乎与Okta Workforce Identity Cloud（WIC）代码存储库相关，但与Auth0客户身份云产品无关。

邮件通知的其余部分内容摘录如下：

在获悉可能存在可疑访问后，我们立即对访问Okta GitHub存储库设置了临时限制，并暂停了所有GitHub与第三方应用程序的集成。

此后，我们审查了最近对GitHub托管的Okta软件存储库的所有访问，以了解暴露的范围，审查了最近对GitHub托管的Okta软件存储库的所有提交，以验证我们代码的完整性，并轮换了GitHub凭据。我们还通知了执法部门。

此外，我们已采取措施确保此代码不能用于访问公司或客户环境。Okta预计不会因此事件而对我们的业务或我们为客户提供服务的能力造成任何中断。

注意：安全事件与Okta劳动力身份云（WIC）代码存储库有关。它与任何Auth0（客户身份云）产品无关。

在该“机密”电子邮件的结尾，Okta表示本周四将在其博客上发表声明。

信源：GoUpSec

俄罗斯黑客组织Killnet声称：已窃取FBI上万特工的个人数据；

标签：俄罗斯，Killnet，FBI

据Hackread网站12月21日报道，在Telegram上，知名的俄罗斯Killnet黑客泄露了一个文本文件，其中显示了他们声称是FBI特工的10,000人的登录凭据。该黑客组织还声称已经破坏了美国联邦汽车运输安全管理局(FMCSA)的安全措施。

俄罗斯黑客组织KillNet声称侵入了美国联邦调查局的数据库，据称窃取了超过10,000名美国联邦特工的个人信息。与他们的大多数攻击一样，这次所谓的攻击似乎也具有激励亲克里姆林宫组织的政治色彩。

值得一提的是，就在上周，美国联邦调查局的安全平台InfraGard遭遇数据泄露，其8.7万名成员的个人数据被盗并在线泄露。

尽管Killnet的攻击仍未得到证实，但KillNet黑客声称被盗数据包括社交媒体口令和银行详细信息。该组织在Telegram上发布了屏幕截图，其中显示了在线商店、医疗ID卡以及Google、Apple和Instagram帐户的口令。

“从网上商店到大众接受卡、谷歌和苹果账户的所有口令都由我们支配，”俄罗斯电报频道上的一份归因于黑客的声明中写道。

正如Hackread.com所见，另一段屏幕录像显示黑客使用了据称属于联邦汽车运输安全管理局(FMCSA)一名雇员的Facebook帐户。他们通过在该人的个人资料页面上发布“We are KillNet”来表明对帐户的控制。

信源：https://www.hackread.com/russian-killnet-hackers-fbi-agents/