0512-日本政府积极采取措施强化网络安全防护建设-TSA表示无人机计划不会收集太多公众信息-医院技术巨头遭到网络攻击后信息泄露

日本政府积极采取措施强化网络安全防护建设;

标签：日本，网络安全防护建设

2022年12月，日本政府修订新版《国家安全保障战略》等“安保3文件”，明确强化网络防御方针，研究引入“主动网络防御”及实现其实施所需的措施，强调自卫队要支援强化日本全国网络安全能力。为此，要设置统一综合协调网络安全保障政策的新组织，完善立法，强化运用等。

在“安保3文件”方针指导下，2023年以来日本政府动作频频，采取设立“内阁官方网络安全体制整备准备室”、改编并充实网络战人才培养体制、扩充自卫队网络战人员、推动引入“主动网络防御”、不断推进深化与北约的网络合作、公布典型网络攻击案例呼吁强化网络防护等措施，以加速落实强化网络安全防护战略。

信源： 战略前沿技术

TSA表示其无人机计划不会收集太多公众信息;

标签：TSA，无人机计划

根据国土安全部发布的一份新隐私文件，运输安全管理局的新无人机安全计划可能会意外收集私人照片，但不会对隐私产生重大影响。该机构将根据需要使用无人驾驶航空系统（或UAS）在机场和其他场所进行安全评估。但该计划将侧重于评估特定地点的安全态势，而不是收集个人的实时数据。“在其计划中，TSA在机场和其他交通中心进行漏洞评估，并计划运行无人驾驶飞机系统以改进这些评估，”根据4月份创建并于本周发布的隐私影响评估文件。“TSA还可以在特殊活动中使用无人机进行执法行动，并协助应对铁路事故、管道泄漏或飞机坠落等交通事故。”安全评估将包括蓝队和红队——经典防御评估和模拟攻击。TSA运营商不希望在这些评估期间收集有关公众的任何敏感信息。该文件提供了一个假设：如果在评估期间，操作员观察到有人积极试图闯入安全区域，他们将用照片或视频记录这一事件。即便如此，“这张航拍图像可能需要与调查期间收集的其他信息相结合，包括可能对嫌疑人的拦截和逮捕，以确认个人身份，”该文件称。TSA更有可能在国家特殊安全活动期间（如超级碗）收集有关公众的数据，当时该机构可能被要求帮助其他国土安全部办公室确保场地安全，或者在发生交通事故（如火车出轨）后进行评估时。

信源：

https://www.nextgov.com/analytics-data/2023/05/tsa-says-its-drone-program-wont-collect-much-info-public/386122/

窃取机密近 20 年，FBI 破解俄罗斯恶意软件 Snake;

标签：美国，FBI，DDoS，Snake

美国司法部当地时间5月9日宣布，由FBI进行的美杜莎联合行动已经成功阻止了来自俄罗斯联邦安全局 (FSB) 的恶意软件Snake，该软件被指窃取北大西洋公约组织 (NATO) 成员国政府的机密文件长达近20年之久。

Snake是由受俄罗斯政府支持的黑客组织Turla（又名 Iron Hunter、Secret Blizzard、SUMMIT、Uroburos、Venomous Bear 和 Waterbug）研发。根据美国网络安全和基础设施安全局 (CISA) 发布的一份咨询报告，Snake 被设计为一种秘密工具，用于对高优先级目标进行长期情报收集，并针对目标创建点对点 (P2P) 全球受感染系统网络，P2P 网络中的多个系统充当中继节点，将伪装的操作流量与Snake恶意软件相连接，从而使活动难以检测。

因此，美国司法部表示，在窃取数据后，Snake能够通过遍布美国及其他地区的受感染机器网络泄露敏感数据，以加大检测难度。

在此次针对Snake的行动中，FBII开发了一种名为 Perseus 的工具，能够让Snake覆盖其自身重要组件，在不影响主机或计算机上的合法应用程序的情况下自行禁用。

但禁用 Snake 的没有修补任何漏洞，也没有搜索或删除黑客组织可能放置在系统上的其他恶意软件或工具，司法部建议采取更多额外措施来保护系统安全。

老牌黑客组织Turla

作为强大的跨平台黑客组织，Turla的一系列策略和工具几乎能够覆盖Windows、macOS、Linux 和 Android四大主流系统，这与其自身存在的时间之长、技术沉淀之多不无关系。

谷歌云 Mandiant 情报分析主管 John Hultquist 表示，Turla是他们所追踪的存在时间最长的黑客组织之一，最早可以追溯到上世纪90年代针对美国及政府机构的攻击，卡巴斯基也曾在2017年发现Turla悄然回收了在90 年代针对美国的网络攻击中使用的代码。今年， Mandiant也观察到 Turla 使用已有 10 年历史的恶意软件 Andromeda 对乌克兰进行监视。

信源：https://thehackernews.com/2023/05/us-government-neutralizes-russias-most.html

医院技术巨头遭到网络攻击后，超过100万人的SSN泄露;

标签：医院，网络攻击

医院技术巨头NextGen Healthcare表示，黑客在3月份的一次网络攻击中获取了超过100万人的个人信息。这家价值数十亿美元的医疗保健公司为美国、英国、印度和加拿大的数百家最大的医院和诊所生产电子健康记录(EHR)软件和实践管理系统。该公司最近几天开始通知患者，从2023年3 月29日到2023年4月14日，他们网络中的黑客访问了1,049,375人的姓名、出生日期、地址和社会安全号码。该公司没有回应关于数据泄露是否与BlackCat/AlphV勒索软件团伙在1月份进行的勒索软件攻击有关的评论请求。在发给受害者并与缅因州、德克萨斯州、加利福尼亚州和蒙大拿州的州监管机构共享的信件中，该公司解释说，它代表使用其EHR和实践管理产品的医生和医疗专业人员维护个人信息。该公司告诉那些受影响的人，“没有证据表明任何访问或影响您的任何健康或医疗记录或任何健康或医疗数据。”在1月份发生勒索软件攻击后，公司发言人告诉Recorded Future News，他们能够遏制威胁，并且没有发现黑客能够窃取客户数据的证据。前奥巴马政府网络安全官员汤姆凯勒曼表示，医疗保健提供者继续成为专门从事身份盗窃的网络犯罪分子的目标，因为许多人“网络安全严重不足”，而且他们通常存储最敏感的个人信息。

信源：https://therecord.media/hackers-accessed-data-on-more-than-one-million-people-after-healthcare-tech-breach

印度SideWinder在多阶段多态攻击中袭击巴基斯坦和土耳其目标;

标签：印度，SideWinder

印度多产的SideWinder高级持续威胁组织(APT)以巴基斯坦政府官员和在土耳其的个人为目标，使用多态性技术，使其能够绕过传统的基于签名的防病毒(AV)检测，以提供下一阶段的有效载荷。BlackBerry威胁研究和情报团队的研究人员在5月8日的一篇博客文章中透露，这些攻击使用的文档内容符合他们的兴趣，打开这些文档后会利用远程模板注入漏洞来传递恶意负载。研究人员表示，该活动的第一阶段（于11月发现）使用针对巴基斯坦目标的服务器端多态攻击，而今年早些时候发现的后期阶段使用网络钓鱼策略向受害者发送恶意引诱文件。然而，研究人员表示，APT并没有在文档中使用恶意宏来投放恶意软件——当文档被用作诱饵时通常就是这种情况——而是利用CVE- 2017-0199漏洞来传递有效负载。自2012年以来活跃的SideWinder于2018年第一季度被卡巴斯基检测到，并被认为主要针对巴基斯坦的军事基础设施。然而，正如最近的研究和最近的袭击所表明的那样，该组织的目标范围——普遍认为与印度的间谍活动有关——似乎远不止于此。服务器端多态性是自1990年代以来攻击者用来逃避 AV工具检测的一种技术。研究人员解释说，它通过使用恶意代码通过加密和混淆来改变其外观，确保没有两个样本看起来相同，因此不容易被分析。BlackBerry网络威胁情报高级主管Dmitry Bestuzhev告诉Dark Reading，这种攻击可以愚弄防御者，因为每次单击链接时它都会为受害者提供新样本。Bestuzhev说，虽然总体上难以防御多态攻击，但可以有效地使用基于行为和哈希的检测和预防策略来对付它们。

信源：https://www.darkreading.com/attacks-breaches/sidewinder-strikes-victims-pakistan-turkey-multiphase-polymorphic-attack