俄乌冲突加剧 据乌克兰安全部门统计，俄罗斯平均每天发起 10 多次网络攻击，其中，乌克兰能源部门是优先目标。俄罗斯试图通过网络攻击来摧毁数字网络，进而破坏电力设施并导致断电事件。而且，在攻击设施时，他们通常会同时进行导弹袭击和网络攻击。 俄罗斯外交部尚未对乌克兰安全部门的主张做出回应，拒绝就此发表评论。俄罗斯政府人员表示，西方对莫斯科网络攻击的指控缺乏实质性证据。 欧洲能源行业陷入恐慌 德国公用事业公司的信息安全主管表示，去年乌克兰战争爆发后，他们发现网络破坏的风险有所增加。该公司正在扩大其网络安全人员的规模，以保护风能、太阳能发电系统的安全。与此同时，许多企业高管纷纷表示，俄罗斯对乌克兰的网络攻击的复杂性为他们敲响了警钟，让他们意识到数字化和互联电力系统对攻击者来说有多脆弱。从北溪天然气管道事件到卡霍夫卡大坝事件的发生看来，能源基础设施已成为重要的攻击目标。因此，他们将紧密监视这场混战，绝不敢掉以轻心。 引发恐慌的根本原因 欧洲电力网络的数字化程度不断提高，给黑客创造了更多的机会。欧洲电力公司以及独立技术安全专家强调，欧洲各地涌现的数千种可再生能源资产和能源网络的数字化和互联技术存在重大且日益严重的渗透漏洞。新能源的特点是分散的，这意味着存在许多小型单位，例如风能和太阳能发电厂，以及智能电表，它们以数字化方式相互连接。这种网络增加了风险，因为攻击的可能入口点明显增多，潜在影响也更大。 欧洲安全与安全研究所所长斯旺杰·韦斯特法尔表示，随着电网数字化程度的提高，很难找到足够的网络安全专家来应对不断增长的网络风险。与此同时，欧洲电网使用的操作系统已有40年的历史，这意味着如果出现问题，修补起来会很困难。而且，随着地缘政治不稳定的加剧，情况只会变得更糟。

近日，美国与太平洋地区的几个国家合作，对朝鲜实施了制裁，特别是针对该国的网络间谍组织Kimsuky。上周，朝鲜发射了一颗监视卫星。周四晚上，美国财政部外国资产控制办公室（OFAC）对八名朝鲜特工进行了制裁，指控他们协助规避制裁，并为朝鲜导弹采购工作创造收入。此外，美国还对Kimsuky实施了制裁，理由是该组织收集情报以支持朝鲜的战略目标。 美国财政部负责恐怖主义和金融情报的副部长布莱恩· 纳尔逊表示，美国、澳大利亚、日本和韩国今天的行动，反映了各国对于打击朝鲜非法破环行为的集体承诺。他还强调，朝鲜利用海外劳工、洗钱、网络间谍活动和非法资金持续威胁着国际安全和太平洋地区的盟友，美国将继续专注于打击朝鲜非法创收和武器扩散的关键行动。   据美国政府人员称，Kimsuky自2012年起在朝鲜侦察总局（RGB）内运作，该局是朝鲜的主要外国情报机构。美国指出，几位网络安全研究人员已将Kimsuky确定为APT43、Emerald Sleet、Velvet Chollima、TA406和Black Banshee。该组织使用“鱼叉式网络钓鱼攻击”针对世界各地的政府、研究中心、智库、学术机构和新闻媒体机构，特别是欧洲、日本、俄罗斯、韩国和美国。   近年来，Kimsuky被发现参与了多次针对新闻媒体、亚洲区域专家和学术界的活动。其中包括黑客入侵韩国原子能研究所的事件。 今年6月，美国和韩国的情报机构发出警报，描述了Kimsuky的间谍手段。警报指出，该组织使用假冒身份的策略，伪装成可信的消息来源，以获取目标的信任，并收集有关地缘政治事件、外交政策战略以及针对"威胁政权"国家的外交努力的情报。 2021年，韩国政府人员称该组织的黑客入侵了韩国原子能研究所（KAERI）的内部网络，该研究所是从事核电和核燃料技术研究的政府机构。 2020年10月，美国网络安全和基础设施安全部门（CISA）发布警报，称Kimsuky可能受朝鲜政权委托执行全球情报收集任务。在某些情况下，黑客假冒韩国记者与目标进行接触。 网络安全专家表示，朝鲜长期以来一直采用网络间谍策略来收集情报、破坏关键基础设施，并推进其地缘政治目标。尽管近期的制裁和全球对这些网络威胁的认识提高了，但朝鲜仍然是一个巨大的威胁。

近日，乌克兰国防情报局声称，他们成功进行了网络攻击，入侵了俄罗斯政府的民航局，并获得大量机密文件，其中包括民航局长达一年半的每日报告清单。  这是乌克兰政府首次承认对俄罗斯进行网络攻击。自2022年初俄罗斯入侵以来，亲乌克兰团体和黑客组织曾声明过发起了类似不法攻击事件，包括对航空公司、银行和互联网供应商的袭击等。但国家公开承认黑客攻击还史无前例，针对此次事件，乌克兰政府将其描述为“网络空间的复杂特别行动”。 乌克兰政府称，俄罗斯的民航部门正处于崩溃的边缘。乌克兰政府还公布了几份据称泄露的文件的截图，并列出了从中了解到的一些事实。 据称，2023年1月，俄罗斯民航报告了大约185起事件，其中三分之一被宣布为危险事件。在2023年前9个月，记录了150起飞机故障案例，而2022年同期为50起。乌克兰政府声称，这表明俄罗斯航空最近记录的安全隐患强度增加了两倍。 这还不是全部。俄罗斯在飞机维护方面也遇到了问题，由于乌克兰方的制裁，备件很难外包。现在，该国正在将飞机维修转移到伊朗，但在那里进行此类工作没有相关认证，存在更高的风险和安全隐患。飞机零件的短缺在俄罗斯造成了“飞机自相残杀”，这意味着它正在拆解飞机以修理其他飞机。 目前尚不清楚黑客攻击是何时进行的。俄罗斯的民航局尚未对这些指控做出回应。值得注意的是，这是乌克兰首次承认对俄罗斯目标进行网络行动。国家自豪地宣传他们对对手的网络攻击是很反常的，但就乌克兰而言，这似乎可以理解。因为这一违规操作对俄罗斯航空业造成了重大打击，并引发了对其民用空域安全的担忧。被盗文件可能暴露该国航空交通管制系统的漏洞，并为乌克兰提供有价值的信息。此次黑客攻击的时机至关重要，因为它发生在俄罗斯和乌克兰之间的紧张局势达到顶峰的时候。

近日，美国宾夕法尼亚州的一家自来水公司的工业控制系统受到了网络攻击，不过政府官员表示，饮用水并未受到影响。据悉，此次网络攻击只实际控制了一个增压站，相关设备已立即下线，工作人员被迫使用备用工具来维持水压。 此次攻击背后的黑客组织自称为“网络复仇者”，是亲伊朗的黑客组织。他们声称将继续对与以色列有产品或联系的实体进行进一步攻击。 黑客控制的是以色列公司Unitronics制造的工业控制系统（ICS），这是一个集成了人机界面（HMI）的可编程逻辑控制器（PLC）。人机界面通常无需身份验证即可访问，因此成为了潜在的易受攻击目标，即使技术水平较低的黑客也容易对其实施攻击。 值得注意的是，自7月以来，这个反以色列的黑客组织已经破坏了10多个以色列的水处理站的系统。虽然黑客可能夸大了他们的攻击影响，甚至发布虚假数据以引起更多关注，但这类事件涉及的安全问题仍需密切关注，并采取必要的预防措施来保护工业控制系统免受未经授权的访问和潜在的破坏。   国会议员克里斯·德鲁齐奥表示，他正在密切关注这次袭击。他在一份声明中说：“联邦官员正在协助调查，我随时准备与联邦机构合作。对我们的关键基础设施（供水系统）的攻击是不可接受的！我将全面推进调查并追究袭击者的责任，并继续在众议院军事网络、信息技术和创新（CITI）小组委员会开展重要的两党工作，以加强美国的防御。” 这次袭击发生在共和党立法者和水行业公司迫使美国环境保护署（EPA）放弃将网络安全纳入评估美国各地水系统的年度国家主导的卫生调查计划之后一个月。 针对这些规定的诉讼得到了两个强大行业组织 AWWA和NRWA的支持 ，他们认为EPA应该允许公用事业公司自行制定网络安全要求。

安恒信息中央研究院安全数据部基于部门数据能力，与安恒信息各大实验室联合，每月推出《安恒信息网络安全月报》，希望能帮助大家及时了解每月网络安全相关信息，为网络安全规划与建设提供决策依据。每月梳理的主要信息如下：（1）当月国内外重大安全事件；（2）当月APT情报：APT的攻击地域，高活跃的APT组织画像；（3）当月勒索情报：勒索软件影响的行业以及勒索组织画像；（4）当月挖矿情报：挖矿影响的行业以及活跃矿池Top20；（5）当月暗链情报：植入暗链的地区排行、暗链分布占比图；（6）当月漏洞情报：漏洞态势、高关注漏洞及该漏洞全球资产分布；（7）当月黑灰产情报：每月新增黑灰产数量等。本文为报告部分精彩内容，扫描文末二维码即可下载。更多精彩请查看完整版，感谢您的支持！完整版可以咨询您所在地区安恒销售，或致电：400 6059 110 转 4

Prestige是一种新的勒索软件，正被用于针对乌克兰和波兰的运输和物流组织的攻击活动。Prestige恶意软件于10月11日首次在野使用，与HermeticWiper恶意软件的攻击目标有重叠。HermeticWiper是一种擦除器恶意软件，此前曾在针对乌克兰组织的攻击活动中被部署。与Prestige有关的攻击在过去两周影响了乌克兰的多个关键基础设施组织。微软尚未将此勒索软件活动与已知威胁组织联系起来，目前正在将此活动作为 DEV-0960 进行追踪。