国际资讯

2018年医疗机构面临的五大安全威胁

近两年来，医院、医疗保险机构先后被曝发生重大数据泄露事件，消费者越来越担心自己的受保护健康信息(PHI)会不会落入坏人之手。最近，RSA对7500名欧美消费者进行了调查，其《数据隐私报告》显示，59%的受访者忧虑自身医疗数据被黑;39%担心黑客会篡改自己的医疗信息。

1. 勒索软件

如果医疗机构不能从勒索软件攻击中快速恢复，其后果可能是灾难性的。这一点已经在今年1月电子病历(EHR)公司Allscripts系统宕机事件中得到了充分体现。该攻击感染了2个数据中心，让很多应用掉线，影响了数千家Allscripts公司的医疗服务提供商客户。

2.患者数据被盗

黑客可利用医保卡和其他医疗数据获取驾照之类政府证明文件，而后者在暗网上的售价大约为170美元。从死亡人口的全套PHI和其他身份数据创建的完整可用身份，则可卖到1000美元高价。相比之下，暗网上信用卡号才卖几美分，白菜价都比这贵。

医疗记录远比信用卡数据卖得贵，是因为可以从医疗记录中一次性获取很多信息，包括金融信息和关键背景资料，基本上包含了身份盗窃所需的一切信息。

3.内部人威胁

医疗行业内部人盗取患者数据牟利的一个典型例子就是 Memorial Healthcare Systems。该公司去年因2名员工盗取了11.5万名患者的PHI而支付了550万美元的HIPPA违规和解金。这次数据泄露让 Memorial Healthcare Systems 彻底改变了其隐私与安全态势，以防止未来的内部人威胁和其他威胁。

4. 网络钓鱼

网络钓鱼是攻击者侵入目标系统的主流方法。利用网络钓鱼，攻击者可以在目标系统上安装勒索软件、加密货币挖矿脚本、间谍软件或数据盗取代码。

5. 加密劫持

当前，所有行业几乎都面临计算机系统被悄悄劫持来做加密货币挖矿的问题。医疗行业的系统必须随时处于运行状态，因而成为了相当诱人的加密劫持目标。系统持续运行时间越长，网络罪犯就能挖到更多加密货币。而在医院里，即便怀疑系统已被劫持来挖矿，也不能马上断电。网络罪犯就是看中这一点，才特别喜欢针对医院的系统下手。

参考链接：http://netsecurity.51cto.com/art/201803/568311.htm

Chrome扩展程序可防止基于JavaScript的CPU侧通道攻击

一个学术团队创建了一个Chrome扩展，可以阻止使用JavaScript代码从计算机的RAM或CPU泄漏数据的旁路攻击。

该扩展程序的名称是Chrome Zero，目前仅在GitHub上提供，不能通过官方的Chrome网上应用店。研究人员创建了扩展来重写和保护恶意JavaScript代码经常使用的旨在泄露CPU或内存数据的JavaScript函数，属性和对象。专家表示，目前有11种最先进的旁路攻击可以通过在浏览器中运行的JavaScript代码执行。

每次攻击都需要访问各种本地细节，在安装实际的边信道攻击之前，它使用JavaScript代码泄漏，恢复和收集所需信息。

在研究了这十一次攻击后，研究人员表示，他们已经确定了JavaScript侧通道攻击尝试利用的五大类数据/特征：JS可恢复的内存地址，准确的时间（时间差异）信息，浏览器的多线程（ Web工作者）支持，JS代码线程之间共享的数据以及来自设备传感器的数据。Chrome Zero扩展通过拦截Chrome浏览器应执行的JavaScript代码以及重写封装器中的某些JavaScript函数，属性和对象来消除其负面影响，这是Side-Channel攻击会试图利用的负面影响。

参考链接：https://www.bleepingcomputer.com/news/security/chrome-extension-protects-against-javascript-based-cpu-side-channel-attacks/

向警方举报切尔西·曼宁的著名黑客阿德里安·拉莫去世，年仅 37 岁

据外媒 Cnet 报道，著名黑客阿德里安·拉莫（Adrian Lamo）被证实已经死亡，年仅 37 岁。这名黑客曾因入侵微软等公司而出名，后来在收到切尔西·曼宁的文件后向美国联邦调查局举报其行踪。目前尚不清楚拉莫的死亡原因。

阿德里安·拉莫曾被称为“无家可归的黑客”。 2003 年他曾成为联邦调查局追捕的对象。他在使用公共互联网破解各大公司网站后被通缉，包括未经授权访问《纽约时报》，微软和 LexisNexis。在拉莫自首之后，其被判处六个月的家庭禁闭和 2 年的缓刑，以及六万美元的罚款。

拉莫在 2010 年向美国政府举报曼宁后，收到了各种在线死亡威胁。曼宁因拉莫的举报被逮捕，并被判处 35 年有期徒刑。2016 年美国前总统奥巴马在离任前夕作出对曼宁减刑的决定，曼宁于去年获释。

参考链接：http://hackernews.cc/archives/21635

黑客事件

基于插件的远控木马！Qrypter席卷全球两百余家机构

Qrypter 已经存在多年，常被误认为 Adwind 跨平台后门的恶意软件，但实际上则是是一款基于Java 的 RAT，其幕后黑手为名叫“QUA R&D”的地下组织，该组织专门提供恶意软件即服务类平台。

Forcepoint 公司表示，Qrypter采用基于 TOR  的命令与控制（简称C&C）服务器，2016年6月被首次发现，在此之后曾被用于针对申请美国签证的瑞士民众实施攻击。该恶意软件通常通过恶意广告邮件进行交付，且每一波邮件传播一般只发送数百条消息，而且 Qrypter 的影响一直在不断扩大。

在受害者系统上运行时，Qrypter 会在 %Temp% 文件夹当中投放并运行两个 VBS 文件，且二者使用随机文件名。这两套脚本负责收集安装在目标计算机上的防火墙与反病毒产品信息。

Qrypter 是一套基于插件的后门，能够为攻击者提供广泛的功能，具体包括远程桌面连接、摄像头访问、文件系统操作、附加文件安装以及任务管理控制等等。

参考链接：https://www.easyaq.com/news/1008225095.shtml

Contec智能家居4.15 - 未经授权的密码重置

该漏洞允许未经身份验证的攻击者远程绕过身份验证并更改管理员密码，而无需旧密码和控制权（灯，门，空调......）

参考链接：https://www.exploit-db.com/exploits/44295/

在阿姆斯特丹黑客大会上提供后门允许远程控制汽车

阿姆斯特丹- 2018年3月16：一个智能连接车并不比一个车轮上的计算机更与系统是控制的一个或多个领域的汽车称为电子控制单元（ECU）。ECU 通过称为控制器区域网络或CAN 的系统进行实时通信。在下个月在阿姆斯特丹举行的Hack In The Box 会议上，ElevenPaths Claudio Caracciolo和Sheila Ayelan Berta将展示他们的硬件设备 'The Bicho'的一项新功能，它利用 CAN总线允许远程接管目标车辆。演讲者称他们的设备是一个非常聪明的后门，因为它可以用来远程攻击任何支持CAN的车辆，而不受制造商或型号的限制。他们的设备支持多个攻击的有效载荷，并具有一个直观的图形界面为有效载荷定制。在他们的演讲中，克劳迪奥和希拉将介绍这一新功能，使他们能够远程控制汽车停止工作。“ 在外出时使用后门和远程控制Bicho汽车”。

参考链接：https://www.peerlyst.com/posts/backdoor-allowing-remote-control-of-cars-to-be-presented-at-amsterdam-hacker-conference-media-hitb

（来源：云天安全搜集整理互联网安全资讯）