企业官网建设流程全解析

建设银行信用卡网站下载,网站建设完整版,wordpress 入门主题,wordpress减少数据库连接波兰计算机紧急响应小组CERT Polska披露#xff0c;协同网络攻击针对了30多个风电和光伏发电场、一家制造业私营公司#xff0c;以及一座为该国近50万客户供热的大型热电联产厂。攻击发生在2025年12月29日。该机构将这些攻击归因于一个名为Static Tundra的威胁集群#xff0…波兰计算机紧急响应小组CERT Polska披露协同网络攻击针对了30多个风电和光伏发电场、一家制造业私营公司以及一座为该国近50万客户供热的大型热电联产厂。攻击发生在2025年12月29日。该机构将这些攻击归因于一个名为Static Tundra的威胁集群该集群也被追踪为Berserk Bear、Blue Kraken、Crouching Yeti、Dragonfly、Energetic Bear、Ghost Blizzard前身为Bromine和Havex。据评估Static Tundra与俄罗斯联邦安全局第16中心部门有关联。值得注意的是ESET和Dragos最近的报告以中等置信度将这一活动归因于另一个名为Sandworm的俄罗斯国家支持的黑客组织。CERT Polska在周五发布的报告中表示所有攻击都具有纯粹的破坏性目标。尽管针对可再生能源发电场的攻击破坏了这些设施与配电系统运营商之间的通信但并未影响正在进行的电力生产。同样针对热电联产厂的攻击也未能实现攻击者预期的破坏终端用户热力供应的效果。据称攻击者获得了与可再生能源设施相关的电力变电站内部网络的访问权限以进行侦察和破坏活动包括损坏控制器固件、删除系统文件或启动被ESET代号为DynoWiper的定制擦除恶意软件。在针对热电联产厂的入侵中攻击者进行了可追溯到2025年3月的长期数据窃取使他们能够提升权限并在网络中横向移动。CERT Polska指出攻击者引爆擦除恶意软件的尝试并未成功。另一方面针对制造业公司的攻击被认为是机会主义的威胁行为者通过易受攻击的Fortinet边界设备获得初始访问权限。针对电网连接点的攻击也可能涉及对易受攻击的FortiGate设备的利用。迄今为止已发现至少四个不同版本的DynoWiper。这些变体被部署在能源设施使用的Mikronika HMI计算机上以及在通过FortiGate设备的SSL-VPN门户服务获得访问权限后的热电联产厂网络共享中。CERT Polska在详细描述针对热电联产厂的攻击者作案手法时表示攻击者使用在设备配置中静态定义且未启用双因素身份验证的多个账户获得基础设施访问权限。攻击者使用Tor节点以及波兰和国外IP地址进行连接这些地址通常与被入侵的基础设施相关联。擦除器的功能相当简单初始化涉及为名为Mersenne Twister的伪随机数生成器播种枚举文件并使用伪随机数生成器损坏它们删除文件。值得一提的是该恶意软件没有持久性机制、与命令控制服务器通信的方式或执行shell命令的能力也不会尝试向安全程序隐藏其活动。CERT Polska表示针对制造业公司的攻击涉及使用基于PowerShell的擦除器LazyWiper该脚本用伪随机32字节序列覆写系统文件使其无法恢复。怀疑核心擦除功能是使用大语言模型开发的。CERT Polska指出涉及可再生能源发电场的事件中使用的恶意软件直接在HMI机器上执行。相比之下在热电联产厂DynoWiper和制造业公司LazyWiper中恶意软件通过在域控制器上执行的PowerShell脚本在Active Directory域内分发。该机构还描述了DynoWiper与Sandworm构建的其他擦除器之间一些代码级相似性为一般性的并未提供关于威胁行为者是否参与攻击的任何具体证据。CERT Polska表示攻击者使用从本地环境获得的凭据尝试访问云服务。在识别出在M365服务中存在相应账户的凭据后攻击者从Exchange、Teams和SharePoint等服务下载了选定数据。攻击者对与OT网络现代化、SCADA系统以及组织内进行的技术工作相关的文件和电子邮件消息特别感兴趣。QAQ1什么是DynoWiper恶意软件它是如何工作的ADynoWiper是一种定制擦除恶意软件由ESET命名。其功能相对简单首先初始化伪随机数生成器Mersenne Twister然后枚举文件并使用该生成器损坏文件最后删除文件。该恶意软件没有持久性机制不与命令控制服务器通信也不会隐藏其活动。Q2这次网络攻击对电力供应造成了什么影响A尽管攻击破坏了可再生能源发电场与配电系统运营商之间的通信但并未影响正在进行的电力生产。针对热电联产厂的攻击也未能实现破坏终端用户热力供应的预期效果。所有攻击都具有纯粹的破坏性目标但实际破坏效果有限。Q3攻击者是通过什么方式获得系统访问权限的A攻击者主要通过易受攻击的Fortinet边界设备和FortiGate设备获得初始访问权限。他们使用了在设备配置中静态定义且未启用双因素身份验证的多个账户并通过Tor节点以及波兰和国外IP地址进行连接这些地址通常与被入侵的基础设施相关联。