2023年第28周安全周报 | 本周安全要闻速

全国信息安全标准化技术委员会归口的《信息安全技术 安全运维系统技术规范》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站，截止时间为于2023年9月11日24:00前。

近日，国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》（以下称《办法》），自2023年8月15日起施行。国家互联网信息办公室有关负责人表示，出台《办法》，旨在促进生成式人工智能健康发展和规范应用，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。《办法》提出国家坚持发展和安全并重、促进创新和依法治理相结合的原则，采取有效措施鼓励生成式人工智能创新发展，对生成式人工智能服务实行包容审慎和分类分级监管，明确了提供和使用生成式人工智能服务总体要求。提出了促进生成式人工智能技术发展的具体措施，明确了训练数据处理活动和数据标注等要求。规定了生成式人工智能服务规范，明确生成式人工智能服务提供者应当采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务，按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识，发现违法内容应当及时采取处置措施等。此外，还规定了安全评估、算法备案、投诉举报等制度，明确了法律责任。

国加州特雷西市居民Rambler Gallo被指控，对该市愉景湾镇（Discovery Bay）水处理设施发动网络入侵，并蓄意破坏一台计算机。该设施负责全镇1.5万居民的饮用水处理和废水处理。根据美国司法部发布的新闻稿，Rambler Gallo故意卸载了水处理厂的主要运行和监控系统，随后关闭了运行这些系统的服务器。司法部表示：“起诉书称，Rambler Gallo在A公司就职期间，向个人电脑和A公司私有内部网络安装软件，得以远程访问愉景湾镇水处理设施的计算机网络。2021年1月，Rambler Gallo从A公司辞职，据称他远程访问了该设施的计算机系统，并发送命令卸载该设施计算机网络的核心软件。该软件保护整个水处理系统各项指标，包括水压、过滤和化学物质水平。”美国司法部指控Rambler Gallo违反了《美国法典》第18篇1030(a)(5)(A)和(c)(4)(B)(i)款，指控他通过传输程序、信息、代码和命令，对受保护计算机造成损害。该男子面临最高10年的监禁和25万美元罚款。视具体情况，法院还将判处额外的有监督释放期限、额外的评估和赔偿。

研究人员Viktor Markopoulos发现孟加拉国政府的一个网站正在泄露数百万孟加拉国公民的个人信息。据TechCrunch报道，泄露的数据包括姓名、电话号码、电子邮件地址和身份证号码。"TechCrunch通过使用部分查询受影响的政府网站公共搜索工具来验证泄露的数据是否是合法的。通过这样做，该网站返回了泄露的数据库中包含的其他数据，如申请注册的人的名字，以及他们的父母的名字等。随后他使用了10组不同的数据进行了尝试，都返回了正确的数据。"TechCrunch试图联系孟加拉国的几个政府组织，但没有成功。目前，该政府网站的名称无法公开透露，因为它仍在泄露公民的数据。

7月11日消息，多位知情人士透露，英国知名金融科技公司Revolut的美国支付系统在去年爆出漏洞，网络犯罪分子在数月内盗取了该公司超过2000万美元资金（约合人民币1.44亿元），直到Revolut封堵漏洞才停止。这一事件尚未公开披露，很可能给这家市值高企的金融科技公司带来更多压力。目前，Revolut正在等待英国下发银行牌照，却面临多位高管离职、德豪国际会计师事务所（BDO）出具有保留意见的审计报告等问题。

微软方面表示，有黑客组织近期利用CVE-2023-36884漏洞攻击了北约峰会的与会者。根据乌克兰计算机应急响应小组和黑莓情报团队的研究人员发布的报告，攻击者通过恶意文件冒充自己是乌克兰世界大会组织，以让他人误安装此恶意软件，其中包括MagicSpell加载程序和RomCom后门。黑莓安全研究人员表示：攻击者可利用该漏洞制作恶意的docx或rtf文件，从而实现远程代码执行(RCE)攻击。这种攻击是通过利用特制的文档来执行易受攻击的MSDT版本来实现的，同时也允许攻击者向实用程序传递命令执行。微软周二（7月11日）时也表示：该攻击者在2023年6月发现的最新攻击涉及滥用CVE-2023-36884，提供与RomCom相似的后门。

总部位于科罗拉多州丹佛市的传动带和液压产品制造商 美国盖茨公司成为勒索软件攻击的受害者。黑客加密了公司的服务器并窃取了员工的机密文件。被盗数据包括：姓名；家庭住址；出生日期；社会安全号码；有关直接存款的信息；驾驶执照；护照。该公司在一封信中表示：“我们认真对待您的信息安全，并已采取措施减少未来遭受网络攻击的可能性，包括加强威胁检测和进一步限制远程访问，以跟上不断变化的网络威胁。”

美国政府公布了一份名为“国家网络安全战略实施计划”（NCSIP）的路线图，以确保透明度和持续的协调路径，以实现其三月份的国家网络安全战略。该计划包含超过65项“高影响力举措”，每项都分配给指定机构，与今年早些时候发布的网络安全战略的五个支柱相一致：保卫关键基础设施、扰乱和瓦解威胁行为者、塑造市场力量推动安全并投资于有弹性的未来。该计划还旨在将减轻网络风险的负担从普通公民转移到最有能力和最有利的实体，如主要软件提供商和私营公司，同时增加有利于网络安全长期投资的激励措施。为了进一步保卫国家的关键基础设施，该计划要求 CISA 牵头更新国家网络事件响应计划。该计划还要求 CISA 和 FBI 合作阻止勒索软件攻击，包括为医院和学校系统等高风险目标提供攻击前规划和事件响应资源。

挪威难民委员会（NRC）宣布，最近发现了针对存储项目参与者个人信息的在线数据库的网络攻击。NRC表示，它立即暂停了数据库，以保护数据并防止进一步的攻击。他们还发起了外部取证调查，以确定网络攻击的范围和影响。该机构没有提供有关攻击方法或实施者的详细信息。该组织在一份声明中表示：“保护项目参与者的数据对我们来说至关重要。” “决不能针对需要人道主义援助的弱势群体的个人信息。”NRC总部位于奥斯陆，是一个人道主义非政府组织，致力于保护受流离失所影响的人们的权利。