安全快讯Top News

维基解密在线曝光 CIA 间谍软件新工具“野蛮袋鼠”

据外媒 6 月 22 日报道,维基解密( Wikileaks )近期再度曝光一批新 Vault7 文档,旨在揭示美国中央情报局( CIA )使用勒索软件工具 “野蛮袋鼠” (Brutal Kangaroo )监控 Microsoft Windows 操作系统、远程访问处于安全隔离状态的网络设备。 Brutal Kangaroo 是一款用于监控 Windows 系统的工具组件,其主要通过使用闪存盘的 Air-Gapped 侵入封闭网络。此外,Brutal Kangaroo 组件在封闭目标网络中将会创建一个自定义私密网络空间,并提供执行调查、目录列表与任意可执行文件的功能。而 Air-Gapped 主要是在高安全性的环境与关键基础设施中实现网络隔离。 据悉,维基解密在线发布了 2012 年 Brutal Kangaroo v1.2.1 版本文档。调查显示,旧版本的 Brutal Kangaroo 代号为 EZCheese。目前,它正利用 2015 年 3 月发现的漏洞展开攻击活动。 分析显示,CIA 可利用该工具组件渗透组织或企业内部的封闭网络,即无需直接访问,就可开始感染组织内的联网机器。当用户将 U 盘插入受感染机器时,闪存盘本身会感染一种单独的恶意软件 Drifting Deadline,并允许在封闭网络内肆意传播至其他受害设备中。如果该储存装置用于封闭网络或 LAN / WAN 之间复制数据,用户迟早会将拔下的 USB 插入封闭网络上的计算机中。随后,通过使用 Windows 资源管理器浏览 USB 驱动器的网络隔离计算机设备,终将会感染该恶意软件。 此外,当恶意软件在封闭网络中传播时,多台受感染计算机将处于 CIA 的操控下,组成 一个可协调攻击者活动与数据交换的私密网络。尽管该份文档中并未明确说明具体细节,但这种破坏封闭网络的方法与黑客组织 Stuxnet 的攻击方式极其相似。 Brutal Kangaroo 工具组件由以下几部分组成: Drifting Deadline:用于感染闪存盘的恶意工具 Shattered Assurance:一款处理闪存盘自动感染的服务器工具 Broken Promise:Brutal Kangaroo 后置处理器,用于分析收集到的信息 Shadow:主要存留机制(第二阶段工具,分布在封闭网络中,充当隐蔽指挥控制网络;一旦安装多个 Shadow 并共享驱动器、任务与负载将可以来回互相发送信息)   原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

百名安全专家警示美国国会加强网络安全选举标准

据外媒 6 月 21 日报道,百名安全研究人员与计算机科学专家近期共同签署一份声明,旨在警示美国国会在确保国家与联邦选举公正性的同时,及时采取行动、加强网络安全标准。 获悉,安全专家还提出若干项建议,旨在形成强大、可执行与明智的联邦基础标准,以恢复选民对美国选举的必要信心。此外,该声明中还指出美国国会在未来选举中理应确保任何电子选举机器可通过选民验证的纸质投票确定真实记录,以表选民选举意图。 知情人士透露,该声明信中还引用了一份 NSA 机密报告,披露了美国知道总统选举之前俄罗斯黑客对针数十个国家投票系统进行了攻击活动。不久之后,彭博社报道,奥巴马政府使用一款 “ 红色电话 ”,专门用于与克里姆林宫就网络事件进行沟通,以警示俄罗斯不要再试图影响美国大选。 目前,随着 2018 年的下一次选举与同期若干地方的选举,安全专家们强烈要求国会议员提供资金、升级国家系统技术并取代无纸投票电子系统,以保障公民真实选举意识。 原作者:Zack Whittaker, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

韩多家银行遭黑客组织勒索,金融监督院进入紧急状态

据英国《金融时报》报道,韩国有关部门已进入“ 紧急状态 ”,忙于防范黑客组织威胁要对该国最大几家银行发起的网络攻击。被称为 “ 无敌舰队组织 ” (Armada Collective)的黑客组织 21 日表示,韩国 7 家主要银行如果未能用虚拟货币比特币支付赎金,将对其发起分布式拒绝服务攻击。 这一威胁出炉的一个月前,地标性的 WannaCry 网络攻击感染了包括韩国在内的 150 个国家的数十万台计算机。本月,韩国网站托管集团 Nayana 为解锁逾 3400 个网站而支付了大约 100 万美元,据信这是勒索软件案例中最大一笔赎金。 “在 7 家银行收到无敌舰队组织发出的威胁电子邮件后,金融监督院进入了紧急状态,”韩国金融监督院 IT 团队负责人 22 日表示。“我们正在准备各种方法来防止 DDoS 攻击,包括屏蔽不必要的 IP 地址、分散流量以及设置一个清洁区。” DDoS 攻击是一种常见的网络攻击形式,通过将巨大流量引向目标来达到压垮和瘫痪网站的目的。追踪网络攻击的 “ 数字攻击地图 ” 的数据显示,每天都会发生超过 2200 次这样的攻击事件。 据悉,所谓 “ 清洁区 ” 是一种防御措施,寻求将目标网站的流量引向有能力处理大流量的网站,以化解 DDoS 攻击。黑客通过电子邮件向 7 家银行发出威胁,包括韩国的五大银行:韩国国民银行、新韩银行、友利银行、KEB 韩亚银行以及韩国农协银行,要求它们最迟在周一支付约 30 万美元。 自去年初开始出现有关无敌舰队组织的报告以来,这个黑客组织据信已经向世界各地的公司勒索数十万美元。不过,美国互联网安全服务集团 Cloudflare 表示,这些威胁基本上是空洞的。到目前为止,我们还没有看到针对某个受威胁组织发起的一次攻击,尽管我们知道的受威胁组织几乎都没有支付勒索费。网络安全集团 FireEye 的 Patrick Neighorn 认同这种看法。 网络安全集团 Hauri 的研究员认为,Nayana 支付的 100 万美元赎金起到了鼓舞黑客瞄准韩国的效果,但他说,韩国方面准备充足。他相信韩国可以处理好这件事,即使他认为黑客在虚张声势,韩国也不应该放松警戒。 稿源:cnBeta,封面源自网络。

微软 2015 年以来一直追踪 Fireball 恶意软件,但是影响可能被夸大

本月早些时候,Check Point 安全中心发布了威胁分析报告,其中谈到了名为 “ 火球 ”(Fireball)的网络威胁。Check Point 分析师将 Fireball 描述为来自中国的威胁行动,全球感染了超过 2.5 亿台电脑和 20% 的企业网络。但微软今天表示,自 2015 年以来它一直在监测这一威胁,而且威胁是真实存在,但是受害程度可能被夸大。 微软和 Check Point 都同意 Fireball 套件用于感染系统的传递机制,即 Fireball 充当浏览器劫持者,可以将其变成一个功能齐全的恶意软件下载器。 Fireball 能够在受害者机器上执行任何代码,进行窃取凭据到删除其他恶意软件的各种操作。Fireball 主要通过捆绑传播,安装通常未经用户同意。 微软表示,在近三年的时间里,微软跟踪了这组威胁和它们安装的其他恶意软件,微软观察到它的组件在受感染的机器上持续存在,通过广告获利,或者劫持浏览器搜索和主页设置。Fireball 套件中最流行的系列是 BrowserModifier:Win32 / SupTab 和 BrowserModifier:Win32 / Sasquor。 然而,微软和 Check Point 对 Fireball 实际影响和评估不同。Check Point 表示,其分析发现,印度电脑中有 10% 以上受到感染,印度企业网络中 43% 的企业也受到这款恶意软件影响。在印度尼西亚,企业网络感染率据说甚至更高,达到了 60%,甚至在美国也有接近 11% 的感染率。 微软的分析显示,美国的感染率远低于 Check Point 指出的数字。微软的数据还表明,拉丁美洲和非洲许多国家的感染率都比 Check Point 的数字更低。微软表示,Check Point 根据访问搜索页面的次数估算出 Fireball 恶意软件感染率大小,而不是通过收集端点设备数据。 稿源:cnBeta,封面源自网络。

美国监督组织指控特朗普政府私自删除内部邮件

美国监督组织 “ 华盛顿责任与道德公民 ” 于 6 月 22 日提交一份针对特朗普的法律诉讼,指控总统违反三项《联邦总统记录法》法律,包括使用工具自动删除白宫内部邮件,《联邦总统记录法》出台于尼克松任职期间,该法规定,白宫必须存档并定期公开总统有关政府事务的记录。 “华盛顿责任与道德公民”组织并未公开任何确凿证据,但又相当多的使用第三方报告指向许多内部交流邮件被非法删除。三月份,MSNBC 报道特朗普副手已清除他们的电子设备,摧毁可能涉及俄罗斯黑客调查的不利证据。报告指出,早期移民限制行政令的起草文件纪录也被清除,而删除涉及总统事务的推文的做法被在线曝光。 “华盛顿责任与道德公民”组织指出“使用阅后即焚型邮件消息应用”直接违反了总统职责。在特朗普政府早期,白宫员工使用了某种阅后即焚的邮件消息应用,并且丝毫不透露此类消息是否涉及总统政务事宜。 稿源:cnBeta;封面源自网络。

Chelsea Manning 的泄密未对美国国家安全造成严重伤害

五角大楼的一份报告认为,Chelsea Manning/Bradley Manning 的泄密并未对美国在阿富汗和伊拉克的战争造成重大的战略影响。《 纽约时报杂志 》也于上周发表了一篇关于采访出狱后的 Chelsea Manning 的报道。 报道称:她将美国在阿富汗和伊拉克战争期间的约 25 万份外交电报和约 48 万份军队报告交给了 Wikileaks。这些泄露加在一起,构成美国历史上最大的机密记录泄漏事件,为 Edward Snowden 扫清了道路,且令 Julian Assange 的形象得到提升,因为此前 Assange 在黑客圈以外少有人知。 2009 年至 2011 年担任助理国务卿的 P.J.Crowley 最近告诉记者 “要不是 Chelsea Manning,Julian Assange 无非就是另一个处在边缘地位,对他心目中美国霸权主义傲慢感到愤怒的小角色 ”。Denver Nicks 曾经写过一本关于 Manning 的书,用他的话来说,Manning 的行为从广义上来说,代表着 “ 信息时代自身开始爆炸 ”:一个新时代,现在内情泄漏可以成为武器,数据安全至关重要,而隐私则让人感到虚幻。 稿源:solidot奇客;封面源自网络。

银行木马 TrickBot 升级后针对支付处理器与 CRM 提供商设备展开攻击活动

据外媒 6 月 20 日报道,安全研究人员发现银行恶意软件 TrickBot 在升级后开始针对银行支付处理器(PayPal 贝宝)与客户关系管理( CRM )供应商的系统设备展开攻击活动。 恶意软件 TrickBot 最初于去年 9 月由安全公司 Fidelis Cybersecurity 研究人员发现。据悉,TrickBot 首款样本仅实施单一数据窃取功能。数周后,研究人员在捕获另一批新样本后发现疑似处于测试阶段的 web 注入样例。 调查显示,TrickBot 曾于 2016 年底针对英国与澳大利亚银行,以及亚洲金融机构进行多次攻击。此外,研究人员表示,TrickBot 与 Dyre 存在多数相似之处,虽然新银行木马程序的代码似乎已用不同编码风格进行了重写,但还是存留了大量相似功能。 今年 5 月,TrickBot 已被用于瞄准 20 家私人银行展开攻击活动,其中包括 8 家英国建筑协会、2 家瑞士银行、1 家德国私人银行与 4 家美国投资银行。后续研究人员分析了截止至 5 月份处于活跃状态的 26 款 TrickBot 配置,发现其中涉及两家支付处理与 CRM SaaS 供应商的系统设备。 近期,Fidelis Cybersecurity 研究人员又针对两起影响较为严重的攻击活动进行了检测。结果显示,这两起攻击活动主要针对同一美国支付处理器,但仅有第二起活动是针对 CRM 供应商的系统设备进行攻击。以下是研究人员针对这两起攻击活动的分析结果: 第一起攻击活动: 1、目标银行网址占 83%,其中英国银行占 18% 2、PayPal (归属美国的支付处理器),其中被入侵的 PayPal URL 有 35 个 第二起攻击活动: 1、英国目标银行占 47% 2、英国新增受感染 PayPal URL 3、CRMs Salesforce.com 与 Reynolds&Reynolds 在美国汽车行业出售 CRM 目前,研究人员已证实欧洲网络托管提供商的 6 个 C&C 服务器 IP 地址中,有 3 个托管在亚洲运营。此外,所有 IP 地址均使用 443/HTTPS 端口与受感染主机进行通信,以规避安全软件的检测。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

“邮件门”仍未结束,美国务院对希拉里启动正式调查

在美国大选失败经历了几个月的沉寂后,美国前国务卿希拉里·克林顿重回公众视野,似乎有意卷土重来。但是,被认为是导致其败选的重要原因的“邮件门”事件仍未结束。据美国福克斯新闻网 6 月 20 日报道,美国国务院就“邮件门”事件针对希拉里及其助手展开正式调查。 报道称,国务院此番启动调查,旨在弄清希拉里出任国务卿期间是否存在对机密信息处理不当的行为,进而判断希拉里及其高级助手使用希拉里的私人电子邮箱接收、保存和转发机密及绝密政府文件是否违反政府规程。不过,国务院方面拒绝说明调查于何时启动。 此次国务院调查的最终结果,还将会决定希拉里及其助手能否继续保留获取机密政府文件的安全权限。 美国国会参议院司法委员会主席查克·格拉斯利向福克斯新闻网证实,国务院对希拉里展开正式调查的消息属实。与此同时,今年 3 月,格拉斯利领导的参议院司法委员会也对希拉里“邮件门”事件启动了调查,他引用此前美国联邦调查局(FBI)的调查结论称希拉里及其手下的工作人员“处理敏感机密信息时极度草率”,他认为“有证据显示其中可能存在违法违规行为”。 但是,希拉里的发言人尼克·梅里尔却表示,针对希拉里“邮件门”事件的调查已经结束。“这件事情结束了,结案了!”梅里尔的语气非常肯定。 2015 年 3 月,希拉里被美国媒体曝出在担任国务卿期间使用私人服务器收发公务电子邮件。次月她宣布参选总统后不久,联邦调查局就对“邮件门”展开了调查。2016 年 7 月,联邦调查局时任局长詹姆斯·科米称希拉里及其高级助手处理政府机密时“极度草率”,但没有证据显示其有意违法,不建议起诉希拉里。美国司法部长洛蕾塔·林奇随后宣布不对希拉里提出起诉。 然而就在 10 月 28 日、距投票日还有 11 天时,科米宣布重启“邮件门”调查。虽然科米最终宣布维持首次调查结论不变,但重启调查的消息打击了希拉里的选战势头,被认为是导致希拉里败北的重要原因。 稿源:cnBeta、中国日报,封面源自网络。

英特尔与以色列 Team8 合作,解决最大的网络安全问题

6 月 22 日消息,据国外媒体报道,英特尔于当地时间周三表示,作为战略合作伙伴,英特尔公司已经加入了以色列网络安全初创公司 Team8,帮助解决最大的网络安全问题。 英特尔是世界上最大的芯片制造商,加入了 Team8 集团,而该集团还包括联合成员微软,思科,高通,AT&T(TN),花旗集团,埃森哲,诺基亚,Bessemer Venture Partners 和 Eric Schmidt 的Innovation Endeavors。以色列有大约 450 家网络初创企业,它们获得了全球 20% 的投资。尽管对安全的需求正在迅速增长,但初创企业的增多意味着,有几家公司在每个子领域都有竞争。 Team8 已经启动了两家网络公司 Claroty 和 Illusive Networks,另外两家将很快跟进。Team8 的联合创始人兼首席执行官 Nadav Zafrir 表示,一家公司将在几周内走出隐形模式,而另一家公司在 2018 年初也会进行同样的操作,但没有详细说明。他指出,每个集团成员对网络有不同的看法。Zafrir说:“花旗帮助我们从财务角度看待世界,英特尔的加入将使我们看到计算机,汽车,云计算,移动和物联网等网络安全方面的挑战。我们可以在网络问题出现之前一起解决。” 英特尔还将与 Illusive 合作,一旦攻击者使用欺骗技术进入企业网络,即可捕获他们,从而帮助打击所谓的高级持续威胁(Advanced Persistent Threats,简称 APTs)。Illusive 说,Illusion 和 Intel 之间的联盟将基于欺骗性的网络安全从软件扩展到硬件。 英特尔平台安全部门的总经理 Jacob Mendel 说:“我们与 Illusion 网络的合作使得用户能够在攻击的早期阶段对复杂的 APT 进行更有效的防御,否则这些攻击将不被发现,并对企业和个人造成巨大的威胁”。 稿源:TechWeb.com.cn,作者:小狐狸

本田工厂遭勒索病毒 WannaCry 攻击致停产一天

6 月 21 日,本田汽车证实日本一家生产工厂于本周一停产一天,因为本田发现 WannaCry 勒索病毒出现在公司计算机网络上。 周一时,本田 Sayama 工厂停产,该工厂位于东京西北部,生产的车型包括雅阁轿车、奥德赛面包车、Step Wagon 多用途汽车,日产量约为 1000 辆。本田表示,病毒已经感染了日本、北美、欧洲、中国及其它地区网络。5 月中旬本田曾强化安全措施,确保系统安全,但当时病毒在全球扩散,导致许多工厂、医院、商店遭到破坏,不料本田还是受到影响。本田新闻发言人表示,公司其它工厂没有受到影响,周二 Sayama 工厂已经恢复运营。 上个月,雷诺 SA 与日产汽车也受到了病毒的影响,当时雷诺 -日产位于日本、巴西、法国、罗马尼亚、印度的工厂曾暂停运营。 稿源:新浪科技;封面源自网络