研究报告称中东石油和天然气行业的网络安全发展滞后

外媒 3 月 27 日消息,根据西门子和 Ponemon 研究发现,在过去的 12 个月中,近 3/4 的中东石油和天然气工业组织经历了安全危害,导致其机密数据或操作技术( OT )中断。研究报告指出,中东所有网络攻击中石油和天然气行业占据了一半的比例。鉴于中东地区经济的重要性,这些行业面临的风险更加紧迫。 OT 研究包括监控以及控制物理设备和工业过程的系统,它与 IT 网络的联系日益紧密。然而,也因如此 IT / OT 融合正在为网络攻击开辟新的途径。 在调查的受访者中,大多数 ( 60% )认为其组织在 OT 中面临的风险比 IT 环境要大。因为研究显示,中东地区 30% 的攻击目标都是针对 OT。而内部人士被发现是 OT 安全威胁的主要来源,例如某种程度上一些粗心大意的人士比恶意行为者更具威胁性。 报告指出,目前这些组织已经开始采取关键措施,以抵御越来越普遍的网络攻击,其中包括建立专门的 OT 安全团队,与 OT 安全专家合作,利用安全分析以及引入尖端的监控工具。 不过有趣的是,他们的 OT 网络防御的预算并没有与“威胁”同步:研究发现中东的石油和天然气组织只花费其网络安全预算的三分之一来强化 OT 环境,他们的网络安全预算总额,包括 IT 和 OT ,都低于全球同行。 以下为中东地区石油和天然气组织遭受的攻击事件: 2012 年,世界上最大的石油公司沙特石油公司在感染了 3.5 万台电脑的病毒之后遭受重大破坏。 阿拉伯海湾石油和天然气部门因袭击事件仅在去年财务损失就达到了 10 亿欧元。 2017 年 8 月,攻击者利用 OT 特定的恶意软件 Trisis 或 Triton 来攻击沙特阿拉伯一家石油和天然气工厂的安全系统,导致其设施停止运营。 消息来源:welivesecurity,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

监控界神秘巨星「 Gray Heron 」:专为各国执法部门提供高级间谍产品,幕后掌控疑涉沙特政府

据外媒报道,一家名为 Grey Heron 的神秘监控公司正在宣传其间谍软件,声称能够监视 Signal 和 Telegram 通信。根据 Motherboard 进行的一项调查显示,该公司与意大利监控公司 Hacking Team 应该具有某种联系,因为背后有与沙特政府相关的投资者支撑,目前 Hacking Team 仍在继续售卖其间谍软件。 监视软件的开发和销售是一项有利可图的业务,许多政府机构都将间谍软件用于不同的目的。因此为了更加清楚地掌握 Grey Heron 与这些机构间的关系 ,Motherboard 展开了深入调查。 Motherboard 从一份 Grey Heron 的宣传册获知,Grey Herond 的使命是为执法部门提供有力工具来平衡犯罪分子的能力。这本宣传册包含了一张 Eric Rabe 的名片、Grey Heron 的营销和沟通方式。 Grey Heron 背后势力 值得注意的是,Rabe 是意大利监控公司 Hacking Team 的长期发言人。Hacking Team 是一家向其他国家政府(例如苏丹、埃塞俄比亚、沙特阿拉伯和巴林等)出售间谍产品的监控公司。 根据 Motherboard 调查,目前Hacking Team 黑客团队仍然活跃,这在一定程度上要归功于一个与沙特政府有关联的投资者。 Private Eye 在最近的一份报告中也透露了 Grey Heron 总部设在米兰,并简要地提及了 Grey Heron 与 Rabe 的关系。除此之外,Private Eye 还认为 Grey Heron  可能与英国另一家同名公司(该公司由一位前英国军官管理)具有一些联系。   Gray Heron 间谍能力 在宣传册中,Gray Heron 承诺解决与其他恶意软件供应商指出的相同问题,比如易于使用的加密技术激增。那么为了应对这些问题, Gray Heron 要如何部署其间谍软件呢? 一般情况下,Gray Heron 是采用了多种不同的方式来部署,其中包括通过漏洞远程利用或社交工程攻击来欺骗目标对象下载软件。该公司为 Android 和 iOS 设备以及 OS X 和 Windows 计算机提供功能。 Gray Heron 可以收集来自 Signal 和 Telegram 的数据。虽然如何从 Signal 中提取信息还尚不清楚,但是在营销材料中特别提及 Signal 的恶意软件公司并不常见。除此之外,Grey Heron 还透露他们将 Skype 和加密电子邮件作为目标对象。 Gray Heron 对欧洲和北美市场都非常感兴趣,并且 Gray Heron 已私下证实,意大利政府已经允许其在整个欧盟范围内出口其产品。 Motherboard 记者发布的分析文章: 《 Government Malware Company ‘Grey Heron’ Advertises Signal, Telegram Spyware 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

多国刑警联合行动:网络犯罪团伙 Carbanak 头目被捕,曾以恶意软件攻击全球金融机构获利 10 亿欧元

据外媒报道,利用 Carbanak 和 Cobalt 木马攻击全球 100 多家金融机构的 Carbanak 犯罪团伙头目近期在西班牙阿利坎特市被警方逮捕,该行动由欧洲刑警组织、FBI、西班牙警方、以及罗马尼亚、白俄罗斯、中国台湾的网络安全公司、金融机构和执法机构联合开展。 自 2013 年来,Carbanak 犯罪团伙就开始利用他们设计的恶意软件(Carbanak 、 Cobalt )开展攻击活动,至今已有 40 多个国家和地区的银行、电子支付系统和金融机构受到影响,导致金融行业累计损失超过 10 亿欧元。(犯罪团伙仅使用 Cobalt 每次就能窃取 1000 万欧元。) 在所有这些攻击活动中,Carbanak 犯罪团伙都使用了类似的操作手法:他们冒充合法公司向银行职员发送带有恶意附件的钓鱼邮件,进而远程控制职员受感染的设备、访问内部银行网络并感染控制 ATM 服务器。 以下为 Carbanak 犯罪团伙套钱的方式: – 自动取款机被远程指示在预先确定的时间发放现金,其中一名团伙成员在机器旁等待自动提款机吐钱; -电子支付网络用于将资金转移到犯罪账户中; -修改账户信息的数据库,使银行账户的余额增多; 然后 Carbanak 犯罪团伙借助加密货币洗钱,通过利用与加密货币钱包挂钩的预付卡购买豪车和房屋等。 欧洲刑警组织负责人史蒂文威尔逊表示, 这次联合行动不仅对国际刑警组织来说是巨大的胜利,也对以后打击网络犯罪的国际联合行动产生了重大影响。 欧洲刑警组织发布的安全公告: 《 MASTERMIND BEHIND EUR 1 BILLION CYBER BANK ROBBERY ARRESTED IN SPAIN》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Drupal 发布其 7 核、8 核安全版本以解决高危关键漏洞

据外媒报道,Drupal 安全团队确认由于受到一个高度关键漏洞的影响,他们将于 3 月 28 日(UTC 时间 18:00 – 19:30 之间)发布 Drupal 7.x、8.3.x、8.4.x 和 8.5.x 的安全版本。Drupal 建议用户预留时间进行核心更新,以防止遭到恶意攻击。  安全团队强烈建议如下: 1、8.3.x 上的站点应立即更新到该建议中提供的 8.3.x 版本,然后计划在下个月更新到最新的 8.5.x 安全版本。 2、8.4.x 上的站点应立即更新到该建议中提供的 8.4.x 版本,然后计划在下个月更新到最新的 8.5.x 安全版本。 3、使用正常程序发布咨询时,7.x 或 8.5.x 上的网站可以立即更新。 官方公告内容: Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

全球知名征信机构 Experian 因大规模数据泄露事件面临政府起诉

外媒 3 月25 日报道,圣地亚哥市律师 Mara Elliott 已向益百利信用机构( Experian )提起诉讼,称该公司未根据加利福尼亚州法律要求将 2013 年发生的大规模数据泄露事件告知其受影响的消费者。 据估计,约有 3000 名消费者可能遭受影响,其中包括圣地亚哥估计的 25 万人。 根据 Elliott 的说法,一位越南男子 Hieu Minh Ngo 通过冒充为新加坡私家侦探,获得了一家名为 “ 法院创投公司 ” (Court Ventures Inc.简称 CVI 公司,2012 年被益百利收购)的消费者信息数据库。 该男子每月向 Experian 支付数千美元现金以获得 2 亿个消费者的信息,然后通过暗网将其转卖给其他犯罪分子。据估计,全球约有 1300 名恶意人士购买了这些数据,这些恶意人士利用被窃取的信息提交了 13000 多份虚假申报表,骗取了 6500 万美元的欺诈性退税。 截至 2013 年 2 月的 18 个月期间 Ngo 通过倒卖数据库信息已赚取了190万美元。 加利福尼亚州法律对违规行会处以高达2,500美元的罚金,这意味着该公司可能面临数百万美元的罚款。 参考链接: 《圣地亚哥联合论坛报》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Etcd REST API 未授权访问漏洞暴露 750MB 密码和密钥

近日据外媒报道,安全研究人员 Giovanni Collazo 通过 Shodan 搜索引擎发现近 2300 台安装了 etcd 组件的服务器暴露在互联网上,利用一些简单脚本即可从中获取登录凭证,如 cms_admin、mysql_root、 postgres 之类。目前 Collazo 经过测试已经成功地从这些服务器上检索到了来自 1,485 个 IP 、约 750 MB 的数据,其中包括 8,781 个密码、650 AWS 访问密钥、23 个密钥和 8 个私钥。 etcd 是一个分布式密钥值存储和为存储跨机器群集的数据提供可靠方法的数据库,通常用于在各种服务器和应用程序之间存储和分发密码和配置设置。etcd 实现了一个可以查询的编程接口,并且默认情况下不需要身份验证就可返回管理登录凭证。 虽然 Collazo 并没有测试这些凭证,但其中一些被推测是有效的,有可能会被攻击者用来侵入系统。此外,根据 Collazo 的说法,任何人只需几分钟时间就可以获得数百个可用于窃取数据或执行勒索软件攻击的数据库证书列表。 为了保证 etcd 安装安全,Collazo 建议启用身份验证并在不需要时使其脱机,或者设置防火墙,以避免未经授权的人员查询 etcd 服务器。 SeeBug 漏洞库: Etcd REST API 未授权访问漏洞 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

TeleRAT :一种利用 Telegram 秘密窃取数据的新型 Android 木马

近日,Palo Alto Networks 的安全专家发现了一种名为 TeleRAT 的新型 Android 木马,该木马使用 Telegram 的 Bot API 来与命令和控制(C&C)服务器进行通信和窃取数据。目前安全专家猜测 TeleRAT 可能是由伊朗的几位威胁攻击者操作运营。 其实另一个被称为 IRRAT 的 Android 恶意软件与 TeleRAT 有相似之处,因为它也利用了 Telegram 的 bot API 进行 C&C 通信。IRRAT 能够窃取联系人信息、在设备上注册的 Google 帐户列表、短信历史记录,并且还可以使用前置摄像头和后置摄像头拍摄照片。这些被盗的数据存储在手机 SD 卡上的一些文件中,由 IRRAT 将它们发送到上传服务器。IRRAT 将这些行为报告给 Telegram bot 后,将其图标从手机的应用菜单中隐藏起来,在后台运行着等待命令。 而 TeleRAT Android 恶意软件则以不同的方式运行着:它在设备上创建两个文件,其中包含设备信息(即系统引导加载程序版本号,可用内存和大量处理器内核)的 telerat2.txt,以及包含电报通道和一系列命令的 thisapk_slm.txt 。 TeleRAT 一旦被成功安装,恶意代码就会通过电报 Bot API 发送消息来通知攻击者,并且该恶意软件还启动了后台服务,用于监听对剪贴板所做的更改。除此之外,TeleRAT 每 4.6 秒钟从 bot API 中获取更新,以监听用波斯语编写的几条命令。以下为两种获取更新的方式: 1、 getUpdates 方法(公开发送给 bot 的所有命令的历史记录,其中包括命令发起的用户名) 2、Webhook 方法(bot 更新可以被重定向到一个通过 Webhook 指定的HTTPS URL)。  TeleRAT 功能用途极为广泛,如以下: 接收命令来抓取联系人、位置、应用程序列表或剪贴板的内容; 接收收费信息、 获取文件列表或根文件列表; 下载文件、创建联系人、设置壁纸、接收或发送短信; 拍照、接听或拨打电话、将手机静音或大声; 关闭手机屏幕、 删除应用程序、导致手机振动、从画廊获取照片; TeleRAT 还能够使用电报的 sendDocument API 方法上传已窃取的数据,这样就避开了基于网络的检测。 TeleRAT 传播 TeleRAT 恶意软件除了通过看似合法的应用程序分发到第三方 Android 应用程序商店外,也通过合法和恶意的伊朗电报渠道进行分发。根据 Palo Alto Networks 统计,目前共有 2293 名用户明显受到感染,其中大多数(82%)拥有伊朗电话号码。 TeleRAT 被认为是 IRRAT 的升级版本,因为它消除了基于已知上传服务器流量网络检测的可能性,这是由于所有通信(包括上传)都是通过电报 bot API 完成的。 除了一些额外的命令外,TeleRAT 与 IRRAT 的主要区别还在于TeleRAT 使用了电报 sendDocument API 方法上传已窃取的数据 。 Palo Alto Networks 完整分析报告见: 《 TeleRAT: Another Android Trojan Leveraging Telegram’s Bot API to Target Iranian Users 》 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Ledger 加密货币硬件钱包曝严重缺陷,多种场景窃取设备私钥

近日,一名 15 岁的英国男孩 Saleem Rashid 发现 Ledger 公司制造的加密货币硬件钱包存在一个严重的安全漏洞,被攻击者用来窃取 Ledger 设备私钥。根据这名男孩的说法,由于 Ledger 使用自定义体系结构来解决其安全元件的许多限制,因此造成了该漏洞的出现。 攻击者可以利用该漏洞在用户接收设备之前破坏设备,或者在某些情况下以物理方式远程从设备中窃取私钥。例如以下场景: 1、在设置 seed 之前进行物理访问:也被称为“ 供应链攻击 ” 它不需要目标计算机上的恶意软件,也不需要用户确认任何事务。由于所有的私钥都是从 recovery seed 中派生出来的,因此攻击者可以窃取任何加载到设备上的资金。 2、安装后的物理访问:通常被称为“ Evil Maid 攻击 ” 这种攻击可以提取 PIN 码,recovery seed 以及任何使用的 BIP-39 口令,只要目标设备在攻击后至少使用一次。和供应链攻击一样,Evil Maid 攻击也不需要计算机上的恶意软件,也不需要用户确认任何交易。它只是要求攻击者安装一个自定义的 MCU 固件,以便于在使用时对私钥进行过滤。 3、恶意软件(带有一些社会工程) 这种攻击要求用户在受感染的计算机上更新 MCU 固件,可以通过显示一条错误消息,要求用户按住左键重新连接设备(以进入 MCU 引导加载程序)来实现。然后恶意软件使用恶意代码更新 MCU,达到控制设备上的可信显示和确认按钮的目的。 奇怪的是,当 Saleem Rashid 在首次向 Ledger 报告其发现时遭到了驳回。不过 Ledger 近期已发布了固件更新 1.4.1,并承诺 “深入探讨安全问题”。 Saleem Rashid 漏洞分析细节: 《Breaking the Ledger Security Model》 消息来源:Security Affairs、Bitcoin.com,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

波多黎各电力局(PREPA)遭遇黑客入侵

外媒 3 月 21 日消息,波多黎各电力局(PREPA)本周一证实其计算机基础设施曾在周末遭受了黑客入侵。目前 PREPA 确认此次事件没有对用户带来风险,因为黑客并没有访问其客户服务系统,数据信息也没有受到破坏。 值得注意的是,美国政府几天前曾发出警告称俄罗斯资助黑客组织发起针对美国关键基础设施 的网络攻击。 不过目前并没有证据表明俄罗斯黑客参与了 PREPA 的攻击事件,因为黑客人士采用了复杂的技术来隐藏自己,使得调查该网络攻击变得非常困难。 根据 PREPA 发言人的说法,目前有关部门正在对该事件进行调查,但拒绝透露有哪些政府部门参与 。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Expedia 旗下在线旅行社 “Orbitz” 88 万用户信用卡数据泄露

外媒 3 月 20 日消息,美国在线旅游巨头 Expedia 旗下的旅游网站 Orbitz 于本周二披露了一项安全漏洞,致使约 88 万 Orbitz 用户受到数据泄露影响,其中包括姓名、出生日期、性别、电话号码、电子邮件地址、账单地址以及支付卡数据等详细信息。 据悉,拥有数百万用户的 Orbitz 曾是 Expedia (艺龙大股东)的竞争对手,不过 Expedia 于 2015 年 2 月 13 日以 13.4 亿美元的价格将其收购。 据调查人员称,受到数据泄露影响的可能是 2016 年 1 月 1 日至 2017 年 12 月 22 日期间在 Orbitz 平台上进行过交易的用户。 不过目前没有证据表明 Orbitz 网站受到此次事件的影响,并且用户的护照和旅行行程信息也被认为未曾遭到泄露。 Orbitz 方面表示已通知受影响的客户和合作伙伴,并免费为其客户以及合作伙伴提供一年的信用监控和身份保护服务。 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。