Parity 逾 2.8 亿以太坊遭到冻结,竟是由黑客蓄意触发漏洞导致

作为比特币的竞争对手,成立于 2014 年的加密货币以太坊(Ethereum)在全球市场日益升温,总价值超过 280 亿美元。但随之以太坊的安全问题也日益突显,上周再次被曝以太坊钱包存在关键漏洞,导致价值逾 2.8 亿美元的以太坊遭到冻结。以太坊钱包 Parity 的幕后公司 Parity Technologies 随后证实,由于自 7 月 20 日开始部署的多重签名钱包出现技术问题,导致逾 580 个多团体钱包受到此次事件影响。 近期,Parity 的其中一家客户–VR 3D 模型创业公司 Cappasity 发表声明,宣称其价值约 100 万美元的以太坊钱包遭到冻结,并表示此次事件并非偶然,而是一场蓄意的黑客活动。Parity 在追踪黑客交易时发现此次攻击由一名 GitHub 用户 devops 199 蓄意触发漏洞导致。然而,Cappasity 创始人 Kosta Popov 在一份声明中表示,如果 Parity 近期没有妥善解决此次问题,他们将申请执法机构进行下一步调查。 目前,虽然 Parity 尚未更新以太坊钱包的恢复情况,但其以太坊并未被触及。不过,在妥善解决这个问题之前,用户不太可能获取所被冻结的资金。 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新加坡开放公民数据访问服务,促进国家私营企业高效发展

据外媒 11 月 11 日报道,新加坡政府近期已开放国家 MyInfo 数据库访问服务,允许私营企业利用公民数据(如:邮寄地址和护照号码)处理各种交易,旨在提高商业服务效率。 据悉,这一服务由 MyInfo Developer & Partner Portal 提供,是国家数据库于 2016 年初推行的一项扩展,主要为公民自动填写个人信息提供一种方式。不过,这项服务一直都由用户自愿报名参与。然而,新加坡政府于今年 9 月表示,直至 2017 年 12 月国家所有的 SingPass 账户将与相应的 MyInfo 账号关联,与此同时,公民的个人信息,如姓名、身份证号、婚姻状况、护照号码和出生日期等将被用来填写网上政府表格。 政府首席信息官 GovTech 表示:“ SingPass 是一个认证网关,而 MyInfo 服务提供用户的基本信息,以便形成数字用户配置文件,致使用户交易更加容易安全。这项服务对 SingPass 用户是强制性的,因为它致力于建立一份国家数字身份。” 随着新门户的推行,MyInfo 现在允许私营企业和应用开发人员通过自身的数字服务集成平台访问,此举符合政府的发展目标,即促进公共部门和私营部门之间的合作,为企业创造更高的效率,为客户提供更直观的用户体验。早些时候,银行曾进行过一项相关试验,允许客户在开设新账户或申请信用卡时,绕过提交支持的文件(如身份证复印件)流程。根据 GovTech 的调查数据显示,银行能够将服务申请时间缩短 80%,其批准率提高 15%。 政府部门的 CIO Chan Cheow Hoe 表示:“ MyInfo 不仅能够为各企业提供更广泛的交易数据,还可帮助政府或企业消除核实文件的需要,甚至减少面对面会议的时间,从而大大提高了企业的效率”。目前,包括公用事业和电信在内的 100 多家公司已经表达了对于 MyInfo 数据库的兴趣。值得注意的是,在新服务门户网站上,企业在访问必要数据之前仍需要获取公民同意。 原作者:Eileen Yu,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Locky 出现新型变种:依赖僵尸网络 Necurs 与 DDE 机制展开新一轮攻击浪潮

HackerNews.cc 11 月 12 日消息,网络安全公司 Avira 研究人员近期发现勒索软件 Locky 出现新型变种,不仅可以通过僵尸网络 Necurs 开展大规模钓鱼攻击活动,还可利用动态数据交换(DDE)协议进行数据传输,从而规避安全软件检测的同时窃取用户重要信息。 研究显示,目前黑客主要通过合法的 Libre 与 Office 文件肆意分发恶意软件。一旦用户打开该恶意文件后系统将会自动触发一系列程序,从而最终在受害设备上对用户文件进行加密处理后发送到指定 C&C 服务器。研究人员在分析该恶意文件时还发现其中包含一份 LNK 文档,允许黑客通过粘贴的方式将命令复制到用户文本编辑器中,以便运行 PowerShell 脚本。 研究人员表示,该脚本内容清晰、极易阅读,其目的是从脚本嵌入的链接中下载另一个 PowerShell 脚本并通过 Invoke-Expression 函数运行。然而,第二个脚本所连接的服务器由黑客控制,并在下载该脚本时自动运行一份 Windows 可执行文件,其中包含多个阶段的混淆代码,以致诱导用户认为这是一个安全的文件。目前,研究人员认为勒索软件 Locky 的快速演变在当今的威胁领域中着实令人担忧,因为它还将继续进行深度 “优化”,从而感染更多设备。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究显示通过 USB 接口触发英特尔 ME 漏洞可成功入侵目标系统

网络安全公司 Embedi 研究人员 Maksim Malyutin 于今年 3 月发现 Intel Management Engine(IME) 存在一处高危漏洞(CVE-2017-5689),允许黑客用作后门攻击时执行恶意活动。随后,莫斯科安全机构 Positive Technologies(以下简称 PT) 于今年 9 月找到一种利用 IME 漏洞展开黑客攻击的最新技术,并计划将在 12 月举行的欧洲 Black Hat 安全会议上展示。 自 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 ME,其包含一个或多个处理器核心并与平台控制器中枢芯片协同使用,是 Intel 的一个固件接口,用于处理器与外围设备的通讯传输。 然而,事情并未结束。PT 研究人员近期发表一份安全报告,旨在提供关于该漏洞利用技术的更多细节,即从目标设备的 USB 接口触发漏洞访问系统,从而允许任何主板上都可运行无符号代码。此外,知情人士透露,该漏洞技术可以通过以下两种方式加以利用: 1、非特权网络攻击者可以通过获取系统特权配置英特尔主动管理技术(AMT)和英特尔标准可管理性(ISM)加以利用: CVSSv3 分值为 9.8   / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H 2、非特权本地攻击者可以通过获取非特权网络或本地系统特权配置英特尔可管理性特性(ISM)加以利用:  CVSSv3 分值为 8.4   / AV:L / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H PT 研究人员表示,他们已经利用英特尔管理引擎的硬件进行了调试(JTAG),并通过英特尔 USB 接口(DCI)获得了对所有 PCH 设备(平台控制器中心)的访问权限。不过,这种技术仅影响 Skylake 及新平台的处理器。目前,研究人员表示暂时无法彻底移除 IME 组件,因为它被植入于计算机中最核心的中央处理器里。而现在唯一的预防手段,就是关闭 IME 固件。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

维基解密曝光新间谍文档 Vault 8:在线公布 CIA 网络武器 Hive 源代码

HackerNews.cc 11 月 9 日消息,继维基解密(Wikileaks)今年 3 月至 8 月陆续公布的 CIA 网络武器文档 Vault7 后再次曝光新一轮间谍文件—— Vault 8,旨在披露 CIA 网络武器源代码与其开发日志。据悉,维基解密不仅在线公开表示他们已获取 CIA 机密信息,还在 Vault 8 文档中率先曝出间谍工具 Hive (蜂巢)源代码与其开发日志。 Hive 是一款后端组件,其主要为 CIA 间谍软件提供一个隐蔽的通信平台,从而协助 CIA 特工实现后台操控并将目标设备中的机密信息发送至指定服务器。此外,CIA 还可使用 Hive 基础架构参与多项操作,并在目标设备上植入多款恶意软件。然而,由于 Hive 可以绕过安全检测植入间谍软件,因此即使在受害设备上发现恶意代码,也很难从服务器中发现攻击归属。 研究人员表示,这并非维基解密第一次在线泄漏与间谍工具 Hive 相关的信息,其曾于今年 4 月揭示 CIA 利用 Hive 在线分发恶意代码后通过 C&C 服务器进行通信,从而执行任意操作。目前,CIA 已经开发出多用户一体化的 Hive 平台,即多名 CIA 特工可以同时控制多款恶意软件执行不同任务,这或将导致攻击归属的查询更加困难。此外,Hive 的攻击原理是利用系统公共后端将受害用户重定向至虚假网站,而这些网站可作为中继节点将目标用户的信息通过 VPN 连接传输至服务器 Blot,而该服务器可以将用户流量转发到 CIA 特工的 Honeycomb 管理网关中。 此外,为规避安全软件检测,其恶意代码还开发了数字签名认证,这是恶意软件社区中一种常见的做法,而 CIA 可使用数字证书检测软件身份。其中,研究人员在泄露的源代码目录中发现了一个冒牌的卡巴斯基客户端认证证书,该证书由 Thawte Premium Server CA 签署。这样一来,既可以规避卡巴斯基安全软件的签名查杀,还可在受害组织发现自身内部网络流量存在异常时,把这种异常怪罪于其他组织。 知情人士透露,虽然 Hive 不对最终用户构成直接威胁,但如果黑客用其建立一个主干结构,并将其交付与控制其他攻击的话,那么世界就会变得非常糟糕。目前,尚不清楚 Vault 8 文档包含多少条目,但 Wikileaks 表示,他们不会发布有关零日漏洞的源代码信息,以避免黑客滥用行为。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Brother(兄弟)打印机安全漏洞或导致设备遭受拒绝服务攻击

据外媒 11 月 7 日报道,网络安全公司 Trustwave 研究人员 SpiderLabs 近期发现 Brother 制造与出售的联网打印机存在一处安全漏洞,允许攻击者远程操控设备后展开拒绝服务攻击。目前据 Shodan 搜索结果显示,全球至少 14,989 台 Brother 打印机设备暴露于公网当中很可能会受到这一漏洞影响。 研究人员表示,攻击者主要通过该漏洞向在线的目标打印机发送错误格式的 HTTP POST 请求来执行攻击,从而远程操控设备。从网络角度来看,虽然与普通的 HTTP 流量攻击类似,但该活动的攻击极其频繁,每隔几分钟就会针对受损设备发送一个请求并完成一次攻击。 Trustwave 威胁情报负责人 Karl Sigler 表示:“这一漏洞危及了所有具备 Debut 嵌入式网络服务器的 Brother 设备,其 1.20 版本或更早版本普遍遭受影响。不幸的是,尽管我们多次联系 Brother 公司解决这个问题,但他们至今并未发布补丁程序。” 对此,为降低漏洞所产生的影响,研究人员提醒设备管理员使用防火墙或类似设备严格限制访问权限。此外经调查发现,这一漏洞似乎不会得到妥善解决,因为即使官方提供补丁更新打印机系统,也可能需要人工部署,例如攻击者可能会事先启动拒绝服务攻击,随后利用社会工程等手段冒充技术人员直接物理访问相关 IT 资源。 原作者:Michael Mimoso,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

新加坡立法严格限制企业使用国民身份证权限,以防个人信息盗窃、欺诈等非法活动

HackerNews.cc 11 月 8 日消息,新加坡个人数据保护委员会(PDPC)于近期正在修订国家 “个人数据保护法案”(PDPA)指导方针,意在严格限制企业使用国民身份证(NRIC)权限,以防各组织或个人信息被用于盗窃、欺诈等非法活动。与此同时,该国还提出一项新安全法案,希望能够削减官僚作风、缓解各政府公共部门的数据共享问题。 个人数据保护法案(PDPA)的指导方针是专门为收集、使用和披露国家公民身份证号码的企业提供规范式管理。虽然每位公民的身份证都是独一无二的,但事实证明这些身份证号码已广泛用于各种项目,包括进出某座大楼、参与顾客忠诚计划以及各抽奖活动。 PDPC 表示,部分常见的商业惯例将在法案修订后不得不进行更改。例如,超市不能再从购物者那里收集身份证号码后追踪地下停车场免费停车数量以及使用此类调查结果创建零售会员账户。不过,使用 NRIC 号码仍然是验证个人身份的必要手段,例如寻求医疗的病人。目前,由于企业获取公民身份证号码的服务种类繁多,因此 PDPC 有必要审查涉及其应用的指导方针。 在新加坡,公民身份证号码是一个永久、不可替代的标识符号,可用于解锁与个人有关的大量信息,其中包括姓名、照片、虹膜图像、指纹和居住地址等。因此,个人身份证号码的使用需要特别谨慎。此外,最新拟订的法案中还将包括一项规定,要求企业在最新指导方针确定后 12 个月内对其流程进行必要更改,但新加坡公共部门除外。 与此同时,在议会发表的另一个声明中,政府还提出一项新安全法案,旨在削减官僚作风,从而更好地使公共部门共享数据。据悉,新加坡公共部门希望各政府机构能于 2018 年统一执行一份 “治理与问责一贯制” 的标准准则。 知情人士透露,新加坡国家管理人员将于新法案正式通过后敦促所有公共机构与部委统一遵守规则,并授权公务员进行集体指导与监督。另外,新法案不仅要求政府机构只能在 “数据共享法案” 允许范围内共享数据,还制定了公民安全保障措施,以防任何数据遭到滥用。例如,在没有国家政府指示的情况下访问或披露用户数据,或将判处高达 5000 新元的罚款或最高两年的监禁。 原作者:Eileen Yu,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全报告:越南黑客组织 APT32 成为威胁领域中 “最先进” 网络犯罪团伙之一

据外媒 11 月 7 日报道,网络威胁响应公司 Volexity 近期发表一份安全报告,宣称越南黑客组织 APT32 已然成为当今威胁领域中 “最先进” 的网络犯罪团伙之一。 黑客组织 APT32(也称为:OceanLotus)自 2012 年以来一直处于活跃状态,其主要针对越南境内多家行业机构、境外组织、政客与记者展开大规模网络间谍活动,或有越南政府背景。 FireEye 安全专家此前曾注意到黑客组织 APT32 自 2014 年以来就已针对越南多家境外制造业、消费产品生产业及酒店领域进行情报搜集活动,其中包括目标企业的运营情况、是否遵守越南相关条例等。知情人士透露,APT 32 所获情报均与越南国家利益有关,但对其普通公民毫无用处。此外,该黑客组织还利用独特的恶意软件结合商业工具针对外围安全企业及与境外投资相关的安全公司展开网络攻击。因此,安全专家推测黑客组织 APT32 可能与越南政府有关,但该国否认参与其中。 Volexity 研究人员于今年 5 月以来一直在跟踪该黑客组织攻击活动,他们观察到 APT32 主要瞄准亚洲多个国家、东南亚国家联盟(ASEAN)、媒体,以及人权和公民社会组织展开大规模监视与网络间谍活动,而这些攻击似乎是通过战略性破坏目标网站进行,并已经发生在多个备受瞩目的东盟峰会上。Volexity 认为,该黑客组织的攻击规模可以与俄罗斯 APT 组织 Turla 相提并论。 目前,Volexity 在分析了 APT 32 最近一起活动后总结了该组织的主要攻击特点: ο 主要通过战略性破坏网站进行大规模数字化分析与信息收集活动; ο 瞄准与政府、军事、人权、公民社会组织、媒体、国家石油勘探等有关的个人与组织发动攻击; ο 使用白名单定位目标用户与组织; ο 利用自定义 Google Apps 访问受害者的 Gmail 帐户,以窃取电子邮件和联系人等敏感信息; ο 战略性和有针对性的修改受害网站视图,以便安装恶意软件或窃取访问者的电子邮件帐户; ο 大型 DDoS 攻击的基础架构由多家服务器托管商提供; ο 伪造合法在线服务与组织的域名分发恶意软件,如 AddThis、Disqus、Akamai、百度、Cloudflare、Facebook、Google 等; ο 加密目标企业 SSL/TLS 证书; ο 开发并使用多款后门软件,如 Cobalt Strike 等。 Volexity 表示,黑客组织 APT32 正迅速发展并增强自身能力,因此安全专家认为该威胁团队已然成为当前领域中 “最先进” 的组织之一。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

神秘黑客组织 SowBug 利用新恶意软件 “Felismus” 窃取南美、东南亚等多国外交机密

HackerNews.cc 11 月 7 日消息,赛门铁克研究人员近期发现神秘黑客组织 SowBug 正肆意分发一款新型恶意软件 “Felismus”,意在窃取阿根廷、巴西、厄瓜多尔、秘鲁与马来西亚等多国政府机构的外交机密。 Felismus 是一款复杂的远程访问木马,其模块化结构允许黑客通过后门隐藏或扩展恶意功能。像多数银行木马一样,该恶意软件不仅允许黑客完全操控受害系统,还允许他们通过远程服务器进行通信、下载文件与执行 shell 命令。 调查显示,黑客组织 SowBug 至少从 2015 年开始活动,其主要瞄准南美、东南亚地区的多个国家机构进行一系列针对性攻击活动。此外,研究人员发现该组织资源充足,能够同时渗透多家系统并在目标机构的工作时间外运作。相关证据表明,该攻击者主要使用一款黑客工具 Starloader 通过 Windows 或 Adobe Reader 更新时在受害者的网络中部署恶意软件。 研究人员表示,他们已经发现黑客通过 Starloader 工具分发恶意文件 AcrobatUpdate.exe 和 Intelupdate.exe 的证据。不过,值得注意的是,攻击者并没有损害系统软件本身,而是重新命名了恶意文件的名称,使其与合法软件所使用的文件名类似,并将它们放置在目录中,从而不会引起怀疑。此外,Sowbug 黑客还采取了其他一系列措施规避安全软件的检测。 研究人员表示目前所掌握的证据还不足以揭露黑客组织 Sowbug 的真实身份。HackerNews.cc 在此提醒各国政府机构提高系统安全防御体系,以防黑客肆意感染系统后展开大规模攻击活动。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

《天堂文件》公开全球众多富人财务数据,原是离岸律师事务所 Appleby 遭黑客入侵所致

德国媒体 Suddeutsche Zeitung 于 11 月 5 日曝光一份财务报告 –《天堂文件(The Paradise Papers)》,揭露了全球商业、政治、娱乐等领域知名人士以及大型企业的财务结构、离岸账户情况与避税策略。据称,泄露文件数量超过 1340 万份,其中不仅曝光了唐纳德·特朗普内阁成员的海外交易,还揭露了英国女王伊丽莎白二世以私有财产在开曼群岛基金会投资数百万英镑,以及苹果公司利用 “双重爱尔兰” 税收标准大幅削减税务支出。 HackerNews.cc 10 月 6 日最新消息,调查人员发现财务报告《天堂文件》的大部分内容均来自离岸律师事务所 Appleby。随后,Appleby 发表声明,宣称此次泄露事件由黑客入侵公司电脑系统导致,并非内部人员引发。知情人士透露,这些泄露文件由德国媒体 Suddeutsche Zeitung 最先曝光后转至国际调查记者协会(ICIJ)进行审查。不过,该媒体并未透露信息确切来源。 Appleby 发言人表示:“我们在此申明,公司内部人员并未泄密任何文件。然而,对于此次事件的发生,我们深表歉意。目前,公司已申请国际网络与威胁团队进行调查,其初步结果显示,该事件由黑客入侵公司电脑导致,并且暂时没有证据表明数据泄露的踪迹。此外,我们对于相关媒体使用非法途径获取材料后进行非公正报道感到极其失望。我们将继续展开调查,以确保用户信息安全。” 相关媒体表示,不管 Appleby 如何强调公司没有作出任何非法行为,但此次泄露事件的发生都将给公司带来严重的法律影响。HackerNews.cc 将为您持续关注并提供跟进报道。 相关阅读: Ο 《天堂文件》曝大量苹果税务安排细节 Ο 国际调查记者联盟泄露“天堂文件” 揭惊天秘密,英女王千万投资涉嫌避税 原文作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。