Netgear 路由器 NightHawk R7000 新款固件具有远程数据收集功能

据外媒报道,美国知名企业 Netgear 公司于上周更新的 Netgear NightHawk R7000 无线路由器固件具有远程数据收集功能,可收集路由分析数据并发送至厂商服务器。 安全研究人员 AceW0rm 于去年 8 月发现多款 NetGear 路由器存在远程代码漏洞并上报厂商,但 Netgear 公司并未做出任何回应。随后,AceW0rm 于同年 12 月公开披露该漏洞概念验证代码。 调查显示,Netgear NightHawk R7000 路由器新款固件可收集路由器连接设备的总数、IP 地址、MAC 地址、WiFi 信息以及连接WiFi的设备信息等数据。 目前,Netgear 正低调处理该问题并声称新固件数据收集功能属于常规诊断处理范畴,有助于厂商快速了解用户操作习惯与路由器运行方式。Netgear表示,如果用户注重隐私且不希望 Netgear 收集数据信息,可禁用此功能或使用 DD-WRT(一款基于 Linux 的开源固件,旨在加强无线网络路由器的安全与性能)替换该固件。 原作者: Wang Wei, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

EternalBlue 漏洞早现端倪,勒索病毒 WannaCry 爆发并非偶然

据外媒 22 日报道,网络安全专家发现至少有 3 个黑客组织在勒索软件 WannaCry 爆发数周前就已利用 NSA EternalBlue SMB 漏洞开展大规模黑客活动。 黑客组织 “ Shadow Brokers ”( 影子经纪人 )于今年 4 月披露 SMB 协议漏洞后没多久,多个黑客组织就已利用该漏洞展开大规模网络攻击,例如自 4 月 24 日起就处于活跃状态的僵尸网络 Adylkuzz。 网络安全公司 Cyphort 在蜜罐服务器中检测到某黑客组织曾于 5 月初利用 SMB 漏洞提供远程访问木马(RAT)隐藏服务,尽管后者并未显示出类似于 WannaCry 勒索软件的网络蠕虫功能。但 Cyphort 分析报告指出,一旦该漏洞被成功利用,攻击者将发送加密 payload 感染目标系统、关闭 445 端口以防止其他恶意软件滥用同一漏洞。 此外,该报告还包括一些特殊威胁指标,例如 C&C 服务器可以向恶意软件发送各种命令,其中包括监控屏幕、捕获音频与视频、读取击键记录、传输数据、删除文件、终止进程、下载执行文件等多种操作。 安全公司 Secdo 也表示,黑客组织早在 4 月中旬就已利用基于 EternalBlue 漏洞感染受损网络中的所有机器并渗透登录凭据。当月下旬,Secdo 安全专家还发现另一起利用 EthernalBlue 漏洞的攻击事件,或与利用僵尸网络分发后门的某中国黑客组织有关。此外,Heimdal 安全专家也于近期发现无文件恶意软件 UIWIX 利用 EternalBlue 漏洞在受感染系统的内存中运行。 总而言之,在勒索软件 WannaCry 肆意传播之前,至少有 3 个黑客组织已利用 NSA 黑客工具开展网络攻击活动。这在很大程度上意味着安全社区未能及时监控威胁或共享所观察到的攻击信息。 原作者: Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Terror EK 漏洞开发工具包新添指纹识别功能

据外媒报道,Talos 网络安全团队发现,继 Stegano 漏洞开发工具包( EK )更新版本发布后,Terror EK 于近期也进行了优化完善,不仅可以指纹识别用户设备,还可针对特定漏洞侵入目标系统。 Terror EK 最早出现在 2017 年 1 月的威胁势态中,其安全专家于 4 月观察到黑客利用 Terror EK 开展的攻击活动呈显著上升趋势。由于该工具包与 Sundown EK 存在相似之处,所以 MalwareBytes Labs 专家最初认为是后者的新变种,但调查结果显示,两种工具包实际由不同研究人员开发。 黑客 @666_KingCobra 曾在各地下论坛以不同名称(  Blaze、Neptune 与 Eris)发布 Terror EK 售卖广告。Malwarebytes Labs 专家表示,Terror EK 在恶意软件传播活动中主要利用 IE 浏览器、Flash 与 Silverlight 漏洞传播 Smoke Loader。此外, Terror EK 还参与了另一起攻击活动,即利用不同登录页面传播恶意软件 Andromeda。 调查显示,Terror EK 新版本能够确定受害者 PC 端运行的特定操作系统、浏览器版本、安装的安全补丁与插件。当黑客通过不同浏览器(如 IE11 或 IE8 )访问该网站时,则需使用不同插件。此外,安全研究人员还发现,Terror EK 使用基于 cookie 的身份验证下载漏洞并阻止第三方访问。据称该方法不仅可以防止调查人员了解受害系统如何遭受感染,还可防止其他攻击者窃取这些漏洞。 原作者: Pierluigi Paganini, 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

朝鲜网络精英战队 Unit 180 涉嫌参与黑客攻击活动

据外媒 21 日报道,安全专家发现朝鲜人民军侦察总局( RGB )下属的网络精英战队 Unit 180 涉嫌以谋取经济利益为目的、针对金融机构大肆展开网络攻击活动。 朝鲜外逃的前计算机科学教授 Kim Heung-kwang (金信宽)表示,Unit 180 成员可能化身为贸易公司、朝鲜海外分公司或中国与东南亚合资企业雇员,前往海外寻找比朝鲜更好的互联网服务并以此方式洗脱罪名。战略与国际研究中心专家 James Lewis 向 路透社 透露,朝鲜不仅利用黑客手段针对韩美两国开展间谍活动与政治骚扰,还在索尼被黑事件后改变策略,即通过支持犯罪活动为执政当局提供硬通货政权。据悉,这一战略显然比此前毒品、伪造与走私活动获益更多。 美国国防部在向国会提交的一份报告中指出,朝鲜可能 “ 将网络视为一种具有成本效益的不对称、可否认工具。这种工具几乎不具有报复性攻击风险,其部分原因是因为该国网络很大程度上与互联网相分隔 ”。此外,该报告还指出,朝鲜很可能为掩饰攻击起源与互联网基础设施通过第三方国家发起网络攻击活动。调查显示,马来西亚已经成为朝鲜网络攻击行动的基地,而朝鲜 RGB 也与两家马来西亚科技公司存有潜在联系。 警方表示,朝鲜曾于去年六月入侵 160 家韩国企业与政府机构逾 14 万台计算机设备。如今,恶意代码的植入已成为朝鲜长期国防计划的一部分,为大规模网络攻击奠定了基础。 原作者:Sarmistha Acharya, 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

F-35 战斗机也有安全漏洞?网络空间威胁或令人类生命岌岌可危

据外媒 20 日报道,以色列网络安全专家于近期在耶路撒冷召开的网络安全会议上指出,被列为全球最先进、最受欢迎的喷气式战斗机之一的 F-35 容易遭受黑客攻击。 F-35 的网络威胁防御能力并非首次遭受质疑。安全专家认为,勒索软件的肆意传播预示了针对人类生命的网络空间威胁可能并不遥远。对此,IMI Systems 公司表示,如果硬件措施落实到位,那么无需软件支持即可有效预防此类攻击。F-35 由洛克希德( Lockheed )公司自动物流信息系统( ALIS )控制。目前,专家们发现  ALIS 已被赋予太多权限,甚至在某些情境下进行人为干预也无济于事。 Bratt 表示,黑客可以利用该系统漏洞实施控制,致使飞行员无法正常驾驶;而为避免此类事件的发生、确保硬件在软件功能尽失的情况下保持正常运转是极其重要的。此外,想要防御黑客攻击不能仅通过软件系统的更新来实现,开发人员还需从硬件设计方面考虑防御措施。目前,厂商正考虑为  F-35  型号战斗机升级防御系统,但并未向公众透露任何细节。 原作者: Agamoni Ghosh, 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客针对波罗的海各国能源网络展开“探索性”攻击,或有政府背景

据外媒 20 日报道,北约( NATO )联盟网络安全专家发现有黑客组织针对波罗的海( Baltic )各国能源网络展开 “ 探索性 ” 攻击,导致其他国家禁用该地区能源网络。目前,北约联盟正密切关注此事,专家怀疑此事与俄罗斯政府存有潜在联系。 波罗的海成员国立陶宛、拉脱维亚与爱沙尼亚是欧盟计划将其电网与欧盟同步的主要成员。 据网络安全专家、政府官员与执法机构透露,黑客组织在过去两年里持续针对波罗的海能源网络展开 DDoS 攻击,旨在探测网络架构、找寻能源网络的弱点所在。其中,影响最为严重的攻击事件是东欧乌克兰特定地区能源电网导致大面积停电事件。 据路透社报道,黑客曾于 2015 年底发起一场大规模 DDoS 网络攻击,旨在控制波罗的海电网 Internet 网关。据悉,该场攻击活动虽然中断了部分地区的网络操作,但并未造成大面积停电现象。此外,该黑客除了针对波罗的海配油系统发起 DDoS 攻击以破坏汽油从储罐运送至加油站的网络连接外,还利用恶意软件攻击波罗的海电网网关。 目前,安全专家仍在调查上述事件,但不能排除黑客已成功入侵 波罗的海 国家关键基础设施的可能性。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 WannaCry 感染美国至少两家医院医疗器械

据美国知名媒体福布斯( Forbes )报道,勒索软件 WannaCry 于近期已感染至少两家美国医院医疗器械。 美国国家安全局( NSA )武器库于上周遭神秘黑客组织 “影子经纪人” 在线曝光,WannaCry 勒索软件肆意蔓延。据称,该勒索软件网络攻击活动主要是利用 NSA 研究人员开发的 “ Eternal Blue ” 工具通过早期版本的 Microsoft Windows 系统漏洞感染全球用户设备。 福布斯记者提供了一张已感染勒索软件的医疗设备图像,疑似全球知名企业拜耳(Bayer )公司的放射学设备,其主要用于人体内部注射造影剂以辅助 MRI(核磁共振成像)扫描。(如下图) 勒索软件 WannaCry 感染该医疗设备,主要是因为它运行在(未打补丁的) Windows Embedded 操作系统中且支持 SMBv1 协议。目前,就连福布斯也并不知晓受感染的医院名称,但拜耳公司已证实收到两份美国客户系统报告。拜耳表示,勒索软件给医院带来的影响较有限,已在 24 小时内恢复正常,同时将于近期发布旗下产品基于 Microsoft Windows 设备的补丁。 此外,健康信息信任联盟(HITRUST)相关人士证实,勒索软件 WannaCry 目前也感染并锁定了全球知名企业西门子(Siemens )公司的部分 Windows 医疗设备。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

维基解密最新爆料:CIA 间谍软件 “ Athena ” 可远程劫持所有 Windows 系统

据外媒报道,继美国中央情报局( CIA ) 勒索软件工具 AfterMidnight 与 Assassin 在线曝光后,维基解密再度泄露其间谍软件 Athena 文档,旨在揭示  CIA 可感染并远程监控所有 Windows 版本用户系统。 微软于 2015 年 7 月发布 Windows 10 系统,而间谍软件 Athena 最早可追溯至 2015 年 8 月,由开发人员采用 Python 程序编写。 间谍软件 Athena 是 CIA 开发人员与网络安全公司 Siege Technologies 共同合作的结果,具备实时修改目标系统配置并可制定特殊操作的功能。维基解密声称,用户一旦下载安装恶意软件 Athena 后,系统将自动加载执行特定任务的恶意 payloads、传送和检索指定目录的文件内容。 目前,虽然维基解密并未提供有关 CIA 使用间谍软件 Athena 开展监控活动的任何细节,但不难想象 CIA 会如何使用此程序监视目标系统。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

汇丰银行语音识别系统存在漏洞,可通过模仿声音绕过验证、获取账户信息

据 BBC  20 日报道,香港知名企业汇丰银行( HSBC )的一个客户 Dan Simmons 与其孪生兄弟发现银行语音识别系统存在漏洞,可通过模仿目标用户的声音进行身份验证并获取账户信息。 汇丰银行于 2016 年推出语音识别 ID 系统,要求客户设置人体声音为登录凭证,以便使用手机银行时可快速核实身份并授权访问帐户信息。汇丰银行表示,其语音识别系统可在数秒内分析客户声音并检查超过 100 种行为举止与身份特征(包括嘴巴的大小、形状、谈话的速度以及言语的表达),以便匹配客户原始录音并允许使用手机银行登录。 BBC 报道称,Dan Simmons 在设立汇丰语音身份验证帐户后,弟弟 Joe 经过 8 次尝试、成功通过帐户详细信息、出生日期及简单的谈话访问了 Dan 汇丰帐户。虽然 Joe 无法从账户中提取任何资金,但他可获取账户余额、近期交易及转账信息。 汇丰银行表示,已在第一时间对系统进行了审查,并限制客户在被阻止访问之前只可进行三次语音 ID 识别检测。此外,该负责人还表示,就目前而言语音识别系统依旧是认证客户最安全的方法之一,该技术的引入不仅比 PIN 或密码验证安全可靠,还可大大减少电话欺诈行为。 原作者: Hyacinth Mascarenhas, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

德国政府修正案在线泄露,公正执法与隐私保护孰重孰轻

德国知名博客 Netzpolitik 于本月 17 日在线公布一份经泄露的政府修正法案,其内容指出德国政府允许执法机构在包括 制造假币、洗钱、重大贿赂、性侵、儿童色情图片传播等 27 种不同类型的刑事案件中使用恶意软件 Staatstrojaner 绕过加密机制调查犯罪行为。 德国政府及基督教民主联盟( CDU )、基督教社会联盟( CSU )与德国社会民主党( SPD )长期以来一直致力于刑事司法改革。然而,随着 9 月联邦选举的日益临近,政府似乎不再满足于采用传统的窃听手段,而是选择通过扩大执法机构的黑客力量入侵公民智能手机与电脑展开更多类型的犯罪调查。尽管德国联邦宪法法院早已声明此类调查机制仅用于危及公民生命的极端情况。 德国联邦议院相关人士透露,政府计划于六月底前正式提交修正案,以便在大选来临之前通过该项立法。对此,负责起草法律与修正案的司法部拒绝置评。此类事件并非首次在德国引发热议,Chaos Computer Club 白帽社区早于 2011 年就曾透露德国政府利用恶意软件拦截 VoIP 通信。 原作者:David Meyer ,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接