M帅帅

ヾ(・ε・`*) I AM SHUAISHUAI ! !!

谷歌早已看穿一切:尘封数年的“水族馆”报告揭示俄间谍组织 APT28

国外媒体 MotherBoard 网站分享了一份谷歌此前从未公开过的关于俄罗斯网络间谍组织 APT 28 的活动报告。该报告于 2014 年 9 月 5 日编写完成,内容主要为 Google 团队收集的俄罗斯间谍组织的活动情报。目前 Google 已经公开了这份报告。 报告的标题相当明确:“窥视水族馆”,而俄罗斯军事情报机构 GRU 的总部俗称就是“水族馆”。 2014 年 10 月 FireEye 曾发布了一份报告,将一些东欧国家的网络攻击与俄罗斯网络间谍联系在一起,并命名该组织为 ATP28 。该组织着重于收集对俄罗斯政府有用的情报,目标为美国国防承包商、欧洲安全组织和东欧政府机构。在 FireEye 发布报告之前,也有其他安全公司在调查该组织。显然,Google 也在其中并先于 FireEye 整理出报告,只是出于某种原因一直没有对外发布。此后 APT 28 也被称为 Pawn Storm、Sednit、Sofacy、Fancy Bear 、Tsar Team 。 Google 安全团队的这份 42 页关于 APT 28 活动的报告,可以说是相当的“罕见”:一方面虽然它很早的被整理好,但此前从未发表过,公众没想到谷歌竟然早已做出了有深度的威胁情报分析。另一方面谷歌很少出这种类型的分析报告,这种报告常见于威胁情报公司。 报告的数据来源于病毒分析数据共享平台 VirusTotal ,其中明确提到了恶意软件 Sofacy 和 X-Agent 被俄罗斯支持的黑客所使用,并针对前苏联国家,北约成员国和其他西欧国家。这意味着 Google 早在多年前就意识到该威胁,并在 FireEye、ESET 安全公司之前就将黑客组织与俄罗斯政府联系起来。 根据报告显示,恶意软件 X-Agent 多针对格鲁吉亚,罗马尼亚,俄罗斯和丹麦。碰巧前不久有报道称恶意软件 Xagent 已经有了新变种,除了攻击 Windows、iOS、Android 和 Linux 设备,现在还可以攻击 Mac 用户。 谷歌在报告中表示, 复杂的恶意软件 X-Agent 只被 APT 28 使用针对高优先级目标。常规情况下, APT 28 一般使用恶意软件 Sofacy 进行间谍活动。据 VirusTotal 显示,恶意软件 Sofacy 的数量是 X-Agent 的三倍且有超过 600 个不同的样本。 该报告中还包括有关 APT 28 使用的相关技术细节。总的来说,这份报告最让人印象深刻的一点就是:Google 的安全团队能够在其他威胁情报公司之前就早早识别出威胁源,并加以合理分析推测。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美拟立新法:警方 Stingary 电话追踪技术将受限

据外媒报道,由众议院及参议院立法者组成的两党小组提出了一项新的议案,它将要求美国警方在使用伪基站监控设备 Stingrays 前必须获得来自法院的许可文件。通常情况下,Stingrays 可以帮助警方利用嫌疑人手机或可穿戴设备发出的蜂窝网络数据来确定他们的位置。实际上,这项技术颇受争议,因为它在协助警方破案的同时还可能会损害到经过的无辜民众的利益。 对此,立法者希望通过《地理定位隐私与监控( GPS )法案》来遏制这项技术的滥用以及提高这项技术使用的透明度。众议院监督与政府事务委员会主席 Jason Chaffetz 表示,虽然他们也欢迎执法部门使用新技术抓捕罪犯,但他们也必须要时刻警惕新技术的滥用。民主党众议员 John Conyers 补充道:“当政府对某个人使用了这项追踪技术,那么它也能获取其公共行动档案,包括他的家庭背景、政治立场、职业、宗教以及其他一些亲密交往活动。” 最近一项调查显示,美司法部与国土安全局于 2010 年和 2014 年在 Stingray 上分别投入了 7100 万美元和 2400 万美元。 FBI 局长 James Comey 也曾公开发表过支持 Stingray 技术的言论,称其为发现并抓捕罪犯的关键。 稿源:cnbeta,有删改,封面来源于网络

美国 60 多所大学和政府机构系统遭俄罗斯黑客入侵

根据威胁情报公司 Recorded Future 报道,一个被称为“ Rasputin ”的俄罗斯黑客攻击了 60 多所大学和美国政府机构的系统。 黑客 Rasputin 一直在利用 SQL 注入漏洞攻击目标系统,并在黑市上销售数据库信息。2016 年 12 月 17 日,本站就曾报道过该黑客正试图销售从美国选举援助委员会(EAC)窃取的 100 多个登陆凭证,其中部分帐号还具备最高级别的管理权限。 现在,安全公司 Recorded Future 又确定了新是一批受害者,包括十所英国大学、二十多所美国大学和众多美国政府机构。 如剑桥大学、牛津大学、爱丁堡大学、纽约大学、华盛顿大学、加州大学、美国邮政管理委员会、卫生资源和服务管理局、国家加速器实验室等(查看受害者列表) 现在市面上有很多免费的 SQL 注入漏洞扫描工具像 Havij,Ashiyane SQL Scanner,SQL Exploiter Pro,SQLI Hunter,SQL Inject Me,SQLmap,SQLSentinel,SQLninja 等,这些工具通常被安全团队用于发现、修复 SQL 漏洞,但同样可被黑客利用。不过,Rasputin 是一个有想法的人,据称他使用他自己开发的专属 SQL 工具。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

雅虎就数据泄露再次向用户发出警告、收购价降低 2.5 亿美元

据美联社报道,雅虎近日继续向其用户发出警告, 称在 2015-2016 年之间公司账号可能存在黑客入侵事件,该公司相信黑客通过伪造的 Cookie 入侵用户账号。 此次大规模黑客攻击事件可能导致 10 亿用户账户数据被盗。 雅虎周三证实,该公司正在通知用户,他们的帐户可能已被入侵,但拒绝说出多少用户受到影响。 灾难性的黑客攻击事件也引起了外界对雅虎安全性的质疑。美国最大移动运营商 Verizon 原计划以 48 亿美元收购雅虎的核心业务(互联网业务、电子邮件服务以及雅虎品牌),但近日有报道称 Verizon 有意将收购价降低约 2.5 亿美元。 雅虎警告称,黑客可以通过“伪造的 cookie ”在无需输入密码的状态下入侵 Yahoo 帐号。宾夕法尼亚大学生物教授 Joshua Plotkin 表示:“在我们实验室小组的六个人中,至少有一个人收到了这封电子邮件。” 稿源:cnbeta,有删改,封面来源于网络

讲俄语的开发者创造了世界上 75% 的加密勒索软件

据卡巴斯基实验室统计,在 2016 年全球有 1445434 个用户遭到 62 个加密勒索软件家族 54000 个变种的攻击。平均每隔 10 秒就有一个普通用户遭到勒索,每隔 40 秒就有一个组织或者企业成为攻击目标。 卡巴斯基实验室统计的 2016 年勒索软件威胁 卡巴斯基实验室研究员发现, 62 个加密勒索软件家族中有 47 个是由使用俄语的开发者创建的。这个结论是基于对俄罗斯地下论坛、指挥与控制基础设施和相关文献的观察分析得出。 近年来加密勒索软件发展迅速 一方面归因于灵活且良好的地下生态系统,犯罪分子几乎不需要额外的技术和资金投入,即可借助平台分发勒索软件进行攻击并获得赎金抽成。另一方面,虚拟货币的发展(如比特币),使加密勒索攻击更容易货币化。 参与“业务”的三种类型 俄罗斯地下加密勒索市场目前为犯罪分子提供三种不同的参与方式 ·研发新的勒索软件用于销售 ·发展并支持联盟营销计划,分发勒索软件 ·作为合作伙伴参与联属计划 第一种类型的参与者处于金字塔顶端,不需要参与实际攻击,只负责开发勒索软件,但需要具有很强的代码编写技能。 第二种类型的参与者扮演着代理商的角色,负责联盟营销计划的经营(如一些犯罪社区),借助漏洞包、恶意垃圾邮件等附加工具分发勒索软件。 第三种类型的参与者处于生态链的底层,是联盟营销计划的合作伙伴,负责协助分发恶意软件,可获取赎金的部分抽成。 小结 卡巴斯基实验室还很难解释为什么这么多勒索软件家族由俄语犯罪分子开发。目前卡巴斯基正在跟踪几个专门从事加密勒索软件开发和分发的组织。他们的目标列表不仅包括普通的互联网用户,还包括中小型企业,传播范围也从俄罗斯地区蔓延向世界其他地区。 勒索软件攻击企业的方式也发生着改变。它们不再依赖于钓鱼邮件传播勒索软件。相反,它们开始攻击企业的服务器并利用开源漏洞工具传播勒索软件,并建立后门持续监控网络、识别重要文件。攻击目标也变得更加有针对性,并逐渐向大型企业转移。 此外,卡巴斯基实验室还在其博客中介绍了俄罗斯地下勒索软件市场的成本和利润之间的关系以及各层人员间的利益分配。卡巴斯基希望借此提高公众对勒索软件的危机意识做好防范工作、并为想打击勒索软件的有志人士提供参考信息。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软倡导数字日内瓦条约,保护平民免受黑客攻击

微软敦促各国达成类似于“日内瓦公约”的国际协议以及建立一个独立小组来调查和共享攻击信息,从而保护平民免受政府力量支持的网络黑客攻击。 本周二,史密斯在于旧金山举行的RSA互联网安全会议上发言:“现在是政府使用‘数字日内瓦公约’来在互联网上保护平民的时候了。”此外他还表示科技企业也需要为保护客户安全有所作为。 史密斯希望各国回顾 2015 年由 20 个国家提出的建议,其中包括禁止政府破坏他国的基础设施或使用信息和通信技术进行恶意活动。他把这种建议比做 1949 年的日内瓦公约,后者确立了战时平民待遇的国际标准。 稿源:cnbeta,有删改,封面来源于网络

大赦国际曝光针对人权活动人士的钓鱼攻击

过去一年,许多人权组织、工会和记者成为一起针对性的钓鱼行动的目标,攻击者创建了一个虚构的人权活动人士账号去引诱目标访问旨在窃取其 Google 登录凭证的恶意链接。 大赦国际亦称国际特赦组织。于 1961 年 5 月 28 日在伦敦成立。其宗旨是“动员公众舆论,促使国际机构保障人权宣言中提出的言论和宗教自由”;“致力于为释放由于信仰而被监禁的人以及给他们的家庭发放救济等方面的工作(百科)。 攻击者伪装成自称 Safeena Malik 的年轻女性活动人士,利用窃取的照片在社交媒体平台 Facebook、Google、LinkedIn 和 Twitter 创建账号,向卡塔尔外籍劳工相关联的记者、活动人士和工会官员发送钓鱼邮件。Malik 这个词在阿拉伯语中的意思是酋长(King),因此这起行动被大赦国际命名为 Operation Kingphish。 目前并不清楚攻击者的身份,但部分被入侵的账号从卡塔尔 ISP 的 IP 地址进行了访问,卡塔尔则否认参与了网络攻击行动。 稿源:solidot,有删改,封面来源于网络

WordPress REST API 零日漏洞后续调查

此前,本站报道过 WordPress 修复了 REST API 引起的零日漏洞。近日,知道创宇 404 实验室使用 ZoomEye 网络空间探测引擎发现,受该漏洞影响的网站仍然有 15361 个,这些网站分别归属于 82 个国家与地区,其中 Top20 国家与地区分布如下图: 2 月 13 日,404 实验室进一步探测这些网站的运行情况,发现共有 9338 个网站已经留下了黑客的痕迹。随后我们统计了黑客组织留下的黑客代号,发现不同的黑客代号共出现了 85 种。其中 Top20 黑客组织代号如下表: 上图由自 404 实验室提供 上表说明的是此时依旧活跃在互联网上的针对该漏洞的黑客组织的排名,接着我们启用了比较擅长的黑客追踪技能,挖掘总结如下(部分): 1、代号为 w4l3XzY3 的黑客是事件早期被报道出来的黑客之一,此人曾经于 2014 年针对 Drupal 网站进行过相同性质的入侵行为。该黑客一直在入侵网站挂黑页,是个惯犯…… 2.代号为 SA3D HaCk3D 与 MuhmadEmad 的黑客入侵后留下的页面是相似的,均含地域性的政治诉求。不禁联想到本次受影响的站点又以美国居多…… 3.代号为 Shade 与 Sxtz 的黑客在留下的信息中互相问候,疑似同一组织成员…… 4.代号为 GeNErAL HaCkEr ,GeNErAL 与 RxR HaCkEr 的黑客同样疑似出自同一组织,该组织名为 Team Emirates…… 5.代号为 GHoST61 的黑客留下的信息为土耳其语,翻译出来大意是土耳其无处不在,疑似是出自土耳其的黑客组织…… …… 对于此次事件,我们还会在将来持续跟进。 本文由 HackerNews.cc 编辑,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

工控系统将成为勒索软件下一个目标

我们目睹了一系列以 Windows 、Mac、Android 设备以及智能电视为目标的勒索软件。近年来,勒索软件将目标转向医疗机构、教育部门、市政交通以及企业,因为黑客发现通过加密企业的关键数据,使其业务、系统无法正常运行可以勒索更多的赎金。这样一个有利可图的“商业模式”不可能很快被放弃,那么它又将如何继续演变、它的下一个目标又是什么? 针对工控系统的勒索软件 佐治亚理工学院的安全研究人员对勒索软件如何潜在影响工业控制系统(ICS)进行了一项研究。他们开发了一种新型的勒索软件,并模拟勒索软件接管水处理厂的控制系统,攻击者将控制可编程逻辑控制器( PLC )并执行带有严重后果的命令。 模拟攻击旨在突出工业控制系统的漏洞,包括工业设施(如制造厂、水和废水处理设施)的控制系统,以及用于控制自动扶梯、电梯、HVAC 系统的楼宇智能管理系统。研究员将在旧金山的 RSA 会议上首次展示勒索软件入侵 PLC 设备。 研究员模拟了一个水处理设备(其中包括测试用的 PLC 、泵、管子和罐子)并模拟黑客接管了控制系统,命令可编程逻辑控制器( PLC )关闭阀门、增加水中的氯气含量、向工作人员显示虚假的操作信息。黑客可以威胁运营商支付赎金,否则就将大量的氯倒入水中。适量的氯可起到消毒作用并可安全饮用,但大量的氯会造成不良反应。 下面是工控勒索软件攻击的一般流程: 入侵工控系统 → 探测并感染 PLC 设备 → 利用弱密码等策略访问设备 → 加密、修改 PLC 上位机程序 → 索要赎金 结论 工控系统至今还没受到勒索软件影响,不是因为它们比传统网络更安全 ,而是由于网络罪犯还没有找到一个可盈利的商业模式值得让其花费时间去攻击。 近期发生的旧金山市政地铁系统感染勒索软件被迫免费开放,以及英国最大的 NHS 信托医院感染恶意软件导致电脑设备被迫离线等案例表明,攻击者开始将注意力转移到工控网络。可以想象,在这种情况下,工控勒索软件索要的赎金可能高于迄今为止所见到的案例,另一方面,攻击者承担的风险也将大大提高,因为政府机构必定会追踪他们。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

英国政府制定法规,以阻止下一个斯诺登

英国政府正在考虑制定针对获得或分享国家机密的泄密者和记者的新法律。作为即将对英国官方保密法案( OSA )进行修订的一部分而提出的立法草案,可以看到个人因处理泄漏信息而被判入狱长达 14 年。这是现行法律的大幅增加,其惩罚是可达两年的监禁时间和无限罚款。 这项立法被认为是企图确保公众永远不会听到安全机构的任何不法行为或违法行为。人权倡导团体批评这些计划是对举报人的“全面攻击”,一位专家称立法为“直接针对卫报和爱德华斯诺登。”英国检察署杰维斯·金斯伯格( Jodie Ginsberg )告诉媒体,这种变化是可怕的,公布符合公众利益信息的举报人和相关记者会因此面临牢狱之灾,这在民主社会当中是不可想象的。 法律委员会的报告书指出与这些泄漏所造成的危险相比,增加对潜在泄密者惩罚的必要性。它表示,在数字时代,未经授权可以披露的信息量比 1989 年官方保密法案最初起草时要大得多。可以说,这意味着造成损害国家利益和发生此类损害的风险也增加了。 稿源:cnbeta,有删改,封面来源于网络