分类: 今日推送

安全研究人员已找到利用英特尔 Management Engine 漏洞的最新方法

网络安全公司 Positive Technologies 研究人员将于 12 月举行的欧洲 Black Hat 安全会议上报告针对英特尔 Management Engine 漏洞的利用。 自 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 Management Engine(ME),它包含了一个或多个处理器核心、内存、系统时钟、内部总线、保留的受保护内存、有自己的操作系统和程序、能访问系统主内存和网络。 ME 能完全访问和控制 PC,能启动和关闭电脑、读取打开的文件、检查所有运行的程序、跟踪按键和鼠标移动,甚至能捕捉屏幕截图,其功能可视为系统的 “上帝模式”。研究人员称,ME 运行了一个修改版的 MINIX 操作系统——就是与 Linus Torvalds 展开著名论战的荷兰 Vrije 大学教授 Andrew Tanenbaum 开发的微内核。 此外,研究人员还在 Intel ME v11+ 上发现了一处漏洞,允许攻击者在 ME 所在的平台控制单元运行未签名代码。主系统的用户可能察觉不到他们的计算机包含了一个无法清除的恶意程序。 稿源:solidot奇客,封面源自网络;

美国证券交易委员会(SEC)电脑系统发现严重漏洞,或被黑客利用从事内幕交易

据路透社近期获得的一份机密周报显示,截至 2017 年 1 月 23 日,美国国土安全部在美国证券交易委员会(以下简称 “ SEC ” )的电脑里发现了五个 “ 紧急 ” 的网络安全漏洞。这份报告引发了有关 2016 年一次网络攻击事件的最新问题,当时 SEC 的企业文件申报系统 “ EDGAR ” 被黑。 SEC 主席 Jay Clayton 在本周三披露信息称,该委员会在 2017 年 8 月得知黑客可能利用 2016 年的事件从事了非法内幕交易。美国国土安全部公布的这份 1 月检测报告显示,在上述事件发生时,SEC 的电脑里存在第四 “ 紧急 ” 的安全漏洞。目前还不清楚该部发现的这个漏洞是否与 SEC 披露的网络攻击事件之间存在直接联系。不过,该报告显示,尽管 SEC 称其在 2016 年黑客事件发生以后 “ 迅速 ” 打了补丁以修复其前述软件漏洞,但该委员会的电脑系统里还是存在多处漏洞。 此次黑客事件已在整个美国金融行业引发冲击,而征信巨头 Equifax 近期又刚刚披露,黑客已窃取逾 1.43 亿名美国人数据。SEC 发言人尚未就此置评。此外,美国国土安全部在对 SEC 的 114 台电脑和设备进行扫描后发现上述 “ 紧急 ” 漏洞,但尚不清楚这些漏洞是否仍可带来威胁。 在前奥巴马政府时期,这种扫描是每周进行一次的。曾在奥巴马当政期间担任联邦政府首席信息官、现在运营着自己的网络安全咨询公司的 Tony Scott 称:“ 我绝对认为应对任何像那样的紧急漏洞马上采取行动 ”。他还补充道:“ 这是 Equifax 被黑事件的根源。一个紧急漏洞在如此之长的时间里没被打上补丁,从而令黑客有机可乘。” 稿源:cnBeta,封面源自网络;

伊朗黑客组织 APT33 瞄准多国航空国防能源机构展开新一轮网络攻击活动

HackerNews.cc  9 月 20 日消息,美国网络安全公司 FireEye 研究人员近期发现伊朗黑客组织 APT33 似乎开始瞄准多国航空、国防与能源设施展开新一轮网络攻击活动。目前,受影响机构包括美国航空航天公司、沙特阿拉伯商业集团,以及韩国石油石化公司。 黑客组织 APT33 至少于 2013 年就已针对多国关键基础设施、能源与军事部门发起攻击,旨在收集情报、窃取商业机密信息。 调查显示,黑客组织 APT33 通过发送附带恶意链接的网络钓鱼邮件感染目标设备,其主要使用的恶意软件包括 DROPSHOT(病毒传播器)、SHAPESHIFT(恶意软件删除器)与 TURNEDUP(自定义后门)。有趣的是,虽然该组织仅仅利用 DROPSHOT 传播 TURNEDUP 后门,但他们却在攻击活动中发现多款 DROPSHOT 释放样本。此外,恶意软件 SHAPESHIFT 则主要用于擦除磁盘信息并删除文件记录的操作。 目前,FireEye 推测,APT 33 针对沙特阿拉伯与韩国等开展网络攻击活动似乎与伊朗政府机构 NASR 有所联系,因为近期他们部分商业机构处于竞争关系。不过伊朗并未作出任何置评。 原作者:Swati Khandelwal,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露

据外媒 9 月 20 日报道,网络安全公司 UpGuard 研究人员 Chris Vickery 近期发现美国媒体巨头 Viacom 因亚马逊 AWS S3 存储器配置不当,导致大量敏感数据在线泄露,其中包括公司旗下各品牌内部数据、公司服务器详细列表与登录密码,以及 AWS 帐户的访问密钥等 72 份压缩文件。尽管部分数据使用 GPG 加密,但令人不安的是,该存储器中还包含相关解密密钥。 知情人士透露,虽然 Viacom 尚未向 UpGuard 声明这台存储器存在的主要目的,但根据泄露内容似乎可以看出与公司 IT 系统的基础设施配置文件有关。另外,该云存储器中泄露的文件主要由公司运营 IT 系统的跨平台计算服务组织 MCS 负责,这似乎又进一步证实了 Viacom 将公司基础设施的主要信息迁移至亚马逊 AWS 云存储器。 跨平台计算服务组织 MCS( Multiplatform Compute Services ):主要负责 Viacom 旗下各品牌 IT 基础设施管理,其中包括 MTV、美国喜剧电台中心 Comedy Central 与 Nickelodeon 等。 目前,尽管 Viacom 在收到通知后立即删除云服务存储器信息,但尚不清楚黑客是否已掌握这些数据。对此,研究人员极其担忧,因为黑客一旦利用这些数据,极有可能操控公司服务器、窃取重要信息并大规模开展网络钓鱼攻击活动。 关联阅读: 时代华纳逾 400 万客户信息在线泄露,又是亚马逊 AWS S3 配置错误惹的祸? 美国 TigerSwan 因第三方 AWS 漏洞泄露数千份敏感简历,或含美驻印尼大使、中情局前员工信息 美国媒体巨头 Viacom 因亚马逊存储器配置不当,致使大量内部数据在线泄露 安全报告:亚马逊 S3 存储服务器错误配置引发数据泄露 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新证据暗示俄罗斯曾利用Facebook组织支持特朗普的集会活动

据外媒报道,现在越来越多的细节显示,俄罗斯曾利用 Facebook 平台干涉 2016 年的美国总统大选。日前,The Daily Beast 在 Facebook 上发现了一个叫做 Being Patriotic 的群组,它的关闭时间跟其他与俄罗斯关联账号的关闭时间刚好一致,另外它所上传的迷因水印图以及所用的页面框架也跟这些账号极为相似。 这似乎都在强烈暗示 Being Patriotic 也是俄罗斯用于干涉美总统大选的账号之一。对此,Facebook 表示无法确认该细节发现。除了分享迷因图之外,Being Patriotic 还曾试图组织 4 场支持特朗普的活动,其中一场则是打算在佛罗里达州 17 座城市同时展开的活动。The Daily Beast 指出,他们至少已经发现 2 场活动最终得到实施–劳德代尔堡和科勒尔斯普林斯,并且它们都被 Facebook 记录在案。 据了解,Being Patriotic 账号关闭时拥有 20 多万名关注者,它还曾试图组织企图在纽约、费城、匹茨堡展开支持特朗普或反对希拉里的活动。因此,The Daily Beast 推测 Being Patriotic 是一家来自俄罗斯的互联网研究机构,该机构曾被美国情报部门视为是跟普金以及俄罗斯情报部门拥有密切关系的“专业水军”组织。虽然这并非公民第一次看到指明俄罗斯利用 Facebook 干涉美总统大选的报道,但这却好像是第一次让人们感受到该种行为带来的实质影响。 稿源:cnBeta,封面源自网络;

联邦快递证实:旗下运输公司 TNT Express 受 NotPetya 影响损失约 3 亿美元

据外媒报道,联邦快递在其最新报告中披露,旗下运输公司 TNT Express 遭勒索病毒 NotPetya 网络攻击后对该公司本年最后一个季度将造成大约 3 亿美元的损失。 据悉,TNT Express 欧洲分部在受到网络攻击后导致运营中断。该公司此前曾警告称,此次事件很可能造成巨额财务损失。联邦快递首席财务官 Alan Graf 表示:“ 网络攻击对 TNT Express 的影响以及联邦陆运(FedEx Ground)业务低于预期的结果将降低我们的利润。我们正在执行减轻这些问题对全年影响的计划。” 联邦快递主席兼首席执行官 Fred Smith 表示,飓风哈维和网络攻击的影响对该公司带来了重大的运营挑战。由于此前网络攻击导致数据泄露或丢失,可能无法恢复受影响的所有系统。该公司表示:“ TNT Express 的全球业务在 6 月 27 日 NotPetya 网络攻击后受到重大影响,大部分 TNT Express 服务在逐渐恢复,但 TNT Express 的收入和利润仍然低于此前水平。” 稿源:cnBeta,封面源自网络;

安全报告:黑客以 CCleaner 为跳板对科技公司发起后续网络攻击

据外媒报道,思科近期公布了一份安全研究报告,指出曾于今年 8 月攻击了用户广泛使用的电脑软件 CCleaner 的黑客,或将尝试感染微软、英特尔以及其他大型科技公司的设备。 尽管有 200 多万用户安装了已经感染的 CCleaner,但这款软件的持有商 Avast 却表示,他们并未在 8 月份的网络攻击中检测到任何损害。另外,Avast 方面宣称,由于他们跟研究人员和执法部门已经展开合作并在不久之前拿回控制权,所以外界的担心没有必要。 然而研究人员却指出,根据美国执法部门截获的控制服务器显示,黑客至少在选取的一个小组中的 20 台电脑上安装了额外的恶意软件。目前尚不清楚这些电脑为哪些公司持有,但数据显示,一些大型知名科技公司是黑客的主要目标,包括三星、索尼、Akamai 以及思科自身。 思科研究人员 Craig Williams 指出,攻击者可以将 CCleaner 安装作为立足接入点,旨在盗取来自目标公司的技术秘密。更加麻烦的是,他们还能在提供给政府或企业的产品中植入恶意代码。对此,Avast 首席技术官 Ondrej Vlcek 表示,只有极小一部分的终端受到后续感染,并且他们已经联系受影响公司进行恢复。 稿源:cnBeta,封面源自网络;

流行 Steam 扩展 Inventory Helper 被发现监视用户一举一动

据外媒报道,流行的 Google Chrome 浏览器扩展 Steam Inventory Helper 近期被发现是间谍软件,旨在监视用户在浏览器上的一举一动。 根据官方商店的统计,该扩展被超过 96 万用户使用。然而,对该扩展的代码分析发现,它会监视你产生的每一个 HTTP 请求,如果条件满足就将请求摘要发送到其服务器上。 此外,该扩展还会监视你何时访问一个网站,从何处来的,又何时离开,何时移动鼠标,何时输入和按键,点击了什么。如果点击了一个链接那么这个链接就会发送到后台脚本。对此,研究人员建议安装该扩展的用户建议尽可能快的卸载。 稿源:solidot奇客,封面源自网络;

英国电信联合澳大利亚新南威尔士政府成立悉尼网络安全中心

据外媒报道,近日英国电信运营商( BT )联合澳大利亚新南威尔士州政府近期宣布将于悉尼成立一所全球网络安全研究与开发(R&D)中心,旨在加强国家网络安全防御体系。 BT 在全球拥有 14 家网络安全运营中心(SOC),其主要为 180 多个国家的网络安全提供开发与管理服务。据悉,BT 曾于今年 5 月就已经和澳大利亚开展合作项目,即通过该国研发部门的新网络安全平台 Assure 进行大量开发工作,从而学习算法并对其进行数据分类,以便加快人机运转效率。 新南威尔士州政府的监管部长 Matt Kean表示:“ 我们将投资 167 万澳元用于支持网络安全中心的发展与创新。因为我们相信,该机构的成立不仅是国家经济的主要动力,还将成为保护大型企业、行业、政府,甚至国家网络攻击的实时神经中枢 ”。 英国电信公司发表声明,宣称网络安全中心除扩大了悉尼现有的安全运营中心外,还将在未来五年内提供 172 个新工作岗位,其中包括 38 个研究生职位。此外,新成立的中心还将包括网络安全、机器学习、数据科学分析、可视化研究、大数据工程、云计算与数据网络等专业领域。知情人士透露,该中心将是英国电信在英国以外成立的第一家网络安全研发机构,而英国电信也将在此次投资中提供数百万澳元用于聘请高技术网络安全专家,旨在培养新一代人才,以确保国家在快速发展的互联网行业中保持领先地位。 目前,这项行动的开展不仅吸引了澳大利亚新南威尔士州最优秀的网络安全人才,还为海外工作的澳大利亚公民提供了返回家园并带来宝贵技能的动力。另外,为配合此项行动的新网络产品研发,英国电信将重点改进网络安全服务,旨在加速企业在数字化服务领域的上市时间。 原作者:Corinne Reichert,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

以色列安全团队研发新技术:通过具备红外功能的安全摄像头窃取数据信息

HackerNews.cc  9 月 19 日消息,以色列内盖夫本-古里安大学的研究团队近期开发出一项新型技术,将恶意软件 IR-Jumper 安装在与安全监控摄像机/软件进行交互的计算机上,即可通过具备红外功能的安全摄像头窃取目标用户数据信息。 研究人员表示,该款恶意软件主要在感染目标计算机后收集数据并将其分解为二进制数值,然后通过操控设备的 API 使摄像头的红外 LED 灯闪烁,从而利用这个机制传输信息。只要攻击者在红外二极管闪烁的范围内,就可通过闪烁记录重组信息。 值得注意的是,攻击者可在数十米至百米的距离内与摄像头通信,且数据可以以 20 bit/s 的速率从目标设备传出、以超过 100 bit/s 的速率传输至攻击者设备。另外,攻击者还可使用自身设备的红外二极管发送闪烁指令,远程操控受感染目标设备。 调查显示,由于红外线的发射对于人眼来说不可察觉,因此用户不会看到任何配备红外二极管的安全摄像头出现网络受损现象。与此同时,该款恶意软件还可 “ 部署 ” 在连接互联网的设备上,实现规避安全软件检测、窃取目标设备重要信息的功能。 更多详细内容可阅读 bleepingcomputer.com. 原作者:Catalin Cimpanu,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接