分类: 今日推送

美众议院将举办 SolarWinds 黑客攻击听证会

据外媒CNET报道,美众议院国土安全委员会和监督与改革委员会于当地时间周一宣布,他们将于本周就SolarWinds遭黑客攻击一事举行听证会。在2月26日的听证会上,SolarWinds CEO Sudhakar Ramakrishna、前SolarWinds CEO Kevin Thompson、微软总裁布拉德·史密斯和FireEye CEO Kevin Mandia都将出庭作证。 听证会将对私营公司在预防、调查和补救影响政府并对国家安全造成损害的网络攻击方面的作用展开调查。 此前,美情报机构曾在1月初将发生在去年的SolarWinds黑客事件归咎于俄罗斯。 据悉,该黑客攻击始于2020年3月左右,当时黑客侵入了总部位于德克萨斯州的SolarWinds的IT管理软件。黑客在SolarWinds的软件更新中植入了恶意代码,该公司约1.8万名私人和公共部门客户安装了受病毒感染的更新。 据报道,此次入侵包括美财政部高层使用的电子邮件系统。相关政府官员已经证实,美国财政部、能源部和商务部都遭遇了黑客入侵。据报道,此次黑客攻击的目标还波及到美国土安全部、五角大楼、国务院、国家卫生研究院和国家核安全局。 这场名为Weathering the Storm: The Role of Private Tech in the SolarWinds Breach and Ongoing Campaign的听证会将于美国东部时间2月26日上午9点开始。         (消息及封面来源:cnBeta)

报道称 SolarWinds 黑客或已入侵 NASA 和 FAA 网络

据《华盛顿邮报》周二报道,SolarWinds黑客或已入侵美国宇航局(NASA)和美国联邦航空管理局(FAA)的网络,这是针对美国政府机构和私营公司的更广泛的间谍活动的一部分。这是在参议院情报委员会举行听证会前几个小时发生的,该委员会的任务是调查这次广泛的网络攻击。美国政府此前表示,这次攻击“很可能源自俄罗斯”。 NASA发言人没有对该报道提出异议,但以 “正在进行的调查”为由拒绝发表评论。FAA的发言人没有回应置评请求。 据悉,NASA和FAA是被证实受到攻击的9个政府机构中剩下的两个未命名的机构。其他七家包括商务部、能源部、国土安全部、司法部和国务院、财政部和国家卫生研究院,不过据信攻击者并没有入侵他们的机密网络。FireEye、微软和Malwarebytes等多家网络安全公司也在攻击中被攻破。 据报道,拜登政府正在准备对俄罗斯进行制裁,很大程度上是因为黑客攻击活动,《华盛顿邮报》也报道了这一消息。 去年,FireEye在自己的网络被攻破后,对黑客活动发出警报后,发现了这些攻击。每个受害者都是美国软件公司SolarWinds的客户,该公司的网络管理工具被联邦政府和财富500强企业广泛使用。黑客入侵SolarWinds的网络,在其软件中植入后门,并将后门与受污染的软件更新推送到客户网络中。 这不是唯一的入侵方式。据称,黑客还瞄准了其他公司,侵入受害者网络上的其他设备和电器,以及瞄准微软厂商,入侵其他客户的网络。 上周,上个月被提拔到白宫国家安全委员会,担任负责网络和新兴技术的副国家安全顾问的前国家安全局网络安全主管安妮·诺伊伯格表示,这次攻击花了 “几个月的时间来计划和执行”,“我们需要一些时间来逐层揭开这个真相”。         (消息及封面来源:cnBeta)

Clubhouse 音频数据遭泄露

2月22日上午消息,据报道,广受欢迎的音频聊天室应用Clubhouse曾表示将采取措施确保用户数据不会被恶意黑客或间谍窃取。然而现在,至少有一名网络攻击者证明了Clubhous平台的实时音频是可以被窃取的。 Clubhouse发言人瑞玛·巴纳西(Reema Bahnasy)表示,本周末,一位身份不明的用户能够将Clubhouse的音频从“多个房间”传送到他们自己的第三方网站上。 虽然Clubhouse公司表示将“永久禁止”这一用户,并配备了新的“安全措施”以防止此类事件再次出现。但仍有研究人员认为,Clubhouse平台可能永远无法兑现这样的承诺。 2月13日,斯坦福互联网天文台(Stanford Internet Observatory)首次公开提出了Clubhouse的安全问题。该机构周日晚些时候表示,使用这款只有受邀才能使用的iOS应用程序的用户应假定所有对话都会被录音。 Facebook公司前安全主管、SIO现任主管亚历克斯·斯塔莫斯(Alex Stamos)表示:“Clubhouse不能为发生在世界各地的任何一场谈话提供任何隐私承诺。” 斯塔莫斯和他的团队还证实,Clubhouse依靠一家总部位于上海的初创公司Agora Inc.来处理其大部分后台业务。斯塔莫斯称,虽然Clubhouse公司主要负责用户体验,比如添加新朋友和寻找房间,但该平台的数据流量处理和音频制作服务仍然依赖这家中国公司。 斯塔莫斯称,Clubhouse对Agora的依赖引发了广泛的隐私担忧。Agora表示,它不能对Clubhouse的安全或隐私协议发表评论,并坚称不会为任何客户“存储或共享个人身份信息”,Clubhouse只是其中之一。Agora公司表示:“我们致力于使我们的产品尽可能安全。” 上周末,网络安全专家注意到,有一些音频和元数据被从Clubhouse平台移到了另一个网站。位于澳大利亚堪培拉(Canberra, Australia)的Internet 2.0的首席执行官罗伯特·波特(Robert Potter)表示:“一个用户建立了一种与世界其他地方远程共享其登录信息的方法。真正的问题是,人们竟认为这些对话从来都是私密的。” 周末音频盗窃背后的幕后黑手围绕用于编译俱乐部会所应用程序的JavaScript工具包构建了自己的系统。斯塔莫斯认为,他们实际上是临时搭建了平台。SIO公开宣称尚未确定袭击者的来源或身份。 SIO的研究员杰克·凯布尔(Jack Cable)称,虽然Clubhouse拒绝解释究竟采取了哪些措施来防止类似的违规行为,但解决方案可能包括防止使用第三方应用程序访问聊天室音频而不实际进入聊天室,或者只是限制用户可以同时进入的聊天室数量。 最近,Clubhouse以10亿美元的估值融资了1亿美元。自1月中旬以来,Agora的股价已经飙升了150%以上,现在它的市值接近100亿美元。         (消息及封面来源:cnBeta)

手机位置信息可分析出隐私信息

在 iPhone 和某些 Android 机型中首次运行应用程序的时候,在使用位置数据之前需要征求你的许可。其中有个选项是只允许本次运行启用定位服务,而不是永久授权该应用程序。但这样严苛的地理位置策略并不意味着就能妥善保护你的数据,尤其在 Android 平台上。近日一项新研究揭示了如何仅从位置信息中就推断出可怕的额外数据量,并提出了处理应用程序可访问的位置数据的新方法,从而更好地保护个人隐私。 来自意大利博洛尼亚大学的 Mirco Musolesi 以及来自英国伦敦大学学院的 Benjamin Baron 两位安全研究专家试图确认通过位置追踪能够收集多少用户个人信息。他们为此开发了一款名为 TrackAdvisor 的应用程序,安装在 69 名用户的设备上。该应用在每台设备上运行了至少两周,追踪了超过 20 万个地点。 该应用识别了大约 2500 个地点,并收集了 5000 条与人口统计学和个性有关的个人信息。TrackAdvisor 只需查看收集到的位置信息,就能推断出志愿者的健康状况、社会经济状况、种族和宗教信仰等数据。这就是用户会认为是敏感和隐私的数据。 Musolesi 在一份声明中说:“用户在很大程度上没有意识到他们授予应用程序和服务的一些权限对隐私的影响,特别是在涉及位置跟踪信息时。由于机器学习技术,这些数据提供了敏感信息,如用户居住的地方,他们的习惯,兴趣,人口统计学,以及用户的个性信息”。 作者表示,这是第一次广泛的研究,阐明了可以从位置跟踪中了解到什么样的信息。在新闻稿中写道:“因此,这项研究也表明了收集这些信息是如何代表侵犯用户隐私的”。研究人员表示,这样的研究可以为改进应用程序中的位置跟踪政策铺平道路,以更好地保护用户隐私。这将涉及更细化的隐私控制,允许用户选择哪些类型的位置信息不应该与应用程序共享。       (消息及封面来源:cnBeta)

红杉资本遭黑客攻击 数据或遭泄露

据报道,硅谷顶尖风险投资公司红杉资本周五对投资者表示,在它的一名雇员遭遇网络钓鱼攻击后,该公司的一些个人信息和财务信息可能已被第三方窃取。红杉对投资者表示,目前还没有迹象表明这些被窃信息在暗网上交易,或者遭到不法分子利用。 红杉资本发言人周六证实,该公司“最近经历了一起网络安全事件”,其安全团队正在调查的此事。该公司表示,他们已经上报给执法部门,并且在与外部网络安全专家合作处理此事。 红杉发言人说:“我们很遗憾这次事件已经发生,目前已经通知了受此影响的个人。我们已经大举投资加强安全性,今后仍将继续应对不断发展的网络威胁。” 红杉的投资者被称作有限合伙人,通常包括大型金融机构、大学捐赠基金、私人家族理财室或主权财富基金,但风险投资公司很少会公开分享投资者的信息。 根据Pitchbook的数据,红杉资本是硅谷最老牌、最成功的风险投资公司之一,管理的资产超过380亿美元。这家拥有49年历史的风险投资公司已经投资了Airbnb、DoorDash和23andMe等公司。根据官网信息,它还投资了FireEye和Carbon Black等网络安全公司。 此次黑客入侵似乎与Solarwinds攻击无关,后者对FireEye构成较为严重的破坏,并对政府机构和微软等大型科技公司产生了影响。         (消息及封面来源:cnBeta)

Avast 披露 CacheFlow 更多细节

去年 12 月,知名网络安全公司 Avast 在 Chrome 和 Edge 扩展商城上发现了 28 个含有恶意代码的扩展程序,有超过 300 万互联网用户受到影响。今天,Avast 进一步披露了该恶意代买 CacheFlow 的相关细节。所幸的是自 2020 年 12 月 18 日起,谷歌和微软均已将所有恶意扩展删除。 这些恶意扩展程序之所以能够躲避谷歌和微软严苛的安全审查,关键原因在于该恶意扩展会尝试使用分析请求的 Cache-Control HTTP 标头来隐藏其命令并控制秘密通道中的流量。Avast 认为这是一项新的技术。Avast 认为攻击者增加了 Google Analytics(分析)样式的流量不仅是为了隐藏恶意命令,而且扩展作者也对分析请求本身感兴趣。 Avast 认为攻击的步骤如下: 基于 Avast 的遥测数据,受影响最严重的三个国家和地区是巴西、乌克兰和法国。 这些恶意扩展程序伪装成工具,帮助用户下载 Facebook、Instagram 等社交媒体或 Vimeo、Spotify 等流媒体平台网站中的内容,但其中的恶意代码允许下载恶意程序来窃取用户敏感数据,重定向到广告和钓鱼网站。 Avast表示,这28个扩展包含可能执行一些恶意操作的代码,包括: ● 将用户流量重定向到广告 ● 将用户流量重定向到钓鱼网站 ● 收集个人数据,如出生日期、电子邮件地址和活动设备 ● 收集浏览历史 ● 擅自在用户设备上下载更多的恶意软件           (消息及封面来源:cnBeta)

Linux 恶意软件 Kobalos 曝光

安全公司 ESET 近日放出了一则警告,提醒一款被挂有木马的 OpenSSH 软件,或被用于从 HPC 高性能计算集群中窃取 SSH 证书。这款 Linux 恶意软件被称作 Kobalos,安全研究人员称之“小而复杂”且“诡计多端”。即使攻击规模不大,但 Kobalos 后门还是渗透了一些主要目标,包括美国政府、欧洲大学、以及亚洲某些大型互联网服务提供商(ISP)的系统。 参考希腊神话中一个顽皮的小动物,ESET 研究人员将这款恶意软件命名为 Kobalos 。但除了 Linux、FreeBSD 和 Solaris,安全专家还发现了能够在 AIX、甚至 Windows 平台上运行的恶意软件变种的蛛丝马迹。 通过逆向工程可知,Kobalos 能够在互联网上扫描受害者。而且在大多数情况下,受害者主要集中在大型系统和超级计算机领域(另有涉及部分私有服务器设施),但目前尚未揪出相关事件的幕后黑手。 过去一年,互联网上曝光了多起涉及 HPC 集群的安全事件。比如 EGI CSIRT 调查发现有计算资源被利用于加密货币的挖矿,受害者包括波兰、加拿大等地的受感染服务器。 新闻中还提到过英国的 Archer 超级计算机(其 SSH 证书被盗),但目前尚不清楚黑客利用哪些恶意软件对其发起了怎样的攻击。 ESET 研究人员补充道,尽管 Kobalos 的代码库很是精简,但却包含了用于运行命令和远程服务器控制的代码。 为缓解攻击,安全公司建议用户为 SSH 服务器连接同时启用双因素身份验证。 最后,ESET 将其检测到的这款恶意软件正式命名为 Linux / Kobalos(或 Linux / Agent.IV)。 而用于 SSH 证书窃取的程序,则被称作 Linux / SSHDoor.EV、Linux / SSHDoor.FB、或 Linux / SSHDoor.FC 。           (消息来源:cnBeta;封面源自网络)

2020 年被勒索软件攻击的组织至少支付了 3.5 亿美元赎金

根据区块链分析公司 Chainalysis 上周发布的统计报告,被勒索软件攻击的机构和组织在 2020 年至少支付了 3.5 亿美元的赎金。该数字是通过追踪与勒索软件攻击相关的区块链地址的交易来编制的。尽管 Chainalysis 拥有加密货币相关网络犯罪最完整的数据集之一,但该公司表示实际金额会超过这个预估值。 在报告中指出,2020 年勒索软件支付的赎金占加密货币总交易金额的 7% 左右。Chainalysis 表示,与 2019 年相比,这一数字增长了 311%,并将这一突然增加的原因归咎于一些新的勒索软件从受害者那里获取了大量的资金,以及一些已经存在的勒索软件提高了赎金金额。   在勒索黑客组织中,报告指出有Ryuk、Maze(现已解散)、Doppelpaymer、Netwalker(被当局破坏)、Conti 和 REvil(又名Sodinokibi) 等集团。尽管如此,诸如 Snatch、Defray777(RansomExx)和 Dharma,去年也获得了价值数百万美元的赎金。 Chainalysis 表示,它还追踪了犯罪分子如何通过区块链转移赎金。他们的发现与往年没有太大区别,他们指出,犯罪分子通常通过比特币混合服务进行洗钱,然后将资金送到合法和高风险的加密货币交易门户,将资金兑换成现实世界的货币。 但 Chainalysis 团队也证实了Advance Intelligence 上个月发布的一份报告,该报告发现,勒索软件团伙经常使用这些资金来支付其他网络犯罪服务。 Chainalysis表示,它也看到了向防弹托管提供商、漏洞销售商和渗透测试服务(也称为初始访问经纪人)支付的款项,因为勒索软件行动与他们的 “供应商 “打交道。           (消息及封面来源:cnBeta)

报告称勒索软件赎金在减少

据外媒报道,虽然勒索软件仍是一个祸害,但现在也有一些好消息:受害者支付的平均金额在一年多的大幅增长后在Q4出现了下降。为什么呢?–因为越来越少的公司愿意屈服于赎金要求。来自网络安全公司Coveware公布的最新季度勒索软件报告显示,自2018年Q3以来,勒索软件的平均支付额持续上升,但在去年Q4下降34%,降至15.4108万美元。 与此同时,支付勒索软件费用的中位数也下降了55%,降至49,450美元。 一般来说,任何遭到勒索软件攻击的人都不被建议交出任何密码,因为这并不能保证作案者会交出加密密钥。似乎越来越多的公司开始听从这一建议。 该数据下滑的另一个原因则跟勒索软件攻击有关。犯罪分子威胁称,如果他们的要求得不到满足他们就会公布敏感信息。Coveware写道,这类攻击占Q4所有勒索软件攻击的70%,高于前一季度的50%。因为即使支付了赎金数据也会在网上泄露,所以很少有受害者会屈服于勒索。 在涉及数据被盗的案件中,只有60%的公司同意在Q4支付,低于第三季度的75%。 报告写道:“Coveware继续见证了被盗数据在付款后没有被删除或清除的迹象。此外,我们还看到一些组织在没有发生的情况下采取措施伪造数据外泄的样子。” 至于勒索软件的攻击载体,电子邮件钓鱼现在已经超过远程桌面协议(RDP)攻击成为最流行的网络攻击,其在Q4占比超过了50%。不过利用泄露的凭证的RDP仍非常流行,因为员工用户名和密码的勒索价低至50美元。 专业服务则是第二大最常见的勒索软件罪犯的目标行业–占比16.3%,仅次于医疗保健–占比17.9%。长期以来,医院和健康中心一直是犯罪分子认为他们更愿意掏钱的常见目标。随着疫情的蔓延,这些组织已经濒临崩溃的边缘,勒索软件的攻击则可能会造成生命的损失。             (消息及封面来源:cnBeta)

针对 NoxPlayer 用户的供应链攻击

研究人员发现了一种软件供应链攻击,它被用来在在线游戏玩家的电脑上安装监控恶意软件。不明身份的攻击者针对的是NoxPlayer的特定用户,NoxPlayer是一个在PC和Mac上模拟Android操作系统的软件包。人们主要用它来玩这些平台上的移动Android游戏。NoxPlayer制造商BigNox表示,该软件在150个国家拥有1.5亿用户。 安全公司Eset周一表示,BigNox软件分发系统遭到黑客攻击,并被用来向部分用户提供恶意更新。最初的更新是在去年9月通过操纵两个文件交付的:主BigNox二进制文件Nox.exe和下载更新本身的NoxPack.exe。 Eset恶意软件研究员Ignacio Sanmillan表示:”我们有足够的证据说明BigNox基础设施(res06.bignox.com)被入侵以托管恶意软件,同时也表明他们的HTTP API基础设施(api.bignox.com)可能已经被入侵,在某些情况下,BigNox更新器从攻击者控制的服务器下载了额外的有效载荷。这表明,BigNox API回复中提供的URL字段被攻击者篡改了。” 简而言之,攻击是这样的:在启动时,Nox.exe会向一个编程接口发送请求,查询更新信息。BigNox API服务器会响应更新信息,其中包括合法更新的URL。Eset推测,合法的更新可能已经被恶意软件取代,或者,引入了新的文件名或URL。 然后,恶意软件被安装在目标机器上。恶意文件没有像合法更新那样进行数字签名。这说明BigNox软件构建系统并没有被入侵,只有提供更新的系统被入侵。恶意软件会对目标计算机进行有限的侦察。攻击者会进一步将恶意更新定制到特定的感兴趣的目标上。 BigNox API服务器向特定目标响应更新信息,这些信息指向攻击者控制的服务器上的恶意更新位置。观察到的入侵流程如下图所示。合法的BigNox基础设施正在为特定的更新提供恶意软件。我们观察到,这些恶意更新只在2020年9月进行。Sanmillan表示,在安装了NoxPlayer的10万多名Eset用户中,只有5人收到了恶意更新。这些数字凸显了攻击的针对性。目标位于台湾、香港和斯里兰卡。         (消息及封面来源:cnBeta)