分类: 今日推送

美国土安全局称俄黑客针对美财政部的攻击范围远超 SolarWinds

调查疑似俄罗斯黑客入侵美国财政部的当局报告称,该行动远远超出了SolarWinds的范围。据报道,2020年底,国家电信和信息管理局(NTIA)的黑客行为涉及利用许多系统的漏洞。并不像之前怀疑的那样,仅限于SolarWinds网络软件。 据《华尔街日报》报道,在所有黑客攻击的受害者中,有近三分之一的人并没有使用SolarWinds,也与该产品没有任何关系。国土安全部网络安全和基础设施安全局代理局长布兰登·威尔士表示,黑客使用的途径远比最初认为的要多。 “[攻击者]通过各种方式获得了对目标的访问权限,”威尔士在接受采访时告诉《华尔街日报》。”这个对手很有创意,需要弄清楚的是,这场运动不应该被认为是SolarWinds运动。” SolarWinds在全球拥有超过30万客户,其网络软件被美国财富500强客户中的412家使用。据报道,黑客利用SolarWinds技术管理软件规避了微软Office 365的安全认证。 “这肯定是我们追踪到的最复杂的黑客行为者之一,就他们的方法、纪律和他们所拥有的技术范围而言,”微软威胁情报中心经理John Lambert表示。 网络安全和基础设施安全局没有点名涉及的其他系统。但调查人员表示,此次事件表明复杂的黑客行为可以利用认证漏洞在不同的云账户之间移动。据报道,SolarWinds本身的调查人员正在研究微软云是否是攻击的最初起点。 “我们将继续与联邦执法部门和情报机构密切合作,调查这次前所未有的攻击的全部范围。”SolarWinds发言人说。           (消息及封面来源:cnBeta)

美国保加利亚联合查封网络勒索软件犯罪组织 NetWalker

据外媒报道,美国和保加利亚当局本周查封了网络勒索软件犯罪组织NetWalker用来发布从受害者那里窃取的数据的暗网网站。而跟此次查封有关的是一名来自加拿大的公民,其被指涉嫌通过传播NetWalker勒索2700多万美元,目前在佛罗里达州法院受到指控。 etWalker是一个以勒索软件为服务的犯罪软件产品,其附属机构租用不断更新的恶意软件代码以换取从受害者那里勒索的资金的一部分。NetWalker背后的犯罪分子利用现已被占领的网站公布从他们的猎物那里窃取的个人和私有数据,然后以此作为公众压力运动的一部分说服受害者付钱。 NetWalker是最贪婪的勒索软件之一,根据追踪虚拟货币支付的Chainalysis公司的获取数据,它攻击了来自27个国家的至少305名受害者,其中大多数在美国。 这家公司在一篇博文介绍称,自NetWalker勒索软件于2018年8月首次出现以来他们追踪到4600多万美元的赎金,并且到2020年年中,赎金激增–平均赎金从2019年的1.88万美元增加到了去年的6.5万美元。 美司法部在一份声明中表示,NetWalker勒索软件已经影响了众多受害者,包括公司、市政当局、医院、执法部门、紧急服务部门、学区、学院和大学。像加州大学旧金山分校去年夏天就支付了114万美元以换取一把能够解锁被勒索软件加密的文件的数字密匙。司法部称:“在COVID-19大流行期间,攻击专门针对医疗保健部门以利用这场全球危机来敲诈受害者。” 美国检察官指出,NetWalker的主要成员之一是加拿大渥太华加蒂诺的Sebastien Vachon-Desjardins。从佛罗里达州公布的一份起诉书了解到,Vachon-Desjardins从中获取了至少2760万美元的金钱。 虽然美司法部媒体顾问没有提及被告的年龄,但2015年加蒂诺当地新闻网站ledroit.com的一份报告表明,这可能不是他第一次犯罪。据报道,Vachon-Desjardins在27岁的时候曾因贩毒被判过三年多的监禁:据报道,他被发现持有5万多片的冰毒药片。 据了解,NetWalker勒索软件联盟项目于2020年3月启动,当时犯罪软件项目的管理员开始在暗网上招募人员。像许多其他勒索软件程序一样,NetWalker不允许分支机构感染位于俄罗斯或任何其他独联体(包括大多数前苏联国家)成员国的系统。这一禁令则是由俄罗斯和/或其他CIS国家协调的网络犯罪行动制定的。         (消息及封面来源:cnBeta)

僵尸网络 Emotet 基础设施被取缔

全球最危险的恶意软件僵尸网络在全球执法部门共同合作,历经两年的不懈打击下终于被取缔。在欧洲刑警组织、美国联邦调查局、英国国家犯罪局和其他机构的联合行动中,终于控制和取缔了 Emotet 僵尸网络的基础设施。 Emotet 在 2014 年首次以银行木马的形式出现,但随后演变成为网络犯罪分子最强大的恶意软件之一。Emotet 通过自动钓鱼邮件建立一个后门进入 Windows 电脑系统,分发被恶意软件入侵的 Word 文档。Emotet 活动中的电子邮件和文件的主题会被定期更改,以提供最好的机会引诱受害者打开电子邮件并安装恶意软件–常规主题包括发票、发货通知和有关 COVID-19 的信息。 然后,操纵 Emotet 背面的人将这些受感染的设备出租给其他网络犯罪分子,作为额外恶意软件攻击的通道,包括远程访问工具(RAT)和勒索软件。这导致 Emotet 成为欧洲刑警组织所描述的 “世界上最危险的恶意软件 “和 “过去十年中最重要的僵尸网络之一”,像 Ryuk 勒索软件和 TrickBot 银行木马这样的行动雇用访问被 Emotet 入侵的机器,以便安装自己的恶意软件。 因此对 Emotet 的取缔是近年来对恶意软件和网络犯罪分子重要的一次打击活动。欧洲刑警组织欧洲网络犯罪中心(EC3)行动负责人费尔南多·鲁伊斯(Fernando Ruiz)表示:“这可能是我们最近影响最大的行动之一,我们预计它将产生重要的影响。我们对行动结果非常满意”。 世界各地的执法机构经过一周的行动,获得了 Emotet 在全球数百台服务器的基础设施的控制权,并从内部破坏了它。被Emotet感染的机器现在被引导到执法机构控制的基础设施上,这意味着网络犯罪分子无法再利用被入侵的机器,恶意软件也无法再传播到新的目标,这将对网络犯罪行动造成极大的干扰。 Ruiz 表示:“Emotet在很长一段时间内都是我们的头号威胁,拿下它将产生重要影响。Emotet参与了30%的恶意软件攻击;成功拿下将对犯罪环境产生重要影响。我们预计它会产生影响,因为我们正在移除市场上的主要投放者之一–肯定会有一个缺口,其他犯罪分子会试图填补,但在一段时间内,这将对网络安全产生积极影响”。 对Emotet的调查还发现了一个被盗电子邮件地址、用户名和密码的数据库。人们可以通过访问荷兰国家警察网站来检查他们的电子邮件地址是否被Emotet泄露。欧洲刑警组织还与世界各地的计算机应急小组(CERT)合作,帮助那些已知感染Emotet的人。         (消息来源:cnBeta;封面源自网络)

ADT 前员工承认曾入侵客户摄像头

据外媒报道,日前,一名家庭安全技术人员承认,他曾多次闯入他安装的摄像头观看客户做爱及其他亲密行为。据悉,35岁的Telesforo Aviles曾在家庭和小型办公安全公司ADT工作。他表示,在5年的工作时间里,他在9600多次场合下侵入了约200个客户账号的摄像头–所有这些都是没有得到客户的允许或不知情的情况下进行。 Aviles表示,自己会留意那些他觉得有吸引力的女性的家庭,然后观看她们的摄像头以获得性满足。他称,自己看过女性裸体和情侣之间的做爱。 Aviles于当地时间周四在北德克萨斯地区的美国地方法院承认了一项计算机欺诈和一项侵入性视觉记录罪名。他将因此而面临长达5年的监禁。 Aviles告诉检察官,他经常会在用户授权的列表中添加上自己的邮件地址以此来访问客户的ADT Pulse账号,该账号允许用户远程连接到ADT家庭安全系统进行观看。而在某些情况下,他则会告诉客户,他必须暂时将自己的账号添加其中以便测试系统。其他时候,他会在客户不知情的情况下加上自己的邮箱地址。 针对此事,ADT的一位发言人表示,公司在去年4月得知Aviles在未经授权的情况下进入了达拉斯地区220名客户的账号之后将这一非法行为告知检察官。随后,该公司联系了每一位客户来帮助改正这个错误。。 而在发现这一违规行为之后,ADT至少受到了两起拟议的集体诉讼,其中一起代表ADT客户,一起代表未成年人和其他住在使用ADT设备的房子里的人。其中一起诉讼的原告据称在违约发生时还是一名青少年。据诉状显示,ADT告知这位青少年的家人,Aviles曾近对其家庭进行了100次的监视。 诉讼还称,ADT将其摄像系统推销为父母使用智能手机查看孩子和宠物的一种方式。然而ADT没有实施保护措施,这些措施本可以提醒客户入侵。 电子偷窥者的曝光很好地提醒了人们,在家里或其他对隐私有合理期望的地方安装联网摄像头伴随带来的风险。选择接受这些风险的人应该花时间自学如何使用、配置和维护设备。       (消息及封面来源:cnBeta)

“新颖的社会工程方法”被用来攻击安全研究人员的设备

谷歌的威胁分析小组报告说,政府支持的黑客以朝鲜为基地,通过包括 “新型社会工程方法”在内的多种手段针对个人安全研究人员的设备。据报道,该活动已经持续了几个月,令人担忧的是,它似乎利用了未打补丁的Windows 10和Chrome漏洞。 虽然谷歌没有说明黑客攻击活动的具体目的是什么,但它指出,目标正在进行 “漏洞研究和开发”。这表明攻击者可能试图了解更多关于非公开漏洞的信息,以便在未来的国家支持的攻击中使用。黑客建立了一个网络安全博客和一系列Twitter账户,显然是想在与潜在目标互动的同时,建立和扩大其信任度。 博客的重点是写出已经公开的漏洞。同时,Twitter账户发布了该博客的链接,以及其他所谓的漏洞。据谷歌称,至少有一个所谓的漏洞是伪造的。这家搜索巨头列举了几个研究人员的机器仅仅通过访问黑客的博客就被感染的案例,即使运行最新版本的Windows 10和Chrome浏览器。 这种社会工程学攻击方法会在社交网络上主动联系安全研究人员,并要求他们合作开展工作。然而,一旦他们同意,黑客就会发送一个包含恶意软件的Visual Studio项目,该项目会感染目标电脑并开始联系攻击者的服务器。攻击者使用了一系列不同的平台来寻找目标–包括Telegram、LinkedIn和Discord与潜在目标进行沟通。谷歌在其博客文章中列出了具体的黑客账户,任何与这些账户互动的人都应该扫描他们的系统,看看是否有任何迹象表明他们已经被入侵,并将他们的研究活动与其他日常使用的电脑分开。 这次活动是安全研究人员被黑客盯上的最新事件。去年12月,美国一家大型网络安全公司FireEye披露,它已被国家支持的攻击者入侵。在FireEye的案例中,被黑客攻击的目标是其用于检查客户系统漏洞的内部工具。           (消息来源:cnBeta;封面源自网络)

巴西一数据库发生重大数据泄露事件

据外媒报道,当地时间周二上午,PSafe的网络安全实验室dfndr报告称,巴西的一个数据库发生了一起重大泄密事件,数百万人的CPF号码及其他机密信息可能遭到了泄露。据这些使用AI技术识别恶意链接和虚假新闻的专家们披露,泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息,受影响的人员数量可能有2.2亿。 泄露的数据库中包含的信息则覆盖了几乎所有巴西人的姓名、出生日期和CPF–包括当局。在一份新闻稿中,dfndr实验室主任Emilio Simoni指出,最大的风险是这些数据会被用于网络钓鱼诈骗,其将会诱使人们在一个虚假页面上提供更多的个人信息。 据了解,超1.04亿辆汽车的信息会曝光重要的细节如汽车的底盘号、牌照、所在城市、颜色、品牌、型号、生产年份、发动机容量乃至使用的燃料类型。在公司方面,,泄露的信息则包括了CNPJ、企业名称、商号名称、成立日期。 另外,Simoni指出,由于这些信息对市场来说是宝贵的信息,所以它们被认为会被在某些暗网络论坛进行非法交易。此外他还表示,网络犯罪分子会出售最深入的数据如电子邮件、电话、购买力数据和受影响人群的职业等。 在这份声明中,PSafe既没有说明涉案公司的名称也没有说明信息是如何泄露的。根据该国的新《数据保护安全法》规定,对此类违规行为可以处以最高可达5000巴西雷亚尔的罚款处罚。         (消息及封面来源:cnBeta)

微软发布 SolarWinds 入侵事件深度调查报告 黑客技巧与娴熟度超高

2021 年 1 月 20 日,微软发布了针对 SolarWinds 入侵事件的又一份深度调查报告,并且指出幕后攻击者有着极其高超的黑客技巧和娴熟度。在去年的攻击中,SolarWinds 因 Orion IT 管理软件的封包服务器被恶意软件感染,导致包括微软在内的数以万计的客户,在部署更新后受到了不同程度的影响。 在这篇报告中,微软主要深入探讨了攻击者是如何逃避检测、并通过企业内网进行静默传播的。 “首先,在每台机器上的 Cobalt Strike 动态链接库(DLL)植入都是唯一的,以避免恶意软件自身被筛查到任何重复的痕迹。 其次,攻击者重用了文件、文件夹、导出功能的名称,辅以 C2 域名 / IP、HTTP 请求、时间戳、文件元数据、配置、以及运行子进程。” 如此极端的差异化,同样出现在了不可执行的部分,比如 WMI 过滤查询和持久性过滤器的名称、用于 7-zip 压缩包的文档密码、以及输出日志文件的名称。 想要对每台受感染的计算机执行如此细致筛查,显然是一项让人难以置信的艰苦工作。但攻击者就是通过这样的手段,在很长一段时间内躲过了安全防护系统的检测。 此外攻击者不仅勤奋,还显得相当具有耐心。比如为了避免被检测到,它还会首先枚举目标计算机上运行的远程进程和服务。 接着通过编辑目标计算机的注册表,以禁用特定安全服务进程的自动启动。在切实的攻击发起之前,恶意软件会非常耐心地等待计算机重新启动。 最后,微软指出了 Solorigate 攻击者的其它聪明之处,比如仅在工作时间段内对系统发起攻击,因为此时发生的正常活动会掩盖他们的真实目的。 结合复杂的攻击链和旷日持久的操作,安全防护系统也必须在持续数月的时间里、对攻击者的跨域活动有着全面的了解,辅以历史数据和强大的分析工具,才能尽早地对异常状况展开调查。           (消息来源:cnBeta;封面源自网络)

Sysrv-hello 僵尸网络集木马、后门、蠕虫于一身,攻击 Linux、Windows 主机挖矿

一、概述 腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。 Sysrv-hello僵尸网络挖矿前,恶意脚本还会尝试结束占用系统资源较多的进程,以独占系统资源,这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复,属于较新的漏洞攻击工具,因部分企业漏洞修复进度较慢,使得该团伙的攻击成功率较高。 该僵尸网络于2020年12月首次被国内安全研究人员发现,由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力,使用的漏洞攻击工具也较新,仅仅用了一个多月时间,该僵尸网络已具有一定规模,对政企机构危害较大。   自查处置建议 腾讯安全专家建议政企用户尽快修复weblogic远程代码执行漏洞(CVE-2020-14882),修复Nexus Repository Manager 3、mysql、Tomcat服务器存在的弱口令风险,对系统以下条目进行排查: 文件: Linux: /tmp/network01 /tmp/sysrv /tmp/flag.txt   Windows: %USERPROFILE%\appdata\loacal\tmp\network01.exe %USERPROFILE%\appdata\loacal\tmp\sysrv.exe   进程: network01 sysrv   定时任务: 排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项   腾讯安全响应清单 腾讯安全全系列产品支持在各个环节检测、防御Sysrv-hello僵尸网络对云上主机的攻击。   具体响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Sysrv-hello相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud  Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)Sysrv-hello相关联的IOCs已支持识别检测; 2)支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic(CVE_2020_14882)恶意攻击; 3)支持检测mysql爆破攻击。 有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec   主机安全 (Cloud  Workload Protection,CWP) 1)云镜已支持Sysrv-hello关联模块的检测告警,查杀清理。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。 关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)支持识别、检测Sysrv-hello相关联的IOCs; 2)支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic(CVE_2020_14882)恶意攻击; 3)支持检测mysql爆破攻击。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 (iOA) 1)已支持Sysrv-hello关联模块的检测告警和查杀清理。 零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html   二、详细分析 腾讯云防火墙检测到Sysrv_hello僵尸网络针对使用Nexus Repository Manager 3默认账户密码资产发起攻击,下图为攻击过程中产生的恶意payload。 恶意payload执行后Nexus将添加名为t的task脚本执行任务,该任务触发执行后(“action”:”coreui_Task”,”method”:”run”…)进一步下拉恶意脚本执行,恶意脚本地址(hxxp://185.239.242.71/ldr.sh) ldr.sh恶意脚本首先会尝试卸载云主机安全软件(aliyun,yunjing),停止部分服务(安全软件,挖矿木马),同时删除部分docker挖矿镜像。 清理高CPU占用进程达到资源独占目的(对CPU占用达到50%的进程进行清理) 尝试下载矿机命令执行,进程名为network01,矿池,钱包地址如下: Pool.minexmr.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa 下载sysrv蠕虫扩散模块、下载挖矿守护进程功能模块执行 最后将其自身写入计划任务,并删除本地相关对应文件 该木马不仅攻击Linux系统,同时发现针对Windows平台的恶意载荷,攻击Windows系统成功后会植入powershell恶意脚本,脚本会进一步拉取Windows平台的相同模块到tmp目录执行。 Linux系统下sysrv模块通过使用52013端口作为互斥量,端口开启状态判定为已感染环境直接退出,否则打开本地该端口进行占用。 sysrv通过检测进程,判断network01进程(矿机进程)是否正常运行,如果未正常运行,就在tmp目录进一步释放出文件内嵌的elf文件,并命名为network01将其执行。 network01模块为门罗币矿机程序,该团伙通过清理可能的竞品挖矿进程或其他占CPU资料较多的进程实现独占CPU资源挖矿。 sysrv确认挖矿行为正常运行后,会开始进行蠕虫式的攻击传播:进行随机IP的端口扫描与漏洞利用,会尝试对mysql,Tomcat服务进行爆破攻击,尝试对Weblogic服务使用CVE-2020-14882漏洞(该漏洞公告由Oracle官方于2020年10月21日公开)进行远程代码执行攻击,这一横向扩散行为使该团伙控制的肉鸡规模迅速增大。 hello_src_exp爆破,漏洞利用组合攻击 攻击mysql服务使用的弱口令爆破字典 攻击Tomcat服务使用的爆破口令 对Weblogic组件利用CVE-2020-14882 远程代码执行漏洞攻击,该安全漏洞为2020年10月Oracle官方公告修复,属于相对比较新的漏洞攻击武器。 IOCs MD5: 33c78ab9167e0156ff1a01436ae39ca1 6db4f74c02570917e087c06ce32a99f5 750644690e51db9f695b542b463164b9 d708a5394e9448ab38201264df423c0a bc2530a3b8dc90aca460a737a28cf54b 236d7925cfafc1f643babdb8e48966bf URL: hxxp://185.239.242.71/ldr.sh hxxp://185.239.242.71/ldr.ps1 hxxp://185.239.242.71/xmr64 hxxp://185.239.242.71/xmr32 hxxp://185.239.242.71/xmr32.exe hxxp://185.239.242.71/xmr64.exe hxxp://185.239.242.71/sysrv hxxp://185.239.242.71/sysrv.exe IP: 185.239.242.71(ZoomEye搜索结果) 矿池&钱包 pool.minexmr.com xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

特朗普总统任职最后一天签署新行政命令以遏制外国网络干预

据外媒报道,当地时间周二,白宫方面表示,即将卸任的特朗普总统签署了一项行政命令,旨在阻止外国利用云计算产品对美国进行恶意网络行动。这是特朗普总统就职的最后一天。 最先由路透社报道的这项命令赋予美国商务部以制定规则来在外国人利用云计算产品或服务进行网络攻击的情况下禁止美国跟他们在该领域进行交易权力的权力。 这项命令还要求该机构在六个月内为Infrastructure as a Service–一种云计算类型–美国供应商制定规则,从而确认他们与之进行业务往来的外国人的身份并并保留特定记录。 一位高级官员披露,美国官员已经为这项指令运作了近两年时间。但它的推出却是在美国科技公司SolarWinds以侵入联邦政府网络为跳板的大规模黑客活动之后。美国高级官员和国会议员指责俄罗斯发动了大规模的黑客攻击,但克里姆林宫否认了这一指控。 民主党当选总统乔·拜登将于周三将宣誓就职,而他可以轻松撤销特朗普总统任期即将结束时发布的行政命令。对此,拜登的过渡团队方面没有立即回应置评请求。           (消息及封面来源:cnBeta)

欧盟药品管理局:黑客窃取并“篡改”了疫苗文件

欧洲药品管理局周五表示,黑客不仅从该机构的服务器上窃取了 COVID-19 疫苗文件,还对泄漏到网络上的文档进行了“篡改”。据悉,作为疫苗审批程度的一部分,该机构不仅负责着欧盟 27 个成员国的药品监管工作,还拥有大量与 COVID-19 有关的机密数据。 然而一项正在进行中的调查显示,黑客从 11 月开始就收到了与实验性冠状病毒疫苗评估相关的电子邮件和文件。总部位于荷兰的欧洲药品管理局写道: 某些函件已在黑客向外界公布前被篡改,从而破坏了人们对于疫苗的信任。我们已经注意到,某些通信并非以完整 / 原始的形式发布,而是被黑客篡改或添油加醋。 虽然 EMA 没有明确提及哪些信息,但网络安全专家指出,这种做法具有假冒政府发起虚假宣传活动的典型特征。 意大利网络安全公司 Yarix 表示,早在 2020 年 12 月 30 日,他们就已经在某个‘众所周知’的地下论坛看到了所谓的爆料。 发布者还拟了个相当耸人听闻的标题 ——《令人惊讶的欺诈!邪恶的片子!假疫苗!》—— 然后此事开始在暗网和其它网站上流传。 网络犯罪分子的意图很是明确,即通过刻意编造的泄露事件,对欧洲药品管理局和辉瑞等疫苗研发企业的声誉造成重大损害。 此外网络安全顾问 Lukasz Olejnik 表示,黑客背后或许还有更多不可告人的秘密: 我担心此类‘爆料’会引发整个欧洲的人们对 EMA 药物审查和疫苗接种流程的极大不信任,虽然尚不清楚谁是幕后主使,但明显有人决定为此事投入大量资源。 这种针对药物审核材料的抹黑攻击操作可谓是前所未见,如果被幕后黑手得逞,最终可能导致对欧洲人的健康产生广泛而负面的影响。 去年 12 月,总部位于阿姆斯特丹的 EMA 还曾遭到德国等欧盟成员国的严厉批评,埋怨其未能更快的批准新冠疫苗的上市。 至于针对最新的黑客攻击事件的调查进展,EMA 表示执法部门正在针对本次黑客攻击事件采取必要的行动。         (消息及封面来源:cnBeta)