分类: 国际动态

黑客再次泄露 Mandiant 转储数据,高调嘲弄网络安全公司 FireEye

黑客组织 “ 31337 ” 于 7 月 31 日在线公开泄露一份逾 337MB 的 PST 文件并发表声明,宣称自 2016 年起通过入侵 Mandiant 公司高级威胁情报分析工程师 Adi Peretz 电脑获取大量内部资料,其中包含公司内部邮件、网络拓扑结构、以色列国防军队的威胁情报概况和公司工作列表等数据。 网络安全公司 FireEye 经调查后于 8 月 7 日发表正式声明,指出尚未发现任何迹象表明黑客已入侵公司内网,而黑客在线公开发布的文件大部分是从受害者此前个人帐户中获取,或是黑客自身创建的屏幕截图。 据外媒 8 月 15 日报道,黑客组织 “ 31337 ” 再次泄露 Mandiant 转储数据,其中包含以色列银行 Hapoalim 的有关文件以及安全公司 Illusive Networks 的取证报告。 据悉,此次泄露的转储数据相对较少,仅包含 3MB 左右的文件压缩包。FireEye 在发现此事后当即展开调查,但情况依旧如此:尚无任何证据表明攻击者损害或访问公司内网。目前,仍不知晓黑客发起泄漏事件的动机有无经济利益驱使,还是仅仅想要损害网络安全公司的声誉。但作为第二次泄漏事件的一部分,黑客还在 Pastebin 网站发布一条消息,高调嘲弄 FireEye 能力。此外,他们还在泄露信息中 “ 特别感谢 ” 黑客组织 APT 28 与影子经纪人的赞助支持。 黑客写道:“ 你猜怎么着,我们就是要惩罚那些只关心股票份额的富人 ”。 FireEye 研究人员表示,虽然目前尚不清楚黑客泄露的最新数据是否来自 Mandiant 员工帐户,也不了解黑客背后的真实身份,但 FireEye 正联合执法部门继续调查此次事件并尽力解决泄露问题。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Check Point 安全报告:尼日利亚黑客掀起能源、矿产与基础设施行业的攻击浪潮

据外媒 8 月 15 日报道,Check Point 研究人员近期发布安全报告,指出一名尼日利亚黑客利用网络钓鱼邮件在过去 4 个月内针对全球超过 4000 家组织展开网络攻击活动,旨在感染企业网络系统、窃取银行数据并进行诱导欺诈,其中涉及多家关于石油、天然气、银行与建筑等行业的国际知名公司。 研究人员经调查后发现,黑客伪造来自世界第二大石油生产厂商沙特阿拉伯国有石油公司(Saudi Aramco)的银行密件抄送给众多目标企业的内部财务人员邮箱,以诱导他们披露更多公司财务信息,或点击下载感染恶意软件 NetWire 及 Hawkeye 附件。其中,受影响公司主要包括克罗地亚海洋能源解决方案公司、阿布扎比运输公司、埃及矿业公司、迪拜建筑公司、科威特石油与天然气公司与德国建筑机构。 恶意软件 NetWire 是一种远程访问木马程序,可以完全控制受感染机器,而 Hawkeye 是一种键盘记录程序,允许黑客获取敏感信息。 知情人士透露,黑客在此次攻击活动中成功感染 14 家企业并赚取数千美元。值得注意的是,虽然该名黑客技术水平较低且使用的恶意软件普遍简单,但该攻击操作仍然有效,这意味着商业电子邮件攻击(BEC)的危害极其严重。 研究人员表示,除网络攻击造成的经济损失外,该黑客使用的恶意软件可以从受感染设备中收集各种信息,这些信息的价值远超过欺诈所获得的数千美元。令人震惊的是,攻击者还设法破坏多家大型组织的防御体系,并在雷达监控下分发恶意软件。对此,研究人员强烈建议所有企业机构增强系统安全性能,防止发生网络钓鱼与企业电子邮件泄漏,并提醒企业雇员谨慎打开未经安全软件检测的电子邮件。目前,Check Point 研究团队已联合尼日利亚国际执法部门展开深入调查。 稿源:Check Point,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国国防承包商成为朝鲜 APT 组织 Lazarus 最新攻击目标

据外媒 8 月 14 日报道,网络安全公司 Palo Alto Networks 研究人员近期发现朝鲜 APT 组织 Lazarus 瞄准美国国防承包商展开新一轮网络钓鱼攻击活动。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。 研究人员在分析恶意代码、诱导文件与基础设施后发现,APT 组织 Lazarus 利用内含恶意 Microsoft Office 文档的钓鱼邮件传播宏病毒。值得注意的是,该恶意邮件以美国国防承包商招聘雇员为主题诱导用户点击下载,文件内容伪装成合法公司网站上的工作职能与内部政策的英文描述。 Lazarus 在此次攻击活动中采用的黑客工具策略与以往相比大同小异,其中在 XOR 密钥中使用宏解码植入有效载荷以及在有效负载中将宏病毒输入磁盘的功能均具有重叠部分,这意味着该组织持续使用同一黑客工具展开攻击活动。此外,相关诱导文件、有效负载、命令与控制(C&C)服务器之间也存在许多联系。对此,研究人员推测 Lazarus 正忙于全球业务扩张。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

针对美军临时禁令:大疆无人机将推送 “ 本地数据模式 ” 软件更新

毫无疑问,大疆已经成为全球知名的消费级与商用无人机的知名品牌,甚至美国军方都为执行各种任务的部队下达了超过 300 份豁免许可。然而早些时候,美国军方出于潜在的网络安全顾虑临时禁用大疆的装备,此举引发军、政、商用任务使用中国造硬件的敏感性的大讨论。 8 月 15 日,大疆宣布将与几周后推出一个名叫 “ 本地数据模式 ” 的软件更新。执飞者可以启用该模式,以禁止无人机的双向数据传输。当然,用户仍可在移动设备上查看实时视频反馈,以及使用不同的自主飞行功能,只是无法再向 Facebook 和 YouTube 等平台进行流媒体视频直播。 尽管此前用户也可以通过在使用大疆无人机时,将移动设备设置为飞行模式而达成类似的效果。但如果你不希望在此期间错过手机上的重要邮件或消息,这么做就显得极不方便了。 稿源:cnBeta,封面源自网络;

新纳粹网站 The Daily Stormer 域名注册连遭 GoDaddy 和谷歌两次撤销

在上周维吉尼亚州夏洛特维尔市白人至上主义者集会以及随后在周末发生的暴力事件之后,新纳粹网站 The Daily Stormer 公开诋毁在这起暴力冲突中遇难的 32 岁希瑟·海尔(Heather Heyer),当时有人开车冲撞抗议者人群造成其死亡。 据悉,黑客组织 “ 匿名者 ” 宣布已经接管该网站,并发誓要在 24 小时后完全关闭。The Daily Stormer 域名托管平台 GoDaddy 与谷歌同时也宣称,他们已通知 The Daily Stormer 有 24 个小时时间将域名转交由其他服务商托管,因该网站 “ 违反了我们的服务条款 ”。这就意味着如果这个网站找不到 GoDaddy 和谷歌以外的其他域名注册商,就将面临被迫下线的威胁。 现在还不清楚谷歌撤销 The Daily Stormer 域名注册的行动将在何时正式生效,截至目前该网站仍处于在线状态,其互联网注册信息将谷歌列为注册商。此外,GoDaddy 此前曾因托管 The Daily Stormer 及其他传播仇恨的网站而遭到批评,该公司的行为准则禁止使用其服务 “ 促进、鼓励或从事恐怖主义活动以及针对人、动物或财产的暴力活动 ”。 与此同时,为 The Daily Stormer 提供互联网服务的私人公司 Cloudflare 拒绝透露该公司是否考虑切断与这个网站之间的联系。该公司发表声明称:“ Cloudflare 已经意识到有些使用我们网络的站点所引发的忧虑,并发现其中有些站点上的内容令人厌恶 ”。声明还补充道:“虽然我们的政策是不对任何特定用户置评,但我们将配合执法机构的任何调查行动 ”。目前,The Daily Storm 网站创始人安德鲁·昂林(Andrew Anglin)则尚未置评。  稿源:由 新浪科技、cnBeta 整理,封面源自网络;

英国 “ 军情五处 ” 前局长声称:反对削弱加密服务技术

据外媒 8 月 11 日报道,英国 “ 军情五处 ”(MI5)前局长洛德·埃文斯在接受 BBC 广播电台采访时声称反对削弱加密应用程序,尽管当前加密技术已成为调查恐怖主义案件的障碍,但获取通讯的能力已逐渐被恐怖分子 “ 侵蚀 ”。 埃文斯表示:“我个人并不认为我们应该削弱加密技术,因为目前存在一个同等重要的问题,那就是网络安全的涉及更加广泛。虽然我们对反恐有着强烈的担忧,但这并非国家面临的唯一安全威胁。加密技术对于我们的商业与安全利益都极其重要。” 埃文斯与前任总理罗伯特·汉尼根(Robert Hannigan)的观点一样,反对建立后门打造端对端加密(e2)计划作为拦截恐怖分子通讯的手段。汉尼根认为,最实际的解决方案是检测并跟踪滥用加密系统的恐怖分子。然而,英国内政部长阿伯·鲁德(Amber Rudd)对移动通讯服务的评论与上述观点形成鲜明对比,前者在近期发生的恐怖袭击事件后就提供了端到端加密服务技术。 原作者:John Leyden ,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

肯尼亚反对派拒绝接受选举结果,声称投票系统遭黑客暗中操控

据外媒 8 月 13 日报道,肯尼亚反对派领袖、总统候选人奥廷加( Raila Odinga )近期发表声明,宣称黑客入侵独立选举与边界委员会( IEBC )数据库暗中操纵选举结果,导致现任总统肯雅塔( Uhuru Kenyatta )再次当选。目前,奥廷加拒绝接受选举结果。 肯尼亚国家人权委员会提供的数据显示,数百名反对派支持者在总统肯雅塔当选后与多地警方发生暴力冲突,导致多人遇害。 调查显示,根据已完成的 94% 选票结果显示,肯雅塔获得 54.4% 的得票率,而奥廷加得票率仅为 44.7%。奥廷加表示,此次选举结果并不真实,黑客利用选举委员会高级 IT 官员 Chris Msando 的登录凭证入侵电子投票系统并展开大规模网络攻击,以成功篡改选举结果,导致其得票落后。 此外,奥廷加还在线公开一份来自 IEBC 服务器的日志记录,以证实黑客将肯雅塔投票结果增加 11% 后试图隐藏操控记录,但该日志并未得到任何相关专家验证。目前,奥廷加为保护信息来源没有向公众透露更多消息。 原作者:Pierluigi Paganini, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FCC 决定将 “ 网络中立 ” 评论时间延长两周

据外媒报道,美国联邦通信委员会(FCC)近期宣布将 “ 网络中立 ” 评论时间延长两周,也就是原定于本月 16 日结束的评论日子将推迟到 30 日。知情人士获悉,此次延长是为了响应来自 10 个团体的要求,不过他们最初寻求的延长时间为八周,但 FCC 认为两周更符合过去的延长期限惯例。 FCC 并没有将这次的决定归咎于 DDOS 攻击引起的文件系统破坏。即便没有这次延长,关于终止《 Title II 》网络中立的评论数量已经创造 FCC 历史的最高值:截止到目前已经达到了近 2000 万条。相比之下,上一次的网络中立辩论的评论数量只有 370 万条。 稿源:cnBeta,封面源自网络;

黑海发生首例 GPS 诱骗攻击,或为俄新式电子战手段

据英国《新科学家》周刊网站 8 月 10 日报道,美国海运局于今年 6 月 22 日向有关部门提交了一份表面上平淡无奇的事件报告,有关黑海卫星导航出现问题。暗示俄罗斯可能在测试一种用于诱骗 GPS 的新系统,这是一种从 “ 无赖国家 ” 到罪犯等所有势力均可利用的新式电子战手段面世的首个迹象。 俄罗斯新罗西斯克港附近一艘船的船长发现,船上全球卫星定位系统(GPS)显示的船只位置有误——显示船只位于陆地上距海岸超过 32 公里的格连吉克机场。经检查确认导航设备工作正常后,船长联系了附近其他船只。这些船只的自动识别系统信息显示它们全都位于同一机场,其中至少 20 艘船受到影响。 尽管该事件尚未得到确认,但专家们认为,这是利用 GPS 误导位置信息的首个例证。这是一种有关方面长期以来一直警告要提防的诱骗攻击,但此前现实中从未发生过。此前,GPS 的最大担忧一直是噪音可以干扰 GPS 卫星信号。虽然这种干扰会产生混乱,但也容易被发现。当因受到干扰而丢失信号时,GPS 接收器会发出警报。相比之下,诱骗攻击的欺骗性更强:地面基站发出的假信号会迷惑卫星接收器。英国皇家导航学会前负责人戴维·拉斯特称:“ 干扰只会导致接收器停止工作,而诱骗攻击导致接收器撒谎。” 得克萨斯大学奥斯汀分校的托德·汉弗莱斯,多年来一直警告 GPS 诱骗攻击的危险即将到来。2013 年,他演示了一艘拥有先进导航系统的超级游艇如何被 GPS 诱骗攻击而偏离航道。汉弗莱斯说:“ 接收器在黑海事件中的情况非常像我的团队进行的模拟攻击中出现的情况 ” 。汉弗莱斯认为,这是俄罗斯在测试一种新式电子战。 稿源:cnBeta、参考消息网,封面源自网络;

美国犹太人活动中心炸弹威胁,疑似 “ 暗网 ” 威胁租赁业务

今年早些时候,美国各地发生了一系列针对 100 个犹太人活动中心的炸弹威胁事件,造成当地组织日常混乱,并引发对美国反犹太暴力事件的新担忧。随后美国警方逮捕了 19 岁的以色列公民 Michael Kadar,克服了各种匿名措施追踪电话。但新证据表明,Kadar 可能代表第三方拨打这些电话,作为在暗网上运作的更大的炸弹威胁租赁业务的一部分。 在最近公布的搜索令(首先由研究员 Seamus Hughes 发布)之后,警方试图访问 Kadar 的 AlphaBay 帐户,他似乎在经营业务。调查人员在 Kadar 电脑的文本文件中发现了该服务的公开说明。该信息包括威胁的详细定价信息,可选择将虚假名字作为电子邮件的一部分,以及如果由于威胁导致课程未被取消,还可以退款。 AlphaBay 的调查人员也发现了同样的文字,在 2 月 8 号由一位名叫 “ DarkNetLegend ” 的用户发布。ProPublica 的追踪记录在 8 日之前针对犹太中心多达 65 次的炸弹威胁,尽管大多数威胁是在 2 月和 3 月进行的。Kadar 的文字说明仅涉及向学校发送的电子邮件威胁,尽管后续文件也引用了电话服务。 来自 Kadar 的 Google Voice 帐户的证据表明,他的威胁不仅仅是针对犹太人活动中心,还包括对佛罗里达州一所中学以及对从联合航空公司一架航班的炸弹威胁。调查人员通过追踪攻击中使用的 Google Voice 号码找到 Kadar,但仍然没有迹象表明谁可能雇用他来首先瞄准犹太人活动中心。如果使用 AlphaBay 的标准匿名功能进行交易,则可能无法追溯到客户。 稿源:cnBeta,封面源自网络;