分类: 黑客事件

黑客勒索曼联:不给钱不让进系统 英国政府帮忙也没辙

据英国媒体报道,曼联俱乐部上周遭到了黑客攻击,黑客控制了俱乐部的计算机系统,导致工作人员无法接入网络。英国国家网络安全中心(NCSC)已经介入提供技术援助。在媒体曝光之后,曼联俱乐部承认自己遭到了黑客攻击,但却表示“没有发现任何球迷和消费者个人数据泄露的情况”。 曼联发言人今天再次重申,球迷数据目前尚未遭受影响。“在近期遭受网络攻击之后,俱乐部的IT部门和外部专家正在加固网络,进行司法调查。……此次攻击是破坏性的,但目前没有发现球迷数据遭受影响。老特拉福德球场的关键系统依然安全,球赛也照常进行。” 在遭受黑客攻击之后,曼联俱乐部已经通知了英国信息主管部门。他们之所以要强调球迷数据的原因是,按照英国法律,即便是黑客攻击导致消费者数据泄露,被攻击目标依然要承担责任,甚至要面临处罚。此前订票网站Ticketmaster在2018年遭受黑客攻击,用户数据泄露,他们最后收到了125万美元的罚金。 英国国家网络安全中心的数据显示,过去一年英国已经报告了700多次网络攻击事件。而在这些网络攻击事件中,勒索攻击在不断增加,即黑客锁定攻击对象的计算机系统,要求支付赎金之后才解锁。曼联俱乐部遭受的就是勒索攻击。或许黑客对曼联计算机系统的球迷数据并没有兴趣,只是想从红魔勒索一笔钱。曼联也是全球豪门俱乐部中第一个遭受勒索攻击的。 勒索攻击在美国更加猖獗,企业、大学、医院、政府机构都曾经被黑客锁定计算机系统,要求支付比特币赎金之后才肯解锁。底特律市政府、加州大学伯克利分校、洛杉矶长老会医院都曾经被黑客勒索,疯狂的黑客甚至连美国的警察局都不放过。 尽管英国国家网路安全中心已经提供了技术帮助,但直到今天(11月26日),曼联工作人员依然无法进入自己的工作邮件系统。曼联拒绝对外透露黑客的勒索金额。但据英国《每日邮报》报道,黑客要求得到数百万英镑。         (消息及封面来源:新浪科技)

从地缘紧张局势中识别黑客活动

网络威胁情报(CTI)专员可通过跟踪地缘性紧张局势来深入了解对手行动。与刑事调查中的“遵循金钱”方法类似,查看冲突区域可以揭示相关网络功能。 上述理论得到了地缘政治紧张局势相关事件的验证: 俄罗斯黑客入侵导致的2015年和2016年的乌克兰电力事件、2017年的NotPetya事件以及至今的持续攻击活动。 阿拉伯/波斯湾地区的恶意软件和2017年的“封面”海卫/ TRISIS事件。 …… 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1408/         消息来源:domaintools,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客组织 BigBlueBox 宣布成功 Dump 了两款 PS5 游戏镜像

每当新游戏主机上市,除了玩家迫不及待入手游玩自己期待的游戏之外,摩拳擦掌的还有全球各地的技术大牛和黑客们,能够在第一时间攻破新主机的防线,完成主机软件系统到硬件的全方位的破解是对技术能力最好的证明。在PS5全球发售不足半月的今天,已经有团队取得了PS5破解的初步胜利。 近日,知名黑客组织BigBlueBox宣布成功Dump了两款PS5游戏镜像,这两款游戏其中包括上市初期销量最高的《漫威蜘蛛侠:迈尔斯·莫拉莱斯》,这款游戏Dump出的镜像文件达到49.78GB,另一款游戏是《过山车之星主机版》,容量11.8GB。 虽然PS5游戏在上市短短一周多就被成功Dump,不过就目前PS5的破解工作开展进度来说,游戏镜像完全没有办法派上用场。最早成功Dump出Switch游戏的组织也是BigBlueBox,距离通过破解手段运行这些游戏镜像则用了一年到两年多的时间。 值得一提的是,在被Dump出的PS5游戏镜像的nfo文件中,BigBlueBox还写下了两行以Mariko开头的密钥,疑似与续航版Switch和Lite的破解工作新进展有关。       (消息及封面来源:cnBeta)

FBI 公布钓鱼网站清单:有黑客利用FBI相似域名窃取用户信息

美国联邦调查局(FBI)近日发布警告,称有网络犯罪分子正在使用一系列伪装成 FBI 的钓鱼网站来窃取用户信息。这些钓鱼网站使用了欺骗性极强的域名,例如使用相近的字母、添加或者减少某个字幕,从而让受害者认为他们加载的是合法正规网站。 在大多数情况下,黑客会发布鼓励用户提供诸如个人详细信息和信用卡号之类的信息的内容。FBI 表示,该机构已经检测到了大量欺骗性域名,以及不再解析的其他域名,这意味着它们已被暂停(尽管也有可能在以后的时间将其重新激活)。 在警告中写道: 联邦调查局(FBI)发布了此公告,以帮助公众识别和避免与FBI有关的欺骗性Internet域名。联邦调查局发现,未经注册的网络参与者在欺骗合法的联邦调查局网站的过程中注册了许多域,这表明了未来的运营活动的潜力。 欺骗性的域名和电子邮件帐户被外国行为者和网络犯罪分子利用,很容易被误认为合法网站或电子邮件。攻击者可以使用欺骗性域名和电子邮件帐户传播虚假信息;收集有效的用户名,密码和电子邮件地址;收集个人身份信息;并传播恶意软件,从而导致进一步的威胁和潜在的财务损失。           (消息来源:cnBeta;封面来自网络)

特斯拉 Model X 遭遇黑客中继攻击 3 分钟可开走汽车

一名黑客成功地为特斯拉汽车开发了一种新的密钥克隆“中继攻击”(Relay Attack),并在特斯拉Model X电动汽车上进行了演示。报道称,特斯拉被告知了这一新的攻击,目前准备为其推出新的补丁。 在北美,特斯拉汽车被盗相当罕见。但在欧洲,有一些老练的窃贼,他们通过“中继攻击”,盗窃了不少特斯拉汽车,其中大多数都没有被找回。 为了应对这些攻击,特斯拉之前已经推出了额外的安全保护措施,配备了改进的密钥卡和可选的“PIN to Drive”功能。 但如今,比利时鲁汶大学(Belgian university KU Leuven)安全研究员列纳特·沃特斯(Lennert Wouters)声称,他组织了一系列新的攻击,可以绕过密钥卡中新改进的加密技术。 沃特斯表示,他只需大约90秒的时间,即可进入特斯拉汽车。一旦进入车内,为了能开走汽车,还需要进行第二步攻击。大概1分钟左右的时间,他就可以注册自己的汽车钥匙,然后把车开走。 目前还不清楚,“PIN-to-Drive”功能能否让沃特斯的第二步攻击失效,该功能要求司机输入PIN后,才能让车辆进入驾驶状态,而不管密钥卡是什么。 不管怎样,特斯拉还是看到了沃特斯攻击的一些价值。沃特斯表示,他们早在8月份就告知了特斯拉。       (消息来源:cnBeta;封面来自网络)

首个 HomePod 越狱事件引发对智能音箱黑客潜力的猜测

iOS系统的 “Checkra1n”越狱工具背后的团队声称已经用它成功越狱了苹果的HomePod,不过目前还不清楚这对智能音箱的黑客潜力意味着什么。该消息是由Twitter用户L1ngL1ng宣布的,他分享了一张macOS终端窗口的截图,似乎显示了通过SSH连接实现对HomePod的命令行root访问。 命令行上的信息表明,相关设备是2018年的原始HomePod型号(标识符为AudioAccessory 1,1),而不是苹果新的HomePod mini(AudioAccessory 5,1)。原版HomePod运行在苹果设计的A8芯片上,这也是iPhone 6首次推出时使用的芯片。 这确实是一个新奇的发展,但越狱HomePod的实际效用在很大程度上是未知的,尽管这并没有阻止r/jailbreak Subreddit上的评论者对可能性的猜测。 到目前为止,能够有机会实现的想法包括打开扬声器的蓝牙连接锁定, 改变Siri为竞争对手的虚拟助手, 显示自定义颜色的顶部屏幕, 并启用支持更多的第三方流媒体服务. 之前已经被证明能够入侵苹果的T2安全芯片的Checkm8 bootrom漏洞可能在这次越狱实践中实现了规避磁盘加密、固件密码和整个T2安全验证链.         (消息来源:cnBeta;封面来源于网络)

俄罗斯黑客窃取 2400 多名艾滋病患者资料打包出售

在网络黑市上,有些黑客真的是什么都能搞到,什么资料都敢卖,现在有2400多名艾滋病患者的资料被盗,网上打包只要5100多块就能买下。据俄罗斯媒体报道,有黑客在网上叫卖艾滋病患者的数据信息,据他所说这些资料是从俄罗斯诺夫哥罗德市艾滋病预防和控制中心获得的,总计有2400多人。 被盗取的信息非常丰富,有患者的姓名、出生日期、护照信息、电话、工作地址、登记及实际住址,还有详细的医疗信息。 为了证明自己所售资料的真实性,这个黑客还在网上公布了三个患者的医疗信息在网站上的截图。 这个包含2400多人医疗信息的资料价格倒不算很高,打包只要6万卢布,约合5100多元,100人的信息则要3000卢布,不到260块。 不知道有哪些人会对这些艾滋病患者的信息感兴趣,不过很大可能这是逼迫被盗机构来赎回这些信息,毕竟当地疾控中心显然不愿意看到这些信息扩散。 盗窃患者的医疗信息出售,这个黑客的行为怎么看都有点缺德,不过这也不是他第一次这么干了,本月初他还从当地肺病医学中心盗取了肺结核患者的医疗信息。         (消息及封面来源:cnBeta)

ZeroLogon 已被黑客组织大量用于全球范围内的工业攻击

赛门铁克安全研究人员刚刚披露了波及 17 个市场区域,针对汽车、工程、制药、托管服务提供商等领域的大规模 ZeroLogon 漏洞攻击。在这些活跃的网络攻击背后,据说都有 Cicada 的身影(又名 APT10、Stone Panda 和 Cloud Hopper)。 (来自:Symantec) 2009 年开始浮出水面的 Cicada,被美方认为有境外背景,且曾向日本多个组织机构发起过网络攻击。 从目前已知的信息来看,新一轮攻击的模样似乎没有什么不同。时间从 2019 年 10 月中旬,一直活跃到至少今年 10 月。 赛门铁克指出,Cicada 使用了包括 DLL 侧载、网络侦察、凭据盗窃、能够安装浏览器根证书并解码数据的命令行实用程序、PowerShell 脚本、RAR 文档等在内的工具和技术,并且利用了合法的云托管服务提供商来下载、打包和泄露其窃取的文件信息。 需要指出的是,该组织最近还扩展了他们的工具包阵容,能够对评级为 10 分的 ZeroLogon 漏洞(CVE-2020-1472)展开利用。 尽管微软已于 8 月对其进行披露和修补,但广大用户仍有被域控制器账户劫持或欺骗、以及导致活动目录身份服务被破坏等安全风险。 此外 Cicada 针对攻击目标推出了定制的 Backdoor.Hartip 恶意软件,此前从未与 APT 有过关联。 据说该组织专注于窃取信息和开展网络间谍行动,包括公司记录、人力资源文档、会议备忘录、费用信息等在内的感兴趣数据,通常会被打包并提交到 Cicada 的命令与控制服务器中。 研究人员指出,攻击者在受害者网络上耗费的时间不尽相同,或者沉寂一段时间后又再次活跃。遗憾的是,由于代码本身被加花,赛门铁克难以准确推断该组织的确切目标。 不过 DLL 侧载和 FuckYouAnti 等名称的运用,此前已被另一份有关 APT 的 Cylance 报告所披露。此外还有 Cicada 之前利用过的 QuasarRAT 和 Backdoor.Hartip 。 赛门铁克总结道:Cicada 显然有许多资源和技能去支撑其发动类似复杂而广泛的攻击,其危险性依然不容小觑。         (消息来源:cnBeta;封面来自网络)

加密货币交易所 Liquid 确认遭遇黑客攻击

加密货币交易所Liquid已确认遭到黑客攻击,它仍在调查受影响的范围有多大。Liquid首席执行官Mike Kayamori在博客中表示,这次黑客攻击攻击发生在11月13日,在攻击当中黑客获得了公司域名记录的访问权限,使得黑客控制员工的电子邮件账户,随后入侵了公司的网络。 Kayamori表示,虽然加密货币资金已经 “入账”,但黑客可能已经访问了公司的文件存储。Liquid认为,黑客有能力从用户数据库中获取个人信息,如客户的电子邮件、姓名、地址和加密密码等数据。加密货币交易所Liquid表示,它正在继续调查,如果黑客获得了用户向交易所提交的用于验证身份的文件,如政府颁发的身份证、自拍照或地址证明,这可能会使用户面临身份被盗风险,或进行有针对性的攻击。 Liquid在一封电子邮件中告诉用户,为了安全起见,他们应该更改密码。通常,针对公司网络基础设施的攻击会利用弱小或重复使用的密码,这些密码被用来注册公司的域名。通过闯入并更改这些网络设置,攻击者可以在无形中控制网络,并获得对电子邮件账户和系统的访问权,而通过其他攻击途径则要困难得多。 鉴于入侵可能带来巨大经济回报,加密货币初创公司和交易所是黑客的高价值目标。2018年,Nano在一次黑客事件中被盗走1.7亿美元Binance和Coincheck在黑客入侵后分别损失了4亿美元的巨额资金,Coinrail在一次黑客攻击后损失了4000万美元,Bithumb损失了3000万美元。 加密货币交易所Liquid成立于2014年,并声称在过去的一年里促成了500亿美元的加密货币交易。       (消息来源:cnBeta;封面来自网络)

Cicada 黑客组织针对日本公司的持续性恶意攻击

有证据表明,Cicada威胁组织是针对17个地区和多个行业的公司发动攻击的幕后黑手。大规模的攻击行动针对多家日本公司,其中包括位于全球17个地区的子公司。此次活动的目标横跨多个行业的公司,包括汽车、制药和工程部门的公司,以及管理服务提供商(MSP)。 Cicada又被称作APT10、Stone Panda、Cloud Hopper),它自2009年以来一直参与间谍类型的行动。 更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1402/       消息来源:Symantec Enterprise Blogs,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。