分类: 黑客事件

华硕回应 Live Update 软件漏洞:仅数百台受到影响

来自卡巴斯基实验室(Kaspersky Labs)的安全研究人员周一表示,他们发现去年黑客通过华硕Live Update软件的漏洞入侵计算机,向100多万华硕电脑用户发送了恶意软件,导致这些电脑可能存在后门。据台湾地区媒体《中时电子报》报道,华硕今天下午表示,此事件已在华硕的管理及监控之中。 华硕称,媒体报道华硕Live Update工具程序(以下简称Live Update)可能遭受特定APT集团攻击,APT通常由第三世界国家主导,针对全世界特定机构用户进行攻击,甚少针对一般消费用户。经过华硕的调查和第三方安全顾问的验证,目前受影响的数量是数百台,大部份的消费者用户原则上并不属于APT集团的锁定攻击范围。 华硕表示,Live Update为华硕笔记本电脑搭载的自动更新软件,部份机型搭载的版本遭黑客植入恶意程序后,上传至档案服务器(download server),企图对少数特定对象发动攻击,华硕已主动联系此部份用户提供产品检测及软件更新服务,并由客服专员协助客户解决问题,并持续追踪处理,确保产品使用无虞。 针对此次攻击,华硕已对Live Update软体升级了全新的多重验证机制,对于软体更新及传递路径各种可能的漏洞,强化端对端的密钥加密机制,同时更新服务器端与用户端的软件架构,确保这样的入侵事件不会再发生。   (稿源:新浪科技,封面源自网络。)

黑客劫持了华硕软件更新服务器 在数千台电脑上安装后门

网络安全公司Kaspersky表示,去年在攻击者破坏了Asus华硕实时软件更新工具的服务器之后,作为世界上最大电脑制造商之一的华硕无意中在其数千台客户电脑上安装了恶意后门。Kaspersky表示,恶意文件使用了合法的华硕数字证书,使其看起来像是该公司真正的软件更新。 华硕是一家总部位于台湾价值数十亿美元的电脑硬件公司,生产台式电脑,笔记本电脑,移动电话,智能家居系统和其他电子设备,去年在被发现之前,至少已经向客户推送后门五个月时间。 研究人员估计有50万台Windows电脑通过华硕更新服务器接收了恶意后门,尽管攻击者似乎只利用了其中大约600台电脑。恶意软件通过其唯一的MAC地址搜索目标系统,恶意软件会联系到攻击者操作的命令和控制服务器,然后在这些电脑上安装其他恶意软件。 Kaspersky表示,他们在一月份发现了这一攻击,因为他们在扫描工具中添加了一种新的供应链检测技术,可以捕捉隐藏在合法代码中的异常代码片段,或者捕捉在电脑上劫持正常操作的代码。该公司计划下个月在新加坡举行的安全分析师峰会上发布一份关于华硕这次攻击的完整技术文件和演示文稿,并将这种攻击取名为“ShadowHammer”。 当研究人员在1月份联系华硕时,华硕向Kaspersky否认其服务器遭到入侵,并表示恶意软件来自互联网。但Kaspersky表示其收集的恶意软件样本的下载路径直接通向华硕服务器。     (稿源:cnBeta,封面源自网络。)

安全预警 | 多个国内网站遭境外政治黑客攻击 首页被篡改

近日,创宇盾网站安全舆情监测平台发现多个国内网站被境外政治黑客攻击,黑客对目标网站的首页进行篡改,并在国外社交媒体平台展示攻击结果。据知道创宇安全专家分析,本次攻击可能是对前段时间某大数据视频监测平台数据大规模泄露事件的回应。 黑客在社交网站发帖的部分截图 安全提示 近期请重点关注来自中东、土耳其等地区的异常访问或攻击情况,做好安全防护措施,知道创宇404积极防御实验室将密切跟进该事件: 1. 对重点网站或业务系统进行安全排查; 2. 对已经存在问题的网站或业务系统及时进行必要的安全整改; 3. 接入创宇盾【www.365cyd.com】进行防护,实时检测网站安全状态,防止黑客入侵,保护网站安全;  

Magecart 黑客攻击电商网站 My Pillow 和 Amerisleep

据外媒The Hacker News报道,网络安全研究人员今天披露了两个新发现的 Magecart 攻击细节,针对床上用品零售商 MyPillow 和 Amerisleep 的在线用户。 Magecart 是安全研究人员对至少 11 个不同黑客组织的总称,这些组织专门在电商网站上植入恶意软件代码,悄悄窃取客户的支付信息。去年 Magecart 就曾制造过针对英国航空公司、Ticketmaster和 Newegg 等知名国际公司网络攻击的大新闻。黑客在所攻击的网站结账页面中植入几行恶意 Javascript 代码,实时捕获客户的支付信息,然后将信息发送到远程攻击者所控制的服务器上。今年  Magecart 黑客还通过将其代码插入到 Adverline 流行的第三方 JavaScript 库,在供应链攻击中影响了近 277 个电子商务网站。这类网络攻击涉及范围广泛,最终瞄准的是在数百个欧洲电商网站上消费的所有客户。 在 RiskIQ 的报告中,研究人员揭示了两个新的与 Magecart 相关的攻击,影响了在线床上用品零售商 MyPillow 和 Amerisleep,与之前的攻击一样,在目标网站上找到注入点后,黑客植入了恶意代码并设法在客户交易时窃取支付信息。MyPillow 于去年 10 月被 Magecart 攻击,黑客在一个看似有着 LetsEncrypt SSL 证书的网站上插入恶意脚本。而另一家床垫公司 Amerisleep 在 2017 年被攻击者窃取过线上交易的信息,之后又在2018年12月再次遭遇攻击,Magecart 黑客将恶意代码托管在了 Github 上。最近一次针对该公司的攻击发生在今年1月,当时黑客决定改动一些条件,将恶意代码仅注入到支付页面而非所有页面。 尽管已遭遇攻击好几个月,MyPillow 和 Amerisleep 都没有发出任何警告或官方声明,提醒客户付款信息可能已遭泄露。 由于攻击者通常会利用在线电商软件中的已知漏洞,因此强烈建议网站管理员及时更新系统和补丁,限制关键系统的权限以及加强 Web 服务器管理等等。在线购物客户也应当定期检查信用卡对账单,及时报告未授权的交易。     消息来源:The Hacker News,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客在暗网上出售第四批数据 涉及 6 个网站 2600 万新账户

据外媒The Hacker News报道,曾三次兜售从32个热门网站上窃取的近8.9亿线上账户数据的黑客,目前正在暗网上出售第四批数据——来自其它6个网站的数千万条记录。 The Hacker News今日收到了一份来自巴基斯坦黑客“Gnosticplayers”的电邮,他声称自己已经攻击了数十个热门网站,而这些网站可能根本不知道已经遭到入侵。这名黑客上个月在暗网市场“Dream Market”上发布了三批数据,第一批是从16个网站上窃取的6.2亿账户详情,第二批是从8个网站上窃取的1.27亿条记录,第三批是从8个网站上窃取的9200万条记录。尽管在放出第三批数据时,黑客“Gnosticplayers”声称是最后一批盗取的数据库,但他还是放出了第四批从另外6个网站窃取的将近2700万新用户的数据。 第四批遭受入侵的网站如下: Youthmanual – 印度尼西亚大学和职业平台 – 112万个账户 GameSalad – 在线学习平台-150万个账户 Bukalapak – 在线购物网站 – 1300万个帐户 Lifebear – 日本在线笔记本 – 386万个帐户 EstanteVirtual – 在线书店 – 545万账户 Coubic – 预约安排软件 – 150万个账户 (图:知道创宇暗网空间搜索引擎“暗网雷达”搜索到的信息) 根据知道创宇暗网雷达搜索到该黑客售卖数据的页面显示,入侵的账户数据包括账户名、邮箱地址、IP地址、加密密码等信息。 黑客单独销售每个被攻击的数据库,总价值为1.2431比特币,大约是5000美元。目前还不清楚上述网站是否意识到数据泄露,The Hacker News已经联系这些受影响的公司并了解他们是否已经警告过用户关于这类安全事件。如果你是上述网站或服务的用户,请考虑更改这些网站上的密码以及其它网站中所使用的相同密码。       消息来源:The Hacker News,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

原型设备使用用户的身体来防止可穿戴设备和植入物遭黑客攻击

据外媒New Atlas报道,我们已经习惯了有人侵入我们的计算机、平板电脑和智能手机所带来的安全风险,但是心脏起搏器和其他植入式医疗设备呢?为了帮助防止可能的黑客攻击,普渡大学的工程师们提出了一种类似手表的设备,将人体变成自己的网络,以此来保护个人技术的私密性。 自从在15年前变得司空见惯以来,Wi-Fi和蓝牙等无线技术一直是一种解放的体验。这些使得在没有电缆或电线的情况下登录互联网变得正常,并且还使无线耳机,耳塞和智能家居成为可能。此外这还使得出现非常个人化的技术,如健身追踪器、智能手表、高级心脏起搏器、胰岛素泵、机器人假肢和其他医疗设备等。 根据普渡大学的研究小组的说法,这会导致一个潜在的问题。目前,所谓的体域网络使用蓝牙技术在我们的人的各种设备之间发送和接收信号。不幸的是,这些设备传输的距离最远可达10米(33英尺),这意味着任何靠近的人都可以拦截信号并进行入侵。虽然还没有人这样做,但理论上也可能进入类似高级起搏器的事情并按下ENTER键进行谋杀。 为了防止这种情况,由电气和计算机工程助理教授Shreyas Sen领导的普渡大学团队正在研究如何将人体转变为自己的封闭网络。通过使用电准静态场人体通信(EQS-HBC)和身体的导电特性,沿着皮肤与周围环境之间的界面传输低频无载波无线电信号,结果导致信号的私密空间是人体附近0.15米的范围。这不仅使其变得非常难以入侵,而且使用的能量比普通蓝牙连接少100倍。 目前,Sen和他的团队正在研究如何将原型设备的尺寸缩小到可以安装在其他设备中的集成电路的大小。当技术成熟时,它不仅可以提高安全性,还可以使医生能够实现无需外科手术即可重新编程的医疗设备,用于替代药物的闭环生物电子医疗设备,以及用于神经科学应用的高速脑成像。 “我们将越来越多的设备连接到人体网络,从智能手表和健身追踪器到头戴式虚拟现实头显,”Sen表示。“挑战不仅仅是将这种通信保持在体内,以至于没有人可以拦截它,但也获得更高的带宽和更少的电池消耗。“ 该研究发表在《科学报告》上。     (稿源:cnBeta,封面源自网络。)

Citrix 收 FBI 警告:6TB 至 10TB 敏感数据被窃

软件制造商Citrix近日承认公司已经沦为数据泄露的新受害者,导致国际黑客窃取了大量的数据。公司表示美国联邦调查局(FBI)已经就此事和公司取得联系,并警告称本次网络攻击行为极有可能是伊朗黑客组织所为,窃取了6TB至10TB的商业文件。 针对本次安全事件,Citrix已经采取积极措施。公司表示:“我们已经全面配合FBI开展调查,并且聘请了一家专业领先的网络安全公司提供协助,巩固我们的内部网络。”随后公司补充道Citrix的任何产品或者服务没有任何迹象表明它们的安全受到了损害,但也承认并不清楚有多少或者哪些文件被访问过。 根据披露的细节显示,黑客使用了一种名为“password spraying”的策略,他们利用弱密码获取有限的访问权限,然后努力绕过其他安全系统。在3月6日被FBI通知之前,网络安全公司Resecurity表示,它已于12月28日联系该公司。Resecurity总裁查尔斯·尤(Charles Yoo)表示,有证据表明黑客大约在10年前首次攻击Citrix的网络,并且此后一直处于等待状态。公司认为在最近的两次袭击中,有6-10TB的数据被盗,重点是与FBI,NASA和航空航天业以及沙特阿拉伯国有石油公司有关的文件。 虽然Citrix表示它正在努力控制这一事件并确保其产品和服务保持安全,但真正的问题是,作为政府承包商,该公司拥有大量敏感数据,现在就怕这些数据已经被访问。   (稿源:cnBeta,封面源自网络。)

微软宣布已经识别出与伊朗黑客相关的网络攻击

微软今天表示,在过去两年中发现并识别出与伊朗黑客有关的网络攻击,这些黑客攻击了200多家公司的数千人。据“华尔街日报”周三的报道,黑客攻击活动窃取了大量企业机密,造成了经济损失,并还包含从计算机中删除数据的破坏情节。 微软通过华尔街日报描述道,网络攻击影响了包括沙特阿拉伯,德国,英国,印度和美国在内的几个国家的石油和天然气公司以及重型机械制造商,并造成了数亿美元的损失。 微软将这些攻击归咎于一个名为Holmium的组织,安全研究人员称之为APT33。微软表示,它发现有超过2200人收到了来自他们的可以安装恶意代码的网络钓鱼电子邮件。 研究人员发现,过去复杂恶意软件的创新及建立多半是由基于经济利益考虑的国际黑客组织所贡献,但现在这个角色已被国家级黑客所取代,这些国家级黑客致力于打造可长期潜伏在关键基础设施网络中的恶意软件,以便展开间谍行动并进行破坏,同时他们不只瞄准关键基础设施,还企图入侵各国官员的家中运算装置。     (稿源:cnBeta,封面源自网络。)

美国安全专家授权调查曾被朝鲜黑客组织使用的命令服务器

援引外媒TechCrunch报道,美国政府官员近期向安全专家提供了被认为曾在去年被朝鲜黑客用于发动数十次有针对性网络攻击而扣押的服务器,而这种举动非常的罕见。这批被扣押的服务器叫做Operation Sharpshooter(神枪手),于去年12月首次发现,用于专门针对政府、电信公司和国防承包商传播恶意软件。 黑客通过电子邮件发送恶意Word文档,一旦这些文档被打开就会运行宏代码下载第二阶段的植入代码–Rising Sun,黑客然后利用它进行侦查和窃取用户数据。Operation sharpshot,所涉及到的行业包括核能、防御、能源、金融等。 根据McAfee高级威胁研究团队和McAfee Labs恶意软件研究团队的深入研究,发现Rising sun植入中使用了朝鲜黑客组织Lazarus Group在2015年使用的Backdoor.Duuzer木马的源码,因此有理由相信操纵这些服务器的就是Lazarus Group,但是目前始终没有直接证据。 在安全专家对这些服务器代码进行检查之后,发现Operation Sharpshooter的运营时间比最初认为的还要长,最远可追溯到2017年9月。而且调查结果显示针对的行业和国家很多,包括金融服务,以及欧洲,英国和美国的关键基础设施。 研究表明这些服务器以恶意程序的命令和控制的基础设施进行运作,使用PHP和ASP网页语言创建和编写网页端应用程序,使其易于部署和高度可扩展。服务器后端的诸多组件可以方便黑客向目标发动攻击,每个组件都扮演特定的角色,例如植入下载器(implant downloader):从另一个下载器托管和备份植入代码和命令注释器(command interpreter):通过中间黑客服务器操作Rising Sun植入物,以帮助隐藏更广泛的命令结构。 尽管有证据表明Lazarus集团,但日志文件中的证据显示据称来自纳米比亚的一批IP地址,研究人员无法解释。   (稿源:cnBeta,封面源自网络。)

部分用户路由器被黑客攻击 或造成访问延迟或失败

新浪科技讯 2月20日下午消息,近日,部分网友反馈路由器信号不好、网速不快。对此,域名解析服务商DNSPod发布公告解释称,近日监控到多起客户在全国各地各运营商流量被调度到江苏电信的问题,经过与第三方的合作分析排查确认,这是一起大规模的黑产攻击事件。 DNSPod称,该事件将影响部分家用路由器用户,访问所有网络服务时DNS解析被调度到江苏电信或周边线路,因跨网、跨省、节点容量等原因造成访问延迟升高或访问失败。 DNSPod为用户提供了临时解决方案,详情如下。 以下为NSPod公告全文: 尊敬的DNSPod用户 近日我们监控到多起客户在全国各地各运营商流量被调度到江苏电信的问题,经过与第三方的合作分析排查确认,这是一起大规模的黑产攻击事件,非DNSPod问题。该事件将影响部分家用路由器用户,访问所有网络服务时DNS解析被调度到江苏电信或周边线路,因跨网、跨省、节点容量等原因造成访问延迟升高或访问失败。 临时解决方案: 1、引导报障用户检查无线路由器DNS是否被黑客篡改,并及时修正DNS。可改为运营商默认DNS或者我们对外提供的公共DNS:119.29.29.29或119.28.28.28 2、建议DNSPod客户临时将江苏电信线路调整使用BGP节点进行覆盖 3、目前DNSPod也在联合第三方和有关部门(CNCERT等)进一步分析处理,有最新消息将及时同步,详情请关注后续DNSPod及CNCERT的公告。   (稿源:新浪科技,封面源自网络。)