分类: 黑客事件

黑客 BestBuy 认罪,曾劫持德国电信路由器逾 90 万台导致 200 万欧元损失

据外媒报道,29 岁黑客 BestBuy 于 7 月 21 日在德国法庭认罪,曾使用 Mirai IoT 恶意软件自定义版本劫持德国电信路由器逾 90 万台。目前,德国预计此次网络攻击损失超过 200 万欧元。 7 月初,调查人员布莱恩·克雷布斯(Brian Krebs)表示,他们发现黑客 BestBuy 真实身份,即英国丹尼尔·凯耶(Daniel Kaye)。调查显示,BestBuy 在该起网络攻击活动中提供了恶意软件源代码,包括代码签名数字证书( 网络黑市 TheRealDeal 中售价接近 4.5 比特币 )。 英国警方表示,BestBuy 于 2016 年 11 月下旬通过恶意代码新变种感染德国电信路由器,发动 DDoS 攻击。随后,这黑客又于 12 月使用另一版本恶意软件 Mirai ,造成英国 10 万台路由器处于离线状态。据悉,BestBuy 于 2017 年 2 月底在伦敦机场被捕后被引渡德国。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

DarkHotel APT 再次回归,利用新技术针对朝鲜政府雇员开展间谍活动

据安全公司 Bitdefender 最新消息,DarkHotel APT 组织再次回归并以新型技术针对朝鲜政府雇员开展间谍活动。研究人员认为 DarkHotel APT 成员主要是韩国人,目前在朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、台湾、中国、美国、印度等多个国家均有其受害者。 2014 年 11 月,卡巴斯基实验室首次发现了 Darkhotel APT 间谍活动,该组织主要针对出国旅游的公司高管。研究人员注意到这一组织只会针对目标入侵一次,绝不重复行动,此前目标包括来自美国和亚洲的首席执行官、高级副总裁、顶尖研发工程师、销售和营销主管等。 调查显示,DarkHotel APT 黑客利用多种方式攻击目标系统,并将其用作攻击点对点(P2P)文件共享网站和酒店 Wi-Fi。而近期,Darkhotel APT 被发现利用此前意大利黑客公司 Hacking Team 泄露的漏洞尝试新型攻击方法。 DarkHotel APT 最近一次行动中通过被称为“ Inexsmar ” 的攻击手段,对政治人物进行了针对性入侵。“这种攻击使用新的 payload 传递机制而非完整的 0-day 开发技术,并以社会工程学与相对复杂的木马混合感染其选定的受害者群体”。通过网络钓鱼邮件传播木马下载程序,恶意代码则用于收集受感染设备上的信息,并将其发送回攻击者服务器。若受感染的系统满足特定要求,则会被伪装成 OpenSSL 组件的第一级下载器取回。在这个阶段,恶意代码打开了一个题为“平壤电子邮件列表 – 2016 年 9 月”的文件,其中包含平壤各组织的电子邮件联系人。如果要求不满足则攻击停止,否则传送另一个 payload。 不幸的是,在调查时由于 C&C 服务器处于脱机状态,研究人员无法收集有关攻击的进一步细节。与利用漏洞相比,多级下载器的使用意味着技术上的重要改进,因为它能够允许攻击者进一步优化恶意软件的分发和更新。 原作者:Pierluigi Paganini,编译:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软以全新方式对付俄罗斯黑客 Fancy Bear

微软已经采取措施削弱俄罗斯联邦格鲁吉亚黑客团伙 Fancy Bear 能力。Fancy Bear 有时与俄罗斯秘密军事情报机构联系在一起,被认为是去年黑掉美国民主党电子邮件账户的主要力量。自 2007 年以来,Fancy Bear 一直在进行网络间谍活动,入侵过北约、奥巴马白宫、法国电视台、世界反兴奋剂机构和无数非政府组织以及欧洲、中亚和高加索地区的军事和民间机构。 美国情报调查结果显示,Fancy Bear 在去年针对民主党全国委员会和希拉里克林顿电子邮件账户的行动,是莫斯科帮助唐纳德 · 特朗普赢得白宫努力的一部分。然而,微软并未利用反黑客人员通过命令提示符代码与黑客进行斗争。其微软一直在慢慢地通过起诉案件,将 Fancy Bear 带入法庭,没收属于 Fancy Bear 的几十个域名。 目前,微软已经设法获得了 70 个原本属于 Fancy Bear 的域名,这些域名曾经用来制造恶意行为,例如在电脑上注入恶意软件,并将虚假信息扩散到社交媒体网站。此外,被微软控制的域名,允许微软在其上设置拦截点,因为 Fancy Bear 的服务器网络将信息中继到现在微软控制的域名和网站,现在微软成为中间人,使其能够在观察外国攻击或黑客攻击的各种计划和行为。 稿源:cnBeta;封面源自网络

以太坊钱包客户端 Parity 遭黑客盗取三千万美元

未知黑客利用以太坊钱包客户端 Parity 漏洞从多签名钱包中窃取超过 15.3 万以太坊,价格三千万美元。目前,该漏洞影响 Parity 1.5 及之后的版本。 Parity 1.5 于今年 1 月 19 日发布,其多签名钱包是指多个用户使用自己的私钥控制以太坊账号,需要在多数人使用私钥签名后才能转移资金。攻击发生后立即被 Parity 发现并发出警告。 据悉,被窃取的以太坊储存在地址 0xB3764761E297D6f121e79C32A65829Cd1dDb4D32。目前,攻击者已成功转出 5 万以太坊,并将其分散到更多账号。此外,The White Hat Group 组织在攻击发生后利用相同漏洞提取出未被黑客盗出的以太坊,储存在地址 “0x1DBA1131000664b884A1Ba238464159892252D3a ,该地址目前有 37.7 万以太坊,价值超过八千万美元。知情人士透露,该组织由安全研究人员和以太坊项目成员组成,他们表示此举是为保护资金的安全,会在攻击后退还给原拥有者。 稿源:solidot奇客;封面源自网络

Segway 平衡车 App 远程被黑:夸张到让骑行者随意栽倒

平衡车也能被黑?这事儿真发生了。据外媒报道,研究机构 IOActive 的实验人员通过使用修改版本的 UART,黑入平衡车的蓝牙通讯系统,达到控制系统、调整设置目的。 此次被黑产品是赛格威 miniPRO 平衡车,入侵者可以远程通过手机对平衡车进行定位,甚至急刹或者让骑行者栽倒等。 不过,ZDNet 称,Segway 和其母公司 Ninebot 已经收到 IOActive 的漏洞报告,并在新版 APP 中修复了 BUG。 稿源:cnBeta、快科技;封面源自网络

黑客现在可以通过 VSAT 系统黑掉船只

大型船只和飞机通常配备 VSAT 系统,允许机组人员在航行期间发送和接收信息并访问互联网。事实证明,这些 VSAT 系统中的一些是非常不安全的,并且可能允许攻击者获得访问权限并中断通信。 安全研究员 x0rz 发现,许多 VSAT 系统可以从公共互联网进入。这不仅意味着黑客可以通过诸如 Shodan 这样的服务对大型船只和飞机进行跟踪,而且远程攻击者可以仅使用默认凭据来获得访问权限。x0rz 表示,在他的黑客实验中,没有船只受到伤害,但是任何一个心存恶意的黑客都可能对船只造成重大伤害,黑客获得对访问权限可以让他们从 VSAT 手机查看通话记录,更改系统设置,甚至上传新的固件。 安全人员还指出,VSAT 系统可能连接到其他板载设备,从理论上说,黑客可以利用 VSAT 系统进入船只内部网络,造成更多的破坏。由于这些系统是可公开访问的,因此可以确定船舶的具体位置,甚至创建一个可以实时跟踪船只的地图。 x0rz 识别了一些易受攻击的 VSAT 系统,它们都来自英国制造商 Cobham,并被配置为将 HTTP Web 服务暴露给互联网。如 x0rz 所指出,VSAT 系统在飞机上也很受欢迎,从小型私人飞机到军用飞机和客机。暴露的 VSAT 装置也可能影响连飞机飞行安全,让黑客从卧室控制飞机。据丹麦航运公司 Thane&Thane 介绍,VSAT 系统用于校准仪器。任何破坏都会产生灾难性的后果。 稿源:cnBeta,封面源自网络

黑客瞄准爱尔兰能源网络展开攻击,或有俄罗斯政府背景

据外媒 7 月 17 日报道,爱尔兰能源网络已成为鱼叉式网络钓鱼攻击目标。近期,安全专家发现黑客针对爱尔兰电力供应局( ESB )高级工程师的攻击事件或与俄罗斯总参谋部情报总局( GRU )有关。 据《 泰晤士报 》报道,黑客针对爱尔兰能源部门发起大规模攻击,旨在入侵爱尔兰国家控制系统、接管电网。此外,英美等国能源网络也成为黑客主要攻击目标。安全专家认为,GRU 黑客正利用各国基础设施测试自身网络攻击能力。考虑到某些国家是苹果、谷歌与 Facebook 等 IT 巨头欧洲总部所在地,因此该举措极有可能对欧洲地区稳定性造成不良影响。 目前,爱尔兰国家网络安全中心正着手调查该起攻击事件。调查显示,此次攻击活动旨在窃取信息与收集情报,并非蓄意破坏,即黑客使用网络钓鱼手段窃取登录凭据,进而渗透能源行业内部网络。英国皇家三军研究所( RUSI )本月初发布漏洞预警,指出网络攻击威胁持续增长,特别是西部地区的卫星基础设施。军民通信与全球定位系统一旦遭受攻击将对国家经济产生重大影响。当然,俄罗斯否认国家黑客参与针对西方政府或乌克兰的袭击事件,但不排除俄罗斯爱国黑客自发干预 2016 年境外大选可能。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

收款地址遭篡改:CoinDash 被黑 700 万美元

在加密货币概念被炒得火热的当下,人们不禁怀疑数字货币是否同样面临着泡沫的风险。据彭博报道:本周一(7 月 17 日),自我标榜为 “ 一家社交交易平台 ” 的区块链科技初创企业 CoinDash 声称其网站遭到黑客攻击,导致尝试购买该公司初币的投资者们损失超过 700 万美元。投资者被指示用 “ 以太坊 ”(Ethereum)进行支付,并将资金发送到令牌销售者的智能联系地址。 CoinDash 在一封电子邮件中表示,其发送地址显然已被攻击、并被篡改成了一个欺诈地址。由官网可知,该公司当前正在对此事进行调查,但暂不清楚谁需要对此负责。CoinDash 已经终止了数字货币销售,并要求投资者停止将以太坊发送至该网站。 交易开始后,迅速蹿升的令牌价格(均价两倍)促使投资者们为早期发展砸下了数百万美元的融资(通常可在数分钟内结束)。这番炒作推动了以太坊的币值,年初时只有 8 美元,最高炒到了 300 美元左右。根据 Coinmarketcap.com 的数据,周一 Ether 币的价格在 174.88 美元左右。 CoinDash 在一封声明中称:“对于我司和投资者们来说,这都是一起破坏性的事件,但这显然不是我们项目的终点,CoinDash 将担负起所有责任”。CoinDash 表示,其已经从早期参与者那里筹得 640 万美元。无论投资者将以太坊发送到了正确的、或者欺诈地址,都将拿到他们既定的 CoinDash 令牌。 稿源:cnBeta,封面源自网络

取钱要当心:新型 ATM 红外卡槽盗刷器已出现

据外媒 7 月 16 日报道,网络安全专家 Brian Krebs 近期发布一份报告,指出黑客利用红外插入式卡槽器针对美国俄克拉荷马城至少四家银行的 ATM 设备展开网络攻击活动。 插入式卡槽器是一款采用短距离红外通信技术的超薄微型设备,隐藏在 ATM 机卡槽内捕获信用卡数据并存储在嵌入式闪存中。该设备虽然构造简单,但主要通过天线将窃取的私人数据传输至隐藏在 ATM 机外部的微型摄像头中。 调查显示,这种设计可以帮助黑客减少维护成本。例如,可直接将设备留在 ATM 机插槽中更换电池。Krebs 表示,黑客近期对设备进行了优化处理,改用嵌入式电池并仅当用户将信用卡插入 ATM 机卡槽时才会开启窃取功能。 黑客还能将摄像头巧妙安置在隐蔽的地方,例如 ATM 机旁边的置物架或 ATM 机上方的安全镜中(部分 ATM 机允许合法放置安全镜,以便用户发现身后是否有人偷窥)但通常做法是在密码键盘上方或旁边装置针孔摄像头。 目前,美国俄克拉荷马城至少有四家银行的 ATM 机受到影响。安全研究人员建议广大用户在ATM 机输入密码时用手遮挡,以防偷窥。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美媒:卡塔尔断交危机因阿联酋派黑客散布谣言

英国路透社 7 月 17 日援引美国《 华盛顿邮报 》报道称,阿联酋 5 月时安排黑客攻击卡塔尔政府的社交媒体和新闻网站,散布虚假的卡塔尔国家领袖言论,导致卡塔尔 6 月遭到 4 个邻国断交。 卡塔尔国家领袖塔米姆·本·哈迈德·阿勒萨尼 5 月时,传出曾经称赞巴勒斯坦伊斯兰教军事组织 “ 哈玛斯 ”,并称伊朗是 “ 伊斯兰力量 ”,导致沙特阿拉伯、阿联酋、埃及和巴林在 6 月 5 日指控卡塔尔支持恐怖主义,并宣布和卡塔尔断绝外交和交通往来。卡塔尔虽然在 5 月底表示是黑客假装成阿勒萨尼发言,但是海湾国家不相信其说词。 报道称,美国情报官员上周获悉新资料显示,阿联酋高级官员在 5 月 23 日曾经讨论过这个黑客攻击,刚好就是假发言出现的前一天。《华盛顿邮报》引述美国官员表示,仍不确定是阿联酋政府自行发动这次黑客攻击,还是付钱请黑客代劳。 阿联酋大使 Yousef al-Otaiba 已否认这项指控,他在声明中强调卡塔尔的确是始作俑者,资助、支持和帮助极端组织如塔利班、哈玛斯等,而且还煽动暴力、鼓励民众激进化,破坏邻国的稳定。目前,美国国务院拒绝对此消息发表评论,美国联邦调查局之前就传出和卡塔尔联合调查黑客攻击的消息。 稿源:新浪科技、环球网;封面源自网络