分类: 黑客事件

NSA发警告:俄黑客组织 Sandworm 渗入 MTA Exim 已有数月时间

据外媒报道,本周,美国安局(NSA)警告公众,俄罗斯军方网络行为者至少已经利用一个版本的电子邮件软件长达数月之久。据悉,这个受影响的邮件系统是用于基于Unix的系统的MTA软件–Exim mail。该软件默认安装在许多Linux发行版中。 虽然这个漏洞的原始补丁早在去年已经发布,但许多计算机在运行Exim时仍没有安装这个补丁。 据了解,漏洞代码为CVE-2019-10149,其允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。 根据NSA发布的文件,利用这一漏洞发起攻击的俄罗斯组织是Sandworm。他们认为这些俄罗斯网络行动者来自GRU特殊技术中心(GTsST) 74455小组。这些俄罗斯行为者被指通过利用该漏洞增加特权用户、禁用网络安全设置、执行额外的脚本来进一步利用网络,可以说几乎能够实现任何攻击者的梦想访问,而他们要利用的就是未打补丁的Exim MTA版本。 据了解,针对该漏洞的补丁是在几个月前发布的并且当时还有一份来自Exim开发人员的警告。现在,NSA确定他们也已经警告过公众。 随着这些信息的发布,NSA表示,他们将会在未来通过其Twitter账号@NSAcyber公布更多相关的网络安全产品发布和技术指导。     (稿源:cnBeta,封面源自网络。)

黑客组织”匿名者”放言揭露美警察罪行 攻击明州警局

6月1日消息,据国外媒体报道,当地时间上周六晚上,明尼阿波利斯警察局网站自开始有遭到黑客攻击的迹象。几天前,一段据称来自黑客组织“匿名者”(Anonymous)的视频表示,将对乔治·弗洛伊德(George Floyd)在被捕期间遭白人警察 “压颈”后死亡这一事件进行报复。 上周六美国各地城市的抗议者上街游行,反对警察针对黑人的暴力行为。明尼阿波利斯警察局和明尼阿波利斯市的网站暂时无法访问。 到周日上午,这些页面有时会要求访问者提交“验证码”,以验证它们不是机器人。这种工具被用来减缓黑客对网站的攻击。 明尼阿波利斯警察局和市政府的官员没有立即回复置评请求。5月28日,黑客组织“匿名者”在Facebook页面上发布了一段针对明尼阿波利斯警方的视频,在其中指责警方有“可怕的暴力和腐败记录”。 演讲者穿着连帽衫,戴着面具,在视频结尾说,“我们不信任你们这种腐败的组织来执行正义,所以我们将向世界揭露你们的许多罪行。”我们是一个团体。请拭目以待。” 上周末,这段视频在Facebook上被浏览了近230万次。在此期间,抗议者与美国警察执法部门以及国民警卫队发生冲突,暴力事件席卷整个美国。 一些示威活动演变成了骚乱。一些城市实行宵禁,警察有时用橡皮子弹和橡胶棒对付活动人士和报道抗议活动的记者。     (稿源:网易科技,封面源自网络。)

黑客组织窃取 ESET 杀毒软件日志 观察他们的恶意程序有没有检测出

安全公司 ESET 的研究人员披露了俄罗斯国家支持黑客组织 Turla 发动的最新攻击。攻击发生在今年1月,三个目标分别是国家议会和外交部,黑客部署了新版的 ComRAT 恶意程序。旧版的 ComRAT 曾在 2008 年用于从五角大楼网络窃取数据。 ComRAT 的最新版本是 v4,研究人员观察到了 ComRAT v4 的新变种包含了两项新功能:收集杀毒软件的日志和使用 Gmail 收件箱控制恶意程序。 安全研究人员认为,黑客收集杀毒软件日志是为了更好的理解对其恶意程序的检测。如果程序被检测出来,他们可以进行调整以躲避检测。     (稿源:solidot,封面源自网络。)

黑客叫卖 Wishbone 4000 万注册用户的数据

外媒报道称,一名黑客正在叫卖 Wishbone 4000 万注册用户的详细信息,且宣称这批数据是在今年早些时候的黑客攻击活动中窃取的。作为一款流行的移动 App,其允许用户通过简单的投票调查,在两个物品之间展开比较。然而 ZDNet 指出,Wishbone 的大量注册用户信息正在多个黑客论坛上挂牌叫卖,价格仅为 0.85 个比特币(约 8000 美元)。 卖方挂出的示例表明,数据库中包含了 Wishbone 的用户名、电子邮件、电话号码、所在城市、以及密码的哈希值等信息。 黑客声称密码为 SHA1 格式,但 ZDNet 审查发现样本中包含 MD5 格式的密码。 作为一种弱密码散列格式,MD5 很容易被暴力破解算出原始的纯文本字符串,甚至线上就有许多可免费使用的破解工具。 此外数据库汇总包含了指向 Wishbone 个人资料图片的链接,样本中明显涵盖了大量的未成年人用户群体。 黑客声称 Wishbone 应用数据是在今年早些时候发生的一次攻击中窃取的,样本中包含的用户注册和最后登录日期可证明这一点(追溯到 2020 年 1 月),但目前尚不清楚是谁将它挂到黑客论坛上叫卖的。 ZDNet 分析发现,该黑客目前还在兜售数十家其它企业的数据库(总计超过 15 亿条记录),且大多数都来自前些年有被报道过的企业,比如 2017 年波及 Wishbone 的 220 万用户数据泄露事件。 尽管 Wishbone 未披露近年来的用户规模数据,但该 App 多年来一直是 iOS App Store 排名前 50 的社交类应用(甚至在在 2018 年窜升至前 10),谷歌 Play 商店的下载量也在 500 ~ 1000 万之间。   (稿源:cnBeta,封面源自网络。)

黑客 Sanix 在乌克兰被捕 曾贩卖数十亿用户的登陆凭证

乌克兰特勤局今日宣布逮捕了一位名叫 Sanix 的黑客,其曾通过黑客论坛和 Telegram 渠道贩卖数十亿受害用户的登陆凭证。本次逮捕发生在乌克兰西部城市 Ivano-Frankivsk,但官方为披露黑客的真名。作为地下黑客论坛的老成员,有关部门最早在 2018 年追溯到了他的线索。 在安全专家看来,Sanix 的身份更像是一位二道贩子(数据中间商 / Data Broker)。其收集了被黑客入侵的企业泄露的大量数据,将之整理汇总出大量的用户登陆凭证(ID 和密码)。 Sanix 随后将数据贩卖给其它在灰色地带从事网络犯罪的恶意行为者,比如垃圾邮件发送者、密码破解者、账户劫持者、以及暴力僵尸网络的幕后黑手。 在 Telegram 上,Sanix 也曾化名 Sanixer 。其最初负责‘组装’一系列用户名和密码组合,并打包成 #1、#2、#3、#4、#5、Antipublic 等数据集合。 这些资料涵盖了数十亿个唯一的用户名和密码组合,合计容量达到了数 TB,并且已经在私底下被贩卖多年。 然而威胁情报公司 IntSights 指出,部分资料在与另一位二道贩子 Azatej 发生纠纷后在网络上被泄露(Azatej 被认为是贩卖被盗数据的 Infinity Black 门户网站的幕后黑手)。 尽管 Azatej / Sanix 只是泄露了打包后的旧数据,却还是在 2019 年 1 月引发了媒体的强烈关注。时至今日,Collection #1 甚至在维基百科上都拥有了专属的介绍页面。 据悉,Azatej 陆续泄露了多个数据包。但在欧洲刑警组织针对 Infinity Black 采取的一系列行动中,Azatej 已于本月早些时候被逮捕。 乌克兰特勤局(SSU)在今日的新闻发布会上表示,其在 Sanix 的计算机上找到了 Collection#1 的副本,以及至少七个类似的被盗密码数据库。 除了收集用户名和密码,Sanix 的计算机上还存储了与银行卡 PIN 码、加密货币钱包、PayPal 账号、以及 DDoS 僵尸网络有关的信息。 随后的统计发现,SSU 一共从 Sanix 的住所中查获了 2TB 的数据、以及 3000 美元和 19 万格里夫纳(约 7000 美元)的赃款。   (稿源:cnBeta,封面源自网络。)

英国易捷航空遭黑客入侵 约 900 万客户个人信息被窃取

英国廉价航空公司易捷航空EasyJet的一份声明称,在一次重大数据泄露事件中,约900万客户个人信息被窃取,其中包括2200名客户的信用卡详细信息也被获取,但护照记录暂未发现泄露。易捷航空没有透露安全事件是何时发生的,也没有说明黑客是如何进入其系统的。 公司表示,已经将泄密事件提交给了英国的数据保护机构信息专员办公室(Information Commission’s Office)。根据欧洲数据保护规则,公司有72小时的时间向监管机构通报安全事件。 和航空业的其他公司一样,这家航空公司也受到了冠状病毒大流行的沉重打击,疫情迫使全球大量人口呆在家里,商务旅行和度假被大量搁置。 在COVID-19大流行之前,EasyJet在2019年运送了超过2800万名乘客,EasyJet也是首批向英国政府请求救助以防止财务崩溃的公司之一。 英国监管机构ICO去年表示,在一次数据泄露暴露了50万客户的预订细节后,打算对英国航空公司(British Airways)处以创纪录的1.83亿英镑(约合2.3亿美元)的罚款,原因是黑客在其网站上安装了Skiming恶意软件后,盗走了数千个客户信用卡号码。     (稿源:cnBeta,封面源自网络。)

Zerodium 宣布暂停购买 iOS 漏洞:因参与黑客数量过多

据外媒报道,愿意为苹果iOS操作系统漏洞支付200万美元的Zerodium表示,由于最近针对该平台的黑客数量的大幅增加,该公司宣布暂停购买该平台漏洞。换言之,这家公司不再愿意在iOS黑客身上花那么多的钱–只因参与其中的黑客太多了。 Zerodium表示,针对iOS的攻击数量激增的一个可能原因是,越来越多的研究人员在寻找苹果操作系统中的安全漏洞以及可以通过逆向工程仔细检查代码的越狱。而由此带来的后果是,该公司在几个月内不再对iOS漏洞的具体类型感兴趣。 这家在Twitter宣布称:“在接下来的2到3个月里,我们不会收购任何新的苹果iOS LPE、Safari RCE或sandbox escapes,因为这些矢量相关的提交数量很高。”在不久的将来,没有持久性的iOS一键式内容的价格可能会下降。” Zerodium CEO兼创始人Chaouki Bekrar表示:“只有PAC和非持久性才能阻止它走向零……但我们看到许多绕过PAC的漏洞,还有一些持续漏洞(0日)在所有iPhone / iPad上都存在。让我们期待iOS 14会更好。” 苹果预计将在今秋发布iOS 14,极有可能跟新一代iPhone一起发布。然而,该操作系统更新的预览版预计将在WWDC会议上发布,并在会议结束后不久向测试人员发布早期测试版。   (稿源:cnBeta,封面源自网络。)

美特勤局证实有海外黑客团队骗取失业救助金 已损失数亿美元

新冠疫情期间,美国各州发放了失业救助金。不过根据美国特勤局(U.S. Secret Service)最新发布的警告,有海外诈骗团伙利用此前窃取的身份资料申请救助金,导致数百万美元的资金外流。 援引《纽约时报》本周六报道,美国特勤局认为有一伙来自尼日利亚的犯罪分子利用此前从网络攻击中窃取的个人信息,可能窃取了最高数亿美元的救济资金。 根据纽约时报披露的一份特勤局备忘录,该诈骗团伙的主要目标是华盛顿州的失业办公室,但也攻击了佛罗里达州、马萨诸塞州、北卡罗来纳州、俄克拉荷马州、罗得岛和怀俄明州。 美国特勤局本周六证实,确认存在针对多州失业保险计划资金的犯罪行为,但没有就细节发表评论。该机构表示,这些盗窃案通常涉及骗子利用身份盗窃来提交虚假的失业保险金,然后利用社会工程来清洗由此产生的钱,这样犯罪分子就无法被追踪到。 美国特勤局在一份声明中写道:“特勤局的主要调查重点是减轻犯罪分子针对公民身份盗窃和网络犯罪的所有企图,而这次与COVID-19有关。”   (稿源:cnBeta,封面源自网络。)

黑客通过多个交易所尝试洗白窃取的以太坊

去年 11 月 27 日,Upbit 交易所遭入侵,34.2 万以太坊被盗走。黑客之后在 12 月和 1 月通过多个数字货币交易所洗掉了超过 23.6 万以太坊。剩余的以太坊一直留在黑客的钱包里。跟踪数字货币交易的 Clain 报告,黑客最近开始尝试通过多个交易所洗掉剩余的以太坊。 黑客利用了多个知名的交易所,其中包括币安(Binance)、火币和 OKex。对窃取 Upbit 以太坊交易的跟踪显示,币安是利用率最高的交易所。 币安官方表示它已经阻止了黑客的交易,数据显示黑客使用的钱包地址活跃了很长时间,直到最近才被屏蔽。     (稿源:solidot,封面源自网络。)

欧洲多台超级计算机中毒 沦为挖矿肉鸡

本周,欧洲突然曝出多达十数台超级计算机感染恶意挖矿软件,沦为挖矿肉鸡。据悉周一英国爱丁堡大学首先公布了ARCHER超级计算机遭到攻击的报告,表示关闭ARCHER的系统进行调查,并且为了防止再次被攻击,重置了SSH(安全外壳协议)密码。 同一天德国超级计算机管理组织bwHPC宣布因为类似的安全问题,旗下5台超级计算机/高性能计算集群bwUniCluster 2.0、ForHLR II、bwForCluster JUSTUS、bwForCluster BinAC、Hawk现起关闭。 周三安全研究员Felix von Leitner在博客中称,位于西班牙巴塞罗那的一台超级计算机也受到安全问题的影响,因此被关闭。 周四更多被感染的超级计算机浮出水面,巴伐利亚科学院下属的莱布尼兹计算中心当天表示因为安全漏洞,其管理的计算集群断开互联网连接。 当天晚些时候,德国朱利希研究中心紧接着表示由于发生“IT安全事件”,必须关闭旗下JURECA,JUDAC和JUWELS超级计算机。 就在昨天瑞士苏黎世的瑞士科学计算中心也表示在直到外部环境安全之前,将持续关闭其超级计算机的外部访问。 目前尚不清楚究竟是什么人或组织实施了这些攻击,但据安全公司分析,黑客是通过窃取SSH凭证获得了超级计算机的访问权限,而大学内部人士因为有权访问这些超级计算机而最有嫌疑。 实际上被劫持的SSH登录名分别属于加拿大、中国和波兰的大学。 而且虽然没有证据证明所有的攻击都是由同一组织实施的,但所有恶意软件的文件名和网络指示器都证明它们的源头可能是同一个地方。     (稿源:快科技,封面源自网络。)