分类: 黑客事件

微软警告黑客组织 Fancy Bear 正试图利用物联网设备漏洞

微软威胁情报中心报道称,俄罗斯黑客组织 Fancy Bear 一直试图利用 VoIP 电话和打印机等物联网设备,对企业网络展开渗透。外界普遍猜测,该组织拥有俄罗斯官方背景,又名 Strontium Group 或 APT 28 。该组织已成功地在 50 多个不同的国家 / 地区,感染了超过 50 万台消费级路由器。 (题图 via MSPU) 今年 4 月,黑客试图将企业的物联网设备作为目标,借助这些“跳板”来渗透规格更大、安全措施更严格的企业网络。 三起事件中的两件,归咎于物联网设备使用了默认的出厂设置。另一件则是设备使用了过时的固件,其中包含了已知的漏洞。 获得物联网设备的访问权限后,攻击者会进一步破坏网络上其它易受攻击的设备和节点。 通过简单的扫描,该组织可在企业内网畅通无阻地移动,寻找获得更高级别账户的访问权限,以窃取高价值的数据。 此外,黑客可执行“tcpdump”,以发现本地子网上的网络流量。幸运的是,袭击事件被迅速扼杀在了萌芽状态。 在调查结束后,我们已于所涉特定设备的制造商分享了这些信息,希望它们能够借此来探索其产品的全新保护措施。   物联网设备制造商需要对安全威胁保持更广泛的关注,了解此类威胁类型的组织和安全团队,以提供更好的企业支持和监控功能,让技术团队更轻松地保障网络安全。 据悉,同一黑客组织还与针对民主党全国委员会(DNC)、法国 TV5 Monde 电视台、以及德国外交部等机构的攻击事件有关。 安全研究人员指出,该组织还攻击了正在调查与俄方有关的网络犯罪事件的调查人员的电子邮件账户,比如 Skripal 中毒和马航 MH17 空难事件的调查者。 显然,这些未遂攻击的揭露,是微软对行业需加强物联网设备安全性的最新警告,否则后续攻击事件还会接踵而至。   (稿源:cnBeta,封面源自网络。)

IBM X-Force Red 发现新型网络风险:用邮寄方式入侵 WiFi 网络

IBM X-Force Red是隶属于IBM Security的一个资深安全团队,主要目的是发现和防范网络中存在的潜在漏洞。今天该团队发现黑客可以利用网络安全的潜在漏洞渗透网络,实现访问设备以及窃取设备上的数据。这项新技术被X-Force Red称为“Warshipping”,黑客会在包裹内部署一个名为“战舰”(WarShip)的巴掌大小计算机,并通过快递方式将其运输到指定机构,随后入侵这些机构的WiFi内部网络。 和Wardialing或者Wardriving这样的传统方式不同,Warshipping是一种支持3G网络的设备,因此避免了传统方式必须要在黑客设备范围内的局限性,能够更加灵活的进行远程和现场控制。 一旦到达目标站点,设备就会留意可用于探测网络的潜在数据包。 IBM X-Force Red的全球管理合伙人Charles Henderson记录了该团队进行被动无线攻击的过程: 举个例子我们听到了一次握手,一个信令表明设备建立了网络连接。其中一个WarShip设备将捕获的哈希传送到我们的服务器,然后我们利用后端进行破解,基本上就是用户的无线密码,然后获得WiFi的掌控权。 一旦WarShip成功入侵机构的WiFi,并且随后对所有与其连接的设备进行访问。该WarShip设备还会创建自己的流氓WiFi网络,迫使目标设备连接到该网络。自此该机构的关键信息,例如用户名和密码都会发送给黑客,以便于黑客进行后续的网络攻击。 查尔斯通过总结了该团队的调查结果:在这个warshipping项目中,遗憾的是,我们能够建立持久的网络连接并获得对目标系统的完全访问权限。 需要部署到站点的设备基本上由单板计算机(SBC)组成,该计算机在传统的手机可充电电池上运行。此外,使用现成的组件,制作成本仅约100美元,而且它看起来就像是用于学校展示的DIY项目,而不是用于入侵网络的设备。   (稿源:cnBeta,封面源自网络。)

错误的 JIRA 配置导致数百家财富 500 强公司的数据泄露

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章,揭露全球范围内使用非常广泛的问题跟踪软件 JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。 以下是 Jain 文章的内容: 几个月前,我发表了一篇关于“JIRA 泄露 NASA 员工和项目数据”的文章,我能够在这些泄露的数据中找到NASA员工的详细信息,包括用户名、电子邮件、ID 以及他们的内部项目详细信息。他们用的就是 Atlassian 的 JIRA 工具 – 一个独立任务跟踪系统/项目管理软件,全球约有135,000家公司和组织在使用。 而这次数据泄漏的根本原因是 JIRA 中存在的疯狂错误配置。 为什么使用“狂野”一词,是因为如果你的公司也在使用相同的错误配置,那么我也可以访问你们内部的用户数据和内部项目详细信息。 受影响的客户包括 NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西联汇款,联想,1password,Informatica等公司,以及世界各地政府的许多部门也遭受同样的影响,如欧洲政府,联合国,美国航天局,巴西政府运输门户网站,加拿大政府财政门户网站之一等。 接下来我将分享我在Jira(Atlassian任务跟踪系统/项目管理软件)中发现的那个关键漏洞,或者更具体地说是导致组织和公司内部敏感信息泄露的错误配置问题。 让我们看看究竟是什么问题! 在 JIRA 中创建过滤器或仪表板时,它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时,默认情况下,可见性分别设置为“所有用户”和“所有人”,而不是与组织中的每个人共享,所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能,它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。由于权限方案错误,以下内部信息容易受到攻击: 所有账号的雇员姓名和邮箱地址 雇员的角色 项目信息、里程碑等 任何拥有该系统链接的人都可以从任何地方访问它们并获取各种敏感信息,由于这些链接可能被所有搜索引擎编入索引,因此任何人都可以通过一些简单的搜索查询轻松找到它们。 来看看一些泄露的数据: 1. NASA员工数据 2. JIRA 过滤器公开访问 3. NASA 项目详情 如上所示,由于这些配置错误的JIRA设置,它会公开员工姓名,员工角色,即将到来的里程碑,秘密项目以及各种其他信息。 现在,我来介绍一下如何通过 来自“Google dorks”(搜索查询)找到这些公开曝光的用户选择器功能、过滤器以及许多公司的仪表板的链接/URL。 我通过 Google 的搜索如下: inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log 然后结果就出来了: 此查询列出了其URI中具有“UserPickerBrowser”的所有URL,以查找公开而且不需要经过身份验证的所有配置错误的 JIRA 用户选择器功能。 谷歌收购Apigee员工数据公开曝光 Go-jek 员工数据公开曝光 还有前面提到的 NASA 泄露的数据。 对于过滤器和仪表板,我们可以看到这些过滤器和仪表板的URL包含“Managefilters”和“ConfigurePortal”作为一部分。 我继续创建搜索查询 – inurl:/ManageFilters.jspa?filterView=popular AND ( intext:All users OR intext:Shared with the public OR intext:Public ) 此查询列出了所有在其URI中具有“Managefilters”并且文本为“Public”的URL,以便找到所有公开暴露且未经过身份验证的错误配置的JIRA过滤器。 结果如下: inurl:/ConfigurePortalPages!default.jspa?view=popular 此查询列出其URI中具有“ConfigurePortalPages”的所有URL,以查找公开公开的所有JIRA仪表板。 在进一步侦察(信息收集)时,我发现各公司都有“company.atlassian.net”格式的JIRA URL,因此如果您想检查任何配置错误的过滤器,仪表板或用户选择器功能的公司,您需要 只需将他们的名字放在URL中 – https://companyname.atlassian.net/secure/popups/UserPickerBrowser.jspa https://companyname.atlassian.net/secure/ManageFilters.jspa?filterView=popular https://companyname.atlassian.net/secure/ConfigurePortalPages!default.jspa?view=popular 数以千计的公司过滤器,仪表板和员工数据被公开曝光。 这是因为设置为过滤器和仪表板的错误权限方案因此甚至提供了对未登录用户的访问权限,从而导致敏感数据泄漏。 我在数百家公司中发现了几个错误配置的JIRA帐户。 一些公司来自Alexa和Fortune的顶级名单,包括像NASA,谷歌,雅虎等大型巨头和政府网站,以及 – 巴西政府对Jira过滤器错误配置了他们的道路和运输系统,因此暴露了他们的一些项目细节,员工姓名等,这些都是在与他们联系后修复的。 同样,联合国意外地将他们的Jira过滤器和Jira仪表板公开,因此暴露了他们的内部项目细节,秘密里程碑等,在我报告之后由他们修复并且在他们的名人堂名单中得到奖励。 当他们的商业金融软件系统和解决方案具有相同的Jira错误配置并暴露其内部敏感项目和员工细节时,甚至欧洲政府也遭受了同样的风险。 在我向他们发送报告后,他们也对其进行了修复,并在其名人堂名单中得到了认可。 这些公开可用的过滤器和仪表板提供了详细信息,例如员工角色,员工姓名,邮件ID,即将到来的里程碑,秘密项目和功能。 而用户选择器功能公开了内部用户数据。 竞争对手公司有用的信息,可以了解其竞争对手正在进行的即将到来的里程碑或秘密项目的类型。 即使是攻击者也可以从中获取一些信息并将其与其他类型的攻击联系起来。 显然,它不应该是公开的,这不是安全问题,而是隐私问题。 我向不同的公司报告了这个问题,一些人给了我一些奖励,一些人修复了它,而另一些人仍在使用它。 虽然这是一个错误配置问题,Atlassian(JIRA)必须处理并更明确地明确“任何登录用户”的含义,无论是JIRA的任何登录用户还是仅登录属于特定 JIRA 公司帐户的用户。   (稿源:开源中国,封面源自网络。)

纽约司法部长宣布调查 Capital One 泄露事件并将提供“救济”

据外媒报道,当地时间7月30日,纽约州司法部长Letitia James在Twitter发文宣布,她将和她的团队对Capital One的泄露事件展开“立即”调查。另外她还表示,她对这些黑客攻击的频率感到沮丧,称其变成了家常便饭。 James希望自己在完成调查后拥有足够信息和能力为Capital one的纽约受害者提供“救济”。目前还不清楚她所表达的具体意思,但她可能会为受害者争取某种形式的赔偿。 据悉,最近的Capital One黑客攻击事件曝光了1亿多名美国和加拿大用户的信息,即如果曾在2005年至现在申请过Capital One信用卡就可能存在数据被盗的风险。泄露的信息则有地址、姓名、电子邮件、电话号码甚至社会保障号和信用评分等。   相关阅读:美国银行第一资本遭黑客入侵:逾1亿用户信息泄露   (稿源:cnBeta,封面源自网络。)

美国银行第一资本遭黑客入侵:逾1亿用户信息泄露

美国银行第一资本金融公司在周一披露,一名黑客获取了逾1亿名顾客和潜在顾客的个人信息,包括姓名、地址、电话号码和生日。第一资本称,公司在7月19日确认了这次黑客入侵事件,目前这名黑客已经被美国联邦调查局逮捕。在宣布这一消息后,第一资本股价在盘后交易中下跌1%。 第一资本表示,大约有1亿美国用户和600万加拿大用户的个人信息受到了此次事件的影响,但是黑客没有获取任何信用卡账号,超过99%的社会安全号码没有泄露。 “我们相信,这些信息不大可能被黑客用于欺诈或者四处传播。”第一资本在声明中称。 根据第一资本披露的信息,包括2005年至2019年初信用卡申请者在内的基本个人信息被黑客访问,包括信用评分、支付历史以及部分交易数据。大约14万个美国顾客的社会安全号码以及8万个关联银行账号被获取。在加拿大,100万个社保账号被黑客访问。 第一资本表示,将向受影响的个人通知这次入侵事件,并提供免费的信用监控和身份保护服务。   (稿源:cnBeta,封面源自网络。)

洛杉矶警察局数据泄露致 2500 名警官个人信息被盗

据外媒报道,据称大约有2500名洛杉矶警察局(LAPD)警官和17500名LAPD求职者的个人信息在一次数据泄露被盗。NBCLA周一援引数位官员的话称,被盗信息包括姓名、电子邮件地址、出生日期、部分职工序列号及密码。 对此,LAPD建议受影响的警官要监控起自己的信用报告和银行账户,另外再向FTC申诉。至于这起数据泄露事件究竟是怎么发生目前并未得到公布。 “在洛杉矶警察局数据安全是最重要的,我们致力于保护跟我们机构有关的任何人的隐私,”LAPD发言人告诉NBCLA。 而针对这次事件LAPD并未立即回应置评要求。   (稿源:cnBeta,封面源自网络。)  

美参议院:俄罗斯黑客将目标对准所有 50 个州的选举系统

据外媒The Verge报道,根据周四发布的一份修订报告,美国参议院情报委员会得出结论称,所有50个州的选举系统都是与俄罗斯政府有关的黑客攻击的目标。 2017年美国国土安全部曾正式发出通告,黑客将目标对准美国21个州的选举系统。在今年4月,国土安全部和联邦调查局的一份联合报告表明,俄罗斯黑客可能试图调查美国每个州的选举系统是否存在漏洞。 目前尚不清楚参议院情报委员会对俄罗斯对每个州的探究情况有多确定,或证据可能是什么。但它确实表示,2018年收集的一些情报支持了国家安全委员会网络安全协调员Michael Daniel和国土安全部早先的假设,即每个州都被黑客入侵。 报告还写道:“俄罗斯网络行为者可以删除或更改选民数据”。然而外媒指出,美国政府仍然没有任何证据证明俄罗斯实际上篡改了任何选民数据,也没有证据表明黑客访问了实际的投票机。俄罗斯黑客似乎针对选民登记系统和投票数据库。而穆勒的报告也表明投票机公司也是俄罗斯GRU的目标。   (稿源:cnBeta,封面源自网络。)

流媒体服务遭受 IoT 僵尸网络 13 天的 DDoS 攻击

覆盖超过40 万台物联网设备的僵尸网络对一家流媒体应用程序进行了为期 13 天的分布式拒绝服务(DDoS)攻击。 攻击始于 4 月 24 日,黑客针对身份验证组件的攻击最高达到了每秒292,000 次,使其成为了最大的第7层 DDoS 攻击之一。 负责应对此次攻击的 Imperva 公司在攻击期间始终运行该服务,并观察了来自402,000个不同IP地址的请求。 该公司在今天的一份报告中称,大多数攻击设备都位于巴西,并指出这是他们所处理的最大的第7层DDoS攻击。 “为了掩盖他们的攻击,攻击者使用了与此公司的客服应用程序相同的用户代理。” 因为攻击者拥有数量庞大的机器用来发起进攻,蛮力保护在这种情况下不会起作用。当攻击数量达到系统限制时,机器们就会等待一段时间然后再继续攻击。 这种技术被命名为“low and slow”,因为攻击者需要较长时间才能实现其目标,但由于通过模仿合法用户活动进行攻击,此种攻击方式因此也更难以防御。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

德国安全局称有黑客传播 Sodinokibi 勒索软件

德国国家网络安全机构 BSI 发布警告称,有黑客通过将电子邮件伪装成 BSI 的官方消息传播 Sodinokibi 勒索软件。 黑客将一个微软快捷方式伪装成 PDF 文件,当受害人将其打开时便会被其指向的压缩包附件感染。 一旦执行,快捷方式将使用 PowerShell 命令启动位于 http://grouphk[.]xyz/out-1308780833.hta 的远程 HTA 文件(HTML 应用程序的简称),该命令只是将 HTTP 添加到 HTA  payload 的 URL 前。 据德国安全局称,下载 Sodinokibi(也称为 REvil 和 Sodin)payload 的网址的域名和下载 HTA 文件的域名是相同的。 下载之后,Sodinokibi 将加密受害者的文件,并为每个计算机添加一个随机且唯一的扩展名。 该软件还会在所有文件夹中创建名称为“扩展名 -HOW-TO-DECRYPT.txt”的记事本文档,其中包含前往支付网站的方式和链接。 用户将会被要求支付价值 2500 美元的比特币。若超过两天仍未付款,金额将会翻倍。勒索界面还显示了用于支付的比特币地址。 Sodinokibi 还曾被卡巴斯基观察到通过利用 Windows 7 到 10 和服务器版本的 Win32k 组件中的 CVE-2018-8453 漏洞来提升其在受感染电脑中的权限。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客攻入俄罗斯联邦安全局承包商服务器 窃取 7.5TB 的数据

黑客入侵了俄罗斯国家情报部门FSB的承包商SyTech,并从那里窃取了该公司为FSB工作的内部项目的信息 – 包括用于对Tor流量进行去匿名化的信息。攻击事件发生在上周末,即7月13日,一群名为0v1ru $的黑客入侵了SyTech的活动目录服务器,从那里他们获得了访问该公司整个IT网络的权限,包括一个JIRA实例。 黑客从承包商的网络中窃取了7.5TB的数据,末了他们还顺手用一个“yoba face”破坏了该公司的网站,这是一个受俄罗斯用户欢迎的表情符号。 黑客在Twitter上发布了该公司服务器数据的截图,后来又与数字革命组织分享了被盗数据。数字革命是另一个黑客组织,他们去年攻破了另一家FSB承包商Quantum公司。 黑客组织之后还与俄罗斯记者在Twitter账户上更详细地分享了被盗文件。 根据俄罗斯媒体的报道,这些文件表明,自2009年以来,SyTech已经为FSB和同行承包商Quantum开展了多个项目。项目包括: Nautilus  – 一个收集社交媒体用户(如Facebook,MySpace和LinkedIn)数据的项目。 Nautilus-S  – 在流氓Tor服务器的帮助下对Tor流量进行去匿名化的项目。 Reward – 一个暗中渗透P2P网络的项目,就像BT网络一样。 Mentor  – 一个监控和搜索俄罗斯公司服务器上的电子邮件通信的项目。 Hope – 一个调查俄罗斯互联网拓扑及其与其他国家网络连接的项目。 Tax-3  – 一个用于创建封闭内联网的项目,用于存储高度敏感的州级人员,法官和当地政府官员的信息,与该州的其他IT网络分开。 另有文件显示,还有其他较旧的项目用于研究其他网络协议,如Jabber(即时通讯),ED2K(eDonkey)和OpenFT(企业文件传输)。 数字革命Twitter账户上发布的其他文件声称,FSB也在跟踪学生和养老金领取者。 虽然大多数项目只是对现代技术的研究,但有两项似乎已经在现实世界中进行了测试。 第一个是Nautilus-S,用于对Tor流量进行去匿名化。 Nautilus-S的工作始于2012年,两年后,2014年,瑞典卡尔斯塔德大学的学者发表了一篇论文,详细描述了试图解密Tor流量的出口节点的技术进展。研究人员确定了25个恶意服务器,其中18个位于俄罗斯,并运行Tor版本0.2.2.37,与泄漏文件中详述的相同。 第二个项目是Hope,它分析了俄罗斯互联网部分的结构和构成。今年早些时候,俄罗斯进行了断网测试,在此期间,俄罗斯将其国家网络与其他互联网断开。 被黑客入侵的SyTech公司自黑客入侵以来一直关闭其网站并拒绝媒体采访。   (稿源:cnBeta,封面源自网络。)