分类: 黑客事件

美国安全专家授权调查曾被朝鲜黑客组织使用的命令服务器

援引外媒TechCrunch报道,美国政府官员近期向安全专家提供了被认为曾在去年被朝鲜黑客用于发动数十次有针对性网络攻击而扣押的服务器,而这种举动非常的罕见。这批被扣押的服务器叫做Operation Sharpshooter(神枪手),于去年12月首次发现,用于专门针对政府、电信公司和国防承包商传播恶意软件。 黑客通过电子邮件发送恶意Word文档,一旦这些文档被打开就会运行宏代码下载第二阶段的植入代码–Rising Sun,黑客然后利用它进行侦查和窃取用户数据。Operation sharpshot,所涉及到的行业包括核能、防御、能源、金融等。 根据McAfee高级威胁研究团队和McAfee Labs恶意软件研究团队的深入研究,发现Rising sun植入中使用了朝鲜黑客组织Lazarus Group在2015年使用的Backdoor.Duuzer木马的源码,因此有理由相信操纵这些服务器的就是Lazarus Group,但是目前始终没有直接证据。 在安全专家对这些服务器代码进行检查之后,发现Operation Sharpshooter的运营时间比最初认为的还要长,最远可追溯到2017年9月。而且调查结果显示针对的行业和国家很多,包括金融服务,以及欧洲,英国和美国的关键基础设施。 研究表明这些服务器以恶意程序的命令和控制的基础设施进行运作,使用PHP和ASP网页语言创建和编写网页端应用程序,使其易于部署和高度可扩展。服务器后端的诸多组件可以方便黑客向目标发动攻击,每个组件都扮演特定的角色,例如植入下载器(implant downloader):从另一个下载器托管和备份植入代码和命令注释器(command interpreter):通过中间黑客服务器操作Rising Sun植入物,以帮助隐藏更广泛的命令结构。 尽管有证据表明Lazarus集团,但日志文件中的证据显示据称来自纳米比亚的一批IP地址,研究人员无法解释。   (稿源:cnBeta,封面源自网络。)

部分用户路由器被黑客攻击 或造成访问延迟或失败

新浪科技讯 2月20日下午消息,近日,部分网友反馈路由器信号不好、网速不快。对此,域名解析服务商DNSPod发布公告解释称,近日监控到多起客户在全国各地各运营商流量被调度到江苏电信的问题,经过与第三方的合作分析排查确认,这是一起大规模的黑产攻击事件。 DNSPod称,该事件将影响部分家用路由器用户,访问所有网络服务时DNS解析被调度到江苏电信或周边线路,因跨网、跨省、节点容量等原因造成访问延迟升高或访问失败。 DNSPod为用户提供了临时解决方案,详情如下。 以下为NSPod公告全文: 尊敬的DNSPod用户 近日我们监控到多起客户在全国各地各运营商流量被调度到江苏电信的问题,经过与第三方的合作分析排查确认,这是一起大规模的黑产攻击事件,非DNSPod问题。该事件将影响部分家用路由器用户,访问所有网络服务时DNS解析被调度到江苏电信或周边线路,因跨网、跨省、节点容量等原因造成访问延迟升高或访问失败。 临时解决方案: 1、引导报障用户检查无线路由器DNS是否被黑客篡改,并及时修正DNS。可改为运营商默认DNS或者我们对外提供的公共DNS:119.29.29.29或119.28.28.28 2、建议DNSPod客户临时将江苏电信线路调整使用BGP节点进行覆盖 3、目前DNSPod也在联合第三方和有关部门(CNCERT等)进一步分析处理,有最新消息将及时同步,详情请关注后续DNSPod及CNCERT的公告。   (稿源:新浪科技,封面源自网络。)

与《我的世界》相关的炸弹威胁恶作剧导致数百所学校撤离 两名涉事黑客遭指控

据外媒 The Verge 报道,近日一个与《我的世界》(Minecraft)相关的炸弹威胁恶作剧导致英国和美国数百所学校的学生撤离,而两名涉事黑客已被逮捕指控。 Timothy Dalton Vaughn和George Duke-Cohan,他们各自的黑客别名 “wantbyfeds” 和 “DigitalCrimes” ,在 2 月 8 日因黑客犯罪、阴谋和“涉及爆炸物的州际威胁” 被指控,指的是他们将众多炸弹威胁发送到不同的学校。 法院文件声称,Vaughn 和 Duke-Cohan 在一个名为 Apophis Squad 的黑客组织内行动,协调了一系列“炸弹和学校射击威胁,旨在引起对迫在眉睫的危险的恐惧,并导致两大洲数百所学校在很多场合关闭。“ 关于 Vaughn 和 Duke-Cohan 的行动的报道于 2018 年 3 月首次出现。他们向学校发送电子邮件,迫使撤离,但英国诺桑比亚警方的一份声明证实这是一个可追溯到美国的恶作剧。 该部门在 Twitter 上写道:“警方已经调查过这些电子邮件 – 这些电子邮件似乎来自美国 – 并且可以确认没有可行的威胁。” Sky News 随后报道称,这些电子邮件被“欺骗”,试图让 VeltPvP(一种流行的《我的世界》服务器)的域名暂停。检察官声称,Apophis Squad 也使用这些电子邮件,听起来威胁 Zonix,一个经常用于《我的世界》的客户,以及 VeltPvP。根据法庭文件,Vaughan 和 Duke-Cohen 使用 Discord 服务器和 IRC 房间与 Apophis Squad 的其他成员协调各个学校的电子邮件。 威胁是在几个月的时间内发出的,在法庭文件中提到了许多事件。Apophis Squad 将使用 Twitter 向想要放学一天的人发送黑客小组现金,并发送恶作剧电子邮件作为回应。2018 年 4 月 28 日,Duke-Cohen 根据 Apophis Squad Twitter 的推文发布了他们“计划在周一尽可能多地打击学校”的推文。       稿源:cnBeta.COM,封面源自网络;

VFEmail 遭黑客攻击 美国区所有数据被删除且无法恢复

援引外媒Ars Technica报道,VFEmail所有者Rick Romero近期发现有黑客试图系统性破坏公司的服务硬盘,其中包括备份和冗余。根据该电子邮件服务提供商在官网上发布的通告,其美国服务器上的“所有数据”已经完全消失,而且似乎无法恢复。Romero在推文中表示:“是的,@VFEmail已经彻底消失了。我从未想过有人会如此关心我心爱的产品,以至于他们想要彻底摧毁它。” Romero表示攻击者使用“aktv@94.155.49.9”的IP地址,应该是使用虚拟机和多种访问方式来进行攻击的,包括双因素身份认证在内没有一种现成的保护方法能够让VFEmail免受攻击。目前攻击者的动机不明。攻击者并没有勒索赎金。     稿源:cnBeta,封面源自网络;

安全专家发出警告:黑客正在测试感染 Mac 的新方法

趋势科技发出警告,黑客正在测试一种感染 Mac 的新方法。其能够绕过 macOS 的 Gatekeeper 安全特性,将包含恶意软件的可执行文件部署到受害者的计算机上。据悉,这家安全企业是在分析 Little Snitch 时,发现的这一最新威胁。Little Snitch是一个易于作为洪流访问的防火墙应用程序。研究人员认为,黑客仍在研究恶意软件及其使用方式。 需要指出的是,Mac 用户无法安装 EXE 文件,这是 Windows 使用的可执行文件格式。如果 macOS 用户尝试安装 EXE 文件,那他们将看到一条错误提示。 然而黑客似乎已经找到了这个问题(尤其是攻破 Gatekeeper)的解决办法 —— 将 EXE 文件打包在 DMG 文件中(后者是 Mac 上的应用程序封装格式)。 趋势科技在报告中指出,自家安全研究人员在野外发现了其中一种恶意软件。它能够绕过 Gatekeeper,因其只检查和验证 macOS 上的本机文件。 在对 Little Snitch Setup.dmg 安装程序进行分析后,我们发现其中包含了 EXE 格式的可执行文件。 不过,目前在未发现与恶意软件相关的特定攻击模式,大多数感染发生在英国、澳大利亚、亚美尼亚、卢森堡、南非和美国地区。 由于 EXE 文件无法在 macOS 上运行,因此攻击者需要将之与 Mono 捆绑在一起。后者是一个免费框架,可让 Mac 用户运行 Windows 可执行文件。 据悉,在感染系统之后,恶意软件能够收集大量数据,包括已安装的其它应用程序、型号、名称等内容。最终,研究人员指出: 这类恶意软件是专门针对 macOS 用户设计的,因为当尝试在 Windows 上运行恶意软件时,反而会发生错误。 对此,我们的建议依然是 —— 避免从未经验证的来源下载软件和其它文件、并在 Mac 上启用多层防护。   稿源:cnBeta,封面源自网络;

用户投诉美国交友平台 OKCupid 系统漏洞致帐号遭攻击

新浪科技讯 北京时间2月11日早间消息,据美国科技媒体TechCrunch报道,有用户投诉称,自己在美国交友平台OKCupid的帐户被黑客攻击。黑客更改了他的密码,导致他无法登录帐号。此外黑客还修改了资料中的电子邮件地址,使得他也无法重置自己的密码。 用户表示,OKCupid并没有发送邮件让他对信息修改做出确认,而是盲目地接受了更改。 OKCupid客服在回应投诉时表示:“不幸的是,我们无法提供任何未连接到你电子邮件地址的帐号的详情。”随后,黑客还发送奇怪的短信骚扰他。 报道称,这并不是孤立事件,过去几天已有多人表示,他们的OKCupid帐号被黑。 另一名用户最终找回了自己的帐号。他表示:“在两天持续的破坏控制后,OKCupid终于为我重置了帐号。” 一些用户表示,他们无法解释,自己的密码是如何泄露的。他们在OKCupid上使用独有的密码,这些密码没有在其他任何应用或网站上使用。 OKCupid发言人表示:“OKCupid没有发生信息安全事故。所有网站都会面临黑客攻击的尝试,但OKCupid账号被黑客控制的情况并没有增加。” 关于OKCupid计划如何防止未来的黑客攻击,该发言人表示,公司没有进一步的评论。 评论称,对OKCupid这样的平台来说,有效解决这方面问题的一种方式是启用双重认证。但许多主要交友平台,包括Match、PlentyOfFish和Zoosk,都没有启用双重认证。   稿源:新浪科技,封面源自网络;

境外政治黑客发出攻击威胁 知道创宇云安全全力保障地方两会顺利召开

近日,疑似黑客组织“匿名者”在YouTube发布了一条带有明显政治意图的视频,并声称将针对中国政府网站发动攻击,号召全球成员共同加入。随后,该组织在Pastebin发布了目标网站列表,涉及100个中国政府网站,并提供了网站域名、源站IP、端口等详细信息。 黑客组织在Pastebin发帖的部分截图 消息一出便引起安全业界的重视,虽然随后便有安全研究人员发现该组织似乎是冒用“匿名者”的名号,且对该组织能发动如此大规模攻击的能力表示了怀疑,但安全无小事,任何一点危险信号都不容忽视! 近段时间,全国各地陆续召开地方两会,根据数据分析和以往经验,此类时期和节假日是网络攻击事件高发期。除上述攻击威胁事件外,创宇盾网站安全舆情监测平台近期也监测到大量其他境外带有明显政治意图的黑客的攻击威胁信息或攻击事件。 黑客在Twitter发布攻击威胁 对此,知道创宇云安全团队快速反应并已做好相应准备。为保障各地地方两会顺利召开,保证客户网站不受影响,知道创宇云防御平台进行了充足的服务资源准备,安全保障团队也将持续7*24小时在线为客户提供技术支持和安全服务。由创宇盾防护的网站不必担心。 最后,知道创宇云安全团队在此提示,正值地方两会和春节假期,网络运营者请提高安全防范意识,做好网站安全防护工作,如有防护需求可拨打我们的支持热线(4001610866)或登录我们的网站了解更多信息,我们也将持续关注安全舆情并提供最新的防护策略。 最后的最后,对妄图分裂祖国的行为表示唾弃!祖国万岁!   了解创宇盾详情:https://www.yunaq.com/cyd/

津巴布韦切断互联网访问后 “匿名者”对其政府网站发起 DDoS 攻击

据外媒 TheNextWeb 报道,从 2019 年 1 月 14 日(周一)开始的几天里,津巴布韦人一直无法上网。当地政府为了阻止示威者继续举行有关油价飙升和上涨生活成本的抗议活动,命令该国所有 4 个通信运营商完全切断互联网。 随后“匿名者”宣布对津巴布韦政府网站发起 DDoS 攻击。一位匿名成员在一个论坛上发布消息称: “问候津巴布韦,我们是匿名者。我们以前见过无辜的人在津巴布韦遇害。我们看到了压迫和暴政。我们看到人们为争取自由而受到压迫。我们不能容忍这一点。正如我们对苏丹政府所做的那样,我们成功地使津巴布韦政府网站宕机超过 72 个小时。 这只是一个开始。您的银行系统也将很快下线。津巴布韦政府,你们已成为匿名者的敌人!你的系统处于危险之中!面对压迫,反抗成为我们的责任。我们将为在津巴布韦和苏丹争取自由的兄弟们带来勇气。“ 黑客主义作为一种抗议形式 宣布#OpZimbabwe的消息中包含已被各种匿名者成员发起 DDoS 攻击的网站列表。首先遭到攻击的是津巴布韦储备银行的网站。 已经遭遇 DDoS 攻击的津巴布韦政府网站包括: www.agritex.gov.zw www.archives.gov.zw www.auditgen.gov.zw www.auditorgeneral.gov.zw www.dcip.gov.zw www.dlvs.gov.zw www.drss.gov.zw www.energy.gov.zw www.gisp.gov.zw www.gov.zw www.gta.gov.zw www.housingministry.gov.zw www.ictministry.gov.zw www.justice.gov.zw www.lands.gov.zw www.mepip.gov.zw www.met.gov.zw www.mhet.gov.zw www.mhtestd.gov.zw www.mic.gov.zw www.miit.gov.zw www.mines.gov.zw www.mlass.gov.zw www.mlgurd.gov.zw www.mlgvturd.gov.zw www.moa.gov.zw www.mocpa.gov.zw www.testdomain7.gov.zw www.theopc.gov.zw www.tourism.gov.zw www.transcom.gov.zw www.vpmujuruOffice.gov.zw www.water.gov.zw www.women.gov.zw www.zec.gov.zw www.zim.gov.zw www.zimbabwe.gov.zw www.zimembassyvienna.gov.zw www.zimfa.gov.zw www.zimgaborone.gov.zw www.zimgeneva.gov.zw www.zimimmigration.gov.zw www.zimlondon.gov.zw www.zimtreasury.gov.zw www.zrp.gov.zw zimtreasury.gov.zw “人们不应该害怕他们的政府。政府应该害怕他们的人民。~~我们是匿名者。我们是军团。我们不会原谅专制政府。我们不会忘记你的行为。你应该期待我们!“匿名者”在他们的声明中表示。     稿源:cnBeta,封面源自网络;

Twitter 声称账户劫持漏洞已修复 黑客:胡扯

新浪科技讯 北京时间12月29日上午消息,Twitter平台出现一个漏洞,由伦敦安全研究人员组成的团队说,利用漏洞,他们可以在无授权条件下通过英国名人、记者的账户发布消息。后来Twitter发声明称漏洞已经修复。不过发现漏洞的黑客却说,Twitter睁眼说瞎话,漏洞根本没有修复。 周五时,Twitter新闻发言人告诉记者,他们已经修复漏洞,通过漏洞,黑客可以瞄准与英国手机号码挂钩的特定账户,利用账户发送欺诈信息。然而,在Twitter发表声明之后,黑客仍然可以继续利用名人账户发送未授权信息。 媒体追问Twitter,公司回应称正在进行调查,以确保账户安全协议能够如预期一样生效。   稿源:新浪科技,封面源自网络;

ACLU 起诉美国 11 家联邦机构 要求政府披露黑客工具使用状况

在联邦调查局(FBI)、移民海关执法(ICE)、禁毒署(DEA)等 11 个联邦机构未能回应《信息自由法案》的信息披露要求之后,美公民自由联盟(ACLU)决定采取进一步的行动 —— 向上述机构发起诉讼。当网络犯罪分子被逮捕时,无人不拍手叫好。但 ACLU 的诉求是,希望上述机构能够披露其使用黑客技术的手段的数量,以及它们是否缺乏应有的监督。 如果只是借助黑客技术来缉拿无情的恐怖分子或毒枭,没人会对这种“道德黑客”行为产生抱怨。然而信息匮乏的公众要怎么做,才能保证联邦机构在此期间不会犯错误呢? 普通民众只在零星的报道中,得知与其相关的信息泄露或法庭文件。比如上月,外媒 Motherboard 拿到了一份文件,其中详细说明了 —— FBI 是如何冒充联邦快递(FedEx)来部署恶意软件,以抓捕诈骗者;以及他们如何假冒新闻机构,欺骗青少年下载恶意软件,以确定其关于炸弹威胁的笑话是否属实。 此外,FBI 也在使用所谓的“水洞”(waterhole)攻击 —— 它们捕获服务器,并使用网络调查技术(NIT),在连接到这些服务器的任何设备上部署恶意软件。如果他们是在一个儿童色情上部署 NIT,相信普通民众是不会反对的;但若超出了适当的界限,或者实施中未受制约,那就令人唏嘘了。 需要明确的是,这些行动都不一定都是坏事,但它们确实凸显了联邦政府在间谍活动中,是怎样“为所欲为”的。ACLU 指出:“鉴于上述严重的问题,公众有权了解政府黑客活动的性质和程度、有哪些规则可以对这些强大的监控工具加以监管。遗憾的是,但到目前为止,我们所知道的大部分内容,都是基于零散的新闻报道”。 在借助 NIT 缉拿诈骗者这件事上,FBI 认为他们的行动并不需要先行获得逮捕令。众所周知,FBI 在加密和密钥系统中,留下了许多后门漏洞。假设他们在 100% 的时间内,正确且道德地加以使用,那么即便用户设备没有打上安全补丁,也应该是没有多大问题的(尽管这些后门总有被意外泄露的可能)。 该诉讼要求上述机构披露其使用的黑客工具、方式、频率、法律依据、以及内部管控的细则。如果法院作出有利于 ACLU 的判决,那对 NIT 应用的监管会进一步完善(其目前仍然隐藏在公众的视线中)。不过截止发稿时,FBI 方面并没有回应外媒的置评请求。   稿源:cnBeta,封面源自网络;