分类: 黑客事件

安全研究人员发现 Industroyer 与 NotPetya 同属于俄罗斯黑客组织

据外媒 ZDNet 报道,网络安全公司 ESET 的恶意软件分析人员最近发现了实质性证据,证明针对乌克兰电网的网络攻击和 2017 年 6 月爆发的 NotPetya 勒索软件背后是同一组织。 这两者之间并不是直接联系,而是研究人员在今年 4 月一次黑客攻击中通过名叫 Exaramel 的恶意软件发现的。Exaramel 后门是从 Telebots 的服务器基础设施部署的,这也是 NotPetya 勒索软件所依赖的基础设施。 在分析报告中 ESET  称 Exaramel 后门“是后门组件的改进版本”,是针对工业控制系统(ICS)的恶意软件 Industroyer 的一部分,Industroyer 曾在2016年12月引发乌克兰停电。虽然之前已有推测到这种联系,但没有实质性证据,Exaramel 的发现证实了研究人员的想法。 下图是 ESET 研究人员推测 BlackEnergy 集团的演变,该集团在 Industroyer 之前一年,在2015年12月同样袭击了乌克兰的电网。   考虑到从 2017 年 7 月以来多方将 NotPetya 与 BlackEnergy 攻击联系起来的报告,可以说上图所有攻击的幕后推手都属于同一组织。ESET 的发现适时为西方政府最近提出的指控提供了事实和技术证据。 今年2月,Five Eyes 联盟国家的政府都指责俄罗斯策划了 NotPetya 勒索软件的爆发。本月早些时候,英国和澳大利亚发表声明,指责俄罗斯主要情报局(GRU)俄罗斯武装部队的军事情报机构发生多起网络攻击事件。声明称俄罗斯的 GRU 背后是一系列网络间谍组织和黑客行动,所列出的名称包括 Sandworm 和 BlackEnergy,在网络安全行业的众多报告中这两个名称被用作 TeleBot 的替代词。 ESET 的研究对政府报告提供了有力支撑,俄罗斯在2015年和2016年制造恶意软件以瞄准乌克兰的电网,后来部署了针对乌克兰公司的 NotPetya 勒索软件,这是俄罗斯吞并克里米亚和支持乌克兰西部地区的亲俄反叛分子行动的一部分。   消息来源:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

2018 上半年有 45 亿账号被盗 平均每分钟 4822 个

根据Gemalto公布的最新报告[PDF],2018上半年用户账户信息被盗数量达到惊人的4,553,172,708,同比增长133%。虽然被盗用户数量比去年由明显增长,但是被盗事件仅有945起,而去年为1162起。Gemalto报告称自2013年以来累积账号被盗数量为14,644,949,623,平均下来每天为6,947,320,而其中只有4%的账号是进行过加密的。 如果按照行业来划分,那么账号被盗的重灾区就是社交媒体,在所有被盗记录中的占比达到了56.11%,其次是政府,占比达到26.62%。此外56.08%的数据泄露是外部攻击者通过漏洞或者恶意软件等方式窃取的,记录的被窃记录达到36亿条,增长了1000%。 意外丢失和内部人士恶意窃取占比分别为33.65%和6.46%,事故发生率下降至9亿,下降了47%。Gemalto将泄露事件类型分为身份盗窃,账户凭证,金融凭证,骚扰和Existential Data,其中身份盗窃占比高达64.55%,其次是账号凭证(17.47%)和金融凭证(13.02%)。   稿源:cnBeta,封面源自网络;

物联网僵尸网络“捉迷藏”新变种发现:Android 设备成新受害者

继今年1月发现首个物联网僵尸网络Hide and Seek(HNS,捉迷藏)之后,近日Bitdefender Labs发布报告称已经发现新型变种。利用Android开发者调试之用的Android Debug Bridge (ADB)功能中所存在的漏洞,该变种通过WiFi网络连接来感染Android设备,使之成为僵尸网络的一员。 虽然并非所有Android都默认启用ADB功能,但部分Android手机厂商会默认自动启用,可以通过5555端口使用WiFi ADB远程连接就能轻松进行攻击。在连接至默认激活ADB的Android系统之后,允许攻击者以root级别获得shell访问,可以在受感染设备上运行和安装任何东西。 图片来自于 Bitdefender Labs Hide and Seek于今年1月24日由Bitdefender首次发现,感染设备数量大约为1.4万台。不过在1月26日感染设备数量迅速扩大,超过3.2万台物联网设备被感染,而且在设备重启之后依然会保留在受感染的设备上。这种物联网恶意软件在某些情况下会将其自身复制到/etc/init.d/,这是一个在基于Linux的操作系统上放置守护程序脚本的文件夹,就像路由器和物联网设备上的守护程序脚本一样。由此,设备的操作系统将在重启后自动启动恶意软件的进程。   稿源:cnBeta,封面源自网络;

Facebook 发现安全漏洞:黑客可控制 5000 万用户账号

新浪科技讯 北京时间9月29日早间消息,Facebook周五宣布,该公司发现了一个安全漏洞,黑客可利用这个漏洞来获取信息,而这些信息原本可令黑客控制约5000万个用户账号。 Facebook CEO马克·扎克伯格(Mark Zuckerberg)称:“这是个非常严重的安全问题,我们正在非常认真地对待。” 在披露这一消息之前,Facebook股价已经下跌了1.5%左右,消息传出后进一步走低,到收盘时下跌2.59%报164.46美元,盘中一度触及162.56美元的低点。 Facebook发布博文称,该公司的工程团队发现,黑客在Facebook的“View As”功能中找到了一个代码漏洞。Facebook之所以能发现这个漏洞,是因为该公司在9月16日注意到用户活动大增。 View As功能可让用户看到他们自己的个人资料在Facebook平台其他用户眼中是怎样的,而此次发现的漏洞包含了三个不同的bug,黑客可利用这个漏洞获取“访问令牌”(access token),从而控制其他用户的账号。 近5000万个用户账号的“访问令牌”已被黑客获取,但Facebook已对其进行了重置。在过去一年时间里,Facebook还已对另外4000万个使用View As功能的用户账号的“访问令牌”进行了重置,以此作为预防措施。也就是说,Facebook总共已对9000万个用户账号进行了重置,在截至6月30日的22.3亿名Facebook活跃用户总数中所占比例约为4%。 在“访问令牌”被重置后,用户需在登录时重新输入密码,此外还将在“信息流”(News Feed)中收到通知说明。 另外,Facebook还将暂时关闭View As功能,将对其安全性进行审查。Facebook在美国当地时间周四晚上称其已经修复了这个漏洞,并已通知美国联邦调查局(FBI)和爱尔兰数据保护委员会(Irish Data Protection Commission)等执法机关,目的是解决任何有关一般数据保护条例(GDPR)的问题。 Facebook称,用户没必要更改密码。如果有更多账号受到影响,则Facebook将马上对其“访问令牌”进行重置。Facebook重申,该公司将把致力于改进安全性的员工人数从1万人增加至2万人。 扎克伯格表示:“安全问题是场军备竞赛,我们正在继续改善自己的防御能力。”   稿源:新浪科技,封面源自网络;

少年黑客入侵苹果下载 1TB 数据,被判处缓刑 8 个月

网易科技讯 9月28日消息,据国外媒体报道,澳大利亚一名十几岁的少年在几个月时间里反复入侵苹果公司(Apple Inc.)的系统,并下载了相关敏感数据。周四,当法庭得知他对苹果公司非常着迷,并发现其对于访问苹果网络有瘾之后,这名现在已经成年的黑客被法庭判处8个月的缓刑,逃过了牢狱之灾。 一名法官对儿童法庭表示,该黑客在攻击开始时只有16岁,但现在已经成年。被告入侵了苹果的内部系统,复制相关数据和认证密钥。苹果发现系统遭到入侵后联系了联邦调查局,澳大利亚警方随后突击搜查了黑客的家。 “你的罪行很严重,”法官对这名黑客说。根据澳大利亚保护未成年罪犯身份的法律,这名少年的名字不能公开。她说:“这是对一家大型跨国公司安全进行的持续、复杂且成功的攻击。”这名黑客对法庭的两项指控表示认罪,并被判处8个月的缓刑。 这名法官表示,黑客攻击发生在2015年6月至2016年11月以及2017年4月的两个时间段。 苹果的魅力 这名黑客的律师辩称,这一切行为都是出于他对苹果的痴迷和“对信息技术的热爱”。在接受警方问询时,被告表示部分行为的动机只是“假装自己是该公司的一员”,而且访问苹果网络已经上瘾,律师如是指出。 根据澳大利亚法律,为了保护被告的身份,案件中其他当事人的姓名和法院的确切位置不会被披露。 苹果表示,客户的个人数据没有被泄露,苹果员工发现了未经授权的访问,并对其进行了控制,并向执法部门进行报告。“我们警惕地保护着我们的网络,”该公司在一份电子邮件声明中表示。 法官说,这名黑客利用授权人员使用的虚拟私人网络,远程连接到苹果的内部系统。在另一位年轻人的帮助下,他后来向该系统发送了一个计算机脚本,创建了一个安全壳隧道——一种访问系统和绕过防火墙的方法——使自己能够更快地删除数据。法官说,在侵入苹果网络期间,这名少年能够访问内部安全政策,并保存身份验证密钥。 重获访问权限 这名法官表示,在2016年11月攻击行为被发现并被屏蔽后,被告和第二人去年成功重新获得了对苹果系统的访问。 在对这名少年家中进行的搜查中,调查人员找到了两台苹果MacBook笔记本电脑和一个硬盘,其中包含一个名为Hacky Hack Hack Exclude的文件夹,其中包含了12个渗透或绕过苹果安全措施的文件。一名检察官在早些时候的听证会上表示,澳大利亚调查人员发现了大约1TB的数据,这些数据是从苹果系统中复制而来,“从隐私和商业角度来看都很敏感”。 检察官周四对法庭表示,澳大利亚警方正在进行的调查可能会导致其他人接受问询或被起诉。澳大利亚联邦警察在一份电子邮件声明中说,针对另一名青少年的证据已经被送往联邦检察官办公室。 法官指出,本案中的一项指控涉及未经授权和不计后果地修改数据,成年人最高可被判10年监禁,而未经授权访问数据的第二次犯罪最高可被判两年监禁。 她说,法院有权对一项指控判处两年有期徒刑,对另一项指控判处12个月有期徒刑。 法官在法庭上表示,对青少年的判刑主要是为了让他们改过自新,被告已表示悔过,并与当局进行了合作。   稿源:网易科技,封面源自网络;

新型僵尸勒索软件 Virobot 肆虐微软 Outlook

根据趋势实验室披露的安全报告,一种全新的僵尸网络勒索软件Virobot正通过微软Outlook进行大肆传播。报告中指出该恶意软件同时兼具僵尸网络和勒索软件的特征,在微软Outlook上以垃圾邮件的方式进行传播。 报告中写道:“Virobot首次发现于2018年9月17日,是对臭名昭著的Locky勒索软件变种分析7天之后发现的。一旦感染Virobot,它就会检查注册表键值(计算机GUID和产品秘钥)来确认系统是否应该加密。然后通过加密随机数生成器(Random Number Generator)来生成加密和解密你要。此外伴随着生成的秘钥,Virobot还会将收集的受害者数据通过POST发送到C&C服务器上。” 趋势科技还表示Virobot还可以记录用户敲击键盘的次数,并共享诸如信用卡信息和密码在内的诸多敏感数据。键盘记录器也会将这些信息发送至C&C服务器上。所以为了预防受到感染,请确保你不要打开非可靠源的附件。   稿源:cnBeta,封面源自网络;

谷歌警告:美国参议员 Gmail 账号已成为国外黑客攻击目标

本周四谷歌证实,部分美国参议员和助手的Gmail账号已成为国外政府黑客重点针对的目标。但谷歌的发言人拒绝透露更多的细节,包括有多少人受到影响,这些有国家支持的攻击都来自哪里,以及何时发布警告等等。 本周三来自来自俄勒冈州的民主党参议员罗恩·怀登(Ron Wyden)致信参议院领导机构,称存在电子邮件攻击情况,但只是提及谷歌是“主要科技公司”。谷歌在本周四对外承认。 在2016年美国大选中浮出水面的假新闻案件,让谷歌、脸书和推特在内的诸多科技公司焦头烂额。为此在今年的中期选举中这些科技巨头都采取了相应的措施来杜绝此类事件再次发生。   稿源:cnBeta,封面源自网络;