分类: 黑客事件

“无文件攻击”威力初显:仅需一夜轻松窃走俄罗斯 ATM 80 万美元

据卡巴斯基安全实验室消息,黑客通过新型恶意软件 “ATMitch” 采用“无文件攻击”方式,一夜之间成功劫持俄罗斯 8 台 ATM 机窃走 80 万美元。 这起网络劫持事件成功引起了安全专家的注意,他们在分析闭路电视录像时发现一名男子至 ATM 机旁并未与机器交互即可获取现金。据悉,受影响银行的安全团队并未发现任何恶意软件入侵迹象,唯有一家目标银行表示曾在 ATM 中发现两份入侵日志: “Take the Money Bitch!” “Dispense Success.” 卡巴斯基 2017 年 2 月就 “ATMitch” 恶意软件发布分析报告表示,黑客曾利用恶意软件 ATMitch 攻击 140 家机构,其中包括银行、电信公司与 40 余家政府单位。 银行安全团队表示,他们不仅发现 Microsoft 域控制器( DC )的物理内存中存在其代码副本,还发现黑客将恶意代码直接注入受感染内存中与恶意软件一同在 RAM 系统中运行。目前卡巴斯基安全专家已将该此类恶意软件标记为 MEM:Trojan.Win32.Cometer 与 MEM:Trojan.Win32.Metasploit。 近期,在圣马丁举行的卡巴斯基安全分析高峰会期间,安全专家 Sergey Golovanov 和 Igor Soumenkov  提供了两家俄罗斯银行 ATM 机被黑客攻击的进一步调查。安全专家表示,该恶意软件首次在俄罗斯和哈萨克斯坦被发现。攻击者通过 SSH 隧道连接 ATM 机、安装恶意代码,并指示 ATM 机分配现金。由于恶意软件 ATMitch 利用机器现有的合法工具远程发送命令以分配资金,所以只需几秒即可快速运行,致使清空 ATM 机而不留痕迹。 安全专家强调,为避免触发警报,攻击者在 ATM 上钻出高尔夫球大小的洞孔,通过物理方式访问 ATM 机面板获取钞票。 研究人员提醒设备制造商与银行,黑客已横跨俄罗斯和欧洲银行对其采取 “ATM 电钻攻击”。目前不能确定攻击 ATM 机背后的具体犯罪团伙,但他们注意到攻击使用的源代码中包含俄语内容。此外,卡巴斯基发现该黑客组织使用的技术方法与网络犯罪团伙 Carbanak 和 GCMAN 存在相似之处。 原作者:Pierluigi Paganini , 译者:青楚 ,审核:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客利用美国国税局工具窃取学生的贷款信息

上周四,美国国税局局长约翰·科斯基宁( John Koskinen )告诉参议院财政委员会( Senate Finance Committee ),说国税局去年秋天发现有黑客入侵系统。2016 年 9 月,国税局发现行骗者可以利用某些人的个人信息填写财务补助申报单,“ 数字检索工具 ”( Data Retrieval Tool )会用这些人的税务信息填写单据。 有了假信息,行骗者可以制作虚假税务申报单。科斯基宁称,他们发现不到 8000 份申报单被处理过,拨付的退款总计达 3000 万美元。工具是 FAFSA( 联邦学生援助申请表 )系统的一部分,它可以决定学生上大学时能够获得多少资金援助。 目前 FAFSA 工具已经下线,国税局正在开发软件掩盖个人税务数据,防止信息进一步被窃取,不过软件要到 10 月份才能启用。学生和家长仍然可以使用网络申报系统,不过税务信息需要手动填写。 稿源:cnBeta,封面源自网络

黑客周五晚上拉响了达拉斯城市紧急警报器

德克萨斯州达拉斯周围的夜间紧急警报器在星期五晚上启动,报警声超过一个小时,促使大量的电话打入该市 911 中心。市应急管理处的官员已经确认没有紧急情况,而是达拉斯紧急警报器系统被黑客入侵。 该市新闻办公室主任萨娜·赛义德告诉记者,这个城市的156个紧急警报器被激活。但是,达拉斯城市官员没有透露进一步细节。达拉斯警报系统现在已经重新上线并运行。但是,根据知情人士透露,在警报系统被黑之后,城市官员被迫基本上拔掉整个系统,完全停用警报系统。调查后,城市官员确认了系统存在的漏洞,并且进行了及时修补。 该市正在寻找保护整个系统免受再次攻击的方法。达拉斯市市长麦克罗林斯告诉“达拉斯晨报”,这个事件迫使市政府需要升级和更好地维护城市技术基础设施。而且该市正在努力“查明和起诉这些黑客。 稿源:cnBeta,封面源自网络

巴西银行业务曾被黑客接管 5 小时,百万金融交易数据流失

据外媒报道,去年 10 月,某网络犯罪组织曾接管巴西一家银行的在线服务、破坏银行 DNS 并截获所有金融交易数据,攻击持续了五个小时。 此次攻击过程极其复杂,攻击者使用有效的 SSL 数字证书和 Google 云支持其虚假银行基础架构。卡巴斯基并未透露被袭击银行的名称,但攻击者主动泄露 36 个属于银行的域名,其中主要包括内部电子邮件和 FTP 服务器。 据卡巴斯基调查显示,黑客先是入侵银行 DNS 提供商 Registro.br 的域名服务,随后控制银行 DNS 帐户。安全专家表示,目前暂未确定该黑客组织是如何入侵 DNS 提供商的,但他们认为此次袭击事件至少在五个月之前就已经开始策划准备。当客户尝试访问银行提供的在线服务时就已感染上恶意软件,这一恶意软件旨在禁用受害者的安全软件并窃取登录凭据、电子邮件、联系人和 FTP 凭据。此外,该黑客组织在攻击期间瞄准高级银行客户发起网络钓鱼攻击,并将盗取信息发送至加拿大的特定服务器中。 安全专家称,攻击者或是通过 DNS 提供商 Registro.br 于 1 月份修复的跨站点请求伪造漏洞进行攻击,但他们发现巴西某银行并没有启用 Registro.br 提供的双因素身份认证机制。卡巴斯基专家表示,此次攻击事件是有史以来最大规模的行动之一,目前还在对其黑客组织进行调查。 原作者:Pierluigi Paganini, 译者:青楚,审核:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

继世界反兴奋剂机构被黑之后,俄黑客组织 “APT28” 再次入侵国际田联服务器

据国际田联协会( IAAF ) 3 日透露,俄罗斯黑客组织“ 花式熊 ”入侵其服务器并窃取运动员私人医疗记录。 黑客组织“花式熊”也被常称为“ APT28 ”,曾被美方指控干预 2016 年美国总统大选。此外,该组织还入侵过世界反兴奋剂机构 (WADA) 曝光大量服用过违禁药物的金牌得主。 国际田联管理机构称,黑客组织“ 花式熊 ”入侵运动员治疗性用药豁免( TUE )应用程序,随意窃取文件信息。国际田联发表声明表示,攻击者未经授权远程访问国际田联网络系统,安全公司早在 2 月 21 日就已注意到该黑客组织从服务器中收集运动员 TUE 数据并存储在新文件夹中。 去年 9 月,黑客组织“ 花式熊 ”入侵世界反兴奋剂机构系统并泄露国际运动员的私人医疗记录。情报官员将“ 花式熊 ”与俄罗斯军事机构 GRU 联系起来。然而,莫斯科否认与该黑客组织有任何联系。 国际田联表示,自 2012 年以来申请 TUE 的运动员信息早已被泄露。田联总裁塞巴斯蒂安·科埃( Sebastian Coe )称,他们对此次事件的发生表示诚挚的歉意,并承诺会竭尽全力修复漏洞,为国际田联运动员的信息创造一个安全可靠的环境。 原作者:Hyacinth Mascarenhas, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究显示黑客可通过空中电视信号攻击智能电视机

随着家庭中越来越多的设备联入互联网,它们遭遇黑客攻击的风险也越来越大,继智能门铃和恒温器被黑客入侵之后,现在安全顾问拉斐尔·谢尔(Rafael Scheel)展示了通过空中传播的电视信号对三星智能电视机的攻击,通过这种攻击黑客可以获得 Root 根控制权。 这种攻击方式将允许黑客通过三星智能电视的摄像头和麦克风窥探和监控用户。 为瑞士安全咨询公司 Oneconsult 开发此方法的 Scheel 解释说,他使用廉价的发射机将恶意命令嵌入数字视频广播(DVB-T)信号当中即可完成攻击。 安全人员表示,大多数智能电视都被调到了 DVB-T 频道,DVB-T 传输标准当中包含 Scheel 能够利用的一个漏洞,以便针对Web浏览器中已知的安全漏洞发起攻击。这种攻击方式是可怕的,因为这样的攻击可以一次瞄准几台电视机,而不需要物理接触。虽然这种方式可能通过固件更新来进行修补,但是智能电视制造商并不总是快速修补他们销售的设备。 但是智能电视用户无需太过担心,因为只有某些国家使用 DVB-T 标准,同时必须传输支持执行此漏洞所需的混合广播宽带电视格式。因此,北美大多数使用 ATSC 频道的用户不会受到影响。 稿源:cnBeta;封面源自网络

因禁止土耳其集会,荷兰议会网站遭勒索软件攻击

据荷兰本土刊物《尼德兰时报》(NL Times)报道,黑客组织针对荷兰议会下议院发动勒索软件攻击并在停止前设法加密部分文件。调查表明,此次袭击事件由荷兰政府禁止两名土耳其官员在本地集会期间与外侨谈话而引发。 尽管荷兰议会发言人决定不对本次袭击事件发表任何意见,某位荷兰议员仍在推特上发布了勒索软件攻击政府计算机系统的消息。届时所有议会成员也都收到了一封描述该事件的内部电子邮件。目前,事态已在 IT 专家着手替换加密文件之前得到有效控制。 事实上,荷兰网站并非第一次遭受黑客袭击。几周前,荷兰选民用来确定投票人选的两大网站于选举日当天遭到入侵。随后,当地一家互联网安全公司立即展开调查,结果表明确实由土耳其黑客组织所为。 此外,另一次攻击事件针对荷兰分析公司 Twitter Counter 展开。黑客组织通过恶意链接方式入侵大量 Twitter 帐户,导致大量账户遭劫持并被迫发布支持土耳其总统 Recep Tayyip Erdogan 的言论,部分带有纳粹党的十字标志,因为荷兰政府被指控为“纳粹残余”。据悉,这些推文将被用于 4 月 16 日土耳其全民公投,或为 Erdogan 提供更大的权力以及连任土耳其总统的机会。 原作者:Gabriela Vatu, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FBI 提醒公众:恶意黑客可利用匿名 FTP 服务器漏洞入侵医疗系统

美国联邦调查局( FBI )称,恶意黑客可利用匿名文件传输协议( FTP )服务器漏洞入侵小型医疗机构与牙科诊所,获取医疗记录和其他敏感私人信息,并以此进行骚扰、恐吓、勒索甚至欺诈。 相应补救措施是删除服务器中所有个人身份信息( PII )与受保护的健康信息( PHI ),将现有 FTP 替换为更安全的文件传输服务。然而,尽管将敏感数据存储在 FTP 服务器的风险众所周知,小型企业通常并不具备专业升级技术或动机。 匿名 FTP 无需身份验证即可访问服务器文件,建议仅使用此类服务器存储公开文件。匿名 FTP 扩展允许用户使用“ anoymous ”或“ ftp ”等常见用户名在无需提交密码、通用密码或电子邮件地址的情况下通过 FTP 服务器进行身份验证。 《健康保险流通与责任法案》( HIPAA )通过对违规者惩处罚金的方式对 PHI 进行保护。此外,《隐私法》与相关条例也通过类似方法对 PII 进行保护。 Globalscape 产品战略和技术联盟副总裁 Peter Merkulov 表示,PII 和 PHI 数据泄露的代价远远超过替换为更安全的文件传输服务和支持(如 SFTP 或 FTPS )的成本。FTP 是一个早已过时的协议,即使在不匿名的模式下使用也极其危险。虽然现存数量较以往有所减少,但通常部署于多年前且从未进行过升级,甚至被遗忘。这种情况在大型组织机构尤为常见。 尽管如此,FBI 引用的《 2015 年度研究报告》仍显示,超过一百万台 FTP 服务器被配置为允许匿名访问。Merkulov推测 FBI 此举的动机源于实际调查工作中对 FTP 漏洞利用的发现。 摆脱匿名 FTP 服务其实十分简单,仅需花费数分钟更改服务器设置。如果根据访问服务器的客户端软件类型操作,整个过程会更复杂,需要对用户凭据和帐户进行设置。 原作者:Tim Greene,译者:青楚,校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

DDoS 网络攻击业务利润率竟高达 95%

卡巴斯基实验室专家称,DDoS 攻击在网络黑市上仍是一个有利可图的业务。针对目标组织的 DDoS 攻击成本低至每小时 7 美元,而针对目标企业的 DDoS 攻击费用可高达数千或数百万美元。 DDos 攻击(分布式拒绝服务攻击):借助于客户 / 服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力。(百度百科) 卡巴斯基实验室发布了一份有关 DDoS 攻击成本的有趣报告。安全专家称,利用云僵尸网络中 1000 台计算机进行 DDoS 攻击的成本约为每小时 7 美元,而 DDoS 攻击服务通常每小时 25 美元,这意味着犯罪分子的预期利润大约为每小时 18 美元。 据悉,DDos 攻击组织建立了一个整体,他们为需要的用户提供注册站点,用户选择所需服务进行付费购买,然后将会收到有关攻击报告。专家称,犯罪分子在黑市中轻松支付购买 DDoS 攻击服务,这些服务易于使用且提供高效报告系统。 卡巴斯基的专家称,DDoS 攻击服务价格取决于生成及攻击流量来源。例如,IoT( 物联网 )僵尸网络驱动的 DDoS 攻击比服务器僵尸网络服务器支持的 DDoS 攻击便宜。 目标及特征也是影响 DDoS 攻击服务价格的另一个因素。一部分服务甚至可以用来打击资源丰富的网站,例如政府网站。当然,此类服务的要价会贵一些。此外,网络攻击的成本也取决于目标网站的位置,英语网站上的 DDoS 攻击通常比对俄语网站的攻击更为昂贵。 调查表明,犯罪分子为敲诈勒索提供 DDoS 攻击,DDoS 攻击勒索已成为高利润业务,卡巴斯基的专家表示,一次攻击的盈利高达 95 %,而受害者通常愿意支付赎金阻止进攻。据悉,未来一段时间里 DDoS 攻击的平均成本将持续下降,而频率却会不断增加。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

暗网逾 2000 万 Gmail 账户、500 万 Yahoo 帐户可供销售

据悉,一个名为“ doubleflag ”的供应商在过去六年内至少从 11 个虚拟货币论坛盗取用户数据信息并在暗网出售。 经 HackRead 报道,BitCoinTalk、MtGox、Bitcoinsec 和 BTC-E 论坛数据信息均被窃取,主要包括用户名、电子邮件地址、电话号码、出生日期、位置和密码等。Doubleflag 声称整套数据大约价值 415 美元(合 0.3817 比特币)。 黑市网站销售记录显示,doubleflag 已成交超过 100 份订单,98% 获得“好评”反馈。目前,此类数据仍在大规模出售,主要来源于 Whois、Paddy Power、Experian、Brazzers、GTAGaming、Dota2、CDProjektRed、 XHamster 和 Lastfm 等网站或论坛的账户信息。 另一方面,几周前代号为“ SunTzu583 ”的供应商就销售了超过 100 万个 Gmail / Yahoo 帐户。随后 SunTzu583 再度提供了 64 万个 PlayStation 索尼游戏平台账号的报价 35.71 美元(合 0.0292 比特币)。最近,SunTzu583 还提供了另一份单独列表,其中包括售价 450.48 美元( 0.4673 比特币 )的额外 21,800,969 个 Gmail 帐户,以及售价 250 美元(合 0.2532 比特币)的 5,741,802 个雅虎帐户。 研究人员表示,多数被窃取帐户并非处于活跃状态,或由 MySpace、Adobe、LinkedIn 等数据泄露导致。暗网供应商提醒用户,并非所有登录凭据都可以正常使用。 稿源:ibtimes、securityaffairs, 译者:青楚,校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接