分类: 黑客事件

韩多家银行遭黑客组织勒索,金融监督院进入紧急状态

据英国《金融时报》报道,韩国有关部门已进入“ 紧急状态 ”,忙于防范黑客组织威胁要对该国最大几家银行发起的网络攻击。被称为 “ 无敌舰队组织 ” (Armada Collective)的黑客组织 21 日表示,韩国 7 家主要银行如果未能用虚拟货币比特币支付赎金,将对其发起分布式拒绝服务攻击。 这一威胁出炉的一个月前,地标性的 WannaCry 网络攻击感染了包括韩国在内的 150 个国家的数十万台计算机。本月,韩国网站托管集团 Nayana 为解锁逾 3400 个网站而支付了大约 100 万美元,据信这是勒索软件案例中最大一笔赎金。 “在 7 家银行收到无敌舰队组织发出的威胁电子邮件后,金融监督院进入了紧急状态,”韩国金融监督院 IT 团队负责人 22 日表示。“我们正在准备各种方法来防止 DDoS 攻击,包括屏蔽不必要的 IP 地址、分散流量以及设置一个清洁区。” DDoS 攻击是一种常见的网络攻击形式,通过将巨大流量引向目标来达到压垮和瘫痪网站的目的。追踪网络攻击的 “ 数字攻击地图 ” 的数据显示,每天都会发生超过 2200 次这样的攻击事件。 据悉,所谓 “ 清洁区 ” 是一种防御措施,寻求将目标网站的流量引向有能力处理大流量的网站,以化解 DDoS 攻击。黑客通过电子邮件向 7 家银行发出威胁,包括韩国的五大银行:韩国国民银行、新韩银行、友利银行、KEB 韩亚银行以及韩国农协银行,要求它们最迟在周一支付约 30 万美元。 自去年初开始出现有关无敌舰队组织的报告以来,这个黑客组织据信已经向世界各地的公司勒索数十万美元。不过,美国互联网安全服务集团 Cloudflare 表示,这些威胁基本上是空洞的。到目前为止,我们还没有看到针对某个受威胁组织发起的一次攻击,尽管我们知道的受威胁组织几乎都没有支付勒索费。网络安全集团 FireEye 的 Patrick Neighorn 认同这种看法。 网络安全集团 Hauri 的研究员认为,Nayana 支付的 100 万美元赎金起到了鼓舞黑客瞄准韩国的效果,但他说,韩国方面准备充足。他相信韩国可以处理好这件事,即使他认为黑客在虚张声势,韩国也不应该放松警戒。 稿源:cnBeta,封面源自网络。

卡塔尔官方证实攻击卡塔尔通讯社黑客来自断交国

据半岛电视台 21 日报道,卡塔尔已经确定,攻击卡塔尔通讯社的黑客来自邻近的断交国家。正常情况下,可就黑客入侵现象与相关国家进行联系、通告入侵黑客资料,相关国家据此确定黑客身份。但目前卡塔尔 “ 被封锁 ”,不可能获知任何信息。 6 月 5 日,巴林、沙特阿拉伯、阿拉伯联合酋长国以卡塔尔支持恐怖主义活动、破坏地区安全局势等为由,宣布断绝与卡塔尔外交关系,并切断与卡塔尔的海陆空联系。随后,又有多个国家宣布与卡塔尔断交。观察人士指出,卡塔尔通讯社遭黑客入侵事件成为断交风波直接导火索。 5 月 23 日深夜,卡塔尔通讯社旗下网站播发据称是卡塔尔埃米尔(国家元首)塔米姆在卡塔尔军校毕业典礼上的讲话。塔米姆在讲话中表示支持伊朗和巴勒斯坦伊斯兰抵抗运动(哈马斯),批评美国和沙特阿拉伯,并谴责对卡塔尔支持恐怖组织的有关指控。 卡塔尔通讯社推特账号还发文说,卡塔尔外交部要求将卡塔尔驻沙特阿拉伯等国大使召回,同时驱逐这些国家驻卡塔尔大使。卡塔尔政府随即表示,塔米姆讲话内容是入侵媒体网站的黑客伪造的,卡塔尔将调查这一事件并追究肇事者责任。 稿源:人民网、新华社;封面源自网络

金融机构请注意:黑客组织“匿名者”再次发起攻击,代号#Opicarus2017

近日,创宇盾安全舆情监测平台发现,黑客组织“匿名者(Anonymous)”向全球超过 140 个金融机构发起了新一轮的攻击行动,代号为 #Opicarus2017。  “匿名者”曾于 2015、2016 年发起过持续 4 波针对银行的大规模 DDoS 攻击,在其攻击下汇丰银行、土耳其银行、希腊央行、塞浦路斯央行、墨西哥银行 、墨西哥北方银行、孟加拉国银行等多家银行纷纷中招,就连美国联邦储备银行、世界银行、国际货币基金组织、纽约证券交易所以及英格兰银行等大牌金融机构也受到严重影响。 此次“匿名者”发起代号为 #Opicarus2017 的攻击行动,包括中国人民银行(pbc.gov.cn)、香港金融管理局(hkma.gov.hk)在内的全球近 140 家金融机构均在其公布的攻击列表中。此次攻击,在保持了 DDoS 让金融机构服务不可用的同时,攻击者还将针对性的寻找金融机构的数据库注入攻击点,以达到窃取敏感数据的目的。 目前全球超过 9 家金融机构已经被黑客进行数据库注入攻击,印度卡纳塔克邦格莱明银行和亚洲开发银行的数据敏感信息被黑客窃取,此外部分金融机构受到 DDoS 攻击而导致网站服务不可用。本轮攻击还在持续进行中… 稿源:知道创宇云安全,封面源自网络

网络钓鱼新模式,黑客利用连字符伪造 URL

PhishLabs 安全研究人员发现一种新型钓鱼方式,允许黑客利用手机端 URL 地址栏长度不足的劣势引导用户进入钓鱼网站。目前,这一手段已让大量在手机端使用 Facebook 的用户纷纷中招。 研究人员透露,新的攻击策略依赖于移动浏览器 URL 地址栏过窄,从而阻碍了用户查看全部链接内容的漏洞。据悉,黑客利用子域名和连字符等字符串填充 URL,让整个链接在移动设备中看起来极其真实,可一旦用户进入则会被引导至钓鱼网址。 此外,该公司还提供了一个例子,比如 -hxxp://m.facebook.com,这里 http 已被 hxxp 替代。而多数时候用户并不能清楚分辨,但是他们访问的已经是一个钓鱼网址了。他们在该网址的所有动作都会把自身数据传输至黑客手中,而黑客会再利用这些数据通过垃圾邮件把钓鱼网址发送给用户周边的朋友,从而感染更多用户。 事实上,这一点曾在 PC 端出现过,但由于 PC 端的地址栏较长,一些钓鱼网址极易识破。而在手机端,URL 填充方法就非常有效地掩盖了网站的真实域名,移动用户很难发现这一问题。解决这一问题的办法在于确认并检查完整域名,而不仅是 HTTP 的部分,因为每一个字符的错误都可能进入钓鱼网站。此外,安全扫描,屏蔽多数钓鱼网站且不要点击短信和邮件里的链接,因为这些链接的危险度较高,如果有必要一定要仔细检查。 稿源:中关村在线,封面源自网络

英国黑客承认窃取美国国防部军事卫星资料

据外媒 6 月 17 日报道,25 岁的英国黑客肖恩 · 卡弗里( Sean Caffrey )于近期在 Birmingham Crown 法院认罪,承认窃取美国国防部( DoD )军事卫星资料。 调查显示,Caffrey 于 2014 年 6 月 15 日曾侵入美国国防部系统,访问超过 800 名卫星通信系统用户账号与电子邮件地址,以及窃取了 3 万多个卫星电话相关信息。国家通信协会( NCA )网络犯罪部门与西中部地区警察随后展开调查,并于 2015 年 3 月将其逮捕,NCA 专家亦在 Caffrey 电脑硬盘上发现了被盗数据。 据国防部透露,他们为解决此次黑客入侵造成的损失共计花费约 62.8 万美元。NCA 调查负责人 Janey Young 表示,NCA 正努力创建合法安全网络空间,加强打击网络犯罪分子攻击活动。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客入侵美 39 个州选举系统,白宫热线曾警告克里姆林宫

据彭博社 6 月 14 日报道,在特朗普当选总统前,俄罗斯对美国选举系统发动的网络攻击范围远大于公开报道,即入侵了 39 个州的选民数据库和软件系统,是之前报道数量的近 2 倍。 调查人员在伊利诺斯州发现黑客试图删除或修改选民信息的证据。黑客入侵计票人员在选举日使用的软件,并至少在一个州入侵了选举经费数据库。此外,安全专家表示,攻击范围和老练程度让奥巴马政府高官担忧,他们采取了前所未有的举措——直接通过热线向莫斯科抱怨。 两名知情人士称,白宫于去年 10 月通过秘密渠道向克里姆林宫提供了俄罗斯干预美国总统选举的详细文档,并警告称这可能引发双方更广泛的冲突。俄罗斯官员公开否认与针对美国总统选举的网络攻击活动有关联,其中包括针对希拉里竞选团队、民主党全国委员会等机构的 “ 鱼叉式钓鱼攻击 ”。俄罗斯总统普京最近向媒体表示,俄罗斯犯罪分子可能与此事有关联。俄罗斯回应需要更详尽信息,并保证如果美国选举系统继续受到攻击,它将展开调查。 有关 2016 年美国总统大选的未解之谜之一是,在入侵州和地方政府的系统后,俄罗斯情况机构为什么没有尝试破坏选举。一种可能是美国的警告起了作用。但另外一名不具名美国高官称,一种更可能的解释是,数个月的攻击,没有使黑客获得破坏选举的能力。 目前,美国国土安全部成立了专门团队,帮助各州强化网络安全系统,部分州甚至聘请私人安全公司。在许多州,俄罗斯黑客攻击的程度尚不清楚。联邦政府对州选举系统没有直接管辖权,其部分州只与联邦政府进行有限合作。 稿源:cnBeta,封面源自网络

绝密报告:大选前俄罗斯黑客攻击 100 多名美国官员

据 CNET 报道,美国国家安全局( NSA )近期曝光的绝密报告显示,在 2016 年美国总统大选前,俄罗斯黑客曾对全美 100 多名地方选举官员和一家投票软件公司发动攻击。 NSA 在报告中描述了俄罗斯黑客的攻击细节,比如对美国地方选举官员和为 8 个州开发选举软件的科技公司 VR Systems 发动钓鱼攻击,这些州包括加州、佛罗里达州、纽约州、伊利诺伊州、北卡罗来纳州、印第安纳州、弗吉尼亚州以及西弗吉尼亚州。攻击时间恰好位于选举日之前,许多黑客攻击行动都围绕在 10 月下旬展开。 这份报告首先被美国爆料网站 The Intercept 曝光,随后得到 CBS News 证实。俄罗斯对 2016 年总统大选发动网络袭击和影响始终困扰着白宫,因为美国现任总统唐纳德·特朗普( Donald Trump )卷入与俄罗斯关系的调查中。虽然特朗普继续否认俄罗斯黑客并非代表他发动袭击,但 FBI 已经启动正式调查,包括其竞选活动与外国网络袭击之间的联系。 这份 NSA 报告曝光的时机很巧,恰好是前 FBI 局长詹姆斯·科米( James Comey )即将前往参议院下属情报委员会就此调查事件作证 3 天前。俄罗斯总统普京( Vladimir Putin )继续驳斥政府支持黑客对美国发动网络袭击的指控,坚持称那只是俄罗斯爱国人士的自发运动。 NSA 在报告中称,代表俄罗斯政府的黑客假扮成电子投票公司,诱使美国政府官员点击含有隐藏恶意软件的电子邮件。俄罗斯黑客还通过使用 noreplyautomaticservice@gmail.com 电子邮件假扮谷歌向受害者发送电子邮件,要求他们点击最终遭到钓鱼攻击的链接。到目前为止,NSA 报告已经确认 7 名潜在受害者。 VR Systems 目前还未就此作出任何回应。但报告中称,有 120 多个不同地方政府遭到俄罗斯黑客袭击。在 NSA 报告曝光前数日,美国司法部已经对芮丽提·温纳( Reality Leigh Winner )提出指控,后者是乔治亚洲的承包商,据称她为新闻机构提供绝密材料。温纳已经在自己家中被捕,并出席了听证会。 稿源:网易科技,封面源自网络

波斯湾不平静:巴林外交部长 Twitter 账号被黑

据外媒报道,卡塔尔国家通讯社遭黑客网络攻击 10 天后,邻国巴林外交部长哈利德(Sheikh Khaled bin Ahmad Al-Khalifa)的 Twitter 帐号被黑。 巴林虽然是一个占地面积极小的国家,但却拥有着美国海军第五舰队与英国海军的基地。据悉,该起网络攻击事件是因为逊尼派君主制的警方袭击了一名主要什叶派教士的故乡,导致 5 人死亡、286 人被捕,致使网络战争一触即发。 据悉,哈立德的 Twitter 中遭黑客发布了一系列令人不安的图片推文,其中包括血腥的尸体、遭毁坏的清真寺,以及看似为描绘战争的儿童画。 巴林外交部虽然已证实此次网络攻击活动由恐怖组织引发,但并未透露该事件其他具体细节。巴林外交部表示,定将追究责任,保证国家网络安全。 稿源:本文根据 ibtimes、msn新闻翻译整理 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

莫斯科威胁情报公司:黑客组织 Lazarus 与朝鲜“秘密关系”的最新证据

外媒 31 日报道,莫斯科威胁情报公司 Group-IB 近期发表了一份报告,揭示黑客组织 Lazarus 与朝鲜“秘密关系”的最新证据。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业 Wiper 攻击事件及 2016 年孟加拉国银行网络攻击事件有关。 黑客组织 Lazarus 攻击活动于 2014 年至 2015 年激增,其组织成员多数采用自定义恶意软件展开网络攻击活动。Group-IB 安全专家表示,该组织针对全球银行 SWIFT 系统的攻击活动留下了众多线索。 研究人员目前已检测并彻底分析了 Lazarus 如何使用复杂僵尸网络基础设施访问目标银行系统的相关细节。此外,他们还发现该黑客组织通过 SSL 发送加密数据、利用合法 VPN 隐匿真实身份。研究人员表示,自 Operation Blockbuster 报道过一份关于 Lazarus 组织成员的大量信息后,该黑客组织当即改变了攻击战略。 Lazarus 长期使用的两个 C&C 服务器地址之一 —— 210.52.109.22 属中国网通 IP 段,但据调查显示 IP 210.52.109.0/24 范围早已被分配给了朝鲜。而另一 IP 地址 175.45.178.222 指向朝鲜互联网服务提供商,它被分配给了朝鲜 Potonggang 区域,“巧合”的是朝鲜最高军事机构也在这里。 此外多项证据也显示,黑客组织 Lazarus 正将其攻击活动伪装成俄罗斯黑客所为,即伪造恶意软件中的标志代码欺骗调查人员,以嫁祸俄罗斯黑客。 更多细节分析可阅读:Group-IB 报告《 Lazarus 的兴起 :构架、技术与归属》 原作者:Pierluigi Paganini,译者:青楚,译审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

“ 斗篷与匕首 ” 新型攻击来袭,可滥用合法权限接管任意版本 Android 设备

据外媒 25 日报道,安全研究人员于近期发现一种新型攻击手段 Cloak and Dagger( “ 斗篷与匕首 ” ),允许黑客完全控制任意版本的 Android 设备( 包括最新版本 7.1.2 )、窃取私人敏感数据,其中包括击键与聊天记录、设备 PIN 码、在线帐户密码、OTP 动态口令与通讯录联系人信息等。 有趣的是,此攻击手段并非利用 Android 生态系统中的任何漏洞,而是滥用流行应用商城中广泛使用的合法权限访问 Android 设备上的某些功能。Cloak and Dagger 主要利用 Android 系统的两项基本权限: SYSTEM_ALERT_WINDOW( “ draw on top ” ):合法覆盖功能,允许应用程序在 Android 设备屏幕上覆盖其他应用程序。 BIND_ACCESSIBILITY_SERVICE( “ a11y ” ):帮助残障人士与视力受损的用户通过语音命令输入信息或使用屏幕阅读功能收听事件内容。 由于 Cloak and Dagger 无需利用任何恶意代码执行木马程序,因此黑客极易开发并提交恶意应用程序且不易被谷歌商店发现。据悉,黑客可在安装恶意应用程序后执行各种操作,主要包括高级劫持攻击、无限制访问击键记录、隐身网络钓鱼攻击、静默安装获得所有操作权限的 God-mode 应用、在保持屏幕关闭的状态下解锁手机进行任意操作等。 简而言之,黑客可以暗中接管用户 Android 设备并监视设备上的一举一动。目前,虽然研究人员已向 Google 披露该攻击手段,但由于此类问题源自 Android 操作系统设计缺陷且涉及两个标准功能的正常运行,因此该问题恐怕一时无法解决。安全专家建议用户始终从 Google Play 商店下载应用程序并在安装应用程序之前仔细检查权限设置。 原作者:Swati Khandelwal, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接