分类: 黑客事件

为掩盖 2016 年网络攻击事件,Uber 曾向黑客支付 10 万美元

据外媒报道,Uber 似乎很难让自己逃离新闻中心漩涡。虽然这家公司迎来了一位新 CEO 并且他正在努力清理之前留下的烂摊子,但 Uber 仍旧会发现自己还是被卷入了丑闻中。这份清单中最新增加的内容则是这家公司隐瞒了黑客成功窃取属于 5700 万名 Uber 司机和客户的个人数据的事件。 据了解,该网络攻击最初发生在去年 11 月,但 Uber 一直到 1 个月后才意识到这个漏洞。泄露的信息包括电子邮件地址、60 万名司机的驾照号。不过目前并无迹象表明社保号、银行信息也遭到了窃取。从法律角度来看,Uber应当有在发现网络攻击时通知用户和监管机构的责任,然而它却选择了掩饰。这家公司选择用 10 万美元换取黑客的沉默。 尽管 Uber 坚称被盗的数据从未被用到不正道的地方,但不管怎样隐瞒跟用户敏感数据相关的事实总归是不对的。而优步首席执行官 Dara Khosrowshahi 专门针对此事发表了一份声明。 稿源:cnBeta,封面源自网络;

美国指控伊朗黑客盗取 HBO《权力的游戏》等未上映影集

据外媒报道,一名伊朗黑客近期在美国遭到指控,于今年夏天盗取 HBO 未上映影集并要求支付高达 600 万美元的赎金赎回。今年七月份,这位黑客泄露了一段即将播放的 HBO 系列剧 “权力的游戏” ,以及”Curb Your Enthusiasm” 、”Ballers” 和 “The Deuce.”这三部未发行剧集。 根据美国纽约南区地区法院大陪审团公布的起诉书,美国联邦调查局确定伊朗 Behzad Mesri 为嫌疑黑客,后者要求 HBO 以比特币支付 600 万美元赎金,并威胁说,如果拒绝支付,将释放更敏感的内容。HBO 拒绝就这些指控发表评论,但表示自从网络攻击的早期阶段开始就一直在和执法机构合作。 据称,Mesri 是一名技术娴熟的黑客,曾为伊朗军方工作,攻击核设施,以色列基础设施和对手军队。他还是土耳其黑帽安全团队的成员,这个黑客组织是一个来自伊朗的黑客组织,这个黑客组织破坏了全球数百个网站。法庭文件显示,Mesri 涉嫌利用自己的技能在 5 月份开始对 HBO 员工进行攻击,并且能够攻击几名可以远程访问 HBO 网络服务器的员工。据说,Mesri 可以自由地掠夺 HBO 的视频、脚本和个人信息。 稿源:cnBeta,封面源自网络;

黎巴嫩外交部及 20 个黎巴嫩驻外大使馆门户被黑

在本月 11 日,一个自称 “Team Bad Dream” 的黑客组织攻破了黎巴嫩外交部和 20 个黎巴嫩驻外大使馆的官方门户网站,并将一个名为 “default.html” 的网页镜像文件上传到了 Zone-h(国际著名黑客站点),用于记录自己的“战绩”。目前,尚不清楚黑客组织发起攻击的动机和目的。黑客只在页面上留下了一条用阿拉伯文编写的消息 “عاصفةالحزمقأدمةإلىلبنان”,谷歌翻译器将其翻译为“暴风雨来到黎巴嫩”。 当然,黑客组织采用了怎样的方法成功攻破了这些网站也是未知的,并且官方也没有发布任何有关黑客组织是否已经窃取了敏感数据的声明。根据调查,被黑的网站似乎都托管在同一台 Windows 2012 服务器上,由一家名为 “WeHostWebSites” 的美国公司负责管理。这意味着黑客组织可能以某种方式黑入了该服务器,进而才导致如此多的网站同时被攻破。根据 Zone-h 记录的信息我们可以看到,被攻陷的网站包括: 黎巴嫩驻马德里大使馆(西班牙)、黎巴嫩驻加蓬共和国大使馆(利伯维尔)、黎巴嫩驻纽约总领事馆、黎巴嫩驻委内瑞拉玻利瓦尔共和国大使馆、黎巴嫩驻苏丹共和国大使馆(喀土穆)、黎巴嫩驻匈牙利大使馆(布达佩斯)、黎巴嫩驻埃及阿拉伯共和国大使馆(开罗)、黎巴嫩驻摩洛哥大使馆(拉巴特)、黎巴嫩驻亚美尼亚共和国的大使馆(埃里温)、黎巴嫩驻巴基斯坦伊斯兰共和国大使馆(伊斯兰堡)、黎巴嫩驻尼日利亚联邦共和国大使馆(阿布贾)、黎巴嫩驻瑞士大使馆、黎巴嫩驻马来西亚大使馆(吉隆坡)、黎巴嫩驻阿曼苏丹国大使馆(马斯喀特)、黎巴嫩驻英国大使馆、黎巴嫩驻印度尼西亚共和国大使馆(雅加达)、黎巴嫩驻德意志联邦共和国大使馆(柏林)、黎巴嫩驻里约热内卢总领事馆、黎巴嫩驻瑞典王国大使馆(斯德哥尔摩)以及黎巴嫩驻希腊共和国(雅典)。 值得注意的是,这已经不是黎巴嫩外交部首次遭到黑客入侵。根据 Zone-h 的记录,该网站曾被黑客入侵过两次。最近的一起攻击事件是在 2017 年 3 月 21 日,一个自称来自黑客组织 “AnonGhost Team” 代号为 “Mr.Domoz” 的黑客上传了一个名为 “domoz.htm” 网页镜像文件。而早在 2015 年,一名来自约旦代号为 “MoThAnnA-X” 的黑客上传了一个名为 “x.htm” 的网页镜像文件。 稿源:黑客视界,作者:碰瓷党;封面源自网络。

Parity 逾 2.8 亿以太坊遭到冻结,竟是由黑客蓄意触发漏洞导致

作为比特币的竞争对手,成立于 2014 年的加密货币以太坊(Ethereum)在全球市场日益升温,总价值超过 280 亿美元。但随之以太坊的安全问题也日益突显,上周再次被曝以太坊钱包存在关键漏洞,导致价值逾 2.8 亿美元的以太坊遭到冻结。以太坊钱包 Parity 的幕后公司 Parity Technologies 随后证实,由于自 7 月 20 日开始部署的多重签名钱包出现技术问题,导致逾 580 个多团体钱包受到此次事件影响。 近期,Parity 的其中一家客户–VR 3D 模型创业公司 Cappasity 发表声明,宣称其价值约 100 万美元的以太坊钱包遭到冻结,并表示此次事件并非偶然,而是一场蓄意的黑客活动。Parity 在追踪黑客交易时发现此次攻击由一名 GitHub 用户 devops 199 蓄意触发漏洞导致。然而,Cappasity 创始人 Kosta Popov 在一份声明中表示,如果 Parity 近期没有妥善解决此次问题,他们将申请执法机构进行下一步调查。 目前,虽然 Parity 尚未更新以太坊钱包的恢复情况,但其以太坊并未被触及。不过,在妥善解决这个问题之前,用户不太可能获取所被冻结的资金。 原作者:India Ashok,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

瑞典电台遭黑客入侵,播放 30 分钟 IS 宣传歌曲

新加坡《联合早报》11 月 10 日报道称,瑞典电台 Mix 遭黑客入侵,播放了 30 分钟宣扬极端组织 “伊斯兰国” 的歌曲。该电台负责人格维斯丹发布声明证实此事,并表示将报警及向政府当局投报。 报道称,被播放的歌曲曾被用在宣传和招募极端分子前往伊拉克和叙利亚的视频上。电台方面认为,有人用发射器干扰了电台的频道。Mix 是瑞典主要电台,每天约有 140 万人收听,而受影响的是该台在南部城市马尔默(Malmo)的频道。 稿源:网易新闻、环球网,封面源自网络;

调查结果显示全球约 2500 家网站被植入挖矿代码、窃取加密货币

据外媒报道,黑客入侵网站植入挖矿脚本后利用用户的 CPU 挖掘数字货币的做法越来越流行。其相关数据统计,目前已有 2,496 家运行过时软件的网站遭到黑客植入恶意代码,并利用访问者 CPU 挖掘门罗币。 研究人员表示,其中 80% 的网站还被植入了其它恶意程序,允许黑客窃取访问者的银行卡信息。据称,这些网站植入的都是 Coinhive.com 提供的脚本,其中 85% 被入侵网站植入的脚本属于两个 Coinhive 账号、15% 的则属于其他 Coinhive 账号。值得注意的是,这些账号正被一个人或一个组织控制。 此外,根据资源管理器显示,CPU 占用率超过了 95%,而关闭这个网站后立即降到 9%。因此,如果用户打开内嵌挖矿代码的网站后不关闭,每台电脑每个月都会多消耗2.9-5美元的电费,这还不算对硬件寿命的额外损耗。目前,研究人员提醒用户可以通过广告屏蔽工具或专门扩展阻止挖矿脚本的运行。 稿源:根据 cnBeta、solidot奇客 综合整理,封面源自网络;

安全报告:越南黑客组织 APT32 成为威胁领域中 “最先进” 网络犯罪团伙之一

据外媒 11 月 7 日报道,网络威胁响应公司 Volexity 近期发表一份安全报告,宣称越南黑客组织 APT32 已然成为当今威胁领域中 “最先进” 的网络犯罪团伙之一。 黑客组织 APT32(也称为:OceanLotus)自 2012 年以来一直处于活跃状态,其主要针对越南境内多家行业机构、境外组织、政客与记者展开大规模网络间谍活动,或有越南政府背景。 FireEye 安全专家此前曾注意到黑客组织 APT32 自 2014 年以来就已针对越南多家境外制造业、消费产品生产业及酒店领域进行情报搜集活动,其中包括目标企业的运营情况、是否遵守越南相关条例等。知情人士透露,APT 32 所获情报均与越南国家利益有关,但对其普通公民毫无用处。此外,该黑客组织还利用独特的恶意软件结合商业工具针对外围安全企业及与境外投资相关的安全公司展开网络攻击。因此,安全专家推测黑客组织 APT32 可能与越南政府有关,但该国否认参与其中。 Volexity 研究人员于今年 5 月以来一直在跟踪该黑客组织攻击活动,他们观察到 APT32 主要瞄准亚洲多个国家、东南亚国家联盟(ASEAN)、媒体,以及人权和公民社会组织展开大规模监视与网络间谍活动,而这些攻击似乎是通过战略性破坏目标网站进行,并已经发生在多个备受瞩目的东盟峰会上。Volexity 认为,该黑客组织的攻击规模可以与俄罗斯 APT 组织 Turla 相提并论。 目前,Volexity 在分析了 APT 32 最近一起活动后总结了该组织的主要攻击特点: ο 主要通过战略性破坏网站进行大规模数字化分析与信息收集活动; ο 瞄准与政府、军事、人权、公民社会组织、媒体、国家石油勘探等有关的个人与组织发动攻击; ο 使用白名单定位目标用户与组织; ο 利用自定义 Google Apps 访问受害者的 Gmail 帐户,以窃取电子邮件和联系人等敏感信息; ο 战略性和有针对性的修改受害网站视图,以便安装恶意软件或窃取访问者的电子邮件帐户; ο 大型 DDoS 攻击的基础架构由多家服务器托管商提供; ο 伪造合法在线服务与组织的域名分发恶意软件,如 AddThis、Disqus、Akamai、百度、Cloudflare、Facebook、Google 等; ο 加密目标企业 SSL/TLS 证书; ο 开发并使用多款后门软件,如 Cobalt Strike 等。 Volexity 表示,黑客组织 APT32 正迅速发展并增强自身能力,因此安全专家认为该威胁团队已然成为当前领域中 “最先进” 的组织之一。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

神秘黑客组织 SowBug 利用新恶意软件 “Felismus” 窃取南美、东南亚等多国外交机密

HackerNews.cc 11 月 7 日消息,赛门铁克研究人员近期发现神秘黑客组织 SowBug 正肆意分发一款新型恶意软件 “Felismus”,意在窃取阿根廷、巴西、厄瓜多尔、秘鲁与马来西亚等多国政府机构的外交机密。 Felismus 是一款复杂的远程访问木马,其模块化结构允许黑客通过后门隐藏或扩展恶意功能。像多数银行木马一样,该恶意软件不仅允许黑客完全操控受害系统,还允许他们通过远程服务器进行通信、下载文件与执行 shell 命令。 调查显示,黑客组织 SowBug 至少从 2015 年开始活动,其主要瞄准南美、东南亚地区的多个国家机构进行一系列针对性攻击活动。此外,研究人员发现该组织资源充足,能够同时渗透多家系统并在目标机构的工作时间外运作。相关证据表明,该攻击者主要使用一款黑客工具 Starloader 通过 Windows 或 Adobe Reader 更新时在受害者的网络中部署恶意软件。 研究人员表示,他们已经发现黑客通过 Starloader 工具分发恶意文件 AcrobatUpdate.exe 和 Intelupdate.exe 的证据。不过,值得注意的是,攻击者并没有损害系统软件本身,而是重新命名了恶意文件的名称,使其与合法软件所使用的文件名类似,并将它们放置在目录中,从而不会引起怀疑。此外,Sowbug 黑客还采取了其他一系列措施规避安全软件的检测。 研究人员表示目前所掌握的证据还不足以揭露黑客组织 Sowbug 的真实身份。HackerNews.cc 在此提醒各国政府机构提高系统安全防御体系,以防黑客肆意感染系统后展开大规模攻击活动。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

韩议员透露:朝鲜黑客窃取军舰机密蓝图,或将威胁国家军事安全

据外媒报道,韩国国会的反对派议员 Kyeong Dae-soo 10 月 30 日透露,朝鲜黑客极有可能于去年 4 月入侵大宇造船和海洋工程公司(DSME)数据库后窃取了约 4 万份文件,其中包括韩国军事机密记录,以及国家各武器军舰蓝图。 路透社援引 Kyeong Dae-soo 声明报道,这一事件由韩国国防部发现,其调查人员在分析后几乎肯定朝鲜黑客就是 DSME 被黑事件的幕后黑手,因为此次所使用的攻击手法与过去朝鲜黑客发动的网络攻击极其相似。然而,大宇造船公司的发言人表示,公司正在确认 Kyeong 的讲话细节。 此外,朝鲜于本月早些时候还被指控窃取韩国大量军事机密,其中包括 “华盛顿-首尔” 的军事行动计划,目的是 “斩首” 金** 的独裁政权。上周,英国当局还指责朝鲜策划了一场今年早些时候席卷全球的勒索软件 WannaCry 攻击事件,不过,朝鲜政府目前否认这些指控。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基:网络犯罪团伙 Silence 采用黑客技术展开钓鱼攻击,俄罗斯等国 10 大银行成首要攻击目标

HackerNews.cc 11 月 1 日消息,卡巴斯基实验室研究人员近期发现黑客组织 Silence 正采用网络犯罪团伙 Carbanak 的黑客技术瞄准俄罗斯、亚美尼亚与马来西亚等国至少 10 家银行展开攻击活动。据称,该组织在使用后门程序获取目标银行持久性访问权限后开始监控员工日常操作、窃取用户敏感信息。目前,该组织已从全球各银行窃取逾 10 亿美元资金。 调查显示,此类攻击活动最早可追溯至今年 9 月,其黑客在入侵银行系统访问内部网络后获取了银行职员的重要信息,以便通过肆意分发 .chm 恶意附件开展网络钓鱼攻击活动。 诱导邮件部分内容 卡巴斯基表示,鱼叉式网络钓鱼攻击活动仍然是感染目标系统最为流行的一种方式。并且,由于此次攻击活动主要是通过受损的基础设施分发 .chm 恶意附件。因此,该黑客手段似乎是一种非常有效的传播方式,至少目前在金融机构中是这样。另外,Silence 还利用合法的管理工具运行恶意程序,从而规避目标系统雷达监测。 据悉,研究人员发现该组织利用了一种微软专有的在线帮助格式 Microsoft Compiled HTML Help (CHM)分发恶意邮件,因为 CHM 具备交互性质,可以任意运行 JavaScript 代码。对此,受害用户一旦打开 CHM 附件后,将被嵌入包含 JavaScript 代码的 .htm 文件(“start.htm”),其目标是将受害者重定向至外部恶意链接,并在自动运行有效负载后执行下一阶段操作。 start.htm 嵌入文件的一部分 随后,C&C 服务器将解压并执行恶意软件 dropper 程序,其部分负载模块将会在删除记录后帮助攻击者继续监视目标银行系统。据称,负载模块中包括一款屏幕监视器,它采用了 Windows GDI 和 API 工具通过将所有收集的位图组合在一起,从而创建了受害者活动的伪视频流。 C&C 服务器连接程序 虽然研究人员并未公布黑客组织 Silence 窃取信息的证据,但他们证实此类攻击仍在继续且普遍针对金融机构展开攻击。这是一个非常令人担忧的趋势,因为这是网络犯罪分子在攻击中取得成功的表现。目前,卡巴斯基实验室仍在继续监控此类攻击活动,并强烈建议各金融企业加强自身系统防御体系,以抵御黑客攻击活动。 附:卡巴斯基实验室原文报告《Silence – a new Trojan attacking financial organizations》 原作者: Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。