标签: 乌克兰

黑客 Sanix 在乌克兰被捕 曾贩卖数十亿用户的登陆凭证

乌克兰特勤局今日宣布逮捕了一位名叫 Sanix 的黑客,其曾通过黑客论坛和 Telegram 渠道贩卖数十亿受害用户的登陆凭证。本次逮捕发生在乌克兰西部城市 Ivano-Frankivsk,但官方为披露黑客的真名。作为地下黑客论坛的老成员,有关部门最早在 2018 年追溯到了他的线索。 在安全专家看来,Sanix 的身份更像是一位二道贩子(数据中间商 / Data Broker)。其收集了被黑客入侵的企业泄露的大量数据,将之整理汇总出大量的用户登陆凭证(ID 和密码)。 Sanix 随后将数据贩卖给其它在灰色地带从事网络犯罪的恶意行为者,比如垃圾邮件发送者、密码破解者、账户劫持者、以及暴力僵尸网络的幕后黑手。 在 Telegram 上,Sanix 也曾化名 Sanixer 。其最初负责‘组装’一系列用户名和密码组合,并打包成 #1、#2、#3、#4、#5、Antipublic 等数据集合。 这些资料涵盖了数十亿个唯一的用户名和密码组合,合计容量达到了数 TB,并且已经在私底下被贩卖多年。 然而威胁情报公司 IntSights 指出,部分资料在与另一位二道贩子 Azatej 发生纠纷后在网络上被泄露(Azatej 被认为是贩卖被盗数据的 Infinity Black 门户网站的幕后黑手)。 尽管 Azatej / Sanix 只是泄露了打包后的旧数据,却还是在 2019 年 1 月引发了媒体的强烈关注。时至今日,Collection #1 甚至在维基百科上都拥有了专属的介绍页面。 据悉,Azatej 陆续泄露了多个数据包。但在欧洲刑警组织针对 Infinity Black 采取的一系列行动中,Azatej 已于本月早些时候被逮捕。 乌克兰特勤局(SSU)在今日的新闻发布会上表示,其在 Sanix 的计算机上找到了 Collection#1 的副本,以及至少七个类似的被盗密码数据库。 除了收集用户名和密码,Sanix 的计算机上还存储了与银行卡 PIN 码、加密货币钱包、PayPal 账号、以及 DDoS 僵尸网络有关的信息。 随后的统计发现,SSU 一共从 Sanix 的住所中查获了 2TB 的数据、以及 3000 美元和 19 万格里夫纳(约 7000 美元)的赃款。   (稿源:cnBeta,封面源自网络。)

安全研究人员发现 Industroyer 与 NotPetya 同属于俄罗斯黑客组织

据外媒 ZDNet 报道,网络安全公司 ESET 的恶意软件分析人员最近发现了实质性证据,证明针对乌克兰电网的网络攻击和 2017 年 6 月爆发的 NotPetya 勒索软件背后是同一组织。 这两者之间并不是直接联系,而是研究人员在今年 4 月一次黑客攻击中通过名叫 Exaramel 的恶意软件发现的。Exaramel 后门是从 Telebots 的服务器基础设施部署的,这也是 NotPetya 勒索软件所依赖的基础设施。 在分析报告中 ESET  称 Exaramel 后门“是后门组件的改进版本”,是针对工业控制系统(ICS)的恶意软件 Industroyer 的一部分,Industroyer 曾在2016年12月引发乌克兰停电。虽然之前已有推测到这种联系,但没有实质性证据,Exaramel 的发现证实了研究人员的想法。 下图是 ESET 研究人员推测 BlackEnergy 集团的演变,该集团在 Industroyer 之前一年,在2015年12月同样袭击了乌克兰的电网。   考虑到从 2017 年 7 月以来多方将 NotPetya 与 BlackEnergy 攻击联系起来的报告,可以说上图所有攻击的幕后推手都属于同一组织。ESET 的发现适时为西方政府最近提出的指控提供了事实和技术证据。 今年2月,Five Eyes 联盟国家的政府都指责俄罗斯策划了 NotPetya 勒索软件的爆发。本月早些时候,英国和澳大利亚发表声明,指责俄罗斯主要情报局(GRU)俄罗斯武装部队的军事情报机构发生多起网络攻击事件。声明称俄罗斯的 GRU 背后是一系列网络间谍组织和黑客行动,所列出的名称包括 Sandworm 和 BlackEnergy,在网络安全行业的众多报告中这两个名称被用作 TeleBot 的替代词。 ESET 的研究对政府报告提供了有力支撑,俄罗斯在2015年和2016年制造恶意软件以瞄准乌克兰的电网,后来部署了针对乌克兰公司的 NotPetya 勒索软件,这是俄罗斯吞并克里米亚和支持乌克兰西部地区的亲俄反叛分子行动的一部分。   消息来源:ZDNet,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

乌克兰担心俄罗斯将对其发起大型协同式网络攻击

据外媒cnet报道,路透社周二报道,乌克兰公司在它们的计算机系统中发现了越来越多的恶意软件。对此,该国政府认为这些恶意软件是在为未来的一场重大协同式网络攻击做准备。乌克兰网络警察局长Serhiy Demedyuk告诉路透社,他们认为类似于去年遭遇的NotPetya勒索软件病毒将可能再次发生。 当时,这一攻击蔓延全球,影响了丹麦航运巨头Maersk、美国制药公司Merck、澳大利亚吉百利出奇蛋工厂等多家大型公司。该病毒封锁了电脑并要求受害者以比特币的形式支付赎金。美国、乌克兰、英国将这一攻击归咎于俄罗斯政府,对此美国还对俄罗斯进行了制裁。 Demedyuk指出,通过对这些恶意软件的分析以及针对乌克兰的攻击目标,他们发现所有工作都是在一天内完成。另外他还称,入侵的数字指纹将背后黑手指向了俄罗斯。 对此,俄罗斯大使馆和乌克兰国家警察局都未立即置评。   稿源:cnBeta,封面源自网络;

思科发布安全预警:几十个国家50万台路由器被感染

北京时间5月23日晚间消息,思科公司周三发布安全预警称,黑客利用恶意软件,已感染几十个国家的至少50万台路由器和存储设备。 据思科研究人员克雷格·威廉姆斯(Craig Williams)称,思科Talos安全部门认为,俄罗斯政府是此次攻击的幕后主谋,因为黑客所使用软件的代码,与俄罗斯政府之前发动网络攻击所使用软件的代码一致。 乌克兰安全局(SBU)称,此举表明俄罗斯计划在欧洲冠军联赛决赛开战之前,对乌克兰发动大规模网络攻击。欧洲冠军联赛决赛将于本周六在基辅开战。 乌克兰安全局在一份声明中称:“安全服务专家认为,此次乌克兰境内路由器和存储设备被感染,是俄罗斯为发动新一轮网络攻击做准备,目的是在欧洲冠军联赛决赛期间破坏局势。”   稿源:,稿件以及封面源自网络;

俄罗斯 Group-IB 联合多家安全公司协助乌克兰警方取缔 DDoS 犯罪团伙

外媒 3 月 8 日消息,网络安全公司 Group-IB 联合其他企业共同协助乌克兰警方取缔一个在全球发起众多勒索事件的 DDoS 犯罪团伙。据悉,该团伙参与 DDoS 攻击和勒索的时间长达两年之久。 Group-IB 的调查行动从 2015 年 9 月开始,其安全人员在调查中发现该犯罪团伙曾对国际在线交友服务网站 AnastasiaDate 发起了 DDoS 攻击,造成 AnastasiaDate 的网站被迫关闭了几个小时,随后犯罪人员以停止攻击为条件威胁该网站支付 1 万美元的赎金 。除此此外,该团伙还针对一些在线商店、支付系统以及提供博彩、彩票和博彩服务的网站发起 DDoS 攻击。例如乌克兰欺诈案的受害者(包括美国公司租赁数据中心和托管设施 Stafford Associated、以及 PayOnline 在线支付服务)。 目前 Group-IB 的网络安全专家已经确定了该犯罪团伙并将其与两名乌克兰人 Gayk Grishkyan 和 Inna Yatsenko 联系起来。据悉,两名 DDoS 犯罪团伙成员对其罪行供认不讳,将会被判处有期徒刑 5 年。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

乌克兰警方成功逮捕 Avalanche (“ 仙女座 ”)僵尸网络组织者

外媒 2 月 26 日报道,乌克兰警方于周一表示,大规模僵尸网络 Avalanche (仙女座)的组织者之一被成功逮捕。 Andromeda (仙女座)是市场上最大的僵尸网络之一,自 2011 年以来一直存在。它为世界各地的恶意软件和 DDoS(分布式拒绝服务)垃圾邮件攻击提供基础架构。乌克兰网络警察在一份声明中说, 国际犯罪平台 Avalanche 的组织者在全球范围内每天感染的设备数量约达 50 万台。 其实早在 2016 年 11 月,来自欧洲刑警组织以及其他地区的检察官和调查人员进行了一场国际执法合作,成功摧毁了国际犯罪基础设施平台 Avalanche ,并逮捕了其高层老板。欧洲刑警组织表示,在当时的行动中,数百台服务器被关闭或扣留,80 万个互联网域名被封锁,成为迄今为止最大的拆除行动之一。 在这次行动中,一位网络警察发言人向法新社证实,被捕的男子是一名乌克兰公民 Gennadiy Kapkanov。警察搜查了该名男子的公寓,并对一台笔记本电脑和存储设备进行了取证。在调查过程中,警方发现,为了隐藏犯罪行为,该名男子使用了不同身份的护照。 不过乌克兰媒体称,Gennadiy Kapkanov 似乎是失踪了。因为虽然 Gennadiy Kapkanov 被拘留在他位于乌克兰中部城市波尔塔瓦的家中,但由于当地法院并没有实行正式逮捕。 于是周一晚些时候,法院将不得不再次决定是否要正式逮捕 Gennadiy Kapkanov 。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客利用乌克兰会计软件开发商官网传播 Zeus 银行木马新变种

据外媒 1 月 6 日报道,黑客滥用乌克兰会计软件开发商 Crystal Finance Millennium ( CFM )的官方网站散布恶意软件,分发 Zeus 银行木马新变种。Cisco Talos 称该恶意软件通过附加在垃圾邮件上的下载程序获取,且具有一定规模的传播范围。 此次攻击发生于 2017 年 8 月乌克兰独立日假期前后,乌克兰当局和企业接到了当地安全公司 ISSP 的网络攻击警报 ,用来托管恶意软件的一个域名与乌克兰会计软件开发商 CFM 的网站有关。不仅如此,攻击者还利用 CFM 网站传播了 PSCrypt 勒索软件,这是去年针对乌克兰用户的恶意软件。所幸此次攻击黑客没有损害 CFM 的更新服务器,也没有在早前的 Nyetya 协议中看到相同级别的访问。 在这次攻击中,恶意软件负载的电子邮件中包含一个用作恶意软件下载程序的 JavaScript 压缩文件。一旦该文件打开,Javascript 就会被执行,并导致系统检索恶意软件的 playload,运行后 Zeus 银行木马病毒将会感染系统。 思科 Talos 统计:受Zeus银行木马新变种影响的地区 自从 2011 年 Zeus 木马版本 2.0.8.9 的源代码被泄露以来,其他威胁行为者从恶意代码中获得灵感,将其并入多个其他银行木马中。 研究人员发现此次活动发布的恶意软件和 ZeuS 源代码的泄漏版本之间就存在着代码重用: 一旦在系统上执行,恶意软件会执行多个操作来确定它是否在虚拟的沙箱环境中执行。 若恶意软件没有检测到正在沙箱环境中运行的情况下,那么它就会采取措施来在被感染的系统上实现持久性。恶意软件甚至会在受感染的系统上创建一个注册表项,以确保每次重新启动受感染设备时都会执行恶意代码。一旦系统被感染,恶意软件就会尝试去接触不同的命令和控制 ( C&C ) 服务器。 研究人员表示,大多数被恶意软件感染的系统都位于乌克兰和美国,乌克兰交通运输部管辖的 PJSC Ukrtelecom 公司的  ISP 受影响最为严重。影响数量达到 3115 个独立 IP 地址、 11,925,626 个信标显示了这个恶意软件的传播规模。 研究人员称越来越多的攻击者试图滥用受信任的软件制造商,并以此作为在目标环境中获得立足点的一种手段。为了部署更有效的安全控制措施来保护其网络环境,攻击者正在不断改进其攻击方法。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

俄罗斯区块链专家遭绑架,任职乌克兰加密货币交易所 EXMO 负责人

据外媒报道,俄罗斯著名区块链专家、加密货币交易所 EXMO 负责人 Pavel Lerner 于 12 月 26 日在乌克兰首都基辅被绑架。EXMO 随后发表声明证实该绑架事件,并承诺 EXMO 的运营不会受到影响,所有的用户资金都是绝对安全的。目前执法人员正对此事进行调查,以了解 Lerner 被绑架的原因。不过有相关人士认为 Lerner 被绑架可能是涉及具有隐密货币背景的俄罗斯国民的又一起案件。 根据乌克兰执法机构的匿名信息,Lerner 在距离其工作地点不远的地方被不明身份的人士强行拖入奔驰车内(车牌号  AA 2063 MT ),随后开往未知方向。 虽然目前执法机构还在进行调查,但 EXMO 表示 Lerner 并没有直接访问任何加密货币账户或其他个人数据的权限,公司的运营以及所有的用户资金都不会受到影响。 事件后续 据北京时间 30 日凌晨消息,乌克兰内政部部长顾问安东·格拉斯申科(Anton Gerashchenko)透露,Lerner 周二在他的办公室附近被绑架,于周四被释放。 “帕维尔是被持枪歹徒绑架的,为的是勒索比特币。”同时,他还提到:“我们已掌握的信息显示帕维尔最后是支付了价值超过 100 万美元的比特币后才被释放的。” 在帕维尔周四被释放后,Exmo 和他本人都拒绝对此事进行评论。 消息来源:Thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,稿件以及封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

报告显示:美国并非是唯一一个遇到大选干扰问题的国家

据外媒报道,最新一项研究显示,来自 18 个国家的选民在去年受到了不同来源的网络攻击、网络宣传以及虚假信息的影响。根据 Freedom House 的研究了解到,民主在过去 7 年的遭遇中不断恶化,截止至 2016 年 6 月,受到影响的国家包括乌克兰、埃及、土耳其。 目前,在评估的 65 个国家中,占据了全球 87% 的网络使用量,都表现出了比美国因假新闻引发的选举结果还要严重的问题选举结果。据悉,选民们受到了来自反对候选人信息、网络机器人以及网络喷子的影响。Freedom Net 项目主管 Sanja Kelly 指出,一些政府现在正在利用社交媒体压制异议、推动反民主进程,这种行为不仅让人们难以觉察到而且比其他类型审查还要难,因为它非常分散并且还动用了大量人员和网络机器人。 报告指出对主流意见影响最大的技术包括了:付费评论、网络喷子、网络机器人、假新闻网站、网络宣传。除了上面提到的常用策略,一些政府还会采用一些特定的策略,诸如菲律宾它就建立了一支“键盘部队”,他们主要负责在网上推广政府打击毒品交易的新闻。另外,令人担忧的是,记者因其在网络上分享的内容而遭到网络攻击。Freedom House 报道称,在去年该类型网络攻击增长了 50%,其中叙利亚、墨西哥、巴西、巴基斯坦尤为突出。 稿源:cnBeta,封面源自网络;

乌克兰情报机构发布警示:本月 13-17 日或将再次面临类似 NotPetya 的网络攻击

据外媒报道,乌克兰情报机构 SBU 于近期发布声明,警示乌克兰或将在 10 月 13 日至 17 日遭受类似勒索软件 NotPetya 的大规模网络攻击。据称,由于 10 月 14 日是乌克兰重大纪念日之一 —— 乌克兰捍卫者日,安全专家推测攻击者可能想在该期间导致乌克兰国家动荡。 今年 6 月, 勒索软件 NotPetya 网络攻击首次袭击乌克兰公司,旨在加密电脑私人数据并要求受害用户缴纳 300 美元赎金。调查显示,该起攻击活动通过一款广泛使用的会计软件 MeDoc 感染恶意代码并于全球范围内肆意传播,也对联邦快递旗下 TNT 公司、美国默克等知名企业造成严重损失。 据情报显示,攻击者似乎在此次活动中主要瞄准乌克兰政府机构与私营企业发动新一轮攻击浪潮。目前,SBU 已通知此类机构并提醒他们作好防御准备。安全专家表示,攻击者可能通过侵入各机构的信息系统后破坏国家局势稳定;也可能通过更新软件的供应流程进行网络攻击,其中包括公共应用软件。 为保护乌克兰各企业系统免遭网络攻击,SBU 提出如下建议: Ο 更新服务器与工作站计算机的防病毒软件签名; Ο 在计算机设备上进行冗余信息处理; Ο 提供系统软件的日常更新,包括所有版本的 Windows 操作系统。 据悉,由于此类攻击不易发现和预防,因此安全专家提醒用户将其重要文件进行定期备份或存储。此外,最重要的是,始终保持一个良好的防病毒系统,以便检测与阻止任何恶意软件入侵。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。