标签: 伊朗

美国起诉 2 名黑客,称其为报复伊朗将军遭暗杀而攻击多家网站

据俄塔社15日报道,美国司法部网站在周二发布声明称,美国当局起诉了两名“黑客”,称他们为报复美国暗杀伊朗“圣城旅”前指挥官卡西姆·苏莱曼尼将军而对美国进行了网络攻击。 美国司法部称,一名19岁的伊朗人和一名25岁的巴勒斯坦人被控犯有网络攻击罪和串谋实施网络攻击。美国负责国家安全事务的助理司法部长约翰·德默斯称,“作为报复美国开展军事行动暗杀苏莱曼尼一事的运动的一部分,这两名黑客攻击了无辜的第三方。”德默斯强调,这两人正在伊朗和巴勒斯坦“躲藏起来,避免遭受审判”。 美国当局指控称,这两名“黑客”于2019年12月开始合作,在美国国防部今年1月3日宣布在伊拉克巴格达国际机场附近开展无人机袭击打死苏莱曼尼之后,他们入侵了58个美国网站。在遭到攻击之后,这些网站的页面上都出现了以伊朗国旗为背景的苏莱曼尼将军的肖像,上面用英语写着“Down with America”。 美国司法部网站声明截图 美国司法部在声明中强调,这些被指控的黑客如果承认自己犯有共谋罪,将面临最高5年的监禁和最高25万美元的罚款,如果被控实施网络犯罪,将面临最高10年的监禁,以及最高25万美元的罚款。目前,美国马萨诸塞州地方法院正在审理此案。 在美国空军去年12月29日对伊拉克民兵组织“真主党旅”位于叙利亚和伊拉克境内的5个目标发动数次袭击之后,中东局势急剧升级。美国五角大楼当时表示,“真主党旅”对此前发生在伊拉克基尔库克基地的袭击事件负有责任,袭击导致美国一名平民雇员丧生。 伊朗将军苏莱曼尼 资料图 1月3日,美国国防部宣布美军在巴格达机场附近发动无人机袭击打死伊朗将军苏莱曼尼,并表示袭击其实是“防御性的”,目的是保护驻伊拉克美军和其他国家的军队。美方还指出,苏莱曼尼似乎同意在美国驻巴格达大使馆前举行抗议活动。作为回应,伊朗在1月8日凌晨对美军在伊拉克的两个目标:艾因-阿萨德基地和埃尔比勒机场发动了导弹袭击。     (稿源:新浪科技,封面源自网络。)

美指控两名伊朗人入侵网络窃取并贩卖数据

据外媒报道,美联邦检察官于当地时间周三宣布,两名伊朗人被指控侵入美国电脑网络窃取数据,他们的这种行为不仅为获取个人经济利益所用而且还跟伊朗政府做起了生意。联邦检察官指控来自伊朗哈米丹的Hooman Heidarian和Mehdi Farhadi在黑市上出售窃取的数据,包括卖给伊朗政府。 Heidarian和Farhadi还被指控故意破坏网站、发布诋毁伊朗内部反对派、外国对手和其他他们认为跟伊朗敌对的实体的信息。 根据美司法部的一份新闻稿,这些数据包括国家安全、核信息、个人财务信息和知识产权等敏感信息。 目前,这两人都被FBI通缉。 据了解,该案件于当地时间周二在新泽西州的联邦法院提起,被指控的几个目标就在该州。 起诉书称,袭击的目标包括高等教育机构、人权活动人士、电信和媒体机构以及国防承包商。报告称,这些网络攻击至少可以追溯到2013年。 据称,其中一个目标是一个总部设在纽约的国际组织,该组织提倡非军事和安全使用核技术。起诉书称,在2015年达成联合全面行动计划(Joint Comprehensive Plan of Action)即伊朗核协议(Iran nuclear deal)之前,Heidarian和Farhadi窃取了敏感的核信息。 起诉书称,另一个目标是阿富汗的一个政府机构,该机构允许黑客访问到阿富汗总统的内部通讯。 美司法部负责国家安全的助理部长John Demers在一份声明中表示:“除非各国政府拒绝为网络犯罪提供安全港,否则我们不会将法治引入网络空间。今日的被告现在会明白,为伊朗政权服务不是一种资产而是一种犯罪枷锁,他们将一直背负着这种枷锁,直到他们被绳之以法的那一天。”     (稿源:cnBeta,封面源自网络。)

研究人员:数据泄露事件显示伊朗使用聊天应用进行间谍活动

据外媒 TheStar 报道,乌克兰安全研究人员Bob Diachenko每天都会花一部分时间在互联网上搜索一些不安全的数据,以修复这些数据,以免被黑客利用。上个月,他发现了一个不安全的服务器,存储了4200万个信息,几乎都是来自伊朗的信息,并与聊天应用Telegram有关。 至于是谁获得了这些数据并将其放置在服务器上,Diachenko并没有直接的线索。只有一个全黑的登陆页面,上面有一只白鹰的标志和一条波斯语的信息。上面写着 “欢迎来到狩猎系统”。 Diachenko表示,他通知了伊朗的一个网络安全机构,不久之后,服务器就被关闭了。但在它消失之前,其他网络间谍开始了自己的调查。最终,他们找到了一个黑客组织,这个组织有被称为“ Charming Kitten”(迷人小猫),并得出了一个惊人的结论。Diachenko偶然发现了一个伊朗政府的间谍行动。 “10多年来,我一直在监控伊朗的网络攻击和监视,我从未见过这样的事情,”伊朗网络安全和数字权利研究人员Amir Rashidi说。他在纽约工作,是一名伊朗网络安全和数字权利研究人员。”他们可以用这个来对付我的亲戚、朋友、家人。” 彭博社审查了这一队数据,其中部分数据包含了与服务器上存储的账户相关的用户名、电话号码、用户简历以及唯一的代码–或 “哈希”。目前还不清楚这些数据是否主要来自于Telegram非官方应用用户,2018年伊朗当局封锁了Telegram。一些使用与Telegram相同源码的非官方应用,此前曾与伊朗政府有关联。 Diachenko说,无论是哪种方式,这些数据都可能被用来克隆人们的账户,并对私人通信进行间谍活动,识别匿名使用Telegram的人,或者发送针对特定群体的宣传或虚假信息。 Rashidi表示,伊朗此前曾有选择地针对特定人群的账号,并对其进行黑客攻击。但 “狩猎系统 “表明伊朗当局正在使用新的、更激进的技术来收集和分析关于其公民的巨量信息。他表示:”这是我第一次看到他们试图大规模分析数据的证据。” Telegram在一份电子邮件声明中说,该公司认为这些数据来自于伊朗使用的非官方版本的应用程序,它说这些数据可能从人们的手机中隐蔽地收获了关于Telegram用户的信息。”我们能够研究的数据样本清楚地表明,这些数据是通过第三方应用窃取用户的数据来收集的,”Telegram发言人Markus Ra表示。 “如果你的朋友中有人使用了你的号码,那么你的号码和用户名就可能会出现在像 “狩猎系统 “这样的数据库中。”Ra说,”即使你自己没有使用过那个恶意的APP,也会有可能出现在数据库中。” 根据对服务器上的账户和Telegram上的账户进行对比审查,数据库中至少有部分用户账户与官方Telegram应用的活跃用户有关。时间戳显示,部分Telegram用户记录的访问时间最早是在2020年3月。 伊朗网络警察部门没有回应置评请求。伊朗通信和信息技术部副部长Amir Nazemi表示,他向伊朗总检察长办公室提交了关于数据泄露事件的投诉。他拒绝就网络警察或其他政府机构是否参与 “猎杀系统 “发表评论。 Diachenko发现该服务器的消息被一家计算机行业刊物报道。几名伊朗安全研究人员继续深入研究这些数据。其中在美国生活和工作的Mohammad Jorjandi,说,他发现存储用户数据的服务器被一个叫 Manouchehr Hashemloo的人注册到了德黑兰西北部的一个办公室。 Jorjandi利用彭博新闻社看到的在线记录,确定Hashemloo使用的Gmail地址与一名与伊朗政府有联系的知名黑客使用的Gmail地址相同。这名黑客的名字叫ArYaIeIrAN,据称与伊朗政府支持的黑客组织Charming Kitten有关联,该组织有针对伊朗持不同政见者、学者、记者和人权活动家的历史。 Jorjandi因此断定,建立 “狩猎系统 “服务器的人很可能是为伊朗政府工作。 ClearSky网络安全公司此前也曾发现了与Hashemloo相关的化名ArYaIeIeIrAN所实施的几次黑客行动,2017年的一份报告引用了该黑客的Gmail地址,并将其与Charming Kitten所实施的行动联系在一起。 Hashemloo没有回应电子邮件的置评请求。另一名伊朗安全研究人员表示,Hashemloo是 “安全领域的知名人士”。   (稿源:cnBeta,封面源自网络。)

伊朗 19 岁黑客攻破美一退休牙医网站以示对美国的不满

据外媒报道,Phil Openshaw是美国加州一名退休的牙医,他已经好几个月没上过自己的网站了,所以他并不知道它不再显示其每年会在乌干达提供免费牙科服务的细节信息。相反,该网站现在展示了一张最近遭暗杀的伊朗将军Qassem Soleimani的照片,并且上面还写着“打倒美国”的标语。 当他告知这一情况之后,Openshwa表示:“我真的不知道如何应对。我将会去看看。” 攻击Openshaw网站的黑客自称Behzad先生,并透露自己是一名19岁的爱国主义者。“我不为政府工作。我为我的祖国伊朗工作。”另外他还称自己是在工作编程中学到如何攻破网站的。“我们想要知道,如果他们伤害了我们的人民或我们的国家我们是不会倒下的。”   (稿源:cnBeta,封面源自网络。)

黑客谎称微软遭受伊朗网络攻击进行邮件钓鱼

黑客正试图利用伊朗最近可能发动网络攻击的警告,来搜集Microsoft登录凭据进行网络欺诈。由于美国和伊朗之间关系日渐紧张,美国政府就伊朗可能会对重要基础设施发起网络攻击发出警告。在这样的局势下,一名攻击者谎称自己源于“Microsoft MSA”并发送了主题为“电子邮件用户受到伊朗网络攻击”的邮件,谎称微软服务器受到了来自伊朗的网络攻击来进行网络欺诈。 仿冒邮件还写到:为了应对这一攻击,微软会将邮件和数据锁定在服务器上以此保护用户免受伤害,若想要再次获得锁定用户的数据访问权,用户需要重新登录。 关于进行网络欺诈的电子邮件 据收到该钓鱼邮件的用户Michael Gillett说:他发现该邮件能够绕过Outlook的垃圾邮件过滤器,到达收件人的邮箱中。 以下是邮件内容 Cyber Attack 我们的服务器今天遭到伊朗政府的网络攻击,为了确保您的网络安全,我们不得不采取额外措施来保护您的帐户和个人数据。 一些电子邮件和文件可能会被锁定,为了您的账户安全,您需要再次登录账户。如果您在接收电子邮件时仍有问题,请耐心等待,我们的技术支持团队正在加紧处理,会尽快恢复数据。 Restore Data 如果收件人点击“还原数据”按钮,则会返回到仿冒的Microsoft登录页面,但从URL可以看到,这并不是一个合法的Microsoft站点。 伪造的Microsoft登录页面 如果用户输入登录凭证,用户信息将会被攻击者盗取被进行其他方面的网络攻击,而这些攻击可能包括:有针对性的网络欺诈、凭证填充攻击,数据盗窃。 因此,在这里提醒用户:当收到奇怪电子邮件,要求登录账户执行某项操作时,需要保持警惕,有问题可以联系网络或邮件账户管理员。此外,用户还要注意检查包含Microsoft登录表单在内的任何登录页面的URL,而合法的登录表单会在Microsoft.com、live.com和outlook.com域上进行公布。   消息来源:bleepingcomputer, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

OilRig 伊朗威胁组织伪装合法的思科工具 安装 Poison Frog 后门

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序,以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一,它包含一个面板,面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本,它是一个用C语言编写的PE可执行文件,只有删除包含后门Powershell脚本的功能。在同样的逻辑下,还发现了另一个PowerShell脚本,它有两个不同的长字符串,包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件,OilRig威胁组织成员还巧妙使用了计俩,将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现,起到欺瞒用户的作用,使用户误认为是应用程序或互联网的接入有问题,而实际上却是在悄悄的将后门安装在系统上。”   消息来源:gbhackers, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文  

微软表示伊朗黑客组织的目标瞄准了 2020 年美国总统候选人

当地时间周五,微软透露,他们手上已有的证据表明一群来自伊朗的黑客试图访问属于2020年总统候选人的电子邮件帐户。在宣布这一发现的博客文章中,微软拒绝透露目标总统候选人的名字,但确认他们的账户暂时并未受到该公司称为“Phosphorous”的威胁组织的侵害。 CNBC后来报道说,特朗普2020年竞选遭受了网络攻击。但是,特朗普竞选活动的宣传总监蒂姆·默特(Tim Murtaugh)表示,“没有迹象表明我们的任何竞选基础设施被针对性地攻击。” 该活动只是伊朗黑客试图在今年8月至9月的30天内入侵的一组帐户中的一个。微软表示,其威胁情报中心观察到该组织进行了2700多次尝试识别电子邮件帐户的尝试,然后继续“攻击”其中的241个。 微软客户安全与信任副总裁汤姆·伯特(Tom Burt)表示:“攻击目标与美国总统竞选活动、现任和前任美国政府官员、报道全球政治的记者以及生活在伊朗境外的知名伊朗人有关。” “黑客的这些尝试也并不是一无所获,目前一共发现有四个帐户成功被盗。” 微软表示,Phosphorous试图获得对链接到微软电子邮件帐户的访问权限,以便对其进行破解,他们还尝试窃取与用户关联的电话号码。攻击技术并不复杂,目标也很明确,“他们试图使用获得目标人物的大量个人信息”。   (稿源:cnBeta,封面源自网络。)

美多家媒体证实美国对伊朗发动了网络攻击

据Yahoo News报道,美国针对伊朗间谍组织的报复性数字攻击于周四实施。《华盛顿邮报》、《纽约时报》、美联社都用各自的消息源证实了该报道。而就在同一天,美国总统特朗普取消了对伊朗目标的空袭。 资料图 据悉,袭击的目标是一个“情报组织”,该组织要么跟伊朗革命卫队有联系或存在部分联系。 Yahoo News报道指出,该组织与最近在该地区对商业船舶的攻击有关联。《华盛顿邮报》则称,该袭击严重损害了伊朗的军事指挥和控制系统,但没有造成任何人员伤亡。《纽约时报》表示,伊朗的导弹控制系统也成为美方攻击的目标。 据了解,网络攻击由美国网络司令部发起,《纽约时报》的报道显示,这些攻击早在几周前就有了计划,意在回应针对油轮的攻击以及最近一架美国无人机被击落的事件。 实际上这并不是美国第一次卷入针对伊朗资产的网络攻击。此前,美国曾协助开发了攻击伊朗核离心机的Stuxnet蠕虫病毒。2016年,曾有报道称,美国制定了一项名为Nitro Zeus的计划,该计划本来是用来对付伊朗的基础设施,但据报道该计划后来被搁置了。 目前还不清楚网络攻击的整体规模也不清楚其产生的影响,但未来可能还会发生更多这样的冲突。 即使伊朗不对此次的网络攻击做出回应,两国的紧张局势似乎仍会继续加剧。特朗普总统今日表示,他打算周一对伊朗实施重大额外制裁。   (稿源:cnBeta,封面源自网络。)

《华尔街邮报》:美国对伊朗导弹发射控制电脑网络发起攻击

据外媒报道,《华盛顿邮报》的一篇报道指出,在得到美国总统的批准后,五角大楼本周发动了摧毁伊朗用来控制导弹发射的电脑网络的网络攻击。此前,伊朗击落了一架据称侵犯了伊朗领空的美国无人侦察机。 作为对该事件的回应,美国总统批准了从对伊朗雷达设施、导弹电池和其他目标的常规军事袭击中撤出。但据《华盛顿邮报》报道,周四晚针对伊斯兰革命卫队(IRGC)的网络攻击已经准备了有一段时间。 特朗普政府的前白宫高级网络官员Thomas Bossert告诉《华盛顿邮报》:“这次行动给日益增长的伊朗网络威胁带来了代价,但也有助于保护美国在霍尔木兹海峡的海军和航运行动。” “我们的美国军方早就知道,如果有必要,我们可以在24小时内击沉海峡内的每一艘IRGC船舶,”Bossert说道,“这就是美国海军在海上保卫自己、使国际航线自由的现代做法。 当被要求就《华盛顿邮报》的报道置评时,美国国防部发言人Heather Babb表示,出于政策和行动安全考虑,他们不对外讨论网络空间行动、情报或规划。另外,白宫方面也没有立即回应置评请求。   (稿源:cnBeta,封面源自网络。)

黑客在 Telegram 上出售伊朗间谍部队 APT34 的黑客工具源代码

2017年,黑客组织Shadow Brokers对外宣称他们已经成功入侵了美国国家安全局(NSA)下属的黑客组织Equation Group,下载了后者大量的攻击工具并在网上发起拍卖。而现在又有黑客发布了类似的黑客工具,不过这次来自于伊朗精英网络间谍部队之一,在业内被称之为APT34,Oilrig或HelixKitten。 尽管本次发布的黑客工具并没有2017年NSA泄露的黑客工具那么复杂,但它们依然是非常危险的。这些黑客工具自今年3月中旬开始在网络上发布,以Lab Dookhtegan这个假名在Telegram频道上进行出售。 除了黑客工具之外,Dookhtegan还发布了一些似乎是来自APT34组织的黑客受害者的数据,这些数据主要是通过网络钓鱼页面收集的用户名和密码组合。 在3月中旬的时候,外媒ZDNet已经报道过这些黑客攻击以及受害者数据。在推特私信中,一位推特用户分享了一些在Telegram上发现的相同文件,因此有理由相信这个推特用户和Telegram上的 Lab Dookhtegan是同一个人。 在推特私信交流中,这位泄露者生成参与了该组织的 DNSpionage 活动,但泄露者极有可能是外国情报机构的成员,试图隐藏他们的真实身份,同时给予更加相信伊朗的黑客工具和操作的真实性。 一些网络安全专家已经确认了这些工具的真实性。 Alphabet的网络安全部门Chronicle今天早些时候向ZDNet证实了这一点。在今天发布的Telegram频道中,黑客共泄露了6个黑客工具的源代码,此外还有部分来自活跃后端面板的内容以及收集的受害者数据。 这6个黑客工具分别为: –  Glimpse(基于PowerShell的的新版木马,Palo Alto Networks命名为BondUpdater) –  PoisonFrog(旧版BondUpdater) –  HyperShell(称之为TwoFace的Palo Alto Networks网络外壳) –  HighShell(另一个Web shell) –  Fox Panel(钓鱼工具包) –  Webmask(DNS隧道,DNSpionage背后的主要工具) 根据Chronicle报道,Dookhtegan总共泄露了66名受害者的数据,这些受害者主要来自中东国家,还有非洲,东亚和欧洲。数据来自两个政府机构,也来自私营公司。 Telegram频道上指定的两家最大公司是阿提哈德航空公司和阿联酋国家石油公司。   (稿源:cnBeta,封面源自网络。)