标签: 俄罗斯

AcidBox:Turla Group 开发的针对俄罗斯组织的恶意软件

2014年一个名为Turla Group的恶意软件组织消息出现,爱沙尼亚外交情报局推断它源于俄罗斯,代表俄罗斯联邦安全局(FSB)进行运作,该组织核心恶意软件也被公开描述为第一个滥用第三方程序来禁用DSE的案例。在Windows Vista中引入了这种安全机制,以防止未签名的驱动程序加载到内核空间。Turla利用了签名的VirtualBox驱动程序——VBoxDrv.sysv1.6.2来停用DSE,然后对未签名的有效负载驱动程序进行加载。 然而,这个漏洞有一些混淆,它被称为CVE-2008-3431。Turla使用的漏洞实际上滥用了两个漏洞,其中只有一个在前面提到的CVE中被修复过。另一个漏洞与CVE-2008-3431一起用在第一个攻击版本中,第二个攻击版本大约在2014年引入了内核模式恶意软件,其只使用了未修补的漏洞,我们将在后面详细讨论。 2019年2月,Unit 42发现了尚未知晓的威胁因素(信息安全社区不知道),发现第二个未修补的漏洞不仅可以利用VirtualBox VBoxDrv.sys驱动程序 v1.6.2,还可以利用 v3.0.0以下的所有其他版本。此外我们研究发现这个未知的参与者利用VirtualBox驱动程序2.2.0版,在2017年攻击至少两个不同的俄罗斯组织。我们猜测这样做是因为驱动程序版本2.2.0并不易受攻击,因此很可能不会被安全公司发现。由于没有发现其他受害者,我们认为这是一个非常罕见的恶意软件,仅用于目标攻击。 操作者使用了一个之前未知的恶意软件家族,我们称之为AcidBox。由于该恶意软件的复杂性、稀有性以及它是一个更大的工具集的一部分这一事实,我们相信它被高级威胁参与者用于定向攻击。如果攻击者仍然活跃的话,这个恶意软件很可能今天仍在使用。但是,我们预计它在一定程度上被重写了。根据我们掌握的信息,我们认为除了使用过的漏洞之外,这个未知的威胁因素与Turla无关。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1247/     消息来源:paloaltonetworks,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

俄罗斯 Rostelecom 被发现劫持 Google/AWS/Cloudflare 等公司的互联网流量

本周早些时候,全球最大的200多家内容传输网络(CDN)和云主机提供商的流量被怀疑通过俄罗斯国有电信运营商Rostelecom转发。该事件影响了200多个网络的8800多条互联网流量路线。受影响的公司都是云和CDN市场的知名企业,包括Google、Amazon、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等公司。 受害网络的完整名单可以参考这个Twitter信息流地址: https://twitter.com/search?q=AS12389%20(from%3Abgpstream)%20until%3A2020-04-07%20since%3A2020-04-01&src=typed_query 这次事件是一个典型的 “BGP劫持”,BGP是边界网关协议的缩写,BGP是全球互联网网络之间的互联网流量路由系统,从设计上,整个系统就非常脆弱,因为任何一个参与网络都可以简单地 “撒谎”式地发布一个BGP路由通告,例如声称 “Facebook的服务器”在他们的网络上,随后所有的互联网实体都会把它当作合法的目标,从而将Facebook的流量全部发送到劫持者的服务器上。 过去,在HTTPS被广泛用于加密流量之前,BGP劫持允许攻击者进行中间人(MitM)攻击,拦截和改变互联网流量。 如今,BGP劫持仍然是危险的,因为它可以让劫持者记录流量,并试图在以后的日子里对流量进行分析和解密,现时由于密码学科学的进步,用于保护流量的加密技术已经被削弱。 自90年代中期以来,BGP劫持一直是互联网主干网的一个问题,多年来通信从业者一直在努力加强BGP协议的安全性,自此产生了ROV、RPKI,以及最近的MANRS等项目。然而,在采用这些新协议方面的进展一直很缓慢,BGP劫持事件仍时有发生。 专家们过去曾多次指出,并非所有的BGP劫持都是恶意的。大多数事件可能是人为操作者误输入了一个ASN(自主系统号,即互联网实体的识别代码),意外劫持了该公司的互联网流量。 然而,一些实体的BGP劫持事件的幕后黑手仍然时有发生,许多专家在事件的背后都被贴上了可疑的标签,说明这些事件不仅仅是意外。 Rostelecom(AS12389)虽然没有像之前部分国家的运营商那样直接故意地参与到BGP劫持事件中,但其背后也有很多类似的可疑事件。 上一次抢占头条的Rostelecom重大劫持事件发生在2017年,当时该电信公司劫持了包括Visa、Mastercard、汇丰银行等全球最大的金融实体的BGP路由。 这一次,通信业内还没有定论。BGPMon的创始人Andree Toonk正在给予俄罗斯电信公司以怀疑的理由。Toont在Twitter上表示,他认为这次 “劫持 “事件发生的原因是俄罗斯电信内部的流量整形系统可能在公共互联网上不小心暴露了错误的BGP路由,而不是俄罗斯电信内部网络的整体问题。 不幸的是,这个小小的失误被Rostelecom的上游供应商拿着新公布的BGP路由在互联网上重新传播,从而将BGP劫持事件在几秒钟内放大了,这让这个小错误变得更加严重。 但是,过去很多互联网专家也曾指出,故意的BGP劫持是有可能出现的,因为没有人能够分辨出来差异。在国家控制的电信实体中发生的BGP劫持一向被视为可疑-主要是由于政治因素,而不是技术原因。   (稿源:cnBeta,封面源自网络。)    

俄罗斯联邦安全局被爆雇佣外包商启动物联网 DDoS 攻击项目 Fronton

俄罗斯黑客组织“数字革命”(Digital Revolution)近日宣布,成功入侵了一家俄罗斯联邦安全局 (FSB) 的外包商,并发现了后者关于入侵物联网设备的项目计划。本周该组织公布了12份有关于“Fronton”项目的技术文档、图表和代码片段。本周早些时候ZDNet和BBC Russia获取并详细阅读了这些文档,并邀请安全专家对这些报告截图进行了分析,基本上确认FSB外包商建设Fronton项目的可行性。 根据目前披露的12份Fronton技术文档,是由FSB内部部门No. 64829(也称之为FSB信息安全中心)采购的。而外包商则是InformInvestGroup CJSC,这家公司和俄罗斯政府内部建立着紧密的合作,并创建了物联网入侵工具。 根据BBC的报道,InformInvestGroup似乎已将该项目分包给了总部位于莫斯科的软件公司ODT(Oday)LLC,而后者在2019年4月遭到黑客组织Digital Revolution的入侵。 根据文件时间戳,该项目已经在2017年至2018年实施。该文档大量参考并从Mirai(一种物联网病毒,在2016年年底用于构建大型物联网僵尸网络)中汲取了灵感,用于向从ISP到核心互联网服务提供商的广泛目标发起毁灭性DDoS攻击。 这些文件建议建立一个类似的物联网僵尸网络,供FSB使用。根据规范,Fronton僵尸网络将能够对仍使用出厂默认登录名和常用用户名-密码组合的IoT设备进行密码字典攻击。密码攻击成功后,该设备将在僵尸网络中被奴役。   (稿源:cnBeta,封面源自网络。)

外媒评俄罗斯攻击 Burisma 一事:证据不完全可靠

据外媒报道,2016年美国民主党全国委员会灾难性的黑客攻击给所有担心国际混乱竞选的人敲响了警钟。当地时间周一晚,美国人又有了一个担心2020年大选的新理由。《纽约时报》和网络安全公司Area1报道了俄罗斯情报机构针对乌克兰天然气公司Burisma发起的新一轮黑客攻击。 几个月来,共和党方面一直在暗示该公司内部存在一些可怕的腐败行为,如果俄罗斯间谍真的侵入了这家公司的网络那么可能就会带来非常可怕的后果。 一些国会议员则已经在预测2016年大选将会重演,民主党众议员Adam Schiff评论道:“看起来他们又想帮助这位总统(特朗普)。这是一个令人担忧的想法,考虑到特朗普上次拒绝承认俄罗斯的黑客行为,没有迹象表明白宫会采取任何措施来阻止它。” 尽管报告描绘了一幅可怕的画面,但证据并不像看上去那么确凿。虽然已经有强有力的证据表明Burisma成功地成为了网络钓鱼活动的目标,但很难确定是谁在背后支持这个活动。确实有迹象表明,俄罗斯的GRU情报机构可能参与其中,但证据大多是间接的。 据了解,大部分证据都在一份跟《纽约时报》文章一起发布的八页报告中。核心证据是以前针对Hudson Institute和George Soros的攻击模式。最糟糕的是,这些钓鱼活动都使用了相同的SSL供应商和相同URL的不同版本然后伪装成一个名为“My Sharepoint”的服务。在Area1看来,这是GRU的战术,Burisma只是众多目标中最新的一个。 但并不是所有人都认为基于域名属性的推断就是十拿九稳的。当Kyle Ehmke检查ThreatConnect相同模式的早期迭代时,他得出了一个更为慎重的结论,即“适度自信”地评估这些域名跟APT28有关–APT28是俄罗斯GRU的缩写。“我们看到了一致性,但在某些情况下,这些一致性并不适用于单个演员,”Ehmke告诉TheVerge。这种注册和网络钓鱼攻击的模式确实像是GRU的剧本,但它不是唯一的剧本也不是其利用的唯一剧本。 实际上,这意味着网络运营商应该在任何时候发现符合这种情况的攻击时发出警报,但要对单个事件做出明确的裁决就显得困难得多。竞选活动中使用的网络基础设施都是公开的,而且还被其他很多政党使用,所以这些都不能算是确凿的证据。而最显著的特征是术语“sharepoint”,研究人员只在跟GRU紧密相连的url中看到过这个词。但任何人都可以注册一个带有“sharepoint”的URL,所以这种连接只是间接的。 Ehmke指出:“这是一组值得注意的一致性,它可以用来寻找和识别他们的基础设施。但这并不是说所有具有这些一致性的东西都已经是而且将会是APT28。” 在缺乏一个特定机构的战略和目标的具体信息的情况下很难做出更强的归因。走向相反的方向–从一个弱归因到一个意图的假设–可能是危险的。 令人沮丧的是,这种弱归因在网络安全世界中非常常见,当各国努力搞清楚网络战的国际外交时它可能会引发真正的问题。乔治亚理工学院Internet Governance Project前执行董事Farzaneh Badii把原因不明归为“可以在技术上受到质疑的间接证据”。她认为这是一个全球性的问题,并主张成立国际归因小组来解决这种僵局,这样观察员就不必依赖私营公司或政府情报机构。如果没有这个信任问题就很难解决。   (稿源:cnBeta,封面源自网络。)

FBI 将 FaceApp 视作俄罗斯的潜在威胁

作为一款受欢迎的 AI 人脸编辑器,FaceApp 的趣味性已经被大量用户给证实。然而美国联邦调查局(FBI)却担心,该应用或对国家安全造成潜在的威胁。11 月 25 日,FBI 助理主任 Jill Tyson 在致纽约民主党参议员 Chuck Schumer 的信中称:该机构正在调查 FaceApp 与俄罗斯之间的联系 —— 因为这款 App 来自俄罗斯,且俄方可访问境内的数据。 (截图 via App Store) 实际上,FBI 的这番回答,是针对 Chuck Schumer 在 7 月 17 日发来的一封信的回应。 当时这款应用引发了病毒式传播,就连乔纳斯兄弟(Jonas Brothers)和勒布朗·詹姆斯(LeBron James)等名人都在用 FaceApp 来拍摄自己的“AI 老年照”。 一些持怀疑态度的人在仔细研究了 FaceApp 的服务条款之后,发现其隐私政策允许应用开发者获得图像的永久权利和向广告商提供数据,并据此提出了他们的担忧。 (截图 via Cnet) 7 月份的时候,移动安全公司 Guardian 首席执行官 Will Strafach 对该应用进行了分析,并对 FBI 的评估感到过虑。 Strafach 表示:“我们没有观察到 FaceApp 中有恶意行为的证据,即便是草率的开发实践,也已经通过弹出式对话框而得到解决。无证据表明有外国情报威胁,且 FBI 的这种说法,对海外开发商是相当不公平的”。 显然,比起应用程序本身的安全性,FBI 更关注 App 的起源地。该机构并未在信用引用任何 FaceApp 掩盖进行间谍或影响政治选举的证据,但指出俄罗斯的数据保留法案,允许政府向境内运营的企业索取相关公民数据。 对于此事,FaceApp 和 FBI 方面均未予置评。     (稿源:cnBeta,封面源自网络。)

Facebook 撤除多个针对非洲国家的俄罗斯虚假账号

据外媒报道,根据Facebook公布的一篇新博文了解到,这家公司的网络安全团队在其社交网络平台上发现并撤除了一个针对非洲国家发布虚假信息并隐瞒真实身份的俄罗斯账号、群组和页面的网络。 据悉,受影响的非洲国家包括了马达加斯加、中非共和国、莫桑比克、刚果民主共和国、科特瓦迪、喀麦隆、苏丹、利比亚。 据称,这些账号的行为–用官方数据称是“不真实行为”–不仅出现在Facebook上同时还蔓延到了Instagram上。对此,Facebook统计了被删除的可疑账号和页面数量并披露了以下信息: 存在于Facebook上的:35个Facebook账号、53个页面、7个群组和5个Instagram账号; 关注者:约47.5万个账号关注一个或多个这样的页面,约450人关注一个或多个这样的群体,约650人关注一个或多个这样的Instagram账号; 广告:价值约77,000美元的Facebook广告支出以美元支付。第一个广告开始于2018年4月,最近一个广告则出现在2019年10月。 另外,Facebook安全团队还发现了并撤销了另一批主要针对苏丹的17个Facebook账号、18个页面、3个群组和6个Instagram账号,它们主要集中在苏丹和针对利比亚的14个Facebook账号、12个页面、1个群组和1个Instagram账号–所有这些都被认为来自俄罗斯。 Facebook表示,尽管这些账号的身份都是捏造的,但它们还是设法找出其真实身份。现在他们已经将这些可疑行动背后的主犯缩小到了一个人身上–Yevgeniy Prigozhin,据悉,他是一名遭起诉的俄罗斯商人并被指跟俄罗斯总统普京关系密切。 截止到目前为止,FBI已将所有关于俄罗斯人在虚假伪装下展开的秘密行动的调查结果适当地上报给了有关当局和执法部门。   (稿源:cnBeta,封面源自网络。)

美参议院报告呼吁采取措施阻止俄罗斯对 2020 大选的干预

据外媒报道,当地时间周二,美国参议院一个两党委员会呼吁制定新的程序以此来保护美国的2020年总统大选免遭外国虚假信息的影响。在一份85页的报告中,参议院情报委员会敦促通过新法来确保社交媒体平台上的政治广告的透明度,另外其还敦促加强社交媒公司跟政府之间的协调和信息共享。 此外,该委员会还呼吁特朗普政府成立一个特别工作组以此来监控外国在试图干涉美国民主这件事情上使用社交媒体的情况并制定相关措施阻止此类干涉。该委员会还推动了一项以提高公众对这些问题认识的运动。 该委员会主席、北卡罗来纳州共和党人Richard Burr表示,俄罗斯方面仍在继续这种干涉行为,“俄罗斯正在对美国发动一场信息战,这场信息战并没有在2016年大选的时候开始也没有结束。他们的目标则更加广泛:播下社会不和谐的种子、侵蚀公众对政府机构的信心。” 这份报告及其建议凸显了议员们在试图解决选举安全漏洞时所面临的困难。虽然美国众议院通过了一项确保选举公正的法案,但参议院的一项名为《诚实广告法案(Honest Ads Act)》的立法却遭到了搁置。   (稿源:cnBeta,封面源自网络。)

研究发现与俄罗斯情报部门有关的黑客之间很少共享代码

两家安全公司Check Point和Intezer Labs共同撰写了一份报告。这份报告显示,俄罗斯政府资助的黑客组织很少彼此共享代码,他们如果共享代码,这些代码通常是由同一情报机构管理的组织内部代码。 两家公司研究了将近2千个恶意软件样本,这些样本均来自于俄罗斯政府资助的黑客组织。研究人员对这些恶意软件样本之间的关系调查发现,恶意软件之间共享了22000个连接和385万条代码。这项庞大研究工作做出的结论是,人们发现俄罗斯APT(高级持续威胁,用于描述政府支持的黑客组织的术语)之间通常不会彼此共享代码。 此外,在极少数情况下,代码重用通常发生在同一情报服务内部,这表明负责对外国进行网络间谍活动的俄罗斯三个主要机构,它们通常不会进行协作。该报告证实了以前对俄罗斯网络间谍运作进行的新闻调查,也证实了其他外国情报部门在这方面的发现。之前大部分报告发现,俄罗斯所有网络间谍活动,主要由三个俄罗斯FSB(联邦安全局),SVR(外国情报局)和GRU(俄罗斯军事情报总局)负责进行,并且彼此之间没有合作或协调。 俄罗斯政府促进了三个机构之间彼此竞争,这三个机构彼此独立运作,并争夺政府拨款资金。这就导致黑客小组彼此独立开发工具,而不是与同行共享工具。     (稿源:cnBeta,封面源自网络。)

美参议院:俄罗斯黑客将目标对准所有 50 个州的选举系统

据外媒The Verge报道,根据周四发布的一份修订报告,美国参议院情报委员会得出结论称,所有50个州的选举系统都是与俄罗斯政府有关的黑客攻击的目标。 2017年美国国土安全部曾正式发出通告,黑客将目标对准美国21个州的选举系统。在今年4月,国土安全部和联邦调查局的一份联合报告表明,俄罗斯黑客可能试图调查美国每个州的选举系统是否存在漏洞。 目前尚不清楚参议院情报委员会对俄罗斯对每个州的探究情况有多确定,或证据可能是什么。但它确实表示,2018年收集的一些情报支持了国家安全委员会网络安全协调员Michael Daniel和国土安全部早先的假设,即每个州都被黑客入侵。 报告还写道:“俄罗斯网络行为者可以删除或更改选民数据”。然而外媒指出,美国政府仍然没有任何证据证明俄罗斯实际上篡改了任何选民数据,也没有证据表明黑客访问了实际的投票机。俄罗斯黑客似乎针对选民登记系统和投票数据库。而穆勒的报告也表明投票机公司也是俄罗斯GRU的目标。   (稿源:cnBeta,封面源自网络。)

黑客攻入俄罗斯联邦安全局承包商服务器 窃取 7.5TB 的数据

黑客入侵了俄罗斯国家情报部门FSB的承包商SyTech,并从那里窃取了该公司为FSB工作的内部项目的信息 – 包括用于对Tor流量进行去匿名化的信息。攻击事件发生在上周末,即7月13日,一群名为0v1ru $的黑客入侵了SyTech的活动目录服务器,从那里他们获得了访问该公司整个IT网络的权限,包括一个JIRA实例。 黑客从承包商的网络中窃取了7.5TB的数据,末了他们还顺手用一个“yoba face”破坏了该公司的网站,这是一个受俄罗斯用户欢迎的表情符号。 黑客在Twitter上发布了该公司服务器数据的截图,后来又与数字革命组织分享了被盗数据。数字革命是另一个黑客组织,他们去年攻破了另一家FSB承包商Quantum公司。 黑客组织之后还与俄罗斯记者在Twitter账户上更详细地分享了被盗文件。 根据俄罗斯媒体的报道,这些文件表明,自2009年以来,SyTech已经为FSB和同行承包商Quantum开展了多个项目。项目包括: Nautilus  – 一个收集社交媒体用户(如Facebook,MySpace和LinkedIn)数据的项目。 Nautilus-S  – 在流氓Tor服务器的帮助下对Tor流量进行去匿名化的项目。 Reward – 一个暗中渗透P2P网络的项目,就像BT网络一样。 Mentor  – 一个监控和搜索俄罗斯公司服务器上的电子邮件通信的项目。 Hope – 一个调查俄罗斯互联网拓扑及其与其他国家网络连接的项目。 Tax-3  – 一个用于创建封闭内联网的项目,用于存储高度敏感的州级人员,法官和当地政府官员的信息,与该州的其他IT网络分开。 另有文件显示,还有其他较旧的项目用于研究其他网络协议,如Jabber(即时通讯),ED2K(eDonkey)和OpenFT(企业文件传输)。 数字革命Twitter账户上发布的其他文件声称,FSB也在跟踪学生和养老金领取者。 虽然大多数项目只是对现代技术的研究,但有两项似乎已经在现实世界中进行了测试。 第一个是Nautilus-S,用于对Tor流量进行去匿名化。 Nautilus-S的工作始于2012年,两年后,2014年,瑞典卡尔斯塔德大学的学者发表了一篇论文,详细描述了试图解密Tor流量的出口节点的技术进展。研究人员确定了25个恶意服务器,其中18个位于俄罗斯,并运行Tor版本0.2.2.37,与泄漏文件中详述的相同。 第二个项目是Hope,它分析了俄罗斯互联网部分的结构和构成。今年早些时候,俄罗斯进行了断网测试,在此期间,俄罗斯将其国家网络与其他互联网断开。 被黑客入侵的SyTech公司自黑客入侵以来一直关闭其网站并拒绝媒体采访。   (稿源:cnBeta,封面源自网络。)