标签: 俄罗斯

俄罗斯政府支持的高级黑客持续攻击美国政府网络

由联邦调查局(FBI)和网络安全基础设施安全局(CISA)联合撰写的网络安全报告书,记载有关俄罗斯政府支持的、针对美国政府及航空网络的恶意攻击事件。该报告书持续更新CISA-FBI联合网络安全的相关信息。 最早从2020年9月起,由俄罗斯政府支持的、被称为Berserk Bear、Energetic Bear、TeamSpy、Dragonfly、Havex、Crouching Yeti和Koala的APT黑客就开展了针对美国政府的网络攻击。该APT黑客企图攻击多个SLTT组织并成功破坏了其网络基础设施,截至2020年10月1日,已窃取了至少两台服务器的数据。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1383/       消息来源:us-cert.cisa.gov ,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

欧盟就 2015 年入侵德国议会网络事件对俄罗斯实施制裁

据外媒报道,当地时间周四欧盟宣布对俄罗斯实施制裁,因为认为后者参与了2015年入侵德国议会网络事件。欧盟对俄罗斯陆军下属的军事情报机构GRU及其两名军官进行了制裁。这两名GRU军官被确认为Dmitry Badin和Igor Kostyukov。 欧盟官员表示,Badin是2015年4月至5月期间入侵联邦议院IT网络的俄罗斯军事情报人员团队的一员。 “这次网络攻击的目标是议会的信息系统,并影响了议会数天的运作,”欧盟周四说。“大量数据被窃取,多名议员以及总理默克尔的电子邮件账户受到影响。” Kostyukov因担任GRU第一副负责人而受到制裁。欧盟官员表示,Kostyukov指挥着第85特种服务主中心(GTsSS),该中心也被称为军事单位26165,但在网络安全行业更常见的黑客代号为APT28、Fancy Bear、Sofacy或Strontium。 德国当局自今年早些时候对Badin提出正式指控后,一直在推动欧盟就2015年黑客事件对俄罗斯进行正式制裁。俄罗斯当局表示,德国从未就2015年联邦议院黑客事件和Badin的指控提供任何证据,指责柏林政府追逐制裁,而不是真的想把这位GRU官员送上法庭。 Badin在美国也被指控在APT28期间进行了一长串的黑客攻击,如针对世界反兴奋剂机构(WADA)、禁止化学武器组织(OPCW)的网络攻击,以及参与美国的政治虚假信息工作。 周四天的公告是欧盟今年对俄罗斯黑客实施的第二波制裁。布鲁塞尔官员在7月底制裁了四名GRU官员,因为他们试图入侵禁化武组织的WiFi网络。制裁内容包括旅行禁令和资产冻结。欧盟公民和企业被禁止与任何受制裁实体进行交易。     (消息及图片来源:cnBeta)

FBI:俄罗斯黑客攻击了美数 10 个州和地方政府计算机网络

据外媒报道,FBI和美国网络安全与基础设施安全局(CISA)的情报专家于当地时间周四在一份联合声明中称,俄罗斯政府支持的黑客攻击了数十个州和地方政府的计算机网络并成功侵入了其中一些。另外据披露,黑客还从至少两台服务器上获取了数据。 根据声明,这个有时被称为Energetic Bear的组织的黑客跟俄罗斯政府存有关联,他们登录了政府管理员账号然后在敏感系统中行动。被盗的数据包括附加密码以及有关各国政府如何使用双重认证和密码重置请求等安全功能的信息。另外它还包括如何打印访问徽章以及政府跟哪些供应商合作的信息。 FBI和CISA在声明中表示,这些数据包括可能帮助黑客破坏选举的信息,但他们补充称,他们迄今还没有掌握表明选举数据的完整性受到了损害的证据。 而就在一天前,美国家情报总监John Ratcliffe和FBI局长Christopher Wray在新闻发布会上表示,俄罗斯和伊朗曾试图干预美国总统选举。Ratcliffe指出,伊朗黑客发送欺诈性电子邮件威胁选民告诉他们必须在即将到来的选举中投票给特朗普总统。 《纽约时报》周四援引匿名消息来源的一篇报道称,美情报官员认为来自俄罗斯的威胁更复杂、更严重。   (消息来源:cnbeta ;封面来自网络)

乌克兰断电事件、NotPetya 爆发、平昌冬奥会网络暗战的幕后主使名单

近日,美国司法部对六名GRU(俄罗斯军事情报局)74455部门官员发起了起诉,指控他们是黑客组织Sandworm的成员。 美国官员表示,作为“国家赞助”的黑客组织,这6名成员在俄罗斯政府的命令下进行了“破坏性”网络攻击,目的是破坏其他国家的稳定,干涉他国政治并造成破坏和直接金钱损失。 相关攻击长达十年,包括迄今为止已知的一些大型网络攻击: 乌克兰断电:从2015年12月到2016年12月,Sandworm组织使用针对工业设备的恶意软件,精心策划了针对乌克兰电网、乌克兰财政部的破坏性恶意软件攻击。其中,2015年和2016年分别利用BlackEnergy和Industroyer,此外还使用了KillDisk,进而导致数十万用户在圣诞节前两天被断电。 法国大选:2017年4月和5月,Sandworm针对法国总统Macron精心策划了鱼叉运动和相关的hack and leak行动。 NotPetya勒索软件爆发:2017年,NotPetya勒索软件攻击爆发。该勒索软件最初是针对乌克兰公司的,后来迅速传播并影响了世界各地的公司,当时造成了超过10亿美元的损失。根据美国检察官的说法,NotPetya攻击的幕后黑手正是Sandworm。 针对平昌冬奥会的主办方、参与者等的攻击:在2017年12月至2018年2月之间,Sandworm还发起了针对韩国公民、官员、奥林匹克运动员、合作伙伴和访客等的鱼叉攻击行动和恶意移动应用程序分发。而原因很可能是世界反兴奋剂组织宣布俄罗斯运动员被禁止参加体育比赛,无缘冬奥会。 针对平昌冬奥会IT系统的攻击(OlympicDestroyer):从2017年12月到2018年2月,Sandworm精心策划了对2018年平昌冬奥会的计算机系统的入侵,该行动在2018年2月9日达到了顶峰,并发布了破坏性的恶意软件OlympicDestroyer。当天,互联网、广播系统和奥运会网站都出现了问题。许多观众无法打印他们的入场券,导致座位空置。 此外,还有Novichok神经毒剂攻击事件、格鲁吉亚议会网络攻击事件的幕后主使都被美国指向俄罗斯。 另外,在公告中没有明确说明美国如何识别嫌疑犯。但是FBI与包括英国情报服务部门在内的国外执法机构合作,并与Cisco和Google的安全研究人员合作,以发现该组织的活动。 最后,结合东京奥运会的筹备(已推迟到明年),英国方面表示,俄罗斯正在准备针对东京奥运会的网络攻击,这一考虑并不是没有道理,预计攻击仍然是针对举办方、参与者以及计算系统设施的,对于Sandworm的警惕和防范需要加强。     (消息来源:zdnet;译文来源:freebuf)  

美公布曾发起乌克兰停电和 NotPetya 勒索软件攻击的 6 名俄黑客名单

据外媒报道,美司法部指控六名俄罗斯情报官员发布了一些“世界上最具破坏性的恶意软件”,其中包括2015年12月对乌克兰电网的攻击以及2017年的NotPetya全球勒索软件攻击。检察官表示,这群为俄罗斯GRU工作的黑客是有史以来最具破坏性的一系列电脑攻击的幕后主使。 六名俄罗斯情报官员被告(来源:FBI) 在周一公布的指控中,这些黑客被控利用KillDisk和Industroyer(也被称为Crash Override)开发和发动攻击以锁定和中断乌克兰的电力供应,进而导致数十万用户在圣诞节前两天被断电。 美检察官还表示,这些黑客是NotPetya攻击的幕后黑手。NotPetya是2017年在全球蔓延的勒索软件攻击,当时造成了数十亿美元的损失。 据称,黑客还使用了Olympic Destroyer破坏了韩国2018年平昌冬奥会开幕式上的互联网连接。 此外,检方还指控这六名黑客试图通过推出hack and leak行动破坏2017年法国选举以此来诋毁当时的总统选举领跑者埃马纽埃尔·马克龙并推出有针对性的网络钓鱼攻击以对抗负责调查俄罗斯在2018年在英国Novichok的神经毒气使用以及袭击前苏联国家格鲁吉亚目标事件的Organization for the Prohibition of Chemical Weapons和英国Defense Science and Technology Laboratory。 据信被告目前在俄罗斯。但近年来,在不太可能进行逮捕或引渡的情况下,美司法部的检察官经常会采用这种“公开点名责难”的做法。     (消息来源:cnbeta,封面来自网络)

俄公民因意图向美国公司植入恶意软件而被捕

即使没有可利用的软件漏洞,黑客也总是会找到入侵的方法。 FBI逮捕了一名俄罗斯公民,他最近前往美国,并向目标公司的一名员工行贿100万美元,以帮助他将恶意软件手动安装到该公司的计算机网络中。 8月1日至8月21日,27岁的Egor Igorevich Kriuchkov作为一名游客进入美国,他曾多次与内华达一家未透露姓名的公司的雇员会面,讨论这起阴谋,之后在洛杉矶被捕。 法庭文件提到: “大约在7月16日左右,Egor Igorevich Kriuchkov用他的WhatsApp帐户联系了受害公司的雇员,并安排亲自去内华达州探望。” “大约在7月28日左右,Egor Igorevich Kriuchkov使用了他的俄罗斯护照和B1 / B2旅游签证进入了美国。” Kriuchkov还要求员工通过分享有关公司基础架构的信息来参与定制恶意软件的开发。 根据美国司法部公布的法庭文件,Kriuchkov要求安装的恶意软件旨在从该公司的网络中提取数据,使攻击者能在以后威胁该公司,要求该公司支付赎金。 Kriuchkov和他在俄罗斯的同谋向该雇员承诺,在成功植入上述恶意软件后,将支付100万美元比特币,并提出对该公司网络发起DDoS攻击,以转移人们对该恶意软件的注意力。 “如果CHS1 [员工]同意这一安排,他们将提供用于插入电脑的u盘或带有恶意软件附件的电子邮件。” “身份不明的同谋讨论了支付雇员的各种方式,包括使用加密货币,担保人保证金或现金支付。” “在与联邦调查局联系后,Kriuchkov一夜之间从内华达州里诺开车到洛杉矶。克里奥科夫要求一位熟人为他购买飞机票,以试图飞出该国。” 在被联邦调查局逮捕后,联邦调查局对Kriuchkov及其会议进行了实时监视,Kriuchkov列出了该团伙之前针对的公司,并透露每一个目标公司中都有人在代表该团伙安装恶意软件。 我们需要注意的是,一些高调的勒索软件和数据泄露攻击很有可能是由内部人士以同样的方式实施的。 最终,Kriuchkov被控一项共谋罪,意图故意对受保护的计算机造成损害。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

英美加称俄罗斯情报机构正试图窃取新冠疫苗研究成果

英国、美国和加拿大政府指控俄罗斯国家情报机关以黑客方式入侵国际制药和学术研究机构,以期赢得研制Covid-19疫苗的竞赛。 目前尚不清楚研究机构是否受损,或疫苗项目是否因黑客行动受阻,但上述国家官员警告说网络攻击仍在进行中。 英国国家网络安全中心(NCSC)周四在一份出人意料的声明中表示,多个国家的疫苗和治疗部门成为攻击目标。但该机构没有列出受此影响的机构名称及数量。 英国指,实施黑客入侵的组织名为APT29,称其“几乎可以肯定”是俄罗斯国家情报部门的组成部分。该小组还被称为Cozy Bear或The Dukes,针对英国、美国和加拿大的疫苗研发组织。 NCSC称,恶意活动一直在进行,主要针对政府、外交、智囊机构、卫生和能源目标,旨在窃取有价值的知识产权。 俄罗斯否认涉及任何针对新冠病毒疫苗的黑客活动。克里姆林宫发言人Dmitry Peskov对彭博说:“我们不知道什么人可能黑入了制药公司和研究中心。我们只能说,俄罗斯与这些企图毫无关联。”     (稿源:新浪财经,封面源自网络。)

AcidBox:Turla Group 开发的针对俄罗斯组织的恶意软件

2014年一个名为Turla Group的恶意软件组织消息出现,爱沙尼亚外交情报局推断它源于俄罗斯,代表俄罗斯联邦安全局(FSB)进行运作,该组织核心恶意软件也被公开描述为第一个滥用第三方程序来禁用DSE的案例。在Windows Vista中引入了这种安全机制,以防止未签名的驱动程序加载到内核空间。Turla利用了签名的VirtualBox驱动程序——VBoxDrv.sysv1.6.2来停用DSE,然后对未签名的有效负载驱动程序进行加载。 然而,这个漏洞有一些混淆,它被称为CVE-2008-3431。Turla使用的漏洞实际上滥用了两个漏洞,其中只有一个在前面提到的CVE中被修复过。另一个漏洞与CVE-2008-3431一起用在第一个攻击版本中,第二个攻击版本大约在2014年引入了内核模式恶意软件,其只使用了未修补的漏洞,我们将在后面详细讨论。 2019年2月,Unit 42发现了尚未知晓的威胁因素(信息安全社区不知道),发现第二个未修补的漏洞不仅可以利用VirtualBox VBoxDrv.sys驱动程序 v1.6.2,还可以利用 v3.0.0以下的所有其他版本。此外我们研究发现这个未知的参与者利用VirtualBox驱动程序2.2.0版,在2017年攻击至少两个不同的俄罗斯组织。我们猜测这样做是因为驱动程序版本2.2.0并不易受攻击,因此很可能不会被安全公司发现。由于没有发现其他受害者,我们认为这是一个非常罕见的恶意软件,仅用于目标攻击。 操作者使用了一个之前未知的恶意软件家族,我们称之为AcidBox。由于该恶意软件的复杂性、稀有性以及它是一个更大的工具集的一部分这一事实,我们相信它被高级威胁参与者用于定向攻击。如果攻击者仍然活跃的话,这个恶意软件很可能今天仍在使用。但是,我们预计它在一定程度上被重写了。根据我们掌握的信息,我们认为除了使用过的漏洞之外,这个未知的威胁因素与Turla无关。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1247/     消息来源:paloaltonetworks,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

俄罗斯 Rostelecom 被发现劫持 Google/AWS/Cloudflare 等公司的互联网流量

本周早些时候,全球最大的200多家内容传输网络(CDN)和云主机提供商的流量被怀疑通过俄罗斯国有电信运营商Rostelecom转发。该事件影响了200多个网络的8800多条互联网流量路线。受影响的公司都是云和CDN市场的知名企业,包括Google、Amazon、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等公司。 受害网络的完整名单可以参考这个Twitter信息流地址: https://twitter.com/search?q=AS12389%20(from%3Abgpstream)%20until%3A2020-04-07%20since%3A2020-04-01&src=typed_query 这次事件是一个典型的 “BGP劫持”,BGP是边界网关协议的缩写,BGP是全球互联网网络之间的互联网流量路由系统,从设计上,整个系统就非常脆弱,因为任何一个参与网络都可以简单地 “撒谎”式地发布一个BGP路由通告,例如声称 “Facebook的服务器”在他们的网络上,随后所有的互联网实体都会把它当作合法的目标,从而将Facebook的流量全部发送到劫持者的服务器上。 过去,在HTTPS被广泛用于加密流量之前,BGP劫持允许攻击者进行中间人(MitM)攻击,拦截和改变互联网流量。 如今,BGP劫持仍然是危险的,因为它可以让劫持者记录流量,并试图在以后的日子里对流量进行分析和解密,现时由于密码学科学的进步,用于保护流量的加密技术已经被削弱。 自90年代中期以来,BGP劫持一直是互联网主干网的一个问题,多年来通信从业者一直在努力加强BGP协议的安全性,自此产生了ROV、RPKI,以及最近的MANRS等项目。然而,在采用这些新协议方面的进展一直很缓慢,BGP劫持事件仍时有发生。 专家们过去曾多次指出,并非所有的BGP劫持都是恶意的。大多数事件可能是人为操作者误输入了一个ASN(自主系统号,即互联网实体的识别代码),意外劫持了该公司的互联网流量。 然而,一些实体的BGP劫持事件的幕后黑手仍然时有发生,许多专家在事件的背后都被贴上了可疑的标签,说明这些事件不仅仅是意外。 Rostelecom(AS12389)虽然没有像之前部分国家的运营商那样直接故意地参与到BGP劫持事件中,但其背后也有很多类似的可疑事件。 上一次抢占头条的Rostelecom重大劫持事件发生在2017年,当时该电信公司劫持了包括Visa、Mastercard、汇丰银行等全球最大的金融实体的BGP路由。 这一次,通信业内还没有定论。BGPMon的创始人Andree Toonk正在给予俄罗斯电信公司以怀疑的理由。Toont在Twitter上表示,他认为这次 “劫持 “事件发生的原因是俄罗斯电信内部的流量整形系统可能在公共互联网上不小心暴露了错误的BGP路由,而不是俄罗斯电信内部网络的整体问题。 不幸的是,这个小小的失误被Rostelecom的上游供应商拿着新公布的BGP路由在互联网上重新传播,从而将BGP劫持事件在几秒钟内放大了,这让这个小错误变得更加严重。 但是,过去很多互联网专家也曾指出,故意的BGP劫持是有可能出现的,因为没有人能够分辨出来差异。在国家控制的电信实体中发生的BGP劫持一向被视为可疑-主要是由于政治因素,而不是技术原因。   (稿源:cnBeta,封面源自网络。)    

俄罗斯联邦安全局被爆雇佣外包商启动物联网 DDoS 攻击项目 Fronton

俄罗斯黑客组织“数字革命”(Digital Revolution)近日宣布,成功入侵了一家俄罗斯联邦安全局 (FSB) 的外包商,并发现了后者关于入侵物联网设备的项目计划。本周该组织公布了12份有关于“Fronton”项目的技术文档、图表和代码片段。本周早些时候ZDNet和BBC Russia获取并详细阅读了这些文档,并邀请安全专家对这些报告截图进行了分析,基本上确认FSB外包商建设Fronton项目的可行性。 根据目前披露的12份Fronton技术文档,是由FSB内部部门No. 64829(也称之为FSB信息安全中心)采购的。而外包商则是InformInvestGroup CJSC,这家公司和俄罗斯政府内部建立着紧密的合作,并创建了物联网入侵工具。 根据BBC的报道,InformInvestGroup似乎已将该项目分包给了总部位于莫斯科的软件公司ODT(Oday)LLC,而后者在2019年4月遭到黑客组织Digital Revolution的入侵。 根据文件时间戳,该项目已经在2017年至2018年实施。该文档大量参考并从Mirai(一种物联网病毒,在2016年年底用于构建大型物联网僵尸网络)中汲取了灵感,用于向从ISP到核心互联网服务提供商的广泛目标发起毁灭性DDoS攻击。 这些文件建议建立一个类似的物联网僵尸网络,供FSB使用。根据规范,Fronton僵尸网络将能够对仍使用出厂默认登录名和常用用户名-密码组合的IoT设备进行密码字典攻击。密码攻击成功后,该设备将在僵尸网络中被奴役。   (稿源:cnBeta,封面源自网络。)