标签: 网络间谍

针对巴勒斯坦政府的网络间谍组织又发起了新的钓鱼攻击

据外媒 bleepingcomputer 报道,去年针对巴勒斯坦执法部门的网络间谍组织现已针对巴勒斯坦政府官员重新发起攻击。根据以色列网络安全公司 Check Point 的调查显示,新的攻击开始于 2018 年 3 月,似乎和去年 Cisco Talos 和 Palo Alto Networks 两份报告中详述的一组操作方法相符。报告详述了针对巴勒斯坦执法部门的鱼叉式钓鱼攻击活动,恶意邮件试图通过 Micropsia infostealer 感染受害者,这是一种基于 Delphi 的恶意软件,其中包含许多引用自《生活大爆炸》和《权力的游戏》剧集角色的字符串。 现在同一网络间谍组织疑似再次出现,他们唯一所改变的是恶意软件,现在使用C ++编码。和 Micropsia 一样,新的恶意软件也是一个强大的后门,可以随时使用第二阶段模块进行扩展。根据 Check Point 的说法,该组织使用改进后的后门感染受害者以收集受害者工作站的指纹,然后收集.doc,.odt,.xls,.ppt和.pdf文件的名称并将此列表发送给攻击者的服务器。 今年该组织似乎是针对巴勒斯坦民族权力机构的成员,鱼叉式钓鱼邮件的主题是来自巴勒斯坦政治和国家指导委员会的月度新闻报道,发送给与此机构相关人员。与 2017 年不同的是,这次恶意附件实际上是一个压缩文件,包含诱饵文件和恶意软件本身。 Check Point 认为这些攻击背后是一个名为 Gaza Cybergang 的 APT 组织,该组织同时也名为 Gaza Hackers / Molerats,在 2016 年网络安全公司 ClearSky 曾将此组织与恐怖组织哈马斯(Hamas)联系起来。上周,以色列政府就曾指责哈马斯试图引诱士兵在他们的手机上安装恶意软件。   消息来源:bleepingcomputer,编译:吴烦恼; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

因担心网络间谍活动,立陶宛封杀卡巴斯基杀毒软件

立陶宛政府已决定禁止在政府机构和私人公司当中使用由卡巴斯基开发的安全软件,因为担心该公司可能参与俄罗斯的网络间谍活动。立陶宛当局在本周宣布,卡巴斯基软件必须从能源,金融或运输部门(包括私营公司)的电脑系统当中移除。 立陶宛政府表示,这个决定是因为卡巴斯基现在被认为对立陶宛国家安全产生潜在威胁。立陶宛政府解释说,卡巴斯基软件只能运行在那些没有使用敏感数据的电脑当中,并且必须获得相关公司网络安全部门的许可。 卡巴斯基最近也被美国政府禁止,唐纳德·特朗普总统签署了一项法案,要求国家有关部门尽快在电脑当中删除卡巴斯基杀毒软件。此外,英国政府也建议用户不要使用卡巴斯基软件,但是英国国内地方当局表示将与俄罗斯供应商合作解决这个问题。 卡巴斯基这家安全公司在声明中再次否认与克里姆林宫有任何可能的关系,并解释说,禁止其软件的决定主要是由于地缘政治斗争。 稿源:cnBeta,封面源自网络;编辑:FOX

美媒:俄罗斯间谍利用社交媒体诱惑美国士兵获取情报

来自美媒 Politico 的一篇报道显示,俄罗斯间谍会在社交媒体平台上假装成美女来跟美国士兵建立好友关系。他们要么跟这些士兵直接接触,要么通过一定的政治宣传手段来“引诱”他们,然后通过一系列的网络钓鱼攻击来获取信息。现在,对于情报部门来说,社交媒体是另外一个亟待他们去解决的问题。 谨慎是他们最需要注意的关键点,因为即便是一些在探员或士兵看起来是无关紧要的信息更新,当它们被传达给朋友之后也就等于可能将行踪曝光给了另外一方。更别提在社交媒体平台上的政治宣传了。前军事承包人 Serena Moring 分享了这样一个故事,当士兵们在 Facebook 上看到一名俄罗斯士兵在叙利亚为与 IS 抗争而牺牲的故事之后都表现出诸如“太厉害了,那真是悲壮的死法”的反应。Moring称,这是一种通过社交媒体创造出来的士兵与士兵的纽带。 针对此事,美国防部并不愿意置评,不过发言人倒表示,他们正在对部门所有人员展开了辨别这种网络工具的教育工作。 此外,据 Politico 披露,除了军方人员之外,他们的配偶同样也是该种网络钓鱼攻击的对象。 稿源:cnBeta,封面源自网络

英国 BAE 系统公司被曝向中东地区出售高级网络间谍技术

据外媒 15 日报道,BBC 公司历时一年的调查结果显示,英国国防巨头 BAE 系统公司向全球政府、统治阶级出售用于打击非法政权的高级解密软件等功能强大的网络监控技术。 此项调查重点关注丹麦一家名为 ETI 的科技公司,该公司曾于 2011 年并入 BAE 系统公司应用情报单位。在被正式收购之前,ETI 曾开发一款名为 “Evident” 的软件,据称该软件是面向政府出售的大规模监控与拦截系统。ETI 前雇员向 BBC 透露:“ Evident 可以拦截任何网络流量,具体对象既可以是整个国家也可以是通过蜂窝数据定位的个人。这些技术十分先进,不仅具有语音识别功能,还可用于解密。” 过去六年来,BAE 系统公司通过这家丹麦公司向中东国家提供“ Evident ”工具,并派遣专家至沙特阿拉伯、阿联酋、卡塔尔、阿曼、摩纳哥、阿尔及利亚等国。BBC 调查发现,BAE 系统公司在全球拥有超过 8.3 万名员工并设有一个利润丰厚的网络战部门。,其销售业务具备由丹麦商业管理局(DBA)发布的丹麦政府出口许可。虽然销售性质合法,人权活动家们却对大规模监控活动背后的这家英国公司涉及的伦理道德问题产生质疑。 调查结果显示,土耳其政府是较早购买“ Evident ”的买家之一。据相关消息透露,该国总统本•阿里(Ben Ali)曾在 2011 年阿拉伯之春期间使用该款工具打击抗议者。土耳其情报官员在 BBC 采访中表示,“ ETI 负责具体安装并安排工程师上门培训”。该款工具提供关键字查询功能,输入查询对象名称后将看到关于该用户的所有网站、博客、社交网络等。而荷兰欧洲议会议员(MEP)Marietje Schaake 表示,欧洲国家可能很快就会后悔将此项技术出售给专制政府,“在我看来,利用欧盟技术剥夺话语权或施与终身监禁在任何情况下都令人无法接受”。 BAE 系统公司在此前的一次声明中向 IBTimes UK 表示: “我们的技术在帮助英国及其盟国打击恐怖主义威胁、支持执法、帮助维护国内外公共安全方面起到至关重要的作用。我们的业务操作严格遵守国家安全保密条例,因此无法对具体合同或共享保密信息发表任何评论。然而,我们注意到 BBC 的某些言论有悖事实并在新闻正式播出前向 BBC 阐述了相关问题。BBC 也承认没有证据证明 BAE 系统公司产品存在任何滥用现象。BAE 系统公司一向遵纪守法,具有社会责任感。我们以强健的政策流程作为依托,确保出口到海外的商品完全符合国际出口规定。不仅如此,我们还通过自设的严格标准评价每个潜在合同,对可能存在滥用风险的业务一律采取拒绝态度。” 消息指出,这已不是英国公司第一次将间谍技术出售给独裁政权。Motherboard 曾于去年报道,自 2015 年以来,至少有十几家英国公司运送黑客跟踪工具至沙特阿拉伯、阿联酋、土耳其与埃及。去年,The Intercept 也曾报道 BAE 系统公司向阿联酋出售黑客工具。英国国际贸易署在对 BBC 发表的声明中表示:“考虑到申请时涉及的所有相关因素(包括人权注意事项在内),所有出口许可证申请均按照严格标准进行逐案评估。” 原作者: Jason Murdock ,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

外媒:俄罗斯网络间谍手法曝光,中美均深受影响

据时事通信 5 月 28 日报道,加拿大多伦多大学“西铁城实验室”(Citizen Lab)主任研究员迪巴德(Ronald Deibert)25 日发布报告披露,综合各方情报得知,俄罗斯利用黑客技术实施间谍活动,对联合国和北约(NATO)至少 39 个国家不断发动了攻击、还发送虚假信息以干扰对方正常社会行为的举动。 间谍行动的对象,包括了政府、商界、军队、普通市民,覆盖面极为广大。报告中指出对于 2016 年美国大选中希拉里投票的干预,不过是莫斯科同类行为的冰山一角而已,也可以据此推断,包括法国大选在内,来自俄罗斯政府对他国政治的粗暴干预,已经具有长期而且非常深入的传统性。 俄罗斯间谍行为不仅政治上干预很多国家,新闻编辑、学者、俄罗斯本国的民权组织、民权活动家等,也都是间谍行动监视、干扰和打击的对象。各国驻俄罗斯大使、军队官员、能源企业高管、俄罗斯以及欧美、亚洲多国的政治家,都成为网络间谍实施行动的对象。 报告称,此类网络间谍行动的一大特征,是将包含了一定真实信息的虚假情报四处流出,给接收方造成极大的认知困惑,而所有行动,都是由俄罗斯政府统一指挥策划。据悉,由于俄罗斯间谍活动的对象无所不包,无论敌对的如美国、欧盟、日本和NATO,都成为袭扰对象。即便近年或具有长久“友好”关系,如中国、朝鲜、中亚各国、前东欧国家、东南亚、非洲、拉美、巴基斯坦等,全部成为其受害方。 稿源:据 俄罗斯中文网 整理,封面源自网络

研究显示:新恶意软件 Acronym 与 “Potao” 网络间谍行动有潜在联系

近期,Arbor Networks 的安全专家发现了一个新恶意软件 Acronym。此恶意软件用于调试 C&C 服务器的 URL 恶意代码,与 “Potao” 网络间谍行动有潜在联系。意大利研究人员 Antelox 在 Twitter 上分享了一个 VirusTotal 链接,引起了安全专家的关注并展开了调查。 自 2011 年以来恶意软件 Potao 就已经存在,被称为“ 通用模块化的网络间谍工具包 ”,允许黑客利用恶意代码进行操作 。2015 年,世界知名安全公司 ESET 首次对其进行详细分析,根据 ESET 发布的一份名为 “Potao 行动” 的网络间谍活动报告显示,该攻击依赖于俄语版带有后门的 TrueCrypt 进行扩散,攻击目标主要瞄准乌克兰、俄罗斯、格鲁吉亚和白俄罗斯等国家。 据调查表明,恶意软件 Acronym 和 Dropper 组件于 2017 年 2 月就已被编译,并与 Potao 行动相互关联。 根据 Dropper 组件的分析显示,它将杀死任何名为“ wmpnetwk.exe ”的 Windows 进程,并将其替换为恶意代码。随后,该恶意软件联系 C&C 服务器,向其发送受感染计算机的信息。一旦初始阶段完成,它将指挥控制其服务器,并通过六个 IP 端口对其重复发送反馈信息。 恶意软件 Acronym 不仅可以使用注册表或任务计划程序获得持久性功能,还能通过捕获屏幕截图、下载和执行其他有效内容运行系统插件。遗憾的是,由于 C&C 服务器在 Arbor Networks 进行分析时处于离线状态,研究人员没能获取可用插件信息。 据研究人员称,Potao 木马和 Acronym 恶意软件不仅使用相同的 C&C 基础设施,而且在同一端口上联系 C&C 域,并以“ HH ”开头的临时文件命名。虽然这两种恶意软件具有相同模块化结构,但它们之间还是存在着加密和传递机制的差异。 据专家称,现在评估 Acronym 在 Potao 行动里的发展状况还为时过早,但它确实与其存在着潜在联系。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

世界头号黑客加盟克里姆林宫,助长网络间谍活动

根据 FIB 的报道,黑客 Evgeniy M Bogachev 一直在为 克里姆林宫 服务。Bogachev 的活动进一步推动了俄罗斯政府的间谍活动,他除了是世界上头号网络罪犯,还被指控了一长串罪行,其中包括盗窃国际银行数百万美元,编写并扩散臭名昭著的“GameOver Zeus (宙斯病毒)”。目前的 Bogachev 不仅能在俄罗斯公开生活,甚至还拥有豪华汽车和游艇。 乌干达内政部称,它曾帮助 FIB 跟踪  Bogachev ,并发现该网络犯罪分子一直受雇于 FSB (俄罗斯主要情报机构)的一个特别小组。《纽约时报》也曾报道:前 FIB 雇员表示某些黑客经常暗中和克里姆林宫联系,并接受俄罗斯情报部门的雇佣,直接或间接的参加网络间谍活动。 美国执法官员和网络安全公司 Fox-IT 认为俄罗斯政府对乌克兰和美国的军事情报信息很感兴趣, Bogachev 可能早已通过网络犯罪活动获得了一部分私密信息。俄罗斯当局声称,网络犯罪分子在地下论坛活动会受到监督,但这些黑客恰恰是由克里姆林宫进行招募。此前,FIB 和 FSB 领导机构联合调查,俄罗斯情报部门可能不会帮助逮捕网络犯罪分子。 2016 年 12 月,根据美国情报机构的结论,俄罗斯黑客干预了 2016 年总统的选举。而后,奥巴马政府宣布了对 Bogachev 及其他 5 个人进行制裁。目前,联邦调查局准备了 300 万美元的赏金,用于抓捕 Bogachev 。 原作者: India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

外媒报道:中国黑客使用后门木马针对俄罗斯和白俄罗斯军事、航天机构

据外媒报道,安全公司 ProofPoint 发布安全报告指出,来自中国的黑客继续对俄罗斯和白俄罗斯的军事、航空航天机构从事网络间谍活动。自 2016 年夏季以来,该组织开始使用称为 ZeroT 的新下载程序安装远程访问木马 PlugX 。 Proofpoint 公司是一家网络安全服务公司,提供电子邮件安全、归档及防止数据丢失整合解决方案。主要为航空航天、国防、教育、金融服务、政府、医疗机构、制造业和零售业等提供网络安全服务。(引自网络) 报告显示在此前的活动中,黑客组织通常利用 Microsoft Word 文档附件触发 CVE-2012-0158 漏洞或者使用恶意 URL 指向一个可执行文件的 .RAR 压缩包。虽然这些行为仍在继续,但自 2016 年 6 月,中国黑客组织改变了攻击的策略。黑客开发了恶意软件 ZeroT 用于安装远程访问木马 PlugX ,并添加了 Microsoft 编译的 HTML Help 文件格式( .chm )作为鱼叉式网络钓鱼邮件的初始放置程序。 恶意软件 ZeroT 使用混淆技术来逃避检测并可绕过 Windows UAC 用户控制,通过 HTTP 与 C&C 服务器进行通信,还可以在所有请求中使用伪造的 User-Agent 。 此前外媒曾报道,来自中国的黑客一直对美国和欧洲的航空航天公司进行网络间谍活动。去年 7 月,美国判处华裔商人 苏斌  46 个月的监禁,他被指控从波音和洛克希德马丁公司的网络中窃取了 F-22、F-35 战斗机和 C-17 运输机的资料。 本文由 HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

外媒曝俄罗斯网络安全部门揪出美国间谍

据西班牙《消息报》26日报道,俄罗斯联邦安全局网络安全部门的高级别专家谢尔盖·米哈伊洛夫日前被捕,他被控向美国情报部门泄露机密。 俄罗斯媒体陆续披露的细节显示,一旦有关消息属实,就意味着华盛顿在俄罗斯国防基础设施核心部门安插了一名间谍。这个消息在特朗普刚刚入主白宫的时刻显得尤为微妙。俄罗斯《新报》报道称,俄联邦安全局认为陆军上校米哈伊洛夫向美国当局泄露了与俄安全系统应对网络袭击有关的重要资料。俄罗斯媒体称,目前共有四人因卷入米哈伊洛夫案而被捕,其中包括卡巴斯基实验室网络安全研究部门负责人 鲁斯兰·斯托亚诺夫 和 米哈伊洛夫 的同事 德米特里·多库恰耶夫 等。 卡巴斯基实验室已经在公司官网上发布声明称,被逮捕员工的行为与其在公司的职位无关。 稿源:据 网易新闻 整理;封面:百度搜索

俄罗斯网络专家或已破解 Telegram 加密通信服务

据外媒报道,上周一份情报文件显示,俄罗斯网络专家已经破解了 Telegram 加密通信服务,以便情报机构监控目标。 被公开的情报文件包含美国侯任总统唐纳德·特朗普的信息以及俄罗斯网络间谍情报。根据报告显示,俄罗斯联邦安全局( FSB )通过贿赂的形式在商业产品中安装后门,如使用包含恶意软件的 PC 游戏感染电脑,并通过勒索和胁迫等方式招募黑客。该报告还显示,俄罗斯情报部门破解了流行的 Telegram 即时通讯服务。 这份情报文档由前英国代理人提供,他声称收到了有关 Telegram 服务遭攻击的消息,根据网络间谍情报,俄罗斯政府已经得到在 Telegram 工作的 IT 人员支持。他推断 FSB 现在已经成功地破解了这款通信软件,Telegram 可能不再安全。而且 Telegram 使用的是自定义加密程序,也存在潜在的漏洞可被攻击者利用。 情报文件中没有提供俄罗斯黑客如何进行网络攻击操作的细节。不过这份情报也引起了 G7 集团和北约组织的“兴趣”。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。