标签: 美国

威斯康辛州共和党在美大选前被黑客盗走 230 万美元

据外媒报道,就在美大选前几周,黑客通过操纵发票的手段从威斯康辛州共和党那里窃取了230万美元。据悉,这起盗窃案在10月22日被注意到,威斯康辛州共和党主席Andrew Hitt表示,FBI目前正在调查此案。 据Hitt介绍,黑客使用了来自竞选团队合作的几家供应商的伪造发票,这些发票主要用于竞选邮递和特朗普周边商品等。这些文件没有提供供应商的付款信息,而是将钱转给了黑客。 这种黑客攻击实际上是一种相当常见的骗局:Facebook和谷歌在2017年也曾遭受过类似的网络钓鱼攻击,当时涉案金额高达1亿美元。骗子经常使用假发票来针对企业、组织和其他团体,希望能在合法发票的基础上偷到假发票。考虑到在大选前最后几周进行竞选活动是多么得疯狂,所以很容易想象那些诈骗发票是如何漏掉的。 威斯康辛州被认为是特朗普和拜登在即将到来的选举中必不可少的州。     (消息及封面来源:cnBeta)

FBI 探查近期美国医院遭受的一系列勒索软件攻击

据路透社消息,东欧犯罪分子正在用勒索软件瞄准数十家美国医院,联邦官员周三敦促医疗机构迅速加强准备工作,以防他们成为下一个目标。据三位熟悉此事的网络安全顾问透露,美国联邦调查局(FBI)正在调查最近的攻击事件,其中包括本周刚刚公开的俄勒冈州、加利福尼亚州和纽约的事件。 专家表示,这些攻击事件背后可能的组织被称为“Wizard Spider”或UNC 1878。他们警告说,这种攻击会扰乱医院的运作,导致生命的离去。这些攻击促使FBI和国土安全局官员在周三为医院管理者和网络安全专家主持了一次电话会议。 一名与会者告诉路透社记者,政府官员警告医院要确保他们的备份系统正常,尽可能将系统与互联网断开,并避免使用个人电子邮件账户。FBI没有立即回应评论请求。 “这似乎是一次协调的攻击,旨在专门破坏全美各地的医院,”美国网络安全公司Recorded Future的威胁情报分析师Allan Liska说。 “虽然每周针对医疗服务提供者的多起勒索软件攻击已经屡见不鲜,但这是我们第一次看到同一勒索软件行为者在同一天内针对六家医院进行攻击。” 在过去,医院的勒索软件感染已经使患者记录保存数据库瘫痪,这些数据库关键性地存储了最新的医疗信息,影响了医院的医疗服务能力。熟悉攻击事件的三名顾问中的两名表示,网络犯罪分子普遍使用一种名为 “Ryuk “的勒索软件,这种软件会锁定受害者的电脑,直到收到付款。 这位电话会议参与者说,政府官员透露,攻击者使用Ryuk和另一种名为Trickbot的木马来对付医院。 “UNC1878是我在职业生涯中观察到的最无耻、最无情、最具有破坏性的威胁行为者之一,”美国网络事件响应公司Mandiant高级副总裁Charles Carmakal说。“多家医院已经受到Ryuk勒索软件的重大影响,他们的网络已经被关闭。” 专家表示,在本月早些时候微软努力破坏黑客网络之后,Trickbot的部署意义重大。 网络犯罪分析师Stefan Tanase表示,这一举措旨在削弱网络犯罪分子的能力,但他们似乎已经迅速恢复。“我们在这里看到的是确认Trickbot被击垮的报道被大大夸大了。” 微软没有回答置评请求。     (消息来源:cnBeta;封面来自网络)

FBI 称黑客将针对美国医院展开大规模勒索软件活动

医院长期以来一直是勒索软件攻击的热门目标。随着医疗设施在Covid-19患者的压力下紧张起来,FBI警告说要提防新的攻击活动。据报道,过去几天已经有几家医院遭到袭击。FBI、卫生与人类服务部(HHS)和国土安全部网络安全与基础设施安全局(CISA)联合发布了一份网络安全预警,称他们收到了关于美国医院和医疗机构面临的网络犯罪威胁增加且迫在眉睫的可靠信息。 CISA、FBI和HHS分享这一信息是为了向医疗服务提供者提供警告,以确保他们及时采取合理的预防措施,保护他们的网络免受这些威胁。Hold Security公司的首席执行官Alex Holden表示,上周他在监测到几家医院的攻击企图后向当局发出警报。Holden补充说,犯罪分子一直在利用暗网讨论针对400家医院和其他医疗机构的计划,并向每个目标索要500万至1000万美元的赎金。 网络安全公司Mandian的首席技术官Charles Carmakal已经确定该犯罪团伙为俄语UNC1878,他称其为 “我在职业生涯中观察到的最无耻、最无情、最具有破坏性的威胁行为者之一”。攻击者正在使用Trickbot恶意软件提供Ryuk勒索软件,去年对Key Biscayne和Lake City政府的攻击以及上个月对Universal Health Services(UHS)的攻击都使用了该软件。美国有线电视新闻网(CNN)报道称,纽约的圣劳伦斯卫生系统、俄勒冈州的天湖医疗中心和UHS(再次)在过去几天里成为攻击目标。 虽然这些攻击事件恰逢美国大选,但据说犯罪分子完全是出于利益的考虑。与勒索软件的一贯做法一样,当局建议受害者不要以加密货币方式支付赎金,因为它不能保证他们的文件会被恢复。但正如我们之前所看到的那样,绝望的医院往往别无选择,只能交钱。     (消息及封面来源:cnbeta)  

Facebook 称伊朗黑客散布虚假信息,干扰美国选举

据报道,Facebook周二表示,伊朗黑客上周涉嫌通过电子邮件向美国选民发送威胁消息,并散布有关选举制度受到破坏的虚假信息,并在去年针对中东进行了一场虚假宣传活动。 上周,美国官员指责伊朗发送了数千封威胁性电子邮件和一个网上视频,该视频显示黑客在美国总统大选前几天就闯入了选民登记系统。 德黑兰否认了指控。 Facebook表示已暂停了一个试图在其网站分享该视频的假冒帐户。该账户引出了在Facebook和Instagram上的20多个其他账户,揭示出2019年针对以色列和沙特阿拉伯等国的散布虚假信息行动。 Facebook网络安全政策负责人纳撒尼尔·格莱歇尔(Nathaniel Gleicher)表示,新发现的帐户基本上处于不活跃状态,但此前曾试图在去年以色列“欧洲歌唱大赛”(Eurovision Song Contest)上散布有关“所谓的大屠杀”的说法。 上周三位知情人士对媒体表示,美国情报机构仍在分析具体是谁在伊朗指挥了这次行动及其意图。 格莱歇尔周二说,他的团队发现了少量技术链接,这些链接与4月份暂停的虚假信息网络有关,这归因于伊朗国家广播公司以及“与伊朗政府有关联的个人之间的联系”。 Facebook还表示,已暂停由墨西哥和委内瑞拉人开设的两个页面和22个Instagram帐户,这些帐户使用假冒身份和其他所谓的“协调一致的不真实行为”的形式来发布有关美国时事和政治的信息。 Facebook说,一些账户冒充是美国人,用西班牙语和英语发布涉及种族关系、女权主义和环境等话题的贴文。联邦调查局根据线索提示发现了这些账户。 虽然尚不清楚活动的幕后主使,但一些账户上贴有以前由俄罗斯互联网研究机构(Internet Research Agency)使用过的带有说明的图片。美国检察官表示,这家研究机构在2016年莫斯科影响美国大选中发挥了关键作用。 格莱歇尔说,这两个网络以及针对缅甸互联网用户的第三次行动,在吸引大量关注者之前都已被抓获。 但是他说,“恶意行为者”越来越多地利用人们对干预选举的担忧,试图进一步播下不信任和分裂的种子。 “我们称之为感知入侵,”他说,“这不是真正侵入一个敏感的选民数据库,或者利用一个大型的社会影响力竞选活动,只是利用了每个人的恐惧。” (消息及封面来源:新浪科技)

特朗普竞选网站遭加密货币骗子黑客攻击

据外媒TechCrunch报道,美国总统特朗普的竞选网站周二下午部分遭到黑客攻击,因为未知的对手接管了 “关于”页面,并将其替换为似乎是一个收集加密货币的骗局。尽管黑客声称,没有迹象表明实现了“对特朗普和其亲属的完全访问”,或者 “大多数内部和秘密对话严格保密的信息 ”被曝光。 这次黑客攻击似乎发生在太平洋时间10月27日下午4点之后不久。黑客很可能获得了对donaldjtrump.com网站服务器后台的访问权限,并将 “关于 “页面换成了一段长长的经过混淆的javascript,产生了一个模仿FBI “这个网站已经被查封”的信息。 “世界已经受够了总统唐纳德·特朗普每天传播的假新闻,”新网站写道。“是时候让世界知道真相了。” 黑客声称自己掌握了“新冠病毒起源”的内部信息以及其他诋毁特朗普的信息,他们提供了两个Monero地址。Monero是一种容易发送但相当难以追踪的加密货币。一个地址是给那些希望“严格保密信息 ”被公布的人的,另一个地址是给那些希望保密的人的。在一个未指定的截止日期后,加密货币的总数将被比较,较高的总数将决定如何处理这些数据。该页面用PGP公钥签署,对应一个不存在的域名(planet.gov)的电子邮件地址。 在黑客攻击发生后几分钟内,网站就恢复了原来的内容。没有证据表明捐赠者信息等任何敏感数据被访问,但在网站管理员彻底调查该事件之前,这是一个可能性。让人们不可逆地将加密货币发送到一个神秘的地址是网上常见的诈骗形式,通常依靠在名人Twitter账号等高知名度平台上短暂出现,这次也不例外。 没有任何迹象表明这次攻击是以任何方式由国家支持的。竞选和其他与选举相关的网站是黑客的高价值目标,它们并不像whitehouse.gov这样的官方网站那样安全。虽然用词似乎不是以英语为母语的人,但没有其他正面证据表明黑客来自外国。 这不是特朗普最近第一次被黑客攻击。一个猜到密码(”Maga2020!”)的安全研究人员称曾短暂接管特朗普的Twitter账号。特朗普最近表示,“没有人被黑客攻击。黑客入侵需要一个智商197的人,而他需要你密码的15%。”     (消息来源:cnbeta;封面来自网络)

Boyne Resorts 遭到 WastedLocker 勒索软件攻击

Boyne Resorts是一家经营度假活动服务的企业,WastedLocker勒索软件攻击了其网络系统,导致顾客无法进行网上预订业务。 据BleepingComputer报道,勒索软件通过添加“ .easy2lock”扩展名重命名文件,侵入了公司办公室网络并横向感染了IT系统,以至于公司被迫关闭部分网络进而防止勒索软件的传播。 7月,Smartwatch和设备制造商Garmin在遭到WastedLocker勒索软件的网络攻击后不得不关闭部分服务器。6月,安全专家报告,WastedLocker勒索软件已锁定对美国至少31个组织进行网络攻击。 NCC Group研究人员报告,经Smartwatch证实,该勒索软件由俄罗斯“Evil Corp”开发 。2019年12月,美国财政部因其造成了1亿多美元的经济损失,对Evil Corp施加制裁。美国司法部(DoJ)已指控俄罗斯公民Maksim V.(32)和Igor Turashev(38)传播了臭名昭著的 Dridex银行木马,还参与了国际银行欺诈和网络黑客计划。 美国当局禁止向WastedLocker支付赎金,这意味着如果Boyne Resorts支付赎金,就可能会受到严厉的制裁。       消息来源:securityaffairs ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄罗斯政府支持的高级黑客持续攻击美国政府网络

由联邦调查局(FBI)和网络安全基础设施安全局(CISA)联合撰写的网络安全报告书,记载有关俄罗斯政府支持的、针对美国政府及航空网络的恶意攻击事件。该报告书持续更新CISA-FBI联合网络安全的相关信息。 最早从2020年9月起,由俄罗斯政府支持的、被称为Berserk Bear、Energetic Bear、TeamSpy、Dragonfly、Havex、Crouching Yeti和Koala的APT黑客就开展了针对美国政府的网络攻击。该APT黑客企图攻击多个SLTT组织并成功破坏了其网络基础设施,截至2020年10月1日,已窃取了至少两台服务器的数据。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1383/       消息来源:us-cert.cisa.gov ,封面来自网络,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美财政部宣布对 Triton 恶意软件幕后开发者实施制裁

在 2018 年的一份报告中,FireEye 推测俄罗斯 CNIIHM(又名 TsNIIKhM)就是 Triton 恶意软件的幕后开发者。经过长时间的深入调查,美方现已决定对该机构实施制裁。据悉,Triton 恶意软件又被称作 Trisis 或 HatMan,能够有针对性地向特定类型的工业控制系统发起攻击,比如施耐德电气的 Triconex 安全仪表系统(SIS)控制器。 网页截图(来自:US Treasury) FireEye、Dragos、赛门铁克等机构的技术分析报告表明,Triton 类恶意软件主要通过网络钓鱼的形式进行诱骗传播。一旦感染了工作站,它就会在受害网络上寻找 SIS 控制器,然后尝试修改目标设置。 当然,这并不是我们首次听闻针对工业控制系统的恶意软件攻击报道。毕竟早在 2010 年,美方针对伊朗核设施的“震网”(Stuxnet)病毒就曾引发过强烈的争议。 研究人员指出,Triton 包含的指令可能导致生产中断、或使 SIS 控制的机器在可能引发爆炸的不安全状态下工作,对人类操作者的生命造成了巨大的威胁。 2017 年的时候,这款恶意软件在成功入侵后被初次发现,受害者是沙特私营企业 Tasnee 旗下的一座石化厂,当时差点造成了工厂的爆炸。自那时起,此类恶意软件还针对其它企业发起了攻击。 美国财政部在今日的一份新闻稿中补充道,调查发现该恶意软件背后的组织(TEMP.Veles 或 Xenotime)正在对美国至少 20 家电力公司进行漏洞扫描和探测。 作为制裁的一部分,美方宣布禁止该国实体与 CNIIHM 接触,并没收该研究机构在美国境内的所有资产。     (消息来源:cnBeta; 封面来自网络)

Twitter 和白宫否认安全研究人员入侵特朗普账户的报道

据外媒The Verge报道,一名安全研究人员声称,他在本月早些时候入侵了美国总统唐纳德·特朗普的Twitter账户,猜测他的密码是 “maga2020!”,并可能发布了一条推文。荷兰《大众日报》(de Volkskrant)和《自由荷兰》(Vrij Nederland)杂志周四早些时候报道了这一消息,并引用了截图和对研究人员Victor Gevers的采访。 但Twitter和白宫都极力否认了这一说法。“我们没有看到任何证据来证实这一说法,包括从今天在荷兰发表的文章中,”Twitter发言人告诉The Verge。“我们主动对美国指定的一批知名度高、与选举相关的Twitter账户实施了账户安全措施,其中包括联邦政府部门。” 白宫副新闻秘书贾德·迪尔也否认了这一报道。“这绝对不是真的,”他告诉The Verge,“但我们不评论围绕总统社交媒体账户的安全程序。” GEVERS此前声称自己在2016年入侵了特朗普的账户。 《自由荷兰》杂志上个月报道称,Gevers和另外两名黑客在2016年10月成功入侵了特朗普的Twitter账户。根据其新报告,Gevers决定在2020年通过输入旧密码来进行新的安全测试。这个密码(“yourefired”)没有成功,但Gevers发现特朗普没有启用双因素认证–对于一个极其重要的账户来说,这是一个显著的弱点。他猜中了其他一些密码,在另外五次尝试后获得了访问权限。 Twitter没有说明到底对特朗普的账户实施了哪些安全措施。该公司在9月份几个备受瞩目的账户被入侵后,开始要求使用强密码,并认真鼓励双因素安全,但理论上有可能是特朗普竞选团队禁用了这项额外措施。 《自由荷兰》还报道称,特朗普在10月16日发出的一条奇怪的推文是由Gevers负责的。这条推文引用了讽刺刊物《The Babylon Bee 》的内容。Gevers显然不愿向《自由荷兰》证实这一点,但他表示,如果他证实了这一点,那么 “特朗普需要承认自己从来没有读过《The Babylon Bee 》的文章并发布了这条推文,或者他需要承认是别人发布了这条推文。” 特朗普在本周早些时候的一次演讲中声称,“没有人被黑客攻击。黑客入侵需要一个智商197的人,而他需要你密码的15%。”。特朗普此前曾承认,2013年有黑客入侵了他的Twitter账号。 Gevers是一位受人尊敬的安全专家,同时也是非营利组织GDI基金会的联合创始人。他表示,他曾多次尝试就该漏洞与特朗普联系。 《大众日报》报道称,根据记者看到的信件,美国特勤局联系到了Gevers,并 “认真对待了这份报告”。美国特勤局发言人拒绝对这一说法发表评论。在给The Verge的直接信息中,Gevers表示,他还多次尝试联系Twitter,但 “运气不佳”。 Gevers没有确认他是否发送了有关《The Babylon Bee 》的推文。但他表示,尽管获得了对特朗普账户的访问权限,但他并没有对其进行修改。“这是不道德的,做的太过火了。这不属于负责任的披露/协调漏洞披露的范围,”他说。“或者,用简单的英语来说,就是一个社会上不可接受的举动。”     (稿源:cnbeta ;封面来自网络)

FBI:俄罗斯黑客攻击了美数 10 个州和地方政府计算机网络

据外媒报道,FBI和美国网络安全与基础设施安全局(CISA)的情报专家于当地时间周四在一份联合声明中称,俄罗斯政府支持的黑客攻击了数十个州和地方政府的计算机网络并成功侵入了其中一些。另外据披露,黑客还从至少两台服务器上获取了数据。 根据声明,这个有时被称为Energetic Bear的组织的黑客跟俄罗斯政府存有关联,他们登录了政府管理员账号然后在敏感系统中行动。被盗的数据包括附加密码以及有关各国政府如何使用双重认证和密码重置请求等安全功能的信息。另外它还包括如何打印访问徽章以及政府跟哪些供应商合作的信息。 FBI和CISA在声明中表示,这些数据包括可能帮助黑客破坏选举的信息,但他们补充称,他们迄今还没有掌握表明选举数据的完整性受到了损害的证据。 而就在一天前,美国家情报总监John Ratcliffe和FBI局长Christopher Wray在新闻发布会上表示,俄罗斯和伊朗曾试图干预美国总统选举。Ratcliffe指出,伊朗黑客发送欺诈性电子邮件威胁选民告诉他们必须在即将到来的选举中投票给特朗普总统。 《纽约时报》周四援引匿名消息来源的一篇报道称,美情报官员认为来自俄罗斯的威胁更复杂、更严重。   (消息来源:cnbeta ;封面来自网络)