安全快讯Top News

俄间谍组织 Turla 持续开发 Carbon 后门新变种

世界知名安全软件公司 ESET 于 3 月 30 日发布报告称,俄罗斯间谍组织 Turla 致力于开发各类恶意软件,其中主要包括最新发布的多个 Carbon 后门新变种。 Turla 是俄罗斯网络间谍组织之一,又称 Waterbug 、Venomous Bear、Krypton。自 2007 年以来一直处于活跃状态,主要针对欧洲的外交部等政府机构和军工企业。典型受害者如瑞士科技与军备制造企业 RUAG 公司、美国中央司令部等。 ESET 的研究人员表示,间谍组织 Turla 具有一个特征:一旦常用的恶意软件被揭露,他们将立即改用新变种以便继续执行间谍活动。因此,市面上出现的恶意软件新变种的互斥体与文件名存在不同也不足为奇。Turla 间谍组织通常会在部署恶意软件 Carbon 后门之前,首先对目标系统进行侦察工作。 研究人员称,一个“ 经典 ”的 Carbon 后门攻击链是从目标用户收到钓鱼邮件或访问受感染网站(通常是用户定期访问的网站)开始。一旦入侵成功,用户设备将在第一阶段安装恶意软件后门,如 Tavdig 或 Skipper。倘若侦查阶段得以完成,Carbon 后门将会成功安装在用户关键系统中。 据悉,恶意软件 Carbon 是间谍组织 Turla 最为复杂的后门程序,用于窃取目标用户的敏感信息,但也与 Turla 开发的其他恶意软件 Rootkit Uroburos 有部分相似之处。 原作者:Gabriela Vatu, 译者:青楚      本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

网络攻击直指加拿大麦当劳网站,近 10 万份求职简历信息遭泄露

在最近的一次网络攻击中,加拿大麦当劳的求职网站最近遭到了 一起恶意的网络攻击,95,000 位网上求职者的个人信息被泄露出来。 麦当劳公司表示,这次网络攻击中受到影响的人们是那些于 2014 年 3 月至 2017 年 3 月之间在线申请工作的求职者们。此次网络危机中泄露个人信息包括:姓名、家庭地址、邮箱地址、电话号码、工作背景和其他工作申请中所涉及的信息。 “有一点很重要——幸好我们的申请表中并不要求申请者填写高度敏感的个人信息; 比如社会保险号码、银行信息和健康卡信息等 ”。公司负责人还表示,“我们没有收到关于信息被滥用的任何报告。但我们依然要向受事件影响的人们道歉 ”。公司发言人 Adam Grachnik 在电子邮件中表示,麦当劳加拿大一直监控其数据库对于任何未经授权的访问, 监控发现未经授权的访问到数据库。 该公司表示,网站在了解到违规行为后立即被关闭。直到调查完成,网站才可能恢复,公司将采取措施确保违规行为不再发生。麦当劳将通过邮件通知受影响的求职者,并补充称,如果申请者没有提供家庭地址,公司将通过电子邮件或电话通知。 稿源:搜狐;封面源自网络

美 ISP 承诺将不会销售用户网页浏览历史记录

据外媒报道,几日前,美国国会推翻了 FCC 的网民隐私政策,这意味着互联网服务供应商可以将用户的网页浏览历史数据销售给广告商或第三方。这一决定遭到了各方隐私倡导者以及机构的反对。对此,包括 AT&T、Verizon、Comcast 在内的部分大型互联网服务供应商作出表态,他们将不会卖掉用户的浏览历史数据。 Verizon 非常坚定地说出了自己的立场: “让我在此解释清楚,Verizon 不会把我们客户的个人网页浏览历史数据卖掉。我们不会去做,这是底线。” Comcast 同样也给出了非常坚决的态度: “我们不会卖掉我们宽带用户的个人网页浏览历史数据。在 FCC 废除该政策之前我们就不曾做过,未来也没这样的计划。” 至于 AT&T 虽然也谴责了废除该隐私政策的行为,但说实话,这家公司的立场却让人觉得有点不那么真实,因为它此前曾被曝出为广告商追踪用户的网页浏览历史记录。 稿源:cnBeta;封面源自网络

Wikileaks 公布 CIA 的代码混淆工具 Marble

Wikileaks 释出了第三批 CIA 机密文件,曝光了情报机构的代码混淆框架 Marble。代码混淆工具被设计用于隐藏代码的真正来源,将  CIA 开发的恶意程序伪装成来自其它国家。该框架对于开发者和安全研究人员具有参考价值。 如图所示,源代码文件披露了 Marble 中名叫“ adding foreign language ”的功能,在程序中混入其它国家的语言,包括阿拉伯语、中文、俄语、韩语和波斯语。通过混入外国语言,一个 CIA 开发的恶意程序可能会被视为是另一个国家开发的,比如混入中文可能会被认为是中国开发的,但实际上背后是山姆大叔。现在源代码曝光之后,CIA 看起来需要更新一下它的混淆工具了。 稿源:Solidot奇客;封面源自网络

因禁止土耳其集会,荷兰议会网站遭勒索软件攻击

据荷兰本土刊物《尼德兰时报》(NL Times)报道,黑客组织针对荷兰议会下议院发动勒索软件攻击并在停止前设法加密部分文件。调查表明,此次袭击事件由荷兰政府禁止两名土耳其官员在本地集会期间与外侨谈话而引发。 尽管荷兰议会发言人决定不对本次袭击事件发表任何意见,某位荷兰议员仍在推特上发布了勒索软件攻击政府计算机系统的消息。届时所有议会成员也都收到了一封描述该事件的内部电子邮件。目前,事态已在 IT 专家着手替换加密文件之前得到有效控制。 事实上,荷兰网站并非第一次遭受黑客袭击。几周前,荷兰选民用来确定投票人选的两大网站于选举日当天遭到入侵。随后,当地一家互联网安全公司立即展开调查,结果表明确实由土耳其黑客组织所为。 此外,另一次攻击事件针对荷兰分析公司 Twitter Counter 展开。黑客组织通过恶意链接方式入侵大量 Twitter 帐户,导致大量账户遭劫持并被迫发布支持土耳其总统 Recep Tayyip Erdogan 的言论,部分带有纳粹党的十字标志,因为荷兰政府被指控为“纳粹残余”。据悉,这些推文将被用于 4 月 16 日土耳其全民公投,或为 Erdogan 提供更大的权力以及连任土耳其总统的机会。 原作者:Gabriela Vatu, 译者:青楚     本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

三星 Galaxy S8/S8 Plus 面部识别存安全隐患,一张自拍照即可轻松解锁

外媒 3 月 31 日报道,三星最新发布的旗舰机 Galaxy S8 / S8 Plus 还未上市,就被网友证实该款新机“ 面部识别 ”解锁功能存在安全隐患,只需任意一张自拍照即可轻松解锁设备并登录网站。 此前,黑客可以绕过生物识别技术入侵用户设备,其中包括指纹和虹膜扫描仪。类似问题似乎也影响了三星最新设备中“ 面部识别 ”技术的实施。 YouTube 博主 Marcianotech 在 Twitter 上发布了一段测试视频,展示了如何解锁三星 Galaxy S8 /Galaxy S8 Plus。测试结果显示,用户只需从 Facebook 获取一张自拍照片并将其呈现至锁定手机即可解锁。 目前,三星公司并没有对该视频发表任何评论。为确保新款旗舰机 Galaxy S8 / Galaxy S8 Plus 能够于 4 月 21 日成功上市,该公司正在处理“ 面部识别 ”功能存在的安全隐患。安全专家建议,准备购买该款新机的用户最好将 PIN 码、指纹或虹膜作为主要解锁方式。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

抓住隐私法案废除契机:Verizon 推出预装应用收集用户信息

美国国会众议院 28 日投票废除奥巴马时期出台的一条互联网隐私法规;该法规要求网络宽带服务提供商要先征得用户允许,才能将个人信息共享出去,其中包括定位数据。抓住这个契机,美国最大电信运营商 Verizon 宣布推出名为 AppFlash 的全新预安装应用程序,通过调取相关数据来向你发送有针对性的广告。 援引外媒 TechCrunch 报道,这款名为 AppFlash 的预安装应用希望成为 Android 操作系统的移动搜索中心,可以在主屏幕通过向左滑动来呼出。在试运行阶段这款软件会预安装在 LG K20 V 这一款设备上,不过 Verizon 表示这款应用会提供相关的选项,消费者能够轻易的进行关闭。Verizon认为它能够用于搜索从餐馆、音乐和移动应用的所有内容,不过该应用的主要功能还是为了收集用户数据。的 AppFlash 的隐私策略就根据消费者的移动号码、正在使用的设备以及已经安装的应用上收集信息。在得到消费者的许可之后还能监控物理定位和联系人信息。所有这些信息都会同“ Verizon 系列公司”进行分享,从而帮助提供更精准的广告信息。这个系列公司包括 AOL 、雅虎等等。 稿源:cnBeta,封面源自网络

欧盟将于 6 月全面推动软件后门设置,公民隐私何去何从?

据欧盟司法委员会委员 Věra Jourová 公开表示,欧盟委员会将于今年 6 月全面推动各类应用程序加密机制的后门访问能力。欧洲政府官员目前已就此问题达成共识,并将提供“三个或四个选项”,主要包括企业自愿公开权限或严格立法强制执行。 欧盟此举的目的是向执法机构提供一种监控加密应用程序用户通信内容的“快捷可靠”的方式。检察官、法官、警察以及执法机构目前只能依赖于供应商在自愿的前提下提供访问权限和证据,仅凭这点并不能确保欧洲人民的安全。 政府通常会利用立法权威迫使供应商自愿提供权限。然而,欧盟委员会显然已经预料到来自技术行业的重大阻力,尤其像 Facebook 和苹果这样的美国企业,认为自愿、非立法处理方式只是获得“快速解决方案”的临时策略,并非长久之计,相关法律法规仍有待制定与完善。 根据目前形势,欧盟委员会提供的观点并非虚张声势。尽管通过整个立法的过程需要耗时数年,但欧盟断言已为此做好一切准备。 对此,技术公司和安全专家的看法是,倘若加密后门被创建,则无法确保只有“好人”使用该特殊访问通道,在一定程度上打破了端到端加密系统与加密存储的安全性。然而,政府官员与执法机构则表示,他们并不关心具体实施过程,只希望能够访问欧洲人民的私人通信与数据存储,特别是在已经对嫌疑人发出逮捕令的情况下。 原作者:Kieren McCarthy, 译者:青楚     校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Mirai 僵尸网络新变种发起 54 小时 DDoS 攻击,最高峰值刷新纪录

 Imperva 的安全专家称,Mirai 僵尸网络新变种瞄准该公司某美国大学用户发起为时 54 小时的分布式拒绝服务( DDoS )攻击,峰值高达 37,000 RPS。专家强调,此次攻击事件打破了 Mirai 僵尸网络有史以来最高记录。 恶意软件 Mirai 最初由研究员 MalwareMustDie 于 2016 年 8 月发现,专门针对物联网设备,曾感染成千上万的路由器与物联网( IoT )设备,主要包括硬盘刻录机( DVR )和闭路电视( CCTV )系统。当 Mirai 僵尸网络感染设备时,会随机选择 IP 并尝试使用管理员凭据通过 Telnet 和 SSH 端口进行登录。 2016 年,Mirai 僵尸网络攻击了两大知名网站 Brian Krebs 与 the Dyn DNS service 。同年10月,Mirai 僵尸网络的源代码在线泄露,各类新变种滋生。Brian Krebs 专家称,代号为“ Anna- senpai ”的用户在知名黑客论坛 Hackforum 共享了恶意软件 Mirai 源代码链接。2017 年 1 月,专家发现一个据称是 Windows 版本的 Mirai 新变种出现,允许 Linux 木马传播至更多 IoT 设备。 经推测,Mirai 新变种由源代码泄露导致。Mirai 僵尸网络之前通过网络层展开 DDoS 攻击,而新变种则利用应用层进行攻击。 专家表示,发起攻击的僵尸网络主要由闭路电视摄像机头、DVR 和路由器组成。攻击者可能利用已知 IoT 设备漏洞打开 Telnet( 23 )端口和 TR-069( 7547 )端口。 据悉,此次攻击中使用的 DDoS 僵尸采用不同的用户代理,而非曾在默认 Mirai 版本中出现的五个硬编码样例。技术细节表明,Mirai 僵尸网络新变种已被改进并用于提供更复杂的应用层攻击。 分析显示,攻击流量来自全球 9,793 个 IP,超过 70% 的设备位于以下国家及地区:美国(18.4%)、以色列(11.3%)、台湾(10.8%)、印度(8.7% )、土耳其(6%)、俄罗斯(3.8%)、意大利(3.2%)、墨西哥(3.2%)、哥伦比亚(3.0%)和保加利亚(2.2%)。 原作者:Pierluigi Paganini, 译者:青楚     校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新骗局:诈骗者谎称用户 iCloud 账号被盗并借此获取登录权限

近日,有外媒曝出,近段时间出现了一种新的 iPhone 手机诈骗手段。据称,诈骗分子假装成苹果技术支持部门的员工然后打电话给 iPhone 用户告诉他们其 iCloud 遭到攻击,而实际上,这些用户的 iCloud 账号此时非常安全。据了解,已经有相当一部分用户遭殃,他们将自己的遭遇分享到了社交媒体平台上。 这位叫做 steff 的 Twitter 用户就很不幸地沦为受害者,她表示自己账号里的钱都被盗走了。 据披露,诈骗分子会要求用户向他们提供验证身份的信息,这也就意味着他们能够轻而易举地获得这些用户账号的登录权限。 此外,诈骗分子还可能执意要求为目标的电脑安装所谓的杀毒软件来盗取受害者的数据。 对于苹果用户来说,或许在怀疑自己 iCloud 账号遭到攻击的时候最好在一台安全的设备上更改密码并启用两步认证登录方式,或自己联系苹果技术支持工作人员来帮助解决这一问题。 稿源:cnBeta;封面源自网络