安全快讯Top News

微软发布 SolarWinds 入侵事件深度调查报告 黑客技巧与娴熟度超高

2021 年 1 月 20 日,微软发布了针对 SolarWinds 入侵事件的又一份深度调查报告,并且指出幕后攻击者有着极其高超的黑客技巧和娴熟度。在去年的攻击中,SolarWinds 因 Orion IT 管理软件的封包服务器被恶意软件感染,导致包括微软在内的数以万计的客户,在部署更新后受到了不同程度的影响。 在这篇报告中,微软主要深入探讨了攻击者是如何逃避检测、并通过企业内网进行静默传播的。 “首先,在每台机器上的 Cobalt Strike 动态链接库(DLL)植入都是唯一的,以避免恶意软件自身被筛查到任何重复的痕迹。 其次,攻击者重用了文件、文件夹、导出功能的名称,辅以 C2 域名 / IP、HTTP 请求、时间戳、文件元数据、配置、以及运行子进程。” 如此极端的差异化,同样出现在了不可执行的部分,比如 WMI 过滤查询和持久性过滤器的名称、用于 7-zip 压缩包的文档密码、以及输出日志文件的名称。 想要对每台受感染的计算机执行如此细致筛查,显然是一项让人难以置信的艰苦工作。但攻击者就是通过这样的手段,在很长一段时间内躲过了安全防护系统的检测。 此外攻击者不仅勤奋,还显得相当具有耐心。比如为了避免被检测到,它还会首先枚举目标计算机上运行的远程进程和服务。 接着通过编辑目标计算机的注册表,以禁用特定安全服务进程的自动启动。在切实的攻击发起之前,恶意软件会非常耐心地等待计算机重新启动。 最后,微软指出了 Solorigate 攻击者的其它聪明之处,比如仅在工作时间段内对系统发起攻击,因为此时发生的正常活动会掩盖他们的真实目的。 结合复杂的攻击链和旷日持久的操作,安全防护系统也必须在持续数月的时间里、对攻击者的跨域活动有着全面的了解,辅以历史数据和强大的分析工具,才能尽早地对异常状况展开调查。           (消息来源:cnBeta;封面源自网络)

Sysrv-hello 僵尸网络集木马、后门、蠕虫于一身,攻击 Linux、Windows 主机挖矿

一、概述 腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿,同时下载mysql、Tomcat弱口令爆破工具,Weblogic远程代码执行漏洞(CVE-2020-14882)攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。 Sysrv-hello僵尸网络挖矿前,恶意脚本还会尝试结束占用系统资源较多的进程,以独占系统资源,这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复,属于较新的漏洞攻击工具,因部分企业漏洞修复进度较慢,使得该团伙的攻击成功率较高。 该僵尸网络于2020年12月首次被国内安全研究人员发现,由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力,使用的漏洞攻击工具也较新,仅仅用了一个多月时间,该僵尸网络已具有一定规模,对政企机构危害较大。   自查处置建议 腾讯安全专家建议政企用户尽快修复weblogic远程代码执行漏洞(CVE-2020-14882),修复Nexus Repository Manager 3、mysql、Tomcat服务器存在的弱口令风险,对系统以下条目进行排查: 文件: Linux: /tmp/network01 /tmp/sysrv /tmp/flag.txt   Windows: %USERPROFILE%\appdata\loacal\tmp\network01.exe %USERPROFILE%\appdata\loacal\tmp\sysrv.exe   进程: network01 sysrv   定时任务: 排查下拉执行(hxxp://185.239.242.71/ldr.sh)的crontab项   腾讯安全响应清单 腾讯安全全系列产品支持在各个环节检测、防御Sysrv-hello僵尸网络对云上主机的攻击。   具体响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)威胁情报已加入,可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Sysrv-hello相关情报已支持检索,可自动关联分析到该病毒家族最新变种,使用资产。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud  Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,阻断恶意攻击流量,阻断恶意通信流量: 1)Sysrv-hello相关联的IOCs已支持识别检测; 2)支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic(CVE_2020_14882)恶意攻击; 3)支持检测mysql爆破攻击。 有关云防火墙的更多信息,可参考:  https://cloud.tencent.com/product/cfw 腾讯T-Sec   主机安全 (Cloud  Workload Protection,CWP) 1)云镜已支持Sysrv-hello关联模块的检测告警,查杀清理。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。 关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)支持识别、检测Sysrv-hello相关联的IOCs; 2)支持检测和拦截Sysrv-hello发起的Nexus 恶意攻击、weblogic(CVE_2020_14882)恶意攻击; 3)支持检测mysql爆破攻击。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 (iOA) 1)已支持Sysrv-hello关联模块的检测告警和查杀清理。 零信任无边界访问控制系统(iOA)是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念,推出的网络边界访问管控整体解决方案。更多资料,可参考:https://s.tencent.com/product/ioa/index.html   二、详细分析 腾讯云防火墙检测到Sysrv_hello僵尸网络针对使用Nexus Repository Manager 3默认账户密码资产发起攻击,下图为攻击过程中产生的恶意payload。 恶意payload执行后Nexus将添加名为t的task脚本执行任务,该任务触发执行后(“action”:”coreui_Task”,”method”:”run”…)进一步下拉恶意脚本执行,恶意脚本地址(hxxp://185.239.242.71/ldr.sh) ldr.sh恶意脚本首先会尝试卸载云主机安全软件(aliyun,yunjing),停止部分服务(安全软件,挖矿木马),同时删除部分docker挖矿镜像。 清理高CPU占用进程达到资源独占目的(对CPU占用达到50%的进程进行清理) 尝试下载矿机命令执行,进程名为network01,矿池,钱包地址如下: Pool.minexmr.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa 下载sysrv蠕虫扩散模块、下载挖矿守护进程功能模块执行 最后将其自身写入计划任务,并删除本地相关对应文件 该木马不仅攻击Linux系统,同时发现针对Windows平台的恶意载荷,攻击Windows系统成功后会植入powershell恶意脚本,脚本会进一步拉取Windows平台的相同模块到tmp目录执行。 Linux系统下sysrv模块通过使用52013端口作为互斥量,端口开启状态判定为已感染环境直接退出,否则打开本地该端口进行占用。 sysrv通过检测进程,判断network01进程(矿机进程)是否正常运行,如果未正常运行,就在tmp目录进一步释放出文件内嵌的elf文件,并命名为network01将其执行。 network01模块为门罗币矿机程序,该团伙通过清理可能的竞品挖矿进程或其他占CPU资料较多的进程实现独占CPU资源挖矿。 sysrv确认挖矿行为正常运行后,会开始进行蠕虫式的攻击传播:进行随机IP的端口扫描与漏洞利用,会尝试对mysql,Tomcat服务进行爆破攻击,尝试对Weblogic服务使用CVE-2020-14882漏洞(该漏洞公告由Oracle官方于2020年10月21日公开)进行远程代码执行攻击,这一横向扩散行为使该团伙控制的肉鸡规模迅速增大。 hello_src_exp爆破,漏洞利用组合攻击 攻击mysql服务使用的弱口令爆破字典 攻击Tomcat服务使用的爆破口令 对Weblogic组件利用CVE-2020-14882 远程代码执行漏洞攻击,该安全漏洞为2020年10月Oracle官方公告修复,属于相对比较新的漏洞攻击武器。 IOCs MD5: 33c78ab9167e0156ff1a01436ae39ca1 6db4f74c02570917e087c06ce32a99f5 750644690e51db9f695b542b463164b9 d708a5394e9448ab38201264df423c0a bc2530a3b8dc90aca460a737a28cf54b 236d7925cfafc1f643babdb8e48966bf URL: hxxp://185.239.242.71/ldr.sh hxxp://185.239.242.71/ldr.ps1 hxxp://185.239.242.71/xmr64 hxxp://185.239.242.71/xmr32 hxxp://185.239.242.71/xmr32.exe hxxp://185.239.242.71/xmr64.exe hxxp://185.239.242.71/sysrv hxxp://185.239.242.71/sysrv.exe IP: 185.239.242.71(ZoomEye搜索结果) 矿池&钱包 pool.minexmr.com xmr.f2pool.com 49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

特朗普总统任职最后一天签署新行政命令以遏制外国网络干预

据外媒报道,当地时间周二,白宫方面表示,即将卸任的特朗普总统签署了一项行政命令,旨在阻止外国利用云计算产品对美国进行恶意网络行动。这是特朗普总统就职的最后一天。 最先由路透社报道的这项命令赋予美国商务部以制定规则来在外国人利用云计算产品或服务进行网络攻击的情况下禁止美国跟他们在该领域进行交易权力的权力。 这项命令还要求该机构在六个月内为Infrastructure as a Service–一种云计算类型–美国供应商制定规则,从而确认他们与之进行业务往来的外国人的身份并并保留特定记录。 一位高级官员披露,美国官员已经为这项指令运作了近两年时间。但它的推出却是在美国科技公司SolarWinds以侵入联邦政府网络为跳板的大规模黑客活动之后。美国高级官员和国会议员指责俄罗斯发动了大规模的黑客攻击,但克里姆林宫否认了这一指控。 民主党当选总统乔·拜登将于周三将宣誓就职,而他可以轻松撤销特朗普总统任期即将结束时发布的行政命令。对此,拜登的过渡团队方面没有立即回应置评请求。           (消息及封面来源:cnBeta)

欧盟药品管理局:黑客窃取并“篡改”了疫苗文件

欧洲药品管理局周五表示,黑客不仅从该机构的服务器上窃取了 COVID-19 疫苗文件,还对泄漏到网络上的文档进行了“篡改”。据悉,作为疫苗审批程度的一部分,该机构不仅负责着欧盟 27 个成员国的药品监管工作,还拥有大量与 COVID-19 有关的机密数据。 然而一项正在进行中的调查显示,黑客从 11 月开始就收到了与实验性冠状病毒疫苗评估相关的电子邮件和文件。总部位于荷兰的欧洲药品管理局写道: 某些函件已在黑客向外界公布前被篡改,从而破坏了人们对于疫苗的信任。我们已经注意到,某些通信并非以完整 / 原始的形式发布,而是被黑客篡改或添油加醋。 虽然 EMA 没有明确提及哪些信息,但网络安全专家指出,这种做法具有假冒政府发起虚假宣传活动的典型特征。 意大利网络安全公司 Yarix 表示,早在 2020 年 12 月 30 日,他们就已经在某个‘众所周知’的地下论坛看到了所谓的爆料。 发布者还拟了个相当耸人听闻的标题 ——《令人惊讶的欺诈!邪恶的片子!假疫苗!》—— 然后此事开始在暗网和其它网站上流传。 网络犯罪分子的意图很是明确,即通过刻意编造的泄露事件,对欧洲药品管理局和辉瑞等疫苗研发企业的声誉造成重大损害。 此外网络安全顾问 Lukasz Olejnik 表示,黑客背后或许还有更多不可告人的秘密: 我担心此类‘爆料’会引发整个欧洲的人们对 EMA 药物审查和疫苗接种流程的极大不信任,虽然尚不清楚谁是幕后主使,但明显有人决定为此事投入大量资源。 这种针对药物审核材料的抹黑攻击操作可谓是前所未见,如果被幕后黑手得逞,最终可能导致对欧洲人的健康产生广泛而负面的影响。 去年 12 月,总部位于阿姆斯特丹的 EMA 还曾遭到德国等欧盟成员国的严厉批评,埋怨其未能更快的批准新冠疫苗的上市。 至于针对最新的黑客攻击事件的调查进展,EMA 表示执法部门正在针对本次黑客攻击事件采取必要的行动。         (消息及封面来源:cnBeta)

Malwarebytes 成为第四家遭受 SolarWinds 黑客入侵的安全公司

美国网络安全企业 Malwarebytes 今日表示,该公司于去年遭受了针对 SolarWinds 的同一黑客组织(UNC2452 / Dark Halo)的入侵。虽然本次入侵无关于 SolarWinds 被恶意软件感染的 IT 管理工具,但黑客还是利用 Azure 活动目录漏洞和恶意的 Office 365 应用程序,对 Malwarebytes 的内部系统造成了破坏。 Malwarebytes 表示,在 2020 年 12 月 15 日接到了微软安全响应中心(MSRC)的通报后,该公司才获悉自家网络被入侵。 当时微软正对其 Office 365 / Azure 基础架构展开搜查,以查找由 SolarWinds 黑客(UNC2452 / Dark Halo)创建的恶意应用程序的蛛丝马迹。 Malwarebytes 联合创始人兼首席执行官 Marcin Kleczynski 表示,在得知此事的第一时间,他们就立即对该漏洞展开了内部调查,以确定被黑客染指了哪些内容。 此前由于 SolarWinds 的应用程序封包服务器被 Sunburst 恶意软件感染,导致 SolarWinds 的数万客户都被感染后的 Orion IT 管理软件所影响。 经过广泛调查,其确定攻击者仅访问了公司内部电子邮件的一部分。此外在对所有产品及源码展开彻底审查后,Malwarebytes 确定旗下产品并未受到影响。 Kleczynski 补充道:“没有任何证据表明我司内部系统有遭受任何本地或生产环境的未经授权访问或损害,Malwarebytes 的软件仍可被安全使用”。 据悉,在 Malwarebytes 之前,FireEye、微软和 CrowdStrike 也都表示遭到了 SolarWinds 入侵事件幕后黑手的网络攻击。             (消息及封面来源:cnBeta)

FireEye 发布审计 SolarWinds 黑客攻击技术的网络调查工具

在今日发布的一份报告中,网络安全公司 FireEye 详细披露了 SolarWinds 黑客网络攻击事件所使用的相关技术。与此同时,FireEye 还在 GitHub 上分享了一款名为《Azure AD Investigator》的免费工具,以便企业能够确定 SolarWinds 黑客在其网络中部署了哪几道后门。 在今日的报告发布之前,FireEye 已协同微软和 CrowdStrike 对 SolarWinds 的供应链危害展开了全面的调查。 在 2020 年 12 月 13 日初次曝光时,FireEye 和微软首先确认黑客攻入了 IT 管理软件提供商 SolarWinds 的网络,并用恶意软件感染了 Orion 应用程序的封包服务器。 这款名叫 Sunburst(或 Solorigate)的恶意软件,被用于收集受害企业的内部信息。遗憾的是,部署 Orion 应用程序的 1.8 万个 SolarWinds 客户,其中大多数人都忽略了木马的存在。 在初步得逞后,攻击者部署了第二款名叫 Teardrop 的恶意软件,然后利用多种技术手段,将黑手延伸到了企业内网和云端(尤其是 Microsoft 365 基础设施)。 在今日长达 35 页的报告中,FireEye 更详细、深入地介绍了这些后期攻击手段,以及企业能够实施的检测、修复和增强策略。 (1)窃取活跃目录的 AD FS 签名证书,使用该令牌伪造任意用户(Golden SAML),使得攻击者无需密码或多因素身份认证(MFA),即可染指 Microsoft 365 等资源。 (2)在 Azure AD 中修改或添加受信任的域,使得攻击者控制的新身份(IdP),进而伪造任意用户的令牌(又称 Azure AD 后门)。 (3)染指高特权用户账户(比如全局或应用程序管理员的 Microsoft 365 资源),接着同步本地用户账户的登录凭据。 (4)通过添加恶意凭证来劫持现有 Microsoft 365 应用程序,以使用分配给该应用程序的合法权限 —— 比如可绕过 MFA 多因素身份认证来读取电子邮件、以任意用户身份发送电子邮件、以及访问用户的日程等信息。 FireEye 指出,尽管 SolarWinds 黑客(又称 UNC2452)采取了各种复杂的手段来掩饰自己,但相关技术仍可被检测和阻挡在外。 事实上,FireEye 也在自己的内网中检测到了相关技术,然后分析了其它企业的内部漏洞,最终揭开了更广泛的 SolarWinds 黑客攻击事件。           (消息来源:cnBeta;封面源自网络)

报告显示五分之一公司承认对远程员工进行秘密监视

根据一份新的报告,五分之一的老板在员工不知情情况下监控着员工浪费时间的行为。在Metro一份报告中,工会警告说,雇主正在利用新冠疫情限制来秘密监控远程工人。每五家公司中就有一家承认窥探员工或计划在未来这样做。 这份报告表示,许多雇主正在投资于科技,对雇员进行微观管理,并自动决定雇佣谁解雇谁。在工作中使用监控时必须适当地征求员工的意见,并保护他们免受算法的不公平管理。目前的监控方法包括检查员工阅读和回复信息所需的时间。最令人担忧的说法是,一些老板通过网络摄像头偷偷观察员工。除了显而易见的隐私问题外,雇员还可能面临不公平的纪律处分。 YouGov/Skillcast对2009家公司的调查显示,12%的公司表示他们已经引入了远程监控。在大型公司情况下,这一数字跃升至16%,8%的公司考虑采取这一行动。根据TUC的研究,七分之一的员工自从开始在家工作以来,他们被监控的次数就增加了。在英国如果怀疑员工违法,公司可以在员工不知情的情况下对其进行监控。许多科技巨头都从远程工作浪潮中受益,我们已经看到它们挑战隐私界限的例子。例如,微软在外界对侵犯性表示反感后,改变了其生产力评分工具。         (消息来源:cnBeta;封面源自网络)

俄罗斯加密交易所 Livecoin 遭黑客攻击后关闭

在12月底突然停止运营后,俄罗斯加密货币交易所Livecoin宣布关闭。据Livecoin主页显示,由于2020年底其服务器遭到攻击,造成财务和技术损失,该交易所无法继续运营。Livecoin于1月16日在Twitter上宣布关闭,其新域名liveco.newsLivecoin和旧域名Livecoin. net已不可用。 Livecoin表示,公司正在努力“将剩余资金”支付给客户,用户需通过电子邮件与该交易所联系,以完成核实工作,必须在平台上发送他们的用户名和注册日期。交易所承诺将在回件中提供详细指示,2021年3月17日之前均有效。但没有具体说明何时偿还客户资金。 Livecoin还警告用户注意非官方的Livecoin聊天群组可能传播虚假信息,并试图欺骗用户。Livecoin 写道: “参加此类群聊的风险很高,因为我们没有任何官方组织。” Livecoin声称其网站是官方信息的唯一来源。该公司还表示,正在进行调查。 Livecoin在12月24日停止了运营,声称交易所遭受了“精心策划的攻击” ,导致其失去了对所有服务器的控制。黑客们设法接管了Livecoin的基础设施,并将交易所的价格调整到异常高的水平。据报道,Livecoin 的比特币交易价格超过30万美元,而当时的市场价格约为2.4万美元。一些用户随后暗示 Livecoin 的“黑客”可能是一个退出骗局。 一些报道称用户猜测Livecoin的最新声明可能是由黑客发布的,而其他用户正向当地执法部门投诉。一些用户出于隐私考虑拒绝向Livecoin发送个人数据。一位据称是平台用户的人提供了Livecoin报销程序所需的数据清单,包括护照扫描、居住信息、高分辨率自拍、关于交易所第一笔交易的数据等等。           (消息及封面来源:cnBeta)

Windows 10 又现新漏洞

这些年来Windows 10出现了很多的诡异Bug。例如,就在前几天,我们报道过一个可能会破坏硬盘驱动器的错误。现在,一个导致Windows崩溃的bug的细节已经出现,但微软似乎并不急于修复它。 这个错误是由之前发现NTFS缺陷的同一位安全研究员Jonas Lykkegaard发现的。他发现通过访问Chrome浏览器中的某个路径,Windows 10会以BSoD(蓝屏死机)的方式崩溃。尽管Lykkegaard早在几个月前就公开了该漏洞的细节,但微软仍未拿出修复方案。 BSoD漏洞非常容易执行,目前还不知道该漏洞的全部后果。Lykkegaard发现,使用Chrome访问路径\.\globalroot\device\condrv\kernelconnect会导致Windows 10中的BSoD崩溃。 BleepingComputer进行的测试显示,从Windows 10版本1709一直到20H2的每一个版本的Windows 10中都可以发现这个bug,很大可能也影响旧版本。 虽然像这样简单的崩溃可能看起来相当无害,但它是一些可以被攻击者利用以掩盖其他活动,或阻止受害者使用他们的计算机。这个错误甚至可以通过简单地给受害者发送一个指向问题路径的快捷方式文件来触发。 在给BleepingComputer的一份声明中,微软表示。”微软有客户承诺调查报告的安全问题,我们将尽快为受影响的设备提供更新”。尽管有这样的承诺,但没有迹象表明相当何时可能提供修复。           (消息及封面来源:cnBeta)

外媒详解 Jabber 统治俄罗斯地下黑客组织原因

据外媒CyberScoop报道,虽然俄罗斯网络犯罪黑社会的大部分是一个谜团,但有一种技术却充当了贯穿整个谜团的关键共同链接,它就是Jabber。根据安全公司Flashpoint的最新研究,在一个尖端技术、创意和犯罪的领域,这个已有18年历史的即时通讯工具是讲俄语的网络罪犯最流行的交流工具。 虽然Jabber已经在俄罗斯社区占据了主导地位,但与此同时,它在世界各地的网络罪犯中也变得越来越受欢迎。 这不仅是对技术质量的证明也是对俄罗斯黑客趋势的影响的证明。 “在网络犯罪经济中,Jabber被视为沟通的黄金标准,”安全公司Flashpoint高级研究员Leroy Terrelonge III告诉CyberScoop。 Jabber(同时也被叫XMPP或Extensible Messaging and Presence Protocol)是一个开源的联合即时通讯工具,拥有数千个独立服务器和遍布全球的1000多万名用户。该技术运行在HipChat、索尼PS视频聊天应用和Electronic Arts的Origin等主流产品的幕后。而拥有超10亿用户的WhatsApp使用的则是XMPP的一个变体。记者和隐私保护积极分子在该平台上通常都会有属于自己的账号。 Terrelonge说指出,有俄罗斯人作为先锋,“Jabber在网络犯罪社区有着光明的未来。” Jabber对企业来说有用的诸多因素也是使其成为犯罪分子的理想选择的原因之一。该技术支持强大的加密和一系列高安全特性,再加上其开放性从而提高了它在后斯诺登时代的吸引力。 Jabber创建于1999年,经过十多年的发展拥有了数百万名用户。然而从2013年开始,随着世界越来越强烈地意识到网络上的大规模黑客攻击和监视活动,采用这种技术的人越来越多。在俄罗斯,用户最终开始放弃20世纪60年代的即时通讯工具ICQ转而使用Jabber提供的高级安全功能。据悉,ICQ主导了俄罗斯的在线交流近20年时间。在那里,下载并安全地使用带有非公开加密的信息并不是什么大问题。 对于不太成熟的网络罪犯,微软的通讯应用Skype通常就足够了。但即使是在Skype占主导地位的网络犯罪社区,Jabber也已经取得了进展,更老练的黑客则将其整合到Skype中。 Jabber的联盟意味着任何人都可以打开服务器并按照自己认为合适的方式运行。这对那些担心公司跟政府密切合作的罪犯来说极具吸引力,尤其在美国。一些Jabber服务器甚至就是专门为罪犯设置的。 最近被逮捕的Kelihos僵尸网络幕后主使Pyotr Levashov就是一位典型的俄语高级用户。为了运营他的全球业务,Levashov使用了一个加密的非官方Jabber服务器和账号。 然而,大多数黑客并不运行自己的Jabber服务器而是依赖他人运行的服务器。在地下信徒中,Exploit.im Jabber服务器是执法部门的首要目标。 据悉,Exploit.im是由Exploit社区运行的。这是一个半排外的俄语网络犯罪论坛,具有悠久的相对信任和真实性血统。若想要加入社区则需要进行一定程度的审查或支付。Exploit.im账号只提供给认证成员有效地证明了其用户的威望和信心。最重要的是,服务器的管理员承诺用户不会有日志记录并提供强大的隐私和可靠服务。         (消息及封面来源:cnBeta)