安全快讯Top News

日本互联网巨头 GMO 正式开启北欧比特币新矿场

日本最大的互联网巨头 GMO 互联网集团正式进军比特币矿业,年中的时候 GMO 宣布计划使用7纳米芯片进行比特币挖矿业务,互联网服务与网上证券交易企业,GMO 还透露其计划生产一种 PC 机用的 ASIC 挖矿卡,并面向公众出售。位于北欧斯堪的纳维亚半岛的 GMO 比特币新矿场(挖矿数据中心)正式投入运营。 正在今年九月份,GMO 集团主席兼总裁 Masatoshi Kumagai 透露,该矿场将设在北欧的斯堪的纳维亚(半岛),并且将在今年十二月正式启用,届时将开始测试和运行现有的半导体挖矿芯片。GMO 解释说,该地区提供了清洁且廉价的电力。GMO 计划投资 100 亿日元,研发 7 纳米、5 纳米以及 3.5 纳米芯片,以及建立和运营挖矿数据中心。GMO 计划研发生产的 ASIC 挖矿卡力图与 Bitmain 技术相关硬件产品保持竞争,后者的半导体技术目前在比特币网络占了 30% 以上的份额。同时 GMO 还承诺将使用绿色可再生能源用于比特币挖矿业。 稿源:cnBeta,封面源自网络;

FBI 指纹分析软件被曝含有俄罗斯开发的代码

据外媒报道,根据文件和两名爆料者的说法,FBI 及美国 18000 个执法机构所用的指纹分析软件都含有由跟克里姆林宫关系密切的俄罗斯公司开发的代码。这引发了人们的担忧,他们担心俄罗斯黑客将会获得数百万名美国人的敏感生物信息甚至可能还会危机到更加广泛的国家安全问题和执法部门计算机系统。 据爆料者透露,被植入俄罗斯代码的指纹分析软件由一家法国公司开发,他们此前都曾为这家公司工作过。两名爆料者称,这家公司系巴黎大企业 Safran 的子公司,而它刻意向FBI隐瞒了其购买了俄罗斯代码的秘密交易一事。 根据美国有关部门的说法,近些年,俄罗斯黑客获取了包括民主党全国委员会邮件服务器、核能源公司系统、美国参谋长联席会议非机密计算机等访问权限。 今年 9 月,美国国土安全局下令所有联邦机构停止使用由俄罗斯公司卡巴斯基实验室开发的产品。据媒体报道称,俄罗斯黑客利用该软件盗取了美国情报项目的敏感信息。不过这家公司的创始人 Eugene V. Kaspersky 否认了这一指控,公司甚至还提交了软件和未来更新的代码。但即便如此,美方仍认为他们做的还不够。 针对最新曝出的指纹分析软件,网络安全专家们表示,如果不检查代码本身就将无法评估俄罗斯代码将带来的危害。美国 NSA 精英网络情报部门营运政策主任 Tim Evans 表示,使用这款跟俄罗斯联邦安全局( FSB )存有联系的软件让他感到紧张。 FBI 指纹识别技术于 2011 年公布,它被视为是下一代身份识别的一部分。美国运输安全管理局 ( TSA ) 同样也依靠 FBI 的这套指纹数据库。 爆料者称,为了赢得 FBI 的这份合同,Safran 子公司 Sagem Sécurité 将名字改成 Morpho 。这两位爆料者都为 Morpho 工作过,他们是曾是公司在俄罗斯的负责人 Philippe Desbois 、公司在俄罗斯的业务开发团队负责人 Georges Hala 。 另外,Desbois 和 Hala 还向外媒提供了一份在 Morpho 工作期间获得的一份法国公司跟俄罗斯公司 Papillon AO 之间签下的许可协议副本。这份协议签署时间为 2008 年 7 月 2 日,正好是 Morpho 打败全球最大生物识别公司的一年前。文件授予了那时候的 Sagem Sécurité 将 Papillon 代码合并到其公司软件再以公司自己的名义销售产品的权力。另外,文件还规定,Papillon 将为 Sagem Sécurité 提供为期五年的更新和改进服务,也就是说,双方的合同在 2013 年截止。作为回报,Sagem Sécurité 向 Papillon 支付了 380 万欧元的初始使用费,随后每年则要提供维护费。 此外,协议还规定,双方都不能向第三方泄露任何关于这笔交易的信息。 虽然 Desbois 和 Hala 都没有参与 Papillon 代码整合至公司产品的工作以及将产品销售给 FBI 的工作,但他们跟参与过代码整合的工程师谈过话。Desbois 称,多位高层都告诉他,公司卖给 FBI 的技术产品含有 Papillon 算法。 稿源:cnBeta,封面源自网络;

2018 年开始美国国会图书馆将选择性地保存推文

自 2010 年美国国会图书馆与 Twitter 达成协议开始,该机构就收录了自 2006 年至目前产生的所有推文。不过当地时间周二美国国会图书馆在其博客上表示,它将遵循其通常的限制收集的政策,只收集那些重要的推文。 美国国会图书馆在 2017 年 12 月最后一周发布的白皮书( PDF )中指出:“ 通常,收集和归档的推文将是主题性和事件性的,包括诸如选举等事件或持续的国家利益主题,例如公众政策等。”  这可能不会包括关于用户 iPhone 电池的 “ 推文风暴 ” 。 从 2018 年 1 月 1 日开始,美国国会图书馆将不会全面记录所有推文。考虑到 2016 年以来推文数量的大幅增长以及 “ 信噪比 ” 的相应下降,这一举措并不令人意外。此外,新的 280 个字符限制推动了存储需求。 稿源:cnBeta,封面源自网络;

以色列就降低 iPhone 性能一事对苹果提起集体诉讼

苹果公司因为有意在升级新操作系统时降低旧 iPhone 的性能而美国国内遭遇了多起诉讼,现在以色列周一对苹果提起了集体诉讼,索赔 1.25 亿美元。起诉书称,iPhone 用户对手机及其操作系统的判断完全依赖于该公司自身的评价,苹果没有说明软件更新会对手机运行造成负面影响,侵犯了用户的基本权利。 苹果应在用户下载或更新操作系统前告知用户可能出现的运行变慢问题。起诉书中亦指控苹果公司 “ 向顾客隐瞒消息明显是为了获利,因为该公司倾向于使用户尽快购买新机以替换旧机 ”。 稿源:cnBeta、solidot,封面源自网络;

GoAhead Web 服务器远程代码执行漏洞或影响数百万物联网设备

据外媒报道,安全公司 Elttam 近日公布 GoAhead Web 服务器存在一个能够影响成千上万的物联网设备的漏洞 CVE-2017-17562 。该漏洞被攻击者利用来在受影响的设备上远程执行恶意代码 ,IBM、摩托罗拉等科技巨头的产品可能也会牵涉其中,不过相关研究报告显示目前只有 GoAhead 3.6.5 之前的版本出现该漏洞。 GoAhead Web 服务器是为嵌入式实时操作系统定制的开源 Web 服务器。几乎所有物联网设备(包括打印机和路由器)中都可以轻松找到 GoAhead Web服务器的踪影,IBM、甲骨文、惠普、Oracle、波音、佳能、摩托罗拉等科技巨头都曾在其产品中使用过 GoAhead。 漏洞成因 出现该漏洞的原因在于 cgiHandler 函数使用不受信任的 HTTP 请求参数来初始化 CGI 脚本环境,以至于影响所有开启了 CGI 脚本支持(动态链接可执行脚本文件)的用户。当上述行为与 glibc 动态链接器结合使用时,可能会被滥用于使用特殊变量(如 LD_PRELOAD)的远程代码执行。相关研究人员解释说,对于访问时所带的参数字段,除了被过滤掉的 REMOTE_HOST 和 HTTP_AUTHORIZATION 参数之外,其他参数都被认为是可信的,因此在没有经过过滤的情况下就传递给目标函数,从而导致了攻击者可以修改 CGI 程序的 LD_PRELOAD 环境变量。 漏洞影响 Elttam 通过查询Shodan搜索引擎发现受这一漏洞影响的设备数量可能会在 50 万 – 70 万之间。此外,今年 3 月,研究人员 Pierre Kim 透露,由于 GoAhead 服务器存在漏洞,约超过 18.5 万 个易受攻击的 Wi-Fi 连接摄像机暴露在互联网上。 漏洞修复 目前 Web 服务器开发公司 Embedthis 已发布了修复该漏洞的更新,硬件制造商也将补丁包含在了 GoAhead 的产品中,但这个过程可能需要很长一段时间。此外,Elttam 还发布了概念验证代码 ,用于测试物联网设备是否容易受到 CVE-2017-17562 漏洞的影响。 相关阅读: Elttam 发布的漏洞分析报告:<REMOTE LD_PRELOAD EXPLOITATION> 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Debian 9 修复 18 个重要的 Linux 4.9 LTS 内核安全漏洞

Debian 项目近日发布了针对 Debian GNU/Linux 9 “ Stretch ” 系列操作系统新的 Linux 内核安全更新,修复了最近发现的几个漏洞 。 根据最新的 DSA 4073-1 Debian 安全通报,在 Debian GNU/Linux 9 “ Stretch ” 操作系统的 Linux 4.9 LTS 内核中,共有 18 个安全漏洞,其中包括信息泄露,提权升级和拒绝服务等问题。 通报显示,在 Linux 内核的 DCCP 实现、dvb-usb-lmedm04 驱动程序、hdpvr 媒体驱动程序、扩展 BPF 验证程序、netfilter 子系统、netlink 子系统、xt_osf 模块、USB 核心以及 IPv4 原始套接字实现都存在问题。另外,Linux 内核的 HMAC 实现、KEYS 子系统、Intel 处理器的 KVM 实现、蓝牙子系统和扩展 BPF 验证器也受到某种影响。 Debian 项目建议禁用未经授权的用户使用扩展 BPF 验证器( sysctl kernel.unprivileged_bpf_disabled = 1 )。 有关更多详细信息,请参阅 CVE-2017-8824,CVE-2017-16538,CVE-2017-16644,CVE-2017-16995,CVE-2017-17448,CVE-2017-17449,CVE-2017-17450,CVE-2017 -17558,CVE-2017-17712,CVE-2017-17741,CVE-2017-17805,CVE-2017-17806,CVE-2017-17807,CVE-2017-17862,CVE-2017-17863,CVE-2017-17864 ,CVE-2017-1000407 和 CVE-2017-1000410。 Debian 在默认情况下禁用非特权用户命名空间,但是如果启用(通过 kernel.unprivileged_userns_clone sysctl ),那么 CVE-2017-17448 可以被任何本地用户利用,因此建议升级 linux 软件包。 建议用户立即更新系统 为了解决所有这些问题,Debian 敦促用户尽快将运行 Linux 内核 4.9 LTS 的 Debian GNU / Linux 9 “ Stretch ” 安装更新到 4.9.65-3 + deb9u1 版本,并且在安装新内核更新后重新启动计算机。 Debian GNU/Linux 9 “ Stretch ” 是 Debian GNU/Linux 操作系统的最新稳定版本。本月早些时候,Debian GNU/Linux 9.3 发布了最新版本的 Debian GNU/Linux 8.10 “ Jessie ”。如果用户想安装该版本,可以从相关渠道下载 ISO 映像。 消息来源:Softpedia,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

暴利驱动的疯狂游戏“ 外挂 ”:非法获利可达数百万

近日,腾讯游戏安全中心宣布联合警方破获了网络游戏《绝地求生》的首起外挂软件制作、传播案件。腾讯方面表示,今年以来已协助警方破获了 30 多起外挂案件,抓获犯罪嫌疑人 120 余人。 警方破获首个《绝地求生》外挂案 此前国内已判决多个外挂制作、传播案 北京青年报记者查询过去 7 年间关于网络游戏外挂的判决书发现,网络游戏外挂层出不穷的一大原因是较低的门槛和巨大的利益。不少参与制作、销售外挂软件的人一年的非法获利可达数十万元甚至数百万元。一些犯罪分子甚至利用境外人士参与销售外挂软件,试图逃避打击。  “ 吃鸡 ” 用外挂  警方破获首案 12 月 22 日,腾讯游戏安全中心宣布联手江苏警方破获了旗下 “ 吃鸡 ” 网络游戏《绝地求生》的首起外挂软件制作、传播案件。 《 绝地求生 》是一款当红网络游戏,在平台上的同时在线人数一度突破 1700 万人。11 月 22 日,腾讯宣布获得了该款游戏的国内代理权,同时成立了专项小组调查该游戏的外挂制作及销售线索。 “ 在腾讯守护者计划安全团队的协助下,无锡江阴警方于 12 月 13 日成功抓捕并捣毁了 ‘ 望月 ’、‘ 神兵 ’ 等多个外挂制作及销售团伙,3 名核心涉案犯罪嫌疑人全部落网,并对犯罪事实供认不讳。” 腾讯游戏安全中心称,2017 年 1 月到 11 月,腾讯的相关人员协助警方破获了外挂案件 30 余起,抓获犯罪嫌疑人 120 余人。 所谓游戏的外挂,顾名思义是从外部控制住网络游戏程序的内容,从而令使用外挂的玩家获得升级加快、赚钱更多等功能的软件。对于不使用外挂的游戏玩家而言,使用外挂形成了不公平的竞争。对于游戏运营商而言,外挂引发的不公平可能引发玩游戏的人大幅减少,缩短了网络游戏的运营寿命。 早在 2003 年,当时的多部委在《关于开展对 “ 私服 ”、“ 外挂 ” 专项治理的通知》中明确指出 “ 外挂违法行为属于非法互联网出版活动,应依法予以严厉打击 ”。尽管如此,网络游戏中的外挂仍旧屡禁不绝。 通过植入广告  获利数百万元 北青报记者查阅了过去 7 年间关于网络游戏外挂案件的相关判决发现,早在 “ 偷菜 ” 类网游盛行的时候,便已经有人利用外挂软件牟取暴利了。  1991 年出生的邓建豪只有初中文化。2010 年 4 月份,邓建豪建立了 “ QQCEO ” 网站,并在该网站上传了 “ QQ农场牧场餐厅偷匪三合一 ” 等网络游戏外挂软件程序,供网民下载使用。 检察机关指控称,邓建豪与两家公司建立合作,将两家公司的广告编入外挂软件中,当网民使用外挂程序后便会自动弹出网页广告。邓建豪根据网民对网页广告的点击量向上述公司收取广告费。 邓建豪后来在法庭上供述,他开发的 “ QQ农场牧场餐厅偷匪三合一 ” 软件的运作原理是模拟鼠标点击,自动发模拟数据给服务器,使服务器误以为网民自己进行操作,达到 “ 种菜 ”、“ 偷菜 ”、“ 收菜 ” 等效果。 最终,当地法院认定邓建豪以营利为目的,非法经营额超 211 万元,判处其有期徒刑三年,并处罚金人民币 150 万元。 一名软件工程师告诉北青报记者,外挂软件的制作成本极低:“ 一方面,外挂软件只需要最基本的编程技术便可以制作出来,有些人通过自学就可以掌握相关的技术,门槛很低。另一方面,只需要有电脑就可以完成一个软件,其出售给玩家的电子复制过程几乎毫无成本,相比玩家给出的钱,其硬件成本也可谓微乎其微。” 在另一起案件中,陈伟与只有职高文化的肖海涛合作,由肖海涛制作了一款针对当时大热的网络游戏《征途 2》的外挂软件,并给这款外挂软件取名为 “ 推土机 ”。 利用这款外挂软件,玩家可以获得自动操作的功能,从而明显强于其他玩家。肖海涛开发出 “ 推土机 ” 后,由陈伟负责在网络上对外出售这款软件,两人对销售所得按约分成。 至 2014 年 6 月案发,半年多的时间里,陈伟已通过支付宝转给肖海涛超过 180 万元。 层层分包之后  下线仍能获利 北青报记者发现,在多起关于网络游戏外挂的案件中,犯罪分子建立了复杂的销售网络。 外挂的制作者往往并不负责销售,而是发展下线,下线销售者还会发展自己的下线,但地位越低的下线,其获得的利润越低,地位最高的销售者则坐拥暴利。 今年 9 月 4 日,江苏省盐城市中级法院二审审理了杨长春、王垒等人非法经营罪一案,此案中的被告人达 11 人。 判决书显示,2012 年 3 月至 2013 年 8 月,王垒通过一名网友获取了网络游戏《 地下城与勇士 》的外挂程序,并通过收取 “ 版权费 ” 及使用费的形式,向杨长春等人非法出售该游戏外挂程序计 1000 余个,非法经营额计 200 余万元,非法获利计 100 万元。 作为下线的杨长春又将约 799 个外挂程序转卖给陆维锋、王传珠、徐辉等人,非法经营额超过 425 万元,非法获利超 200 万元。 更低一层级的王传珠则将从杨长春处获得的 123 个外挂程序转卖给徐辉等人,非法经营额超 69 万元,非法获利超 5 万元。再低一层的下线徐辉将从杨长春、王传珠等人处获取的 88 个外挂程序转卖给程芝健等人,非法获利 2 万余元。 位于转包末梢的程芝健仍然有利可图,他把从徐辉等人处获取的 62 个外挂程序,非法出售后获利 16000 余元。 本案的判决书中坦言,虽然相比 7 个 G 大小的游戏软件,外挂软件的大小仅有 1 M 左右,但多名被告人非法经营非法出版物,扰乱市场秩序,分别达到 “ 情节特别严重 ” 或 “ 情节严重 ” 的标准,构成非法经营罪。 最终法院判决被告人杨长春犯非法经营罪,判处有期徒刑 6 年,并处罚金人民币 200 万元。其余被告人也都获得了相应的刑罚。 招揽境外人士  参与制作销售 相关判决书显示,一些用外挂软件牟利的犯罪分子为了规避法律打击,利用电子产品可以轻松跨越国境的特点,招收境外人士参与犯罪。  2013 年底,时为吉林省图们市质量监督局稽查分局工作人员的刘勇和咸某合谋,搭上当时由韩国引进的知名网络游戏《 剑灵 》的风,制作并出售《 剑灵 》游戏的外挂软件获取暴利。 刘勇在法庭上供称,咸某告诉他国外有人能做游戏外挂,觉得确实有利可图,就找人来做销售。 法院审理后确认,咸某找到了朝鲜人金某,由金某制作出一款针对《 剑灵 》的游戏外挂,命名为 “ ufo ” ,并安排崔某负责与金某联系该游戏外挂的技术维护等事项。 刘勇则找来了一位名叫桥上的日本人,安排其通过 QQ 在网上以招收代理的方式销售该游戏外挂,其中周卡每张销售价格为 25 元,月卡每张销售价格为 100 元。 刘勇后来供述称,之所以找到桥上负责销售,是因为知道销售外挂软件违法,认为 “ 找外国人安全一些 ”。 借助外挂销售,刘勇在 2013 年 11 月到 2014 年 5 月期间,累计收入 141 万余元,并向咸某支付了 68 万元。 最终法院以非法经营罪分别判处刘勇有期徒刑 5 年,并处罚金人民币 80 万元。 一位曾经使用过外挂的网络游戏玩家告诉北青报记者,玩家之所以使用外挂,一方面是因为玩游戏 “ 图个乐子 ”,希望能够获得战胜其他玩家的快感。另一方面是因为一些有钱的玩家会投入大量的金钱来获得更好的能力,对于钱不多的玩家来说,购买外挂是一种更加省钱又便捷的方式。 这位玩家表示,随着这些年网络游戏管理越来越严格,使用外挂的风险变得越来越大,“ 以前投入了很多钱的一个账号因为被发现使用外挂而被封号了。” 稿源:新浪科技,封面源自网络;

X-Agent 后门大升级,俄罗斯 APT28 间谍活动更为隐蔽

HackerNews.cc 24 日消息,俄罗斯 “ 奇幻熊 ”(Fancy Bear,又名 Sednit、APT28、Sofacy、Pawn Storm 和  Strontium)APT 组织于近期重构后门 X-Agent,通过改进其加密技术,使后门更加隐蔽和难以制止。据悉, X-Agent 后门(也称为 Sofacy )与 “ 奇幻熊 ” 的几次间谍活动都有关系。 安全公司 ESET 发表的报告显示,“ 奇幻熊 ” 目前对 X-Agent 所进行的操作较为复杂。其开发人员对其实施新的功能 ,并且重新设计了恶意软件的体系结构,使 X-Agent 更加难以检测和控制: X-Agent 曾特别设计用于针对 Windows、Linux、iOS 和 Android 操作系统 ,研究人员于今年初发现了 X-Agent 用于破坏 MAC OS 系统的第一个版本。 最新版 X-Agent 后门实现了混淆字符串和所有运行时类型信息的新技术、升级了一些用于 C&C 服务器的代码,并在 WinHttp 通道中添加了一个新的域生成算法 ( DGA ) 功能,用于快速创建回滚 C&C 域。此外,加密算法和 DGA 实现方面也存在重大改进,使得域名接管变得更加困难。ESET 观察到 “ 奇幻熊 ” 还实现了内部改进,包括可以用于隐藏受感染系统的恶意软件配置数据和其他数据的新命令。 虽然 “ 奇幻熊 ” 对 X-Agent 后门进行了诸多改进,但攻击链条基本保持不变。该组织依然依赖于网络钓鱼电子邮件进行网络攻击。 ESET 发表的报告称攻击通常以包含恶意链接或恶意附件的电子邮件开始。过去,Sedkit 漏洞利用工具包是他们首选的攻击媒介,但是自 2016 年年底以来,这类工具已经完全消失。目前 “ 奇幻熊 ” 越来越多地开始使用 DealersChoice 平台,该平台也是此前针对黑山共和国使用过的 Flash 漏洞利用框架(例如:利用 CVE-2017-11292 0-day ),可按需求生成嵌入式 Adobe Flash Player 漏洞文档。 截止目前,黑客组织“ 奇幻熊 ” 主要攻击目标仍然是世界各地的政府部门和使馆。 更多阅读: ESET 发布的关于 APT28 的详细分析报告:<Sednit update: How Fancy Bear Spent the Year> 消息来源:Security Affairs、ESET,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

来自金钱的诱惑:Lazarus APT 魔爪逐渐伸向加密货币

安全公司 Proofpoint 近日发现 Lazarus APT 组织对加密货币极为关注, 并试图利用公众、媒体对加密货币价格暴涨的浓厚兴趣展开攻击。因此 Proofpoint 推断 Lazarus 的攻击行动可能与经济利益挂钩。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。(编者注) Proofpoint 发现 Lazarus 的攻击行动有一些共同特性: 第一、朝鲜黑客发起的几个多阶段的攻击都使用了与加密货币有关联的恶意软件来感染用户。 第二,包括 Gh0st RAT 在内的其他恶意软件,都旨在窃取加密货币钱包和交易的凭证,使 Lazarus 组织能够利用比特币和其他加密货币进行有利可图的操作。 因此 Proofpoint 推测 Lazarus 所进行的间谍活动极有可能是出于经济原因(这些行动或是朝鲜特有的),但此前已有多家安全公司认定 Lazarus APT是由国家资助的间谍组织,而国家支持的组织通常又会进行间谍活动和制造混乱。因此研究 Lazarus 的这些行动变得具有探索意义,有趣的地方在于: ○ Lazarus  APT 似乎是被公开的由国家资助以获取经济利益的第一个黑客组织组织 ○ 这些针对加密货币的攻击行动也有利于研究人员记录 Lazarus APT 所使用的定制工具和程序。 ○ 通过这些行动可以推断 Lazarus 并不是一个针对个体的单纯组织。 ○ 可以更好地了解 Lazarus 的行动和其所代表的全球威胁 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国华盛顿近 2/3 监控摄像机网络曾遭罗马尼亚黑客劫持

前情提要:欧洲刑警组织(Europol)、联邦调查局 (FBI)和罗马尼亚等相关执法机构于 12 月 13 日进行了一项大规模逮捕行动,警方在罗马尼亚东部抓获五名黑客,即近年来涉嫌入侵欧洲和美国境内数万台计算机后肆意传播勒索软件 Cerber 和 CTB Locker。 勒索软件 Cerber 于 2016 年 3 月出现,它以 RaaS 模式为基础获得广泛分布:RaaS 模式允许任何可能的黑客散布恶意软件,从而获取 40% 的赎金。与大多数勒索软件一样,CTB Locker 和 Cerber 经销商使用的是最常见的攻击载体,比如钓鱼邮件和漏洞利用工具包。 据外媒 12 月 22 日报道,五名黑客中有两人被指控利用勒索软件 Cerber 控制华盛顿 123 台(近 2/3 的)监控摄像机设备。据悉,该起事件发生于美国总统特朗普就职典礼举行前夕,因此引发了美国媒体的骚动。除了欧洲刑警组织之外,美国特勤局目前也在调查这些恶意软件。特工 James Graham 针对这两名罗马尼亚黑客 Isvanca 和 Cismaru 的网络犯罪向美国司法部提供了有关证据。 这两名嫌疑人被指 于 1 月 9 日入侵了 123  台部署在华盛顿哥伦比亚特区警视厅 ( MPDC ) 的监控系统的安全摄像头(总共 187 个),该系统用于华盛顿警方监视华盛顿市的公共空间情况。 为了具体调查攻击情况,今年 1 月 12 日华盛顿警方 IT 人员和秘密服务代理人在确认了一些摄像头处于离线状态的情况下,使用远程桌面协议( RDP )软件连接到一台控制摄像头的服务器上,随后发现该服务器设备运行着许多不常见的软件,其中就包括两个勒索软件变种 Cerber 和 Dharma ,以及文本文件 USA.txt 。据悉,该文本文件中包含 179,616 个电子邮件地址,被用于向目标用户发送垃圾邮件。警方在取证过程中发现与两名黑客有关的邮件帐户 vand.suflete@gmail.com 中带有相同的文本文件。 参与调查的分析师对该邮件账号尤其感兴趣,从其中获得了链接至 Cerber 控制面板的信息,可以断定两名黑客长期租用勒索软件 Cerber 以便感染用户勒索钱财。也正是因为这一邮箱使调查人员成功追踪到黑客 Isvanca 和 Cismaru。 另外调查人员联系了 vand.suflete[at]gmail.com 电子邮件帐户中提到的一些人员和组织,以确定他们的系统是否已经被入侵。相关人员透露,被感染设备中发现的个别目标 IP 被追溯至英国的医疗保健公司,该公司向调查人员证实,其 eXpressApp Framework ( XAF )系统的用户账户已被泄露。 消息来源: TheRegister ,编译:榆榆,终审:FOX; 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。