安全快讯Top News

NSO Group 认为 Pegasus 黑客攻击事件中应遭指责的是客户而不是技术

据外媒报道,间谍软件制造商NSO Group日前表示,指责其公司就像“在酒后驾车撞车后批评汽车制造商”一样。据称,该软件曾被用来侵入无辜者的手机。记者们获得的一份被指为间谍软件潜在目标的名单显示,活动人士、政界人士和记者等群体都是被入侵的目标。 现在,对于这份包含有5万个电话号码的名单的调查工作已经在进行中。 据悉,NSO Group开发的PegASUS会感染iPhone和Android设备,操作人员可以提取信息、照片和电子邮件、记录通话并秘密激活麦克风和摄像头。 这家以色列公司表示,它的软件是用来对付罪犯和恐怖分子的,只提供给来自人权记录良好的国家的军事、执法和情报机构。 但以法国媒体机构Forbidden Stories为首的一个新闻机构联盟已经根据这份名单发表了数十篇报道,据悉,名单不乏政界人士,其中包括法国总统埃马克龙,这意味着其可能已经成为目标。 对此,NSO Group表示,他们被告知这份名单是从其位于塞浦路斯的服务器被黑的。但这家公司发言人告诉BBC News:“首先,我们在塞浦路斯没有服务器。其次,我们没有客户的任何数据。更重要的是,客户之间没有联系,因为每位客户都是独立的。所以任何地方都不应该有这样的名单。” 潜在目标的数量并没有反映出Pegasus的工作方式。 “这是一个疯狂的数字,”这位发言人继续说道,“我们的客户平均每年有100个目标。自公司成立以来,我们总共并没有5万个目标。” 安全服务 近年来,这家公司多次被指控允许专制政府对无辜民众进行黑客攻击,包括那些跟被谋杀的《华盛顿邮报》专栏作家贾马尔·哈苏吉关系密切的人。但它否认了这一指控和其他所有指控。 该公司表示,它并不会定期调查谁是目标,但它有审查其销售出去的安全服务的系统。 本月早些时候,NSO Group发布了其透明度报告。报告写道:“我们必须以更高的标准要求自己进行管理和透明度行事……从而确保公共安全、关注人权和隐私。” 但在周三,这位发言人表示:“如果我是汽车制造商,现在你醉酒驾车撞了人,你应该找的是司机而不是汽车制造商。我们把系统发送给了政府,我们得到了所有正确的认证并且都是合法的。你知道,如果一个客户决定滥用这个系统,他就不再是客户了。所有的指控和指责都应该指向客户。” “一个巧合” 在名单上的人中,有67人同意将手机交给Forbidden Stories进行法医分析。 据报道,这项由大赦国际安全实验室(Amnesty International Security Labs)进行的研究发现了Pegasus对其中37人展开潜在攻击的证据。 但NSO Group表示,他们不知道名单上的一些手机是如何含有间谍软件残余的。 这位发言人表示,这可能是“一个巧合”。   (消息及封面来源:cnBeta)

美拟议《网络事件通报法案》将赋予信息披露企业部分豁免权

周三披露的一项新法案,将要求某些企业在遭遇黑客攻击后,及时向政府进行通报。同时为了鼓励此类事件的披露,《网络事件通知法案》还将给予当事企业有限的豁免权。显然,这项亡羊补牢之举,是针对近期曝光的 SolarWinds 和 Colonial Pipeline 攻击的一个及时回应。 CNBC 指出,SolarWinds 攻击事件让政府机构也受到了波及,而 Colonial Pipeline 攻击事件更是破坏了该国大部分地区的燃料供应。 随着勒索软件攻击的激增,人们已日渐意识到攻击事件信息披露的重要性。然而此前的问题是,联邦法律并未提出硬性要求。 基于此,遭遇网络攻击的相关企业普遍倾向于将事情藏着掖着,直至事态发展到已无法再隐瞒,但付出的代价也相当高昂。 以软件巨头微软为例,公司总裁布拉德·施密特在参议院听证会上表示,公众之所以知晓微软也受到 SolarWinds 攻击事件的波及,只因 FireEye 在去年 12 月率先披露了此事。 FireEye 首席执行官 Kevin Mandia 在听证会期间接受 CNBC 的 Eamon Javers 采访时称,信息披露是一个该死且复杂的问题。 为化解这一尴尬的局面,拟议的新法案将引入一项新的披露要求 —— 包括联邦机构、承包商、关键基础设施公司在内,都必须在发现其系统遭到破坏时,向国土安全部进行通报。 与此同时,法案还赋予了这些企业在报告违规行为时可获得的有限豁免 —— 比如股票投资者无法拿到披露信息、并将之用于诉讼的证据,此外国土安全部需要对个人身份信息进行匿名化处理。 基于此,企业能够更加高效地通报相关攻击事件,并允许政府在需要时采取及时有效的行动。   (消息及封面来源:cnBeta)

Pegasus 软件遭曝光后 斯诺登呼吁禁止间谍软件交易

据英国《卫报》报道,爱德华·斯诺登在NSO集团的客户被揭露后警告说,各国政府必须在全球范围内暂停国际间谍软件贸易,否则将面临一个没有手机可以免遭国家支持的黑客攻击的世界。斯诺登在2013年揭发了美国国家安全局的秘密大规模监控项目,他将营利性恶意软件开发商描述为 “一个不应该存在的行业”。 他是在PegASUS项目首次披露后接受《卫报》采访时发表上述言论的,Pegasus项目是一个由国际媒体组织组成的联盟对NSO集团及其客户进行的新闻调查。 NSO集团制造并向政府出售先进的间谍软件,品牌为Pegasus,可以秘密地感染手机并获取其信息。电子邮件、短信、通讯录、位置数据、照片和视频都可以被提取,而且手机的麦克风和摄像头可以被激活,以秘密记录用户的信息。 该联盟分析了一个由50000个电话号码组成的泄漏数据集,据信这些号码属于NSO的客户感兴趣的人。对这些手机样本的分析发现了几十个成功和试图感染Pegasus的案例。 NSO集团表示,它认真对待道德方面的考虑,受以色列、塞浦路斯和保加利亚的出口管制制度监管,只向经过审查的政府客户出售。但它的客户包括压制性政权,包括沙特阿拉伯、阿联酋和阿塞拜疆。 斯诺登在接受《卫报》采访时说,该集团的发现说明了商业恶意软件是如何使专制政权有可能将更多人置于最具侵略性的监控之下的。 他说,对于传统的警察行动来说,要安装窃听器或窃听嫌疑人的电话,执法部门需要 “闯入某人的房子,或去他们的汽车,或去他们的办公室,而且我们认为他们可能会得到授权”。 但是商业间谍软件使得对更多的人进行有针对性的监视具有成本效益。他说:“如果他们可以从远处做同样的事情,而且成本不高,没有风险,他们就会开始一直这样做,针对每一个人,哪怕是稍有兴趣的人。” 他说:“如果你不做任何事情来阻止这种技术的销售,这不仅仅是5万个目标。它将成为5000万个目标,而且它将比我们任何人预期的要快得多。” 他说,问题的部分原因是,不同人的手机在功能上是相同的。“当我们谈论像iPhone这样的东西时,它们在世界各地都运行相同的软件。因此,如果他们找到了入侵一部iPhone的方法,他们就找到了入侵所有iPhone的方法。” 他把将广泛使用的手机型号中的漏洞商业化的公司比作一个故意开发新的疾病菌株的 “感染者”行业。 他说:“这就像一个行业,他们所做的唯一事情就是创造Covid的定制变体来躲避疫苗。他们唯一的产品是感染载体。他们不是安全产品。他们不提供任何种类的保护,任何种类的预防措施。他们不制造疫苗–他们唯一出售的是病毒。” 斯诺登说,像Pegasus这样的商业恶意软件是如此强大,以至于普通人实际上无能为力,无法阻止它。当被问及人们如何保护自己时,他说:“人们可以做什么来保护自己免受核武器的伤害?” “有些行业,有些部门,是无法保护的,这就是为什么我们试图限制这些技术的扩散。我们不允许核武器的商业市场。” 他表示,对于商业恶意软件的威胁,唯一可行的解决方案是在国际上暂停销售。“Pegasus项目所揭示的是NSO集团确实是一个新的恶意软件市场的代表,这是一个营利性的业务,”他说。“NSO这样做的唯一原因不是为了拯救世界,而是为了赚钱。” 斯诺登说,在全球范围内禁止感染载体的交易将防止对移动电话中的漏洞进行商业滥用,同时仍然允许研究人员识别和修复这些漏洞。 “对于普通人来说,这里的解决方案是集体工作。”他说:“这不是一个我们想要尝试单独解决的问题,因为这是你与一家价值10亿美元的公司的对决。如果你想保护自己,你必须改变游戏规则,而我们这样做的方式就是结束这种交易。” NSO集团在一系列声明中说,它拒绝接受关于该公司及其客户的 “错误主张”,并说它对其客户使用Pegasus间谍软件的情况并不清楚。该公司表示,它只向经过审查的政府客户出售该软件,而且其技术已经帮助防止恐怖主义和严重犯罪。 在Pegasus项目启动后,NSO的创始人兼首席执行官Shalev Hulio说,他继续质疑泄露的数据“与NSO有任何关系”,但他补充说,他对这些报告“非常关注”,并承诺对它们进行全部调查。他说:“我们理解,在某些情况下,我们的客户可能会滥用该系统。”   (消息及封面来源:cnBeta)

沙特阿拉伯国家石油公司 1TB 专有数据被盗并被挂到暗网出售

据外媒BleepingComputer报道,网络攻击者窃取了属于沙特阿拉伯国家石油公司(Saudi Aramco)1TB的专有数据并在暗网上出售。据悉,沙特阿拉伯石油公司是全球最大的公共石油和天然气公司之一。这家石油巨头拥有超过66000名员工,年收入近2300亿美元。 黑客500万美元的可议价对外出售来自这家石油公司的数据。 Saudi Aramco将这一数据事件归咎于第三方承包商并告诉BleepingComputer,该事件对沙特阿美的运营没有影响。 “零日漏洞”被用来攻破网络 本月,一个名为ZeroX的威胁组织向外出售1TB属于沙特阿拉伯国家石油公司的专有数据。 ZeroX声称,这些数据是在2020年某个时候通过入侵该公司的网络和服务器盗来的。 据该组织称,就其本身而言,被盗文件最近的来自2020年,其中一些则可以追溯到1993年。 当BleepingComputer问及使用了什么方法进入系统时,该组织没有明确说明漏洞而是称之为“零日漏洞”。 为了吸引潜在买家,今年6月,一小组Aramco蓝图和专有文件与修订的PII的样本首次被发布在数据泄露市场论坛上: 然而,在最初发布消息时,.onion将倒计时时间设置为662小时(约28天),在这之后出售和谈判将开始。 ZeroX告诉BleepingComputer,“662小时”的选择是有意的,是Saudi Aramco要解决的“难题”,但这一选择背后的确切原因尚不清楚: 该组织表示,1TB数据包括Saudi Aramco位于多个沙特城市的炼油厂的相关文件,包括延布、吉赞、吉达、拉斯坦努拉、利雅得和达兰。 这些数据包括: 14254名员工的全部信息:姓名、照片、护照复印件、电子邮件、电话、居留许可号、职称、身份证号、家庭信息等; 涉及/包括电力、建筑、工程、土木、施工管理、环境、机械、船舶、电信等系统的项目规范; 内部分析报告、协议、信件、价目表等; 规划IP地址、Scada点、Wi-Fi接入点、IP摄像头、IoT设备的网络布局; 位置地图和精确坐标; Aramco的客户名单及发票和合同。 ZeroX在泄露网站上发布的样本经过了个人身份信息(PII)的编辑,单是一个1GB的样本就需要花费2000美元,以Monero进行支付。 不过,黑客有向BleepingComputer分享了一些最近未编辑的文件以供确认。 整个1TB的数据价格定在500万美元,不过攻击者表示,最终成交价是可以协商的。 要求一次性独家出售的一方–即获得完整的1TB数据并要求从ZeroX的终端上完全清除–预计将支付高达5000万美元的巨额费用。 ZeroX向BleepingComputer透露,到目前为止,一直有五个买家在跟他们谈判这笔交易。 不是勒索软件或勒索事件 跟互联网上流传的一些说法即将这起事件称为“勒索软件攻击”相反,事实并非如此。威胁行动者和Saudi Aramco都向BleepingComputer确认,这不是一起勒索软件事件。 Saudi Aramco告诉BleepingComputer,数据泄露发生在第三方承包商,而不是Saudi Aramco的直接系统: “Aramco最近意识到,第三方承包商间接泄露了有限的公司数据。” Saudi Aramco发言人告诉BleepingComputer:“我们确认,数据的发布对我们的运营没有影响,公司将继续保持稳健的网络安全态势。” 威胁行动者确实有在试图联系Saudi Aramco以告知他们被侵入的消息,但没有得到回复也没有在进入他们的网络后试图勒索,这进一步让人怀疑上面显示的计时器的目的。 似乎倒数计时器仅仅是为了吸引潜在买家而设置的,为了在销售过程中引起轰动。   (消息及封面来源:cnBeta)

微软:以色列团体出售 Windows 黑客工具

新浪科技讯 北京时间7月16日早间消息,微软周四表示,一个以色列组织出售可以黑入Windows的工具。该组织名叫Candiru,它开发并销售软件,软件利用漏洞渗透到Windows平台。 黑客工具向全球扩散,提供给大量不知名客户,他们利用软件瞄准各种公民社会组织,比如沙特异见团体、左倾印尼新闻媒体等。微软称工具被用来攻击一些国家的用户,比如伊朗、黎巴、西班牙、英国。 微软还说,Candiru工具也可以利用谷歌Chrome浏览器等常见软件发起攻击。 周三谷歌在博文中披露两个Chrome软件漏洞,微软发现它们与Candiru有关,不过谷歌并没有提到Candiru的名字,只是说它们被一家商业监控公司利用。 计算机安全专家称,Candiru等“网络军火商”一般会将多个软件漏洞连在一起从而变成有效漏洞,在目标不知情的情况下,攻击者可以利用漏洞远程入侵计算机。熟悉“网络军火”产业的知情者称,这样的秘密系统往往要价很高,达到几百万美元,而且经常以付费订阅的形式出售,也就是说客户如果想持续使用需要不断付费。   (消息及封面来源:cnBeta)

美国悬赏 1000 万美元 征集攻击关键设施的外国黑客信息

据报道,美国政府今日悬赏1000万美元,征集可以识别或定位恶意网络行为者的信息和线索。这些恶意网络行为者在外国政府的支持下,以美国的关键基础设施为攻击目标。美国国务院在一份声明中称:“针对美国关键基础设施的某些恶意网络行为,可能违反《计算机欺诈和滥用法案》(CFAA)。” 美国国务院还表示,已建立了一个“暗网”举报渠道,以保护潜在消息来源的安全。” 事实上,在去年的美国大选前夕,美国曾出台类似的奖励方案,以缉拿干预美国大选的黑客。 美国国务院当时宣布,如果有任何信息导致查明任何与外国政府合作或为外国政府工作的人,通过 “非法网络活动 “干扰美国选举,将给予最高1000万美元的奖励。这包括对美国选举官员、美国选举基础设施、投票机器的攻击,也包括对候选人及其工作人员的攻击。   (消息及封面来源:cnBeta)

美国司法部牵头成立 StopRansomware.gov 网站 遏制勒索软件攻击

应对勒索软件的威胁,美国政府今天成立推出了一家新网站–StopRansomware.gov。在官方发布的新闻稿中,该网站由美国司法部、国土安全部和联邦合作伙伴共同推进,旨在“帮助私人和公共组织减轻他们的勒索软件风险”。 该网站汇集了来自多个联邦机构的资源。个人和组织以前必须访问多个政府网站才能找到勒索软件指南、警报和更新。美国国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas) 在新闻稿中表示:“随着勒索软件攻击在全球范围内持续上升,企业和其他组织必须优先考虑他们的网络安全。网络犯罪分子将关键基础设施、小企业、医院、警察部门、学校等作为目标。这些攻击直接影响了美国人的日常生活和我们国家的安全”。 该公告是在美国发生几起著名的勒索软件攻击之后发布的。上个月,该国最大的肉类生产商之一 JBS 向攻击该公司服务器的网络犯罪分子支付了 1100 万美元的比特币。几周前,Colonial Pipeline 运营着美国最大的天然气管道之一,向黑客支付了 500 万美元,他们迫使一条主要石油管道关闭。   (消息及封面来源:cnBeta)

网络钓鱼盯上 WhatsApp 等即时通讯软件 卡巴斯基给出安全建议

鉴于许多黑客已经瞄上了 WhatsApp、Viber 和 Telegram 等即时通讯服务来开展网络钓鱼攻击和诈骗,卡巴斯基安全研究人员也特地对此类 Android 客户端的风险等级展开了一番评估。其指出,全球平均每天发生 480 次网络钓鱼和类似事件,前三地区为印度(7%)、巴西(17%)、以及俄罗斯(46%)。 作为最受智能机用户欢迎的即时通讯(IM)服务之一,涉及 WhatsApp 的网络犯罪活动也相当活跃(占 89.6% 左右)。 紧随其后的是 Telegram(5.6%)和 Viber(4.7%),而 Google Hangouts 用户最不可能成为网络钓鱼攻击的受害者(不到 1%)。 为降低 IM 用户遭遇网络钓鱼诈骗和危险链接的风险,卡巴斯基安全团队给出了如下建议: ● 检查链接中是否存在拼写错误或其它异常; ● 请勿向亲友分享任何可疑的邀请链接; ● 警惕来自其他人的不明邀请链接,在被要求输入凭据时务必提高警惕; ● 好友账户或被黑客入侵,收到熟人发来的链接和附件也需多加提防; ● 使用可靠的安全解决方案,以及时收到警告提醒。     (消息及封面来源:cnBeta)

SolarWinds 黑客利用 iOS 零日漏洞渗透政府官员使用的 iPhone

谷歌威胁分析团队指出,在针对西欧政府官员的渗透活动中,SolarWinds 黑客利用了在旧版 iOS 系统中新发现的一个零日漏洞。周三的这份报告,披露本次攻击还利用了通过领英(LinkedIn)向政府官员发送的信息。若受害者在 iPhone 上访问了特定的链接,就会被重定向至带有初始恶意负载的域名。 在满足多项“验证检查”后,SolarWinds 黑客会利用 CVE-2021-1879 漏洞来下载最终的有效载荷,并将之用于绕过某些安全防护措施。 比如关闭同源防护策略(Same-Origin-Policy)、或其它能够防止恶意脚本在本地网络上搜集数据的安全功能。 如此一来,攻击者便能够利用收集自谷歌、微软、领英、脸书、雅虎等网站手机的身份验证信息,并将之发送到受黑客控制的 IP 地址。 不过 Maddie Stone 和 Clement Lecigne 写道:“受害者需要通过 Safari 访问精心制作的网站,才会被黑客成功渗透其 cookie ”。 庆幸的是,苹果已于今年 3 月修复了该漏洞。如果你运行受影响的 iOS 12.4 – 13.7 版本,还请及时为设备打上补丁。 此外通过使用支持站点隔离功能的浏览器(比如 Chrome 或 Firefox),亦可避免此类“同源策略”攻击。 最后,尽管谷歌没有披露幕后黑手的真实身份,但 ArsTechnica 已将攻击者确定为 Nobelium(与 2019 年 SolarWinds 黑客攻击事件背后是同一团队)。   (消息及封面来源:cnBeta)

拜登和默克尔本周将讨论网络安全问题

据外媒报道,美国总统拜登将在本周默克尔访问美国期间与她就一系列问题进行交谈。CNBC报道称,双方将讨论网络攻击、COVID-19大流行、阿富汗日益恶化的安全局势以及“北溪二号”(Nord Stream 2)天然气项目等问题。 德国的全国大选将在默克尔7月15日与拜登总统会晤的约三个月后举行。她已经说过,她打算在9月的选举后退休。 尽管如此,一位不愿透露姓名的德国政府官员表示,从他们的角度来看,默克尔的华盛顿之行将是一次工作访问。他补充说:”显然,在过去的几年中,我们的双边关系有一些配合和开始。整个重点是在我们有分歧的问题上”。 网络安全焦点 Kaseya上周宣布的最新勒索软件攻击,成功入侵了北美和6个欧洲国家的数千家公司的网络,形成了“多米诺骨牌效应”。REvil网络犯罪团伙声称对Kaseya攻击事件负责。 拜登和默克尔将讨论大规模网络攻击的严重增加,这些攻击可以轻易地影响到全球多个行业和政府机构。 5月,针对Colonial Pipeline的DarkSide网络攻击迫使其关闭了东海岸长达5500英里的运输管道这一安全事件导致了空中交通的中断和东海岸一半燃料供应的短缺。虽然俄罗斯黑客成功地从该组织提取了近500万美元的赎金,但幸运的是,美国的执法官员能够收回其中近一半的钱,即价值230万美元的比特币。 在美国政府表示将以应对军事攻击的方式应对网络攻击后,据称俄罗斯黑客团伙DarkSide停止了行动。然而,另一个被称为REvil的俄罗斯黑客团伙表示,他们不仅将继续他们的黑客活动,而且他们还将针对位于美国的其他目标。   (消息及封面来源:cnBeta)