《华尔街日报》于 10 月 5 日披露，俄罗斯政府可能早前就在卡巴斯基的帮助下侵入 NSA 承包商电脑系统，窃取了有关美国国家安全局监视与网络防范计划的机密资料。据悉，该事件发生在 2015 年，其一家不知名的 NSA 承包商将高度分类的重要材料转移至自家电脑时遭黑客攻击，而当时该承包商正使用卡巴斯基杀毒软件。知情人士透露，虽然该事件于 2016 年初被发现，但目前尚未披露，安全专家认为这是近年来最严重的安全事件之一。然而，此次黑客攻击事件可能也是美国政府决定禁止卡巴斯基软件的主要原因。 美国国土安全部（ NSA ）于 9 月 13 日发表声明，宣称美国所有国家机构停止使用卡巴斯基实验室的安全产品，并要求他们在 30 天内删除卡巴斯基软件、60 天内制定过渡到其它安全软件的计划，其原因是俄罗斯政府可能已经入侵美国国家机构系统，窃取机密信息。 不过，卡巴斯基实验室随后发表声明表示：“ 美国 NSA 并未提供任何有关这一事件的信息或证据，因此我们认为这是另一起虚假指控的例子。我们再次强调，我们与俄罗斯等政府没有任何关系，公司也从未帮助也不会帮助任何政府进行网络攻击活动 ”。目前，美国国土安全局与俄罗斯政府并未作出任何置评。 原作者：Stephanie Condon，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 10 月 5 日消息，趋势科技（ Trend Micro ）研究人员近期发现黑客利用 FTP 服务器与目标设备的 C＆C 服务器建立后门 SYSCON 通信连接。调查显示，SYSCON 后门正通过受感染文件传播，其文件内容涉及朝鲜和部分红十字会与世界卫生组织的有关人员。 图：使用自定义的 Base64 编码功能 据悉，用于传播后门的恶意文件使用了自定义 Base64 编码功能，与 2012 年传播恶意软件 Sanny 的攻击手段极其相似且编码密钥相同。因此，研究人员推测此次事件幕后黑手与传播恶意软件 Sanny 的攻击人员是同一黑客组织。此外，值得注意的是，此类攻击手段可以规避安全检测，但同时也极易受到监控。研究人员表示，如果受害者打开该恶意文件时，基于操作系统版本的相应文件将 DLL 注入 taskhost（ex）进程以执行 BAT 操作而不触发 UAC 提示，从而成功感染目标设备的 ％Temp％ 文件。据称，攻击者还使用设备名称作为标识符，通过 SYSCON 后门、利用存储在配置文件中的凭证登录 FTP 服务器。 图：与 C&C 服务器建立连接 研究人员通过对配置文件进行解码时，不仅发现了 FTP 服务提供商的 URL，还检测到攻击者在服务器端将执行命令存储在 .txt 文件中。一旦受感染设备执行命令，恶意代码会在列出当前运行的所有进程后将压缩与编码的数据发送至服务器。 图：输入漏洞–恶意代码出现错误 不过，研究人员在命令循环处理的过程中发现一处输入漏洞，即恶意软件将命令视为宽字符格式的字符串，只要其中一个函数的参数文件名称出现错误时，就可成功阻止进程执行。因此，研究人员提醒 IT 管理员可通过该种方式阻止后门传播，并时刻监控与外部 FTP 服务器的任何连接，因为它们不仅可以导致数据泄露，还可用于 C＆C 服务器的通信连接。 附：趋势科技原文连接《 SYSCON Backdoor Uses FTP as a C&C Channel 》 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 10 月 4 日报道，美国国家标准技术研究所（ NIST ）近期发布一份新域间路由安全（SIDR）标准，旨在加强互联网边界网关协议（BGP）的安全性能。 边界网关协议（BGP）于 1989 年被研究人员提出，是早期外部网关协议的短期解决方案，但它不能处理互联网的快速增长，并且现在面临崩溃的危险。研究人员表示，BGP 控制路由时需要互联网整个路径的所有数据信息。然而，现今的网络系统已不足信任，整个流量交通都可能被黑客劫持。 调查显示，黑客通过 BGP 漏洞可对互联网路由造成重大系统威胁，从而导致： （1）拒绝接入互联网服务; （2）允许黑客绕过互联网流量监控、加快端点路径攻击; （3）将互联网流量误导至恶意端点; （4）破坏 IP 地址信誉与过滤系统; （5）造成互联网路由不稳定现象。 知情人士透露，美国 NIST 近期一直在与国土安全部（DHS）和互联网工程任务团队（IETF）合作开发一套新 BGP 标准以消除漏洞，解决上述问题。NIST 表示，新域间路由安全标准由 资源公钥基础设施（RPKI）、BGP 源代码验证（BGP-OV）与 BGP 路径验证（BGP-PV）三部分组成： RPKI 允许第三方对互联网地址域名与互联网自主系统的所有权限进行加密验证。BGP-OV 提供了协议的扩展与工具，允许 BGP 路由使用 RPKI 数据检测与过滤未经授权的 BGP 路由通知。BGP-PV 则进一步提供了协议的扩展，允许 BGP 路由加密验证 BGP 路由的网络序列。 目前，安全研究人员正加强互联网 BGP 的安全性能，旨在抵御黑客通过路由系统的肆意攻击。 原作者：Kevin Townsend，译者：青楚 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 5 日消息，安全专家近期发现东欧北约士兵的智能手机与社交媒体账号遭黑客入侵，疑似俄罗斯国家黑客所为。调查显示，黑客利用无人机设备（ Stingray-like 设备）收集信息后通过劫持士兵 Facebook 与 iCloud 账户发起网络钓鱼攻击。 报道指出，黑客攻击的目标是驻扎在俄罗斯边境（东欧地区）的约 4 000 名北约部队士兵。《 华尔街日报 》的一篇报道显示，目前至少六名士兵已遭黑客攻击。此外，美国陆军中校 L’Heureux 表示，他们在调查中发现一个俄罗斯 IP 地址试图访问并定位士兵移动设备。因此，安装专家推测此次网络攻击可能由俄罗斯赞助的国家黑客组织进行。 安全专家表示，俄罗斯并非第一次被控在网路空间攻击北约。据悉，德国于 2015 年指责俄罗斯对北约与各国政府进行反恐怖主义运动。近几年来，俄罗斯黑客也陆续针对各国记者、积极活动分子、持不同政见者与评论家展开攻击活动。 稿源：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，新以太坊平台 Etherparty 于 10 月 1 日上午 9 点首次发售 Fuel 令牌时曾遭到黑客攻击。调查显示，黑客在试图替换平台钱包地址后成功劫持投资者发送的加密货币。Etherparty 发表声明称，表示工作人员在黑客攻击 15 分钟后当即发现虚假钱包地址，并立即关闭平台近一个半小时，从而防止更多投资人员将资金投入黑客钱包。 工作人员表示，虽然尚不清楚黑客窃取货币的确切数量，但公司在上午 10 点立即关闭网站后承诺，将会使用 Fuel 令牌补偿所有受影响投资人员。此外，EtherParty 平台重新托管在新服务器后，于当天上午 11:35 恢复上线。目前，EtherParty 平台将于 2017 年 10 月 29 日之前一直发售 Fuel 令牌。知情人士透露，EtherParty 平台在发售第一个小时内成功突破预期–出售超过 1000 万个 Fuel 令牌。 Etherparty 创始人 Lisa Cheng 表示：“ 我们的团队致力加强平台防御体系，以避免黑客攻击，但对于本次事件的疏忽我们深表歉意并承诺补偿所有受影响投资者。” 相关阅读： ο 以太坊钱包遭遇黑客入侵，攻击者利用社工手段劫持钱包域名 ο 以太坊钱包客户端 Parity 遭黑客盗取三千万美元 ο 第四家以太坊平台被黑，黑客盗取 840 万美元 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 2 日消息，美国网络司令部近期针对朝鲜军事情报机构 RGB 展开 DDoS 攻击，旨在回应并警示朝鲜此前攻击活动。 美国网络司令部于 8 月 18 日升级为美军第十个联合作战司令部，具备更多作战独立特权并与其他主要军事指挥机构保持同步，旨在增强国家网络安全防御能力、安抚盟友与其合作伙伴关系并迅速预防敌对组织威胁。 美国《华盛顿邮报》透露，此次攻击活动于 9 月 22 日开始，直至 30 日结束。据报道，虽然美国网络司令部瞄准朝鲜情报机构 RGB 的计算机服务器进行了猛烈攻击，但只是短暂的堵塞了朝鲜互联网的接入，并不具备破坏性惩罚。知情人士表示，此次网络攻击活动更像一次警示，即美国网络司令部想要回应朝鲜政府，他们有能力采取更有力的措施维护国家网络安全。不过，相关人员表示，尽管美国此次 DDoS 攻击活动只是一次非破坏性的警示，但并不代表朝鲜国家黑客组织不会对其进行网络报复。 根据网络安全公司 Recorded Future 2017 年 7 月监测朝鲜网络流量得出的一个结论可知，多数朝鲜国家资助的攻击活动都在境外（例如：印度、马来西亚、新西兰、尼泊尔等国）实施。因此，安全专家表示，一个国家的领土安全在这种情况下不太可能对真正的黑客组织产生多大影响，仅仅会干扰受攻击组织的协调与控制。 安全研究团队 38North 近期透露，在美国网络司令部开展的攻击活动后，俄罗斯电信供应商 TransTeleCom 立即为朝鲜政府提供了网络流量的支持。调查显示，TransTeleCom 与韩国邮电公司自 2009 年达成通信协议–沿着俄罗斯至朝鲜的铁路轨道铺设了光纤线路，现又机缘巧合的在美国攻击后提供流量援助，所以这似乎意味着两国此前就已经开始商讨共同应对美国攻击活动的预防措施。 此外，网络监控公司 Dyn Research 的统计数据显示，朝鲜的新互联网连接将有助于中国现有服务项目的支持。知情人士透露，朝鲜现今面临来自美国的压力，而作为美国盟友之一的中国来说，则被美国要求帮助实施制裁。不过，目前各国代表均未发表任何置评。 原作者：Kevin Townsend，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 10 月 1 日报道，卡巴斯基实验室（Kaspersky Lab）近期在国家网络安全中心（NCSC）组织的 “ 2017 安全、信息技术 ” 研讨会上提出，60% 的沙特阿拉伯机构在过去一年内均遭受了恶意软件的攻击，其中 41% 的机构承认自身企业并未做好防御措施，需要更好的工具检测威胁并有针对性的处理此类攻击活动。 调查显示，网络安全公司 MalwareBytes 研究人员于今年 3 月发现黑客组织利用恶意软件针对沙特阿拉伯展开网络钓鱼攻击；卡巴斯基实验室研究人员于今年 8 月发现黑客组织利用勒索软件 Mamba 感染巴西与沙特阿拉伯各组织机构。 知情人士透露，沙特阿拉伯政府当前最主要以及重要的目标是在该国建立一所电子安全中心，以提高政府关键基础设施抵御网络攻击的能力。据悉，卡巴斯基常务董事 Maxim Frolov 在该研讨会上不仅肯定了沙特阿拉伯在提高网络安全方面的努力，同时也敦促其他国家加强自身防御体系、共同抵御黑客攻击。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  10 月 1 日消息，思科研究人员近期发现黑客通过合法的 VMware 二进制文件发送网络钓鱼邮件，旨在分发银行木马感染目标设备后实施反分析技术，窃取用户敏感信息并获取非法经济利益。目前，巴西等南美银行已遭黑客攻击。 调查显示，该款银行木马由开发人员采用 Delphi 编写，其主要模块实现了多项功能，包括终止分析工具的流程、创建自启动注册表项。此外，该银行木马还利用 Web 注入操作诱导用户暴露银行登录凭据等敏感信息。 黑客发送的钓鱼邮件以发票为主题且由葡萄牙语（母语）写成，因此更容易获得当地用户信任。另外，攻击者在邮件中上传了一份附件并要求用户点击下载。然而研究人员了解到，该附件包含一条重定向至 goo.gl 的链接，用户点击之后系统将再次重定向下载另一包含 JAR 文件的压缩包，最终目标设备将执行恶意代码并安装该款银行木马。 此外，这一银行木马在设置完自身“工作环境”后还将从远程服务器下载其他恶意软件。研究显示，一旦成功下载此类文件，它将被重命名后利用合法的 VMware 二进制文件进行传播，以欺骗安全程序信任。目前，研究人员提醒用户不要轻易点击未知名链接或下载未经检验的邮件并确保设备安装全方位杀毒软件以避免遭受恶意软件感染。 更多内容，请阅读来自 Talos 安全团队发布的分析报告。 原作者： Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc  10 月 1 日消息，安全研究人员 AmiMoJo 近期分享了一篇研究报告，指出俄罗斯可能正测试一种新型技术，旨在操控船舶全球卫星定位（GPS）系统开展诱骗攻击。 俄罗斯新罗西斯克港附近一艘船舶的船长 Le Meur 发现，船舶的 GPS 位置显示有误，即船只竟然位于距离海岸超过 32 公里的 Gelendzhik 机场。经检查确认导航设备工作正常后，船长联系了附近其他船舶核对，发现至少 20 艘船舶的自动识别系统显示在同一机场。由于担心局势严重，Le Meur 船长使用无线电向附近船舶发出无线电通知：黑客正使用某种新测试技术操控船舶 GPS 系统。 据悉，研究人员在对近年来的船舶自动识别系统（AIS）数据进行搜索后发现诱骗证据愈变清晰，因为他们的 AIS 系统数据由 GPS 提供。目前，美国海事管理局证实了至少 20 艘船舶在黑海航行时遭受影响。不过，美国海岸警卫队的代表拒绝对此事发表置评，他们认为还需针对 GPS 系统展开深入调查。 原作者：EditorDavid，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 9 月 29 日报道，安全研究人员近期发现网络犯罪分子通过伪造来自美国银行与 TD 商业银行等私人金融机构的合法域名、机构标志与其邮件底部的保密声明发送网络钓鱼邮件，旨在向不知情受害者分发恶意软件、窃取重要信息。 调查显示，攻击者伪造合法银行安全信息发送网络钓鱼邮件，并在邮件中指示用户下载附件、填写个人信息并对其进行回复等一系列操作。据悉，该封电子邮件中所附带的 Word 文档包含一款恶意软件，用户一旦下载并安装将会允许攻击者在 Windows 设备上重写用户目录文件。 值得注意的是，该款恶意软件可以规避部分杀毒软件检测，因为附带恶意软件的文档是安全的。若受害者设备成功安装该款恶意软件，攻击者就可对其进行访问与操控，从而窃取用户重要信息。目前，研究人员建议用户提高网络钓鱼防范意识、不要轻易点击未知名链接并确保安装全方位杀毒软件以避免遭受钓鱼攻击活动。 原作者：Hyacinth Mascarenhas，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。