随着国家对网络攻击的日益关注，其关键基础设施越来越需要保护。美国能源部曾于 2017 年 1 月发布的《 Quadrennial Energy Review 》中写道：“黑客对电力系统的威胁日益复杂，其规模和频率都在不断增加。目前，电力系统的可靠性几乎支撑了现代美国经济的每一个领域。 为应对此类攻击，美国联邦能源管理委员会（FERC）近期提出新网络安全管理控制措施，以增强国家电力系统的可靠性与弹性。目前，FERC 提议批准关键基础设施保护（CIP）的可靠性指标 CIP-003-7（ 网络安全-安全管理控制 ），旨在降低可能影响电力系统运行的网络安全风险。据悉，新指标将特别改进现有的访问控制标准： Ο 阐明适用于低影响网络系统的电子访问控制义务; Ο 对临时电子设备（如 thumb 驱动器和笔记本电脑）采取强制性安全控制; Ο 制定实体宣传和回应 CIP 与低影响网络系统有关的特殊政策。 FERC 指出，北美电力公司（NERC）理应制定应对第三方临时设备可能感染恶意软件造成的风险标准。消息显示，此次修改将解决潜在差距并改善实体的网络安全状态。尽管成功入侵美国关键基础设施的案例极少，但随着地缘政治紧张局势的加剧，针对特定国家的网络攻击也愈受关注。 目前俄罗斯、伊朗和朝鲜等国的黑客活动极其令人担忧，俄罗斯此前被谴责入侵美国民主党全国委员会（DNC）的网络系统、发动 NotPetya 攻击事件以及攻击乌克兰电力系统； 朝鲜被指责参与索尼和韩国众多企业的袭击事件；而伊朗一直被指责对美国航空航天和能源公司展开攻击。 相关阅读： 新型勒索软件 Petwrap 肆虐全球，乌克兰电力、机场及俄石油公司受大规模影响 美国 CERT 发布预警：朝鲜黑客组织 Lazarus 开展 DDoS 僵尸网络攻击活动 伊朗黑客组织 APT33 瞄准多国航空国防能源机构展开新一轮网络攻击活动 原作者：Kevin Townsend，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 CBC 报道，加拿大电子情报机构通信安全局（CSE）于 10 月 19 日向公众发布了一份开源软件分析工具 Assemblyline 源代码，旨在帮助企业和政府机构的电脑系统及网络免遭黑客攻击。 知情人士透露，加拿大通信安全局极少对此类活动进行回应，无论是进攻还是防御，更何况机构的众多信息均来自美国国家安全局前雇员爱德华·斯诺登（Edward Snowden）所泄露的机密文件。不过，CSE 目前证实，只有全面加强国家网络安全，才能在本国面临危机时迅速响应。 通信安全局的 IT 专家 Scott Jones 表示，这是一款可以帮助研究人员分析恶意软件的工具，其源代码托管在 Bitbucket 平台上。另一方面，该机构通过公开发布 Assemblyline 代码是一次非常明智的行为。因为他们似乎正通过此事摆脱 ‘ 超级秘密间谍机构 ’ 的名声，旨在提高机构透明程度。 稿源：Slashdot，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 19 日消息，黑客组织 Leviathan 近期正瞄准全球国防、政府及海军等机构展开新一轮网络钓鱼攻击，旨在窃取国家机密信息。 黑客组织 Leviathan 自 2014 年以来一直处于活跃状态，其美国、西欧与中国南海等地区普遍遭受影响。据悉，网络安全公司 McAfee 和 F-Secure 研究人员发现 Leviathan 曾于 2015 年 2 月至 10 月入侵中国南海地区工控系统。另外，菲律宾司法部门、亚太经合组织组织及国际律师事务所也在此期间纷纷遭受攻击。 调查显示，黑客组织 Leviathan 于今年 9 月针对一家美国造船公司和一所与军队相关的美国大学研究中心展开了新一轮网络钓鱼攻击，其钓鱼邮件常以 “ 工作简历 ” 和 “鱼雷恢复实验” 等为主题、诱导用户下载并安装恶意软件。目前，尚不清楚黑客是否成功窃取他们最新活动的任何机密数据。 Proofpoint 研究人员在博客中表示：“工具、技术和目标始终将他们的工作联系起来，特别是考虑到他们对海军与国防利益的密切关注。此外，虽然与军事相关的国防承包商和学术研究中心应该始终认识到国家网络攻击的潜在威胁，但还需特别警惕那些看似合法却未经验证的电子邮件。” 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，全球知名军品公司 BAE Systems Plc 表示，与朝鲜有关联的黑客组织 Lazarus 可能需要为台湾远东国际商业银行 6000 万美元的失窃案负责。 Lazarus（音译 “ 拉撒路 ”）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示，黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件、 2016 年孟加拉国银行数据泄露事件及 WannaCry 勒索病毒攻击事件有关。 安全研究人员表示，他们在调查攻击远东国际商业银行的恶意工具包时，发现黑客组织在此次活动中使用了多款恶意软件，且与 Lazarus 之前使用的武器库相关。据悉，黑客组织在目标银行网络上利用勒索软件 Hermes 侵入设备后加密系统文件、干预检测并擦除证据。此外，研究人员在检测银行系统时，还发现另一款恶意软件 Bitsran，可用于目标系统运行与传播有效负载的加载程序。 目前，斯里兰卡警方已经逮捕了与这起失窃案相关的两名网络犯罪分子，且追回 5990 万美元。研究人员表示，除了孟加拉国央行的失窃案，该团伙还一直瞄准比特币，同时他们还是墨西哥和波兰银行网络攻击的幕后力量。 稿源：本文结合 securityaffairs.co 与 solidot奇客 内容编译整理 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

HackerNews.cc 10 月 8 日消息，Magnitude 漏洞开发工具包（EK）在过去的发展规模中一直引人注目并被网络犯罪分子用于亚洲多个国家肆意传播。奇怪的是，该漏洞开发工具包于今年 9 月下旬突然消失，起初研究人员以为这仅仅是 EK 研发失败的情景，但就在近期，该工具包重新出现并新添有效负载–勒索软件 Magniber。 Magnitude 漏洞开发工具包最早可追溯至 2013 年，其主要包含诸如加密类的勒索软件。调查显示，攻击者利用该漏洞开发工具包过滤客户 IP 地址与系统语言的地理位置后传递有效负载。这是一种网络犯罪分子常用的主要技术工具，旨在规避研究人员检测。目前，该工具包只通过漏洞（2016-2016-0189）检索执行有效负载。 据悉，Magniber 是一款针对性较强的勒索软件，可通过多个级别（外部 IP、安装语言等）检测目标系统，以确保受攻击设备仅为韩国用户。此外，勒索软件 Magniber 由 Magnitude 漏洞开发工具包进行分配。 调查显示，勒索软件 Magniber 仅在检测到韩语的系统上才会开始恶意操作，如果恶意软件于非韩系统执行，其研究人员唯一能看到的操作就是通过其运行 ping 命令删除自身程序。 一旦入侵韩国系统，其恶意软件将以 ％TEMP％ 方式复制设备机密数据，并在任务调度程序的帮助下部署自身。 据悉，研究人员在系统的多个文件夹中除了发现同一勒索赎金信函外，还检测到另一文档，它的名称与为特定用户生成的域名相同、扩展名与加密文件的扩展名相同。此外，每份加密文件都添加了同一个由拉丁文字符组成的扩展名，并且对于特定的 Magniber 样本来说固定不变，这意味着每份文件都使用完全相同的密钥进行加密。 研究人员表示，受害者的页面只显示英文。虽然它的模板与此前勒索软件 Cerber 使用的模板极其相似，但内部完全不同。此外，Magniber 是在 CBC 模式下使用 AES 128 位加密文件并在 Windows Crypto API 的帮助下执行与传播。 目前，虽然攻击者正积极瞄准韩国用户分发勒索软件 Magniber，但研究人员尚不清楚幕后黑手真正意图。对此，他们将持续跟进此次事件并提醒各用户加强防御体系，以抵御大规模攻击事件的发生。 附：Malwarebytes Labs 原文报告《 勒索软件 Magniber：仅感染传播韩国用户 》 稿源：Malwarebytes Labs ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 10 月 18 日报道，网络安全专家近期发现一份逾 27G 转储文件，其包含 3000 万南非公民的身份号码、个人收入、年龄、就业历史、公司董事身份、种族群体、婚姻状况、职业、雇主和家庭地址等敏感信息。 知名媒体 iafrikan 透露，该批数据来源于 Dracore Data Sciences 企业的 GoVault 平台，其公司客户包括南非最大的金融信贷机构——TransUnion。随后，安全研究人员经调查后发现该公司将用户数据发布到一台完全未经保护的 Web 服务器上，其允许任意用户进行访问。 研究人员表示，这可能是南非最大的一次数据泄露事件。虽然尚未发现数据已被黑客利用，但这可能只是时间上的问题。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 10 月 17 日报道，卡巴斯基实验室研究人员于 5 月发现黑客组织在暗网论坛 ATMjackpot 出售一款新型 ATM 恶意软件 Cutlet Maker，可以通过侵入特定 ATM 供应商的 API 接口后清空设备所有现金，而无需与银行用户及其数据进行交互。目前，该恶意软件售价 5000 美元。 调查显示，Cutlet Maker 起先于暗网 AlphaBay 出售，但随着美国 FBI 的审核调查后，该网站于今年 7 月关闭。不过，知情人士透露，该恶意软件开发人员又重新创建了一个暗网市场 ATMjackpot，专门出售 Cutlet Maker。此外，有消息指出，该恶意软件工具包除了所需设备、目标 ATM 机模型以及恶意软件操作的提示与技巧外，还提供了一份详细的手册说明以便用户轻松查看。 研究人员表示，该恶意软件可分为 CUTLET MAKER 与 Stimulator 两大模块： CUTLET MAKER：主要负责侵入 ATM 机的 API 接口后分配资金。其程序由开发人员采用 Delphi 编写，并利用 VMProtect 等多个应用进行包装。 Stimulator：该模块主要用于获取 ATM 机转储内容并查询设备余额，其程序也采用 Delphi 编写，并使用与 “CUTLET MAKER” 相同的方式进行包装。 据称，CUTLET MAKER 和 Stimulator 显示了网络犯罪分子如何使用合法的专有数据库和恶意代码从 ATM 中分配资金。不过，此类恶意软件不会直接影响到银行客户，因为它只是为了从特定供应商的 ATM 中窃取现金。目前，研究人员建议各银行供应商加强 ATM 设备的防御措施以防黑客攻击。 附：卡巴斯基原文报告《 ATM恶意软件在暗网出售 》 原作者：Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HackerNews.cc 10 月 17 日消息，捷克 Masaryk 大学的安全研究人员近期发现德国半导体制造商英飞凌 Infineon 科技公司所采用的专用微控制器 TPM 存在一处高危漏洞 ROCA（CVE-2017-15361），允许攻击者进行因数分解攻击的同时，通过目标系统的公钥反向计算私有 RSA 加密密钥。该种攻击手段影响了公司 2012 年之前生产的所有加密智能卡、安全令牌以及其他安全硬件芯片等。目前，数十亿设备可能已遭受攻击。 英飞凌 Infineon TPM 是一款专用的微控制处理器，其主要将加密密钥集成到设备后保护系统硬件，并防止未经授权的访问通过提高系统完整性而窃取敏感数据。 调查显示，攻击者利用该漏洞可以针对不同密钥长度（包括 1024 与 2048 位）进行破解，并通过滥用私钥窃取敏感消息和伪造签名。据悉，ROCA 漏洞的实际影响取决于使用场景、公共密钥的可用性和使用密钥的长度。研究人员发现并分析了各领域的易受攻击密钥，其中包括公民电子文档、身份验证令牌、受信任的引导设备、软件包签名、TLS/HTTPS 密钥和 PGP。目前，虽然已确认易受攻击的密钥数量约为 76 万，但可能只有 2-3 个极其薄弱。 研究人员表示，他们于今年 2 月发现漏洞后立即上报至英飞凌并将这一事件命名为 “ Coppersmith 攻击事件的回归：广泛使用 RSA 模块的实际因数分解 ” 进行深入研究。据称，安全专家将于 11 月 2 日在 ACM 计算机与通信安全会议上发表他们的研究成果，包括分解方法。 目前，研究人员已在一篇博客文章中公开了 ROCA 漏洞的详细信息并在线发布了一款测试工具，可以用来检测自身设备的 RSA 密钥是否受到影响。此外，研究人员警示，该漏洞普遍存在于英飞凌芯片产品且被各供应商出售。好在包括英飞凌、微软、谷歌、惠普、联想和富士通在内的主要厂商已通过软件升级解决 ROCA 漏洞。对此，他们强烈建议用户更新应用系统至最新版本并在设备外部生成安全的 RSA 密钥后再将其导入设备。 附：英飞凌 ROCA 漏洞详细报告《 ROCA: Vulnerable RSA generation 》 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，希拉里·克林顿（Hillary Clinton）于本周一（10月16日）接收澳大利亚广播公司采访时，不仅指责维基解密是俄罗斯情报机构的附属公司，还抨击了其创始人朱利安·阿桑奇（Julian Assange）为 “独裁统治的虚无主义者”。 希拉里表示，阿桑奇曾与俄罗斯情报机构合作干预 2016 美国大选，并影响了她的选举结果。此外，有消息指出，这次行动由俄罗斯总统弗拉基米尔·普京领导。美国情报机构曾总结称，普京下令进行了一场复杂、多方面的影响运动，其中包括网络攻击、虚假信息宣传等破坏美国民主的活动，旨在影响希拉里形象、帮助特朗普赢得总统职务。 据悉，特朗普在美国大选时被曝 “录音门” 丑闻事件，其特朗普在这段录音中炫耀了自己可以对任何女性为所欲为等猥琐言论。然而，阿桑奇及其组织试图引开公众注意，即在录音公布几小时后在线发布了入侵希拉里竞选团队主席约翰·波德斯塔（John Podesta）的电子邮箱并获得超过 2000 份秘密文件。 目前，希拉里正在英国接受访问，并推广她的新书《 What Happened 》，其中详细介绍了 2016 年选举落败因素。此外，她还在英国切尔滕纳姆文学节上表示，俄罗斯在总统竞选期间发动了一场网络信息战争。这对西方民主来说，则是一个明显而现实的危险。不仅如此，美国社交媒体 Facebook、Twitter 与 Google 也被俄罗斯利用宣传虚假信息。“这不仅仅是伤害了我，还煽动了美国社会的分裂 ”。不过， 俄罗斯政府随后驳斥了美国无根据的指控并否认参与任何黑客活动。此外，阿桑奇也否认与俄罗斯存在任何联系，并指责希拉里一直都在说谎。 希拉里警示，俄罗斯未来所选择的战争武器可能不再是坦克或导弹，但让我清楚一点：这可能是一种新网络战术。不幸的是，它才刚刚开始。我们可能在 19 世纪打过海陆战争；在 20 世纪，开始空中作战；但在 21 世纪的对抗中，我们将在网络空间里进行越来越多的战争。对此，美国、英国及其盟国需要新的勇气与决心应对网络威胁。 原作者：Hyacinth Mascarenhas，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，瑞典三家交通机构的 IT 系统于 10 月 11 日、 12 日分别遭到黑客 DDoS 攻击，导致官网服务掉线、列车运行延误。 调查显示，黑客于 10 月 11 日针对瑞典运输管理局（ Trafikverket ）展开 DDoS 攻击，导致该机构负责管理列车订单的 IT 系统瘫痪，以及电子邮件系统与网站宕机，从而影响了旅客预定或修改订单的情况。不过，该机构随后通过 Facebook 向旅客提供了有关情况的最新信息。 瑞典交通管理局的新闻通讯官员 Pär Aronsson 证实，机构多个 IT 系统受到黑客攻击，其中包括能够显示列车位置的驱动系统。不过，虽然部分问题还在调查，但多数系统仍可正常运行。此外，知情人士透露，黑客发动的 DDoS 攻击主要针对服务提供商 TDC 和 DGC，其目的是影响机构的正常运营。 起初，安全专家认为这仅仅是一次突发事件，但第二天，另一家政府机构——瑞典交通运输局（Transportstyrelsen），以及公共交通运营商 Västtrafik 的 IT 系统遭到类似 DDoS 攻击，短暂性的破坏了官网的机票预订应用和在线旅游计划。互联网提供商 DGC 的副首席执行官 Patrik Gylesjö 表示，这可能是一场恶作剧，或者有人想要试图调查瑞典交通机构的预防措施。 目前，安全专家很难将此次攻击归因于简单的信息盗窃行为，因为他们根据俄罗斯上月开展的 “ 萨帕德 ” 军演推测，这更像是俄罗斯测试其网络能力，从而调查瑞典的交通基础设施情况。 相关阅读： 2017 “萨帕德” 军事演习：俄罗斯可能早前已在拉脱维亚测试网络武器 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。