内容转载

= ̄ω ̄= 内容转载

微软称其抵挡了有史以来最大的 DDoS 攻击 带宽负载高达 2.4 Tbps

微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务(DDoS)攻击。这次攻击针对欧洲的一个Azure客户,比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量,这是在去年针对亚马逊网络服务的攻击。 微软表示,这次攻击持续了10多分钟,短暂的流量爆发峰值为2.4Tbps,随后下降到0.55Tbps,最后回升到1.7Tbps。DDoS攻击通常用于迫使网站或服务脱机,这要归功于网络主机无法处理的大量流量。它们通常是通过僵尸网络进行的,僵尸网络是一个使用恶意软件或恶意软件进行远程控制的机器网络,Azure能够在整个攻击过程中保持在线,这要归功于它吸收数十Tbit DDoS流量攻击的能力。 “攻击流量来自大约7万个来源,包含来自亚太地区的多个国家,如马来西亚、越南、日本等国家以及美国本土,”微软Azure网络团队的高级项目经理Amir Dahan解释说。 虽然2021年Azure上的DDoS攻击数量有所增加,但在8月最后一周的这次2.4Tbps攻击之前,最大攻击吞吐量已经下降到625Mbps。微软没有说出被攻击的欧洲Azure客户的名字,但这种攻击可以作为二次攻击的掩护,特别是在试图传播恶意软件和渗透到公司系统的过程中。 亚马逊网络服务(AWS)之前保持着最大的DDoS攻击防御的记录,也就是上面所说的2.3Tbps的尝试,超过了NetScout Arbor在2018年3月保持的1.7Tbps的前记录。   (消息及封面来源:cnBeta)

研究人员为关键基础设施系统创建自我意识以抵御黑客攻击

随着勒索软件和世界各地其他网络攻击的增加,系统运营商更加担心复杂的 “虚假数据注入 “攻击,即黑客向其提供虚假的数据,欺骗电脑系统和人员,使其认为操作正常。然后,攻击者扰乱了工厂关键机器的功能,导致其运行不良或故障。当安全人员意识到他们被欺骗时,为时已晚,造成了灾难性的后果。 普渡大学的Hany Abdel-Khalik想出了一个强有力的对策:使运行这些网络物理系统的计算机模型具有自我意识和自我修复能力。利用这些系统数据流中的背景噪音,Abdel-Khalik和他的学生嵌入了无形的、不断变化的、一次性使用的信号,将被动的组件变成主动的观察者。即使攻击者拥有一个完美的系统模型副本,任何试图引入伪造数据的行为都会被系统本身立即发现并拒绝,不需要人类的回应。 今天,能源、水和制造业的关键基础设施系统都使用先进的计算技术,包括机器学习、预测分析和人工智能。员工们使用这些模型来监测其机器的读数,并验证它们是否在正常范围内,即所谓的”数字双胞胎”。数据监测模型的重复模拟,帮助系统操作员确定何时出现真正的错误。但是,用于控制核反应堆和其他关键基础设施的模拟器很容易地获得。还有一个常年存在的风险是,系统内部的某个人,如果能够接触到控制模型及其数字孪生体,就可以尝试进行偷袭。 为了挫败这种策略,Abdel-Khalik和核工程专业三年级的研究生Arvind Sundaram找到了一种方法,将信号隐藏在系统不可观察的”噪声空间”中。控制模型要处理成千上万个不同的数据变量,但其中只有一小部分实际用于影响模型输出和预测的核心计算。通过稍微改变这些非必要的变量,他们的算法产生了一个信号,这样系统的各个组成部分就可以验证进来数据的真实性并作出相应的反应。   (消息及封面来源:cnBeta)

指挥着 10 万多台僵尸机器人网络的黑客被乌克兰警方抓获

乌克兰安全局(SBU)已经逮捕了一名黑客,他开发和利用了一个由超过10万个机器人组成的僵尸网络。该罪犯是一名居住在乌克兰伊万诺·弗兰科夫斯克的普里卡尔帕蒂亚地区的居民。这个庞大的机器人大军被用来触发分布式拒绝服务(DDoS)攻击或用于发送垃圾邮件。 除此以外,他还被用来通过暴力手段来窃取用户凭证,如密码,测试各种网站的弱点,为将来的网络攻击做准备,罪犯通过在线论坛和Telegram销售和接收此类攻击的命令。 SBU利用他在俄罗斯数字支付服务WebMoney上注册的账户追踪到他,这名黑客不慎在那里提供了他的真实地址。 根据《乌克兰刑法典》,该罪犯将根据”第361-1条第2部分(以创作为目的)、361-1条(为使用、分发或销售恶意软件或硬件的目的而创造,以及分发或销售),以及363-1条(干扰工作)。363-1条(通过大量传播电信信息干扰电子计算机(电脑)、自动化系统、计算机网络或电信网络的工作)”被指控。   (消息及封面来源:cnBeta)

Google 将向易被黑客攻击的”高风险”机构提供硬件安全密钥

Google表示,它将向1万名”高风险”用户提供免费的硬件安全密钥,几天前该公司曾警告数千名Gmail用户,他们是一些受支持的黑客的目标。由Google威胁分析小组(TAG)发出的警告提醒超过14000名Gmail用户,他们已成为APT28(也称为Fancy Bear)国家支持的钓鱼活动的目标,据说该活动由俄罗斯GRU情报机构的特工组成。 Fancy Bear已经活跃了十多年,但它因入侵民主党全国委员会及其在2016年美国总统选举前的虚假信息和影响选举活动而广为人知。 “这些警告表明是针对而不是妥协。如果我们对你发出警告,那么我们阻止他们的可能性非常大,”Google的TAG主管Shane Huntley周四在Twitter上写道。”这个月增加的数字来自于少数目标的活动,这些活动被阻止了。” Huntley补充说,这些警告对活动家、记者和政府官员等个人来说是正常的,因为这就是政府支持的实体的目标。”如果你是活动家/记者/政府官员或在国家安全机构工作,这个警告说实话不应该是一个惊喜。在某些时候,一些受到支持的实体可能会试图向你发送一些东西。”他说。 Google在一篇博文中说,它将在2021年全年发送安全密钥,以鼓励用户加入其高级保护计划(APP),该计划保护那些具有高知名度和敏感信息的用户,他们有可能受到有针对性的在线攻击。安全密钥使网络钓鱼攻击更难奏效,因为安全密钥只能用于解锁合法网站的账户。 此外,Google还宣布与国际选举制度基金会(IFES)、联合国妇女署和非营利组织”捍卫数字运动”(DDC)建立新的和扩大的伙伴关系,以加强其最危险用户的安全。 通过与后者的合作,Google表示,它已经在2020年美国大选季节向180多个符合条件的联邦竞选活动提供了Titan安全密钥,并补充说,它现在正与该组织合作,为州级竞选活动和政党、委员会及相关组织提供进一步的保护,包括关于如何防止网络攻击的研讨会和培训。   (消息及封面来源:cnBeta)

美司法部:瞒报网络攻击或数据泄露事件的联邦承包商将被起诉

美国司法部表示,如果联邦承包商未能如实上报网络攻击或数据泄露事件,则它们将面临法律诉讼。本周,副总检察长 Lisa O. Monaco 提出了一项民事网络欺诈倡议,以期参照现有的虚假申报法案(FCA)来追究与政府承包商和资助接受者们相关的网络安全欺诈行为。 新闻稿指出,该倡议将让个人或联邦承包商等实体,在故意提供有缺陷的网络安全产品或服务、导致美国网络技术设施面临风险时承担责任。与此同时,政府承包商将因违反监测上报网络安全事件和数据泄露行为而面临处罚。 据悉,这是美国政府在一系列针对联邦机构(包括财政部、国务院和国土安全部)的黑客攻击之后做出的最新回应。此前有调查称境外间谍活动波及 SolarWinds 网络,使其 Orion 软件被植入后门,并通过受污染的软件更新渠道推送到了客户网络。 通过政策法规上的“亡羊补牢”,美司法部希望建立适用于所有公共部门、广泛且具有弹性的网络安全入侵应对措施,并帮助政府努力识别、打造和披露常用产品或服务的漏洞补丁。若发现相关企业未能达到政府要求的安全标准,责任方还将承担相应的损失补救义务。 Lisa O. Monaco 解释称:长期以来,企业总是错误地认为瞒报比主动披露违规事件的风险要更小,但当下的环境已经大不相同。 通过今日宣布的倡议,我们将动用民事执法工具来追查那些不遵守网络安全标准规定的企业,尤其是接受联邦资金资助的政务承包商。 我们深知瞒报将让所有人都陷于风险之中,这也是我们必须确保的适当动用纳税人资金、并保护公共财政与维护公众信任的一项有力工具。 据悉,这项倡议的公布时间,恰逢加密货币执法团队的成立,以期处理复杂调查和滥用加密货币的刑事案件。 本周早些时候,参议员 Elizabeth Warren 和众议员 Deborah Ross 还提出了一项“赎金披露法案”,以强制勒索软件受害者在 48 小时内披露其支付的赎金金额的详细信息。   (消息及封面来源:cnBeta)

TangleBot:Android 木马恶意软件最危险软件之一,可完全接管手机

据外媒报道,网络安全分析师最近发现了一种被他们称为“TangleBot”的Android恶意软件。这种恶意软件非常复杂,能够劫持手机的大部分功能。一旦被感染,手机就会成为终极间谍/跟踪设备。 Proofpoint研究人员指出,TangleBot通过向美国和加拿大的Android设备发送短信来锁定用户。这些短信被伪装成Covid-19法规和助推器的信息以及跟潜在停电有关的消息,另外还会鼓励受害者点击一个显示需要Adobe Flash更新的网站链接。 如果选择对话框,恶意网站将把恶意软件安装到智能手机上。攻击者依赖于用户无视Adobe在2020年12月停止对Flash的支持以及自2012年以来移动设备不支持Flash的事实。 如果欺骗成功,TangleBot就可以完全渗透到整个手机中。该恶意软件可以控制来自麦克风和摄像头的音频和视频、查看访问的网站、访问输入的密码集合、从短信活动和设备上的任何存储内容中提取数据。TangleBot还可以授予自己修改设备配置设置的权限并允许攻击者查看GPS定位数据。 黑客获得的功能基本上提供了全面监视和数据收集能力。TangleBot提供了一些关键的区别性功能使其特别具有威胁性,其中包括高级行为、传输能力和用于混淆的字符串解密程序。 除了间谍软件和键盘记录能力外,该恶意软件还可以阻止和拨打电话,不可避免地导致拨打高级服务的可能性。与此同时,语音生物识别能力可被用来冒充受害者。 报告指出,在TangleBot中看到的复杂程度使其在其他形式的恶意软件中脱颖而出。“与键盘记录功能、覆盖能力和数据渗透有关的特征是任何恶意软件武库中的常规行为,然而,TangleBot以高级行为和传输能力使自己与众不同,同时还展示了试图挫败生物识别语音认证安全系统的恶意软件的最新发展。TangleBot的最后一个组成部分在原来的Medusa中没有看到,它先进地使用了一个字符串解密程序以帮助混淆和掩盖恶意软件的行为。” 用来将木马软件的目的和功能隐藏在许多混淆层之下的尖端技术是导致出现TangleBot的原因。这些方法包括隐藏的.dex文件、模块化和功能化的设计特点、最小化的代码以及大量未使用的代码。 对于Google的操作系统来说,Android恶意软件和特洛伊木马变得越来越常见,而且不仅仅是通过短信,智能手机也会被暴露。GriftHorse恶意软件被成功嵌入到正式批准进入Google Play和其他第三方应用商店的应用中,使其能够感染超过1000万台设备并窃取数千万美元。 对于Android系统来说,这是一个令人担忧的状况,研究人员在报告中的结束语也呼应了这一点。 “如果说今年夏天Android生态系统向我们展示了什么,那就是Android系统充斥着聪明的社会工程、彻头彻尾的欺诈和恶意软件,这些都是为了欺骗和窃取移动用户的金钱和其他敏感信息,”研究团队说道,“这些计划可能看起来很有说服力并可能利用恐惧或情绪进而导致用户放松警惕。” 安全公司Eset最近的分析清楚地概述了这些言论,其显示了Android恶意软件在多个威胁领域的增长。   (消息及封面来源:cnBeta)

亚马逊 Twitch 被黑客入侵 大量源代码和财务细节被公布

据报道,整个Twitch的源代码、用户评论历史和详细的财务记录已被一名匿名黑客发布到网上。Twitch是亚马逊旗下的视频和游戏服务。现在,其服务的全部源代码,其移动、桌面和客户端应用程序,以及一个未发布的Steam商店竞争项目都被泄露了。 据VGC报道,这些文件是由一个匿名黑客泄露给4chan的。这个人说,这次泄漏是为了”促进在线视频流媒体领域的更多破坏和竞争,[因为Twitch的]社区是一个令人作呕的有毒污水池”。VGC已经证实,黑客的文件在4chan上是公开的。Twitch内部的一位匿名人士进一步证实,这些文件是真的。 根据黑客和已经开始检查文件的Twitter用户的说法,泄露的数据至少包括: 所有Twitch的源代码 “可以追溯到其早期的开始”的评论历史 财务细节,包括2019年以来创作者的报酬 包括Apple TV在内的Twitch应用程序的源代码 一个尚未发布的Steam竞争者项目 内部安全工具 专有的SDK,内部的亚马逊网络服务工具 Steam的竞争对手被称为Vapor,由亚马逊游戏工作室制作。据报道,还有一个相关的Vapeworld,可能是一个旨在与Vapor整合的聊天服务。 一些用户声称,加密的密码也包括在黑客公布的内容中。假设它是准确的,泄露的数据揭示了CriticalRole等公司从Twitch赚取的资金量。 Twitch的原始版本于2011年推出,并于2014年被亚马逊收购。在其客户端应用程序中,有一个长期运行的iOS应用程序,一个Mac的客户端,以及最近的Apple TV。 亚马逊尚未对这一黑客事件发表评论,也未对泄露的数据发表评论。   (消息及封面来源:cnBeta)

GriftHorse 恶意软件已经感染了超过 1 千万台安卓设备

安全研究机构Zimperium发现了新的安卓恶意软件GriftHorse,它可以欺骗用户并且订阅高级短信服务。据信,GriftHorse恶意软件已经感染了70多个国家超过1000多万台安卓设备。 据信,操作该恶意软件的团伙每月收入在150万至400万美元之间。安全研究人员发现从2020年11月开始,GriftHorse恶意软件已经感染了70多个国家1000多万部Android设备,并为其运营商每月赚取数百万美元。 移动安全公司Zimperium发现,GriftHorse恶意软件通过在官方Google Play商店和第三方Android应用商店上看起来很良性的应用程序进行传播。GriftHorse恶意软件让用户订阅高级短信服务。如果用户安装了这些恶意应用程序,GriftHorse开始向用户发送弹出窗口和通知,提供各种奖品和特别优惠。 点击这些通知的用户会被重定向到一个在线页面,在那里他们被要求确认他们的电话号码,以便获得优惠。但实际上,用户是在为自己订阅每月收费超过30欧元(35美元)的高级短信服务,这些钱然后被转到GriftHorse运营者的口袋里。 Zimperium研究人员Aazim Yaswant和Nipun Gupta几个月来一直在跟踪GriftHorse恶意软件。他们发现,GriftHorse开发者还投资于恶意软件的代码质量,使其尽可能地避免被发现。 Yaswant和Gupta表示,威胁者所表现出的复杂程度、对新技术的使用和决心使他们能够在几个月内不被发现。根据他们到目前为止所看到的情况,研究人员估计,GriftHorse团伙目前每月从他们的计划中赚取120万欧元至350万欧元(每月150万至400万美元)。 该活动已经积极发展了几个月,从2020年11月开始,最后更新的时间可以追溯到2021年4月。这意味着他们的第一批受害者之一,已经损失了200多欧元。受害者的累积损失加起来为这个网络犯罪集团带来了巨大的利润。 Zimperium是应用防御联盟的成员,它与Google联系报告了所有被GriftHorse感染的应用,这些应用现在已经从Play Store中删除。   (消息及封面来源:cnBeta)

EFF 将停止 HTTPS Everywhere 扩展服务 称其使命已经完成

随着HTTPS采用率的提高和网络浏览器提供原生控制,电子前沿基金会(EFF)已决定在2022年将其流行的浏览器扩展HTTPS Everywhere转为维护模式。该公司表示,早在10年前就推出的扩展的目的就是为了像今天这样使其成为多余的。 HTTPS Everywhere是一个可用于Firefox、Chrome、Microsoft Edge、Opera和Vivaldi等网络浏览器的扩展,安装该扩展后,会尽可能通过HTTPS加载HTTP网站。当该扩展最初可用时,大多数网站都不支持HTTPS。 自从Mozilla、Google、微软联手提高HTTPS在网络上的采用率后,HTTPS强制扩展就变成了不必要的。近年来,不仅有很多网站从HTTP转移到HTTPS,而且网络浏览器提供了一个设置,如果可能的话,通过安全连接加载网页,只用HTTPS模式或HTTPS优先模式。Firefox浏览器提供了这个功能,微软的Edge和Chrome也有。 因此,启用纯HTTPS模式设置是用户今后在网络浏览器中需要做的所有事情,他们现在可以删除HTTPS everywhere扩展。 “HTTPS everywhere的目标始终是成为多余的。这将意味着我们实现了更大的目标:一个HTTPS广泛可用的世界,用户不再需要一个额外的浏览器扩展来获得它。现在,这个世界比以往任何时候都更接近主流浏览器提供了对纯HTTPS模式的本地支持。” EFF表示,HTTPS Everywhere将在整个2022年处于维护模式。该公司承诺,在完全关闭该扩展之前,将告知用户浏览器中的原生HTTPS-only模式选项。 Google最近发布了Chrome 94,在桌面和Android上采用HTTPS-only模式。用户需要访问安全设置,并切换”始终使用安全连接”选项以启用该功能。 这样一样,用户就不应该在网页浏览器中启用HTTPS-Only的同时运行HTTPS Everywhere,因为两者可能会相互冲突,正确的做法是删除扩展,而不是禁用它。 截至目前,一些网络浏览器供应商还没有足够的信心在浏览器中默认强制使用HTTPS,这可能需要一些时间才能使纯HTTPS模式成为每个支持它的网络浏览器的默认模式,无论是Firefox还是微软Edge。   (消息及封面来源:cnBeta)

一份报告称勒索软件已经影响医院病人死亡率

Ponemon研究所一份新报告强化了勒索软件攻击对病人的安全风险。22%的受访医疗机构在网络攻击后看到病人死亡率上升。该报告称,第三方风险对病人护理产生的不利影是响其中最大的痛点。 网络攻击导致更多病人出现住院时间延长,医疗程序和测试的延误,导致医疗结果不佳。在Censinet赞助的报告中,Ponemon研究人员调查了597名来自医疗服务机构(HDO)IT安全专业人士,以评估COVID-19和勒索软件等网络攻击增加对病人护理和病人数据安全的影响。 行业利益相关者长期以来一直警告说,网络攻击和相关停机时间,对患者安全构成了迫在眉睫的风险。但在2019年的报告之外,关于具体死亡事件的数据仍然稀少,促使人们需要分享威胁和第一手资料,以更好地获得网络攻击对增加病人伤害风险的具体情况。 通过Ponemon的报告,医疗IT领导者通过供应商的经验证实了网络攻击和病人护理之间的直接联系。在过去两年中,43%的受访医疗机构经历了一次勒索软件攻击,其中33%的机构成为两次或更多攻击的受害者。在这些医疗机构中,71%的人报告说住院时间延长,70%的人看到医疗程序和测试的延误,导致护理效果不佳。另有65%的受访者发现,由于攻击的直接原因,转院或转到当地医疗机构的病人增加,36%的受访者报告医疗程序的并发症增加。 研究结果表明,越来越多的网络攻击,特别是勒索软件,对病人护理产生了负面影响,而COVID对医疗机构的影响更加剧了网络攻击的影响。   (消息及封面来源:cnBeta)