周一， 美国防创新部官网上发布了一项针对网络狩猎网络基础设施数据高级快速分析 (ARACHNID) 计划的新招标。新的招标是在该组织迈向主任道格·贝克所说的“DIU 3.0”的新阶段之际进行的，该阶段的目标是深化与军事部门、五角大楼其他办公室以及合作伙伴和盟友的合作，以更好地扩大商业规模战士的技术。 国防创新部门总部位于硅谷，并在全国各地的技术中心设有其他前哨基地。它的目的是更好地将五角大楼与拥有军事相关技术的商业部门公司联系起来。网络和电信是其六个重点领域之一，其他领域还有人工智能、自主、能源、人类系统和太空。 “国防部 (DoD) 需要能够在国防部拥有和合作伙伴拥有的各种网络上进行网络狩猎行动，以便发现、分析和揭示恶意网络参与者的活动、能力和基础设施。在接到寻找新网络的任务后，国防部需要快速识别和映射网络设备，并寻求创新的方法来有效地完成这一任务，”根据提案请求。 “与采取主动扫描方法相比，首选解决方案将允许摄取第 2 层和第 3 层网络设备配置文件、PCAP 文件和流日志，”它表示。“解决方案应该解决团队作为受邀客人在网络上进行狩猎与管理自己的企业网络安全的特定用例，并且应该能够根据此用例进行定价。” DIU 指出，运营供应商的技术不需要云资源和互联网接入，并补充说，它更喜欢易于获得且具有商业可行性的产品。征集回复截止日期为 11 月 17 日。   转自安全客，原文链接：https://www.anquanke.com/post/id/291277 封面来源于网络，如有侵权请联系删除

亲巴勒斯坦黑客组织“所罗门士兵”宣布，它入侵了面粉厂有限公司生产工厂的基础设施，该公司是一家从事面粉及相关食品加工和销售的跨国公司。威胁者声称破坏了生产周期。 该组织在其 Telegram 频道上发布了一段视频，显示了用于控制该计划流程的系统的几张屏幕截图。 此类攻击可能会对公司和社区产生重大影响，因为目标是食品供应链的重要组成部分。 所罗门士兵组织继续以以色列组织为目标，最近他们声称对位于内盖夫沙漠的阿沙利姆发电站进行了成功的网络攻击。威胁行为者表示，他们已将该站与配电电路断开。 10月，黑客活动分子完全控制了内瓦蒂姆军区的50多台服务器、安全摄像头和智能城市管理系统。他们还声称窃取了 25TB 数据，并通过我们定制的 Crucio 勒索软件勒索了这些数据。   转自安全客，原文链接：https://www.anquanke.com/post/id/291265 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国、韩国和日本成立小组应对朝鲜黑客攻击。 韩国总统办公室周一宣布，美国、韩国和日本决定建立一个网络问题高级协商机构，主要是为了应对朝鲜的网络活动。 根据青瓦台的声明，该小组的主要目的是加强“对全球网络威胁的实际联合应对能力”，该小组将每季度举行一次会议。其中包括“共同制定阻止网络活动的措施，网络活动被滥用为北韩核武器和大规模杀伤性武器等武器开发的主要资金来源”。 在三国之外，韩国国家安全高级官员与澳大利亚国家安全高级官员举行了会晤，决定成立一个双边工作组，帮助确定共同的威胁，协调各国的应对措施。 在此之前，美国联邦调查局在8月份将最近三起针对加密货币平台的黑客攻击归咎于由朝鲜政府支持的黑客。 此前，美国联邦调查局将Harmony的Horizon bridge遭受的1亿美元黑客攻击和Sky Mavis的Ronin bridge遭受的6亿美元黑客攻击归咎于同一朝鲜黑客。 区块链研究公司Chainalysis发现，2022年是黑客攻击加密货币公司的重要一年，该行业的公司共被盗约38亿美元，高于2021年的33亿美元。Chainalysis指出，大部分黑客活动都是由与朝鲜军方有关的组织领导的，朝鲜军方优先考虑加密货币黑客攻击，以资助其核武器计划。 拜登政府去年宣布了一项涉及美国、印度、日本和澳大利亚的四方网络安全伙伴关系，这将使这些国家在加强软件、供应链和用户数据方面共同努力。 这一联合行动受到了中国官员的严厉批评，他们对CNN表示，美国正试图煽动与“印太北约”的“地缘政治竞争”。     Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

Hackernews 编译，转载请注明出处： 美国制裁一名被指控为勒索软件关联公司洗钱虚拟货币的俄罗斯人。 上周五，美国财政部制裁了一名俄罗斯女子，她被指控代表该国精英和网络犯罪分子洗钱，其中包括Ryuk勒索软件的一个分支机构。 据外国资产控制办公室（OFAC）称，叶卡捷琳娜·日达诺娃曾帮助其他俄罗斯人逃避入侵乌克兰后对该国金融体系实施的制裁。OFAC说，有一次，一位不愿透露姓名的寡头找到日达诺娃，想把1亿美元转移到阿拉伯联合酋长国。 据称，2021年，她为Ryuk勒索软件子公司洗钱超过230万美元的“疑似受害者付款”。她通过加密货币交易所Garantex管理这些资金，该交易所本身在2022年被OFAC指定。 根据OFAC的说法，在被制裁之前，与暗网市场和犯罪分子有关的交易价值超过1亿美元。 “通过像日达诺娃这样的关键推手，俄罗斯精英、勒索软件组织和其他非法行为者试图逃避美国和国际制裁，特别是通过滥用虚拟货币，”美国财政部负责恐怖主义和金融情报的副部长Brian E. Nelson说。 Ryuk勒索软件自2018年出现以来，造成了多年的破坏。2020年，在Covid-19封锁期间，联邦执法机构警告说，医疗保健行业正受到Ryuk的攻击。一个月前，连锁医院Universal Health Services遭到了Ryuk的攻击，最终使该公司损失了6700万美元。 今年2月，一名俄罗斯男子在俄勒冈州联邦法院认罪，承认在三年内为Ryuk洗钱。他被指控与13名未透露姓名的同谋一起担任该组织的中间人。 对日达诺娃这样的人的制裁往往象征意义大于实际意义，因为参与非法活动的俄罗斯人不太可能在美国拥有财产或商业利益。       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene  

苹果公司向十多位反对党领袖和记者发送了一系列警报，警告他们可能受到 “国家支持的攻击者 “的攻击。 针对反对党领导人最近提出的指控，印度电子和信息技术部已与苹果公司联系，要求该科技巨头就其声称的潜在 “国家支持的攻击 “作出澄清并提供证据。 印度电子和信息技术部要求苹果公司迅速做出回应，以澄清其关于手机可能被远程访问，从而导致敏感数据可能泄露的说法。 苹果公司关于国家支持的攻击的通知 苹果公司向十多位反对党领导人和记者发出一系列警告，警告他们可能受到 “国家支持的攻击”。政府已表示打算对这些警报进行调查，同时强调需要具体证据来证实这些说法。 苹果这类信件模板都是一样的：由于你的身份或你做的事情，你被“国家支持的攻击者”盯上了。如果你的手机和苹果账号被攻破，攻击者将能够远程获取你的敏感信息、聊天记录，甚至远程控制摄像头或麦克风。 不过苹果也表示，这有可能是一个错误的警报，但请用户严肃对待。 根据苹果官网的介绍，与传统黑客不同，由“国家支持的攻击”具有开发成本高、攻击高度复杂、上架使用的时间非常短等特点，只会针对非常少的一部分人。一旦苹果检测到这类攻击，将会通过邮件、短信和Apple ID主页置顶警告等方式进行提示。 苹果也表示，公司不会向用户提供公司发出威胁警告的原因，以避免攻击者调整其行为来逃避未来的检测。 自 2021 年以来，苹果公司一直在发送此类更新，但这次更新的发送对象仅限于新闻和政治机构的工作人员。 政府对苹果公司的审查 该部正与网络安全专家一起，密切关注反对党领袖和记者提出的问题。这项调查旨在确保数字设备的安全和安保的重要性。 反对党领导人已主动提出要解决这一问题，国会议员马胡亚-莫伊特拉（Mahua Moitra）致信人民院议长奥姆-贝拉（Om Birla），敦促议会信息技术常设委员会召开会议，进一步深入研究这一问题。 印度国民大会党主席马利卡鲁恩·卡尔格公开表示：“印人党首先使用Pegasus对反对派领导人和其他机构进行间谍活动，现在又用上了其他工具，印度不能被这种威胁吓倒。” Pegasus（又称“飞马”）是以色列网络情报公司NSO开发的一款手机间谍软件，可以入侵iPhone和安卓设备，提取短信、照片、邮件，并秘密启动麦克风、摄像头等功能。NSO曾表示，向几十个国家出售过这款软件。苹果公司也亲自下场起诉NSO，要求永久禁止该公司使用任何苹果软件、服务或装置。 而最先爆发“飞马监听门”事件的地方正是印度，多名政治人物、政府官员和知名记者被发现出现在“监听者名单”上，而且这些人的立场基本都站在莫迪政府的“对立面”。虽然整件事情在莫迪政府的否认下，最终不了了之，但猜疑的种子早已埋下。 对于反对党们的指责，印人党高级干部、前通信部长拉维·尚卡尔·普拉萨德表示这些指责“虚假且毫无根据”。 而现任通信部长阿什维尼·瓦希诺也在社交媒体上表示“将展开调查”，并且还要求苹果公司加入调查，并提供有关涉嫌国家支持的攻击的真实、准确的信息。   转自Freebuf，原文链接：https://www.freebuf.com/news/382729.html 封面来源于网络，如有侵权请联系删除

美国联邦贸易委员会出台新规，非银行金融机构需在30天内向该机构报告数据泄露和安全事件。 有消息称：美国联邦贸易委员会（FTC）已批准一项新规定，将要求非银行金融机构在30天内报告数据泄露和安全事件，这将成为强制性要求。该规定是《保障规则》的修订版，适用于抵押经纪人、机动车经销商和发薪贷款机构。 联邦贸易委员会消费者保护局局长Samuel Levine说，“受托保管敏感金融信息的公司，如果该信息已被泄露，需要做到公开透明。我们将这一披露要求添加到《保障规则》，将额外激励公司对消费者数据进行保护。” 新规定将于明年4月生效。该规定要求，如果发生500名或更多客户信息遭泄漏事件，金融机构必须向联邦贸易委员会报告事件。“如果未经信息所涉及的个人授权，已获得未加密的客户信息”，相关安全漏洞必须进行报告。 新规细节 联邦贸易委员会发布一份38页的文件，解释事件报告必须包括如下内容： 1. 需给出提交报告的金融机构的名称和联系方式； 2. 需说明事件涉及的信息类型； 3. 如信息可以确定，需提供事件的日期或日期范围； 4. 需说明受影响消费者的数量； 5. 需对事件进行一般描述； 6. 如适用，需报告是否有执法官员向金融机构提供书面决定，说明将信息泄露事件通知公众会妨碍刑事调查或对国家安全造成损害，并提供联邦贸易委员会联系执法官员的方式。 通知需要通过联邦贸易委员会网站填表的形式提交。 这项修订版以3-0的投票通过，标志着两年来不断增加的报告规则尘埃落定。《保障规则》于1999年被国会制定，并于2003年生效。2021年，《保障规则》加入网络安全规定，强制非银行金融机构必须建立保护客户数据的网络安全计划。 公司被迫限制访问消费者数据的权限，通过加密手段保护数据，并解释信息共享做法。他们还必须告知联邦贸易委员会，他们计划如何访问、收集、分发、处理和存储客户信息。公司必须指定专人监督信息安全计划，并向董事会报告更新。 2021年，Samuel Levine表示，“金融机构和其他收集敏感消费者数据的实体有责任保护这些数据。” 行业反弹 各组织对联邦贸易委员会发布的修订版的反馈褒贬不一。部分组织对事件报告规则表示欢迎，部分组织则认为这与几个州级事件报告规则重复。 联邦贸易委员会称，“委员会不认为要求金融机构向我们提供通知是重复之举。” 州级法律要求组织向消费者发布通知，并“在某些情况下”通报州监管机构，但不需要通报给负责监管金融机构的联邦贸易委员会。 “向消费者或州监管机构的通知不能实现我们的目的。收到这些通知后，委员会将能够监测影响金融机构的新兴数据安全威胁，并促使对重大安全漏洞展开迅速调查响应。” 其他一些组织，如全美汽车经销商协会，认为大多数泄露不值得报告，并提出了一种只在“一系列安全事件”之后才“适用”的报告要求，因为只有多次事件才可能“表明合规失败”，而任何单一的泄露“不能表明（合规失败）”。 最近几个月，一些政府机构已经通过了事件报告规则。比如美国证券交易委员会在今年夏天推出了针对上市公司的规则。美国网络安全和基础设施安全局计划在明年为关键基础设施组织制定新的规则。   转自安全内参，原文链接：https://www.secrss.com/articles/60303 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个支持哈马斯的黑客组织正在使用一种名为BiBi-Linux wiper的新型Linux软件攻击以色列实体。 在取证调查中，Security Joes事件响应小组发现了一个新的Linux Wiper恶意软件，名为BiBi-Linux Wiper。 亲哈马斯的黑客组织使用这个Wiper来摧毁以色列公司的基础设施。 研究人员注意到，该恶意软件是一个x64 ELF可执行文件，缺乏混淆或保护措施。专家分析的恶意软件样本是用C/ C++编写的，文件大小约为1.2MB。这个二进制文件是使用GCC编译器编译的。黑客可以指定目标文件夹，但是，当以root权限运行时，Wiper可能会破坏整个操作系统。 在执行过程中，它会产生大量输出，可以使用“nohup”命令减轻输出。它还利用多线程和队列并发地破坏文件，从而提高了速度和覆盖范围。它的操作包括覆盖文件，用包含“BiBi”的随机字符串重命名文件，以及排除某些文件类型的损坏。 恶意软件的作者在恶意软件名称和每个被破坏文件的扩展名中硬编码了以色列总理的名字。研究人员还注意到，它没有使用C2服务器，在这种情况下，BiBi-Linux的Wiper也被用来破坏数据。 在每台被感染的机器上发现的恶意文件名为bibi-linux.out。虽然字符串“bibi”(在文件名中)可能看起来是随机的，但当它与中东政治等话题混合在一起时，具有重要意义，因为它是以色列总理 Benjamin Netanyahu 的常用昵称。 一旦执行，恶意软件产生大量输出，在执行期间产生大量的噪音。黑客通过使用“nohup”命令来缓解这个问题，这样程序就可以在不向终端连续打印输出的情况下执行。程序的输出被重定向到一个名为nohup的文件。Out位于二进制目录中。使用“nohup”命令还可以防止擦除过程停止，即使控制台处于关闭状态。 为了加速感染过程，该威胁利用多个线程，并使用队列来同步它们的操作。这种方法允许攻击同时破坏文件，大大提高了总体攻击的范围和速度。       Hackernews 编译，转载请注明出处 消息来源：Securityaffairs，译者：Serene

安全内参11月1日消息，美国证券交易委员会（SEC）周一对太阳风公司（Solarwinds）提起诉讼，起诉理由是该机构认为太阳风的数字安全保障措施不足，且未能及时披露这些问题，导致该公司发生有史以来最严重的入侵事件。 美国证券交易委员会在起诉书中指控太阳风公司和该公司首席信息安全官Tim Brown，多次违反联邦证券法的反欺诈披露和内部控制规定，多年来一直忽视有关安全漏洞的警告，没有披露公司明知可能导致黑客攻击的漏洞，直到在2020年底才披露了这次入侵事件。2021年4月，美国政府正式将入侵事件归咎于俄罗斯外国情报机构的黑客。 出现多个“第一次” 美国证券交易委员会执法部门前助理主管、Jenner & Block律师事务所合伙人Jennifer Lee表示，这个案件至少有三个值得注意的独特要素。2018年，Lee曾主管美国证券交易委员会的首次网络执法行动。当时，雅虎与该委员会达成了和解协议。 Lee指出，这是美国证券交易委员会在网络案件中，第一次指控一个组织有意欺骗投资者，第一次采取针对个人的行动，第一次指控一家公司在其内部控制方面存在失误。 关于第二个“第一次”，美国证券交易委员会首次提醒可能对太阳风采取执法行动时，各组织负责网络职能的高管群体们大为受惊。 起诉证据主要来自内部员工 美国证券交易委员会大量采信太阳风公司员工和官员的陈述，强调太阳风已经意识到了其安全问题。根据投诉书： 一名工程师在2018年表示，公司的远程访问设置“不太安全”，利用这种不安全设置的人“基本上可以做任何事，而不被我们察觉”，这会对太阳风造成“重大声誉和财务损失”。 2019年和2020年的多次演示都说明太阳风公司在系统访问控制方面存在问题。 2020年7月，Tim Brown表示黑客非常熟悉太阳风软件，知道“如何部署软件，关闭备份等”。同月，一名工程团队成员表示，他们对某个太阳风客户的活动感到“惊吓”。Tim Brown因此表示，该事件“非常令人担忧”。他补充说：“正如大家所知，我们的后台系统不够弹性，确实需要改进。” 一名信息安全经理在2020年11月写道：“我们还远不是一家注重安全的公司……听到我们的头号极客谈论安全，我都忍不住想吐”。 美国证券交易委员会执法部门主管Gurbir Grewal在一份声明中表示：“与其解决这些漏洞，太阳风和Tim Brown发起了一场公关行动，美化了公司的网络控制环境，导致投资者无法准确获知重要信息。” “今天的执法行动不仅控告太阳风和Tim Brown误导投资大众，未能保护公司的‘皇冠明珠’资产，还重申了我们对发行人的态度：他们必须实施与风险环境相适应的强有力的控制措施，并如实告知投资者已知的问题。” 太阳风重申斗争策略 太阳风公司之前已经表示准备与美国证券交易委员会作斗争。公司在本周一重申了这一表态。 太阳风公司发表声明：“美国公司受到俄罗斯黑客攻击，美国证券交易委员会却对美国公司提起毫无根据的指控，我们对此感到失望，非常担忧此举将危及我们的国家安全。美国证券交易委员会决定针对我们和首席信息安全官提出索赔，这是该机构过度扩张的又一例证，应引起全国各地所有上市公司和网络安全专业人士的警觉。我们期待在法庭上澄清真相，并继续落实我们的设计安全承诺，支持我们的客户。” Tim Brown的代理律师Alec Koch表示：“Tim Brown在太阳风担任信息安全副总裁以及后来担任首席信息安全官期间，勤勉、诚实，杰出地履行了他的职责。Tim Brown先生在太阳风任职期间不懈努力，持续改进公司的网络安全状况。我们期待捍卫他的声誉，并纠正美国证券交易委员会投诉中的不准确之处。”Alec Koch就职于King & Spalding律师事务所。   转自安全内参，原文链接：https://www.secrss.com/articles/60251 封面来源于网络，如有侵权请联系删除

10 月 28 日星期六，一场“网络事件”影响了大英图书馆的系统，导致其网站和许多服务遭受重大 IT 中断。持续的中断还影响了其他服务，包括我们在伦敦和约克郡的电话线路和现场图书馆服务。包括供个人学习的阅览室仍在运行，10 月 26 日或之前请求的藏品可在现场获取。 每年有超过 1100 万名学习者访问该图书馆的网站，而每天有超过 16,000 人使用其馆藏（现场和在线）。该图书馆表示，其馆藏包括超过 1.5 亿件藏品，存放在 625 公里长的书架上，并且每年都会增加 300 万件，因为它收到了英国和爱尔兰出版的所有出版物的副本。 “由于网络事件，大英图书馆正在经历重大技术中断。这正在影响在线系统和服务、我们的网站以及包括阅览室在内的现场服务，”一位发言人告诉 BleepingComputer。 “我们正在国家网络安全中心（NCSC）和网络安全专家的支持下调查这一事件。” 该发言人没有透露在事件期间属于客户或员工的个人或财务信息是否被访问或窃取。 该图书馆尚未提供有关攻击性质以及恶意行为者如何破坏其系统的详细信息。文章发表时，大英图书馆网站因网络攻击仍处于离线状态。 大英图书馆补充说，虽然伦敦通过圣潘克拉斯的印刷目录手动订购藏品有限，但无法访问数字馆藏或数字目录，展览门票只能亲自使用现金购买。   转自安全客，原文链接：https://www.anquanke.com/post/id/291149 封面来源于网络，如有侵权请联系删除

近日，由40个国家组成的联盟组织在华盛顿举行的第三届国际反勒索软件倡议年度峰会上签署了一份承诺书，表示将停止向网络犯罪集团支付赎金。 本周一（10月30日），白宫网络和新兴技术负责人、副国家安全顾问Anne Neuberger在答记者问时称：在近年来频发的勒索事件中，几乎有46%的事件都将美国视为勒索的主要目标。此次国家联盟的举动也是为了能更好地应对全球勒索软件风险。 据路透社报道，从本周三（11月1日）开始，峰会期间的国际讨论还将聚焦于如何阻止勒索组织资金运营策略等内容。 Neuberger表示，勒索软件是一个无国界的问题，无论勒索软件犯罪分子从哪一方拿到赎金，都会让遏制勒索软件这件事变得更困难。我们希望从勒索软件的源头——资金来源入手，共同打击勒索软件。 据《信使报》报道，一位高级政府官员在回答有关反勒索软件小组工作的问题时提到：此次签署承诺书对于解决勒索软件问题算是迈出了一大步。 据Neuberger称，虽然来自 48 个国家、欧盟和国际刑警组织的代表将出席本周的反勒索软件倡议峰会，但目前反勒索软件声明全员签署的任务并未实现。 他认为勒索软件是一个无国界的问题，因为无论勒索软件犯罪分子从哪一方获取到资金，其就能持续运营下去。想要遏制勒索软件这件事就会越来越困难。我们希望从勒索软件的源头，也就是其资金来源入手，共同打击勒索软件。 据《信使报》报道，一位高级政府官员在回答有关反勒索软件小组工作的问题时补充说：此次40国联盟计划签署承诺这件事对于打击勒索软件来说，已经迈出了一大步。我们仍在努力，尽量让每一个成员国都签字，现已基本完成了，这很令人开心。 据 Neuberger 称，虽然来自 48 个国家、欧盟和国际刑警组织的代表将出席本周的反勒索软件倡议峰会，但并非所有国家都已确认将签署本周的反勒索软件声明。 勒索软件记录 今年8月，勒索事件发生次数增速放缓，然而今年9月数据激增，一度超过了以往的同时期数据。据NCC Group 的数据显示，今年9 月共发生了 514 起勒索软件攻击事件，超过了 2023 年 3 月 Clop’s Fortra GoAnywhere 数据盗窃事件后的 459 起的数据。 从地域上看，北美发生的勒索事件最多，占比 50%，其次是欧洲，占 30%，亚洲排名第三，占 9%。 在过去两年间，包括黑山、智利和百慕大在内的多个国家政府在关键基础设施和政府实体遭受勒索软件攻击后受到严重影响。 2022 年 5 月，哥斯达黎加在遭遇 Conti 勒索软件攻击后被迫宣布全国进入紧急状态。 2021 年 10 月，白宫国家安全委员会促成了首届反勒索软件倡议峰会，会上有 31 个国家义正言辞地表示要加大力度整治勒索软件。据统计，勒索赎金仅在短短两年内时间就达到近 5 亿美元，其中2020 年为 4 亿美元，2021 年第一季度超过 8000 万美元。 同月，美国财政部金融犯罪执法网络（FinCEN）表示，有约 52 亿美元的比特币交易也与勒索事件赎金有所关联。   转自Freebuf，原文链接：https://www.freebuf.com/news/382416.html 封面来源于网络，如有侵权请联系删除