分类: 网络安全

知名网络安全记者警告关键基础设施仍面临重大攻击威胁

在拉斯维加斯举办的黑帽大会上,调查记者 Kim Zetter 表示:自 2010 年发现“震网”(Stuxnet)蠕虫病毒以来,针对全球石油 / 天然气管道、电力 / 水厂、以及其它基础设施计算机系统的攻击有急剧增加。但若人们能够积极落实必要的预防措施,去年针对 Colonial Pipeline 的勒索软件攻击,也本该是能够避免的。 Black Hat USA 2022(图自:Cnet / Bree Fowler 摄) 多年来,Kim Zetter 为《连线》等出版物撰写了多篇重大安全事件的报道,并且有在一本著作中详细介绍了针对伊朗铀浓缩设施的震网攻击。 由一位白罗斯安全研究人员率先发现的 Stuxnet 攻击,起初普遍被认为是美国与以色列在幕后主导,但后来也被 Symantec 等网络安全公司给深入挖掘。 Kim Zetter 表示,震网引发了国家之间的“网络军备竞赛”、并预示着“网络空间正向着军事化”去发展。 Stuxnet 展示了通过网络攻击解决地缘政治冲突的可行性,突然间,每个人都想加入这场游戏。 虽然此前只有少数国家持有攻击性的黑客程序,但震网还是促使其它国家迅速迎头赶上。 在事件全面曝光后,以电力为代表的需要高度监管的领域,已对其关键基础设施增强了防护。 然而在没有全面提升安全性的情况下,大多数领域的安全防护形势也正变得更加复杂。 Kim Zetter 以 Colonial Pipeline 遭遇的黑客攻击举例称: 在计算机系统被勒索软件挟持后,Colonial 迅速支付了数百万美元的赎金。 但是这笔灰色交易,也让那些认为石油和天然气管道运营商‘会有充分的数据备份’的观察人士大跌眼镜。 当时 Colonial Pipeline 官员向议员透露,该公司的安全响应计划,并未将勒索软件攻击考虑在内 —— 即便针对关键基础设施的攻击已经蔓延数年。 Kim Zetter 指出,坦普尔大学的研究人员,早在前一年就记录了针对关键基础设施的数百次攻击,此外各大网络安全公司也通报了此类攻击的增长。 2020 年,美国网络安全和基础设施安全局(CISA)还特地发布了一份报告,以提醒相关行业警惕针对能源管网的勒索软件攻击。 后续调查发现,攻击者利用了在另一个网络上使用、且不受多因素身份验证保护的员工密码,而渗透进了 Colonial 的虚拟专用网络。 在被勒索软件击倒后,该公司被迫停运近一周。当时相关报道还引发了民众的恐慌与油气涨价,并争抢购买原本并不紧缺的能源。 在该事件告一段落之后,CISA 再次苦口婆心地发布了一长串‘工控系统安全指南’。 相关建议还是一如既往,只可惜以 Colonial 为代表的的短视企业长期没有遵循既有的指导方针。 综上所述,Kim Zetter 认为针对关键基础设施的攻击威胁依然高企 —— 当前的美国选举系统也不例外,即便安全专家长期呼吁为投票机引入防篡改冗余设计。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1303687.htm 封面来源于网络,如有侵权请联系删除

涉及金额 5.4 亿美元,网络犯罪分子正通过 RenBridge 跨链平台洗钱

据The Record网站消息,一些黑客和加密货币盗窃者正在转向所谓的跨链平台洗钱,并试图避免执法部门追踪和冻结他们的非法收益。 根据区块链分析公司 Elliptic 本周发布的研究报告,在过去3年中,名为 RenBridge 的平台已被用于洗钱至少 5.4 亿美元的加密货币,该平台允许在不同的区块链网络之间无缝移动资产,例如将比特币转换为以太坊区块链。 目前。一些跨链桥被合法地用于帮助较新的加密货币与更通用的数字资产竞争,但这些平台也越来越受到网络犯罪分子的青睐,相比那些受监管的加密货币交易所,这些新型平台往往不会要求对客户进行过多的身份识别并向执法部门提供信息。 根据研究,一些最臭名昭著的网络犯罪集团已经使用了这些服务,比如攻击了哥斯达黎加政府而出名的Conti,通过 RenBridge 洗钱超过 5300 万美元;而 Ryuk 洗钱超过 9200 万美元,目前转账仍在进行中。 Elliptic 表示,在过去两年中,RenBridge还被用来清洗从交易所和去中心化金融服务中窃取的至少 2.67 亿美元加密货币资产,其中包括从日本加密货币交易所 Liquid 盗窃的 3380 万美元,该公司在去年 8 月与朝鲜有关的一次攻击中总共损失了 9700 万美元。 据 Chainalysis 的数据, 网络犯罪分子长期以来一直滥用加密货币的去中心化和不受监管的性质,使他们在去年洗钱86 亿美元。尽管加密货币为网络犯罪分子提供了一些匿名性,但它们并非无法追踪。网络犯罪分子不得不利用各种工具来隐藏被盗数字资产的来源。 Elliptic 的研究强调了跨链网络所带来的威胁:通过在区块链网络中轻松转移资金来隐藏被盗资金的来源。 Elliptic 研究人员写道:“RenBridge 等区块链桥对监管机构构成了挑战,因为没有中央服务提供商可以促进这些跨链交易。” “金融行动特别工作组 (FATF) 最近在其关于虚拟资产风险的最新报告中指出了通过‘链式跳跃’进行的洗钱活动,但如何监管此类活动仍有待观察。” 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341744.html 封面来源于网络,如有侵权请联系删除

被病毒勒索千万美元?美的回应:传闻系谣言 业务系统未受影响

8月11日晚间,@美的集团 官微就“美的受黑客攻击并勒索千万美元”的传闻进行回应。美的集团表示,网传美的遭受病毒勒索系谣言,2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。 此前,网络上流传的一则聊天记录显示,美的集团在休集体年假期间遭遇加密勒索,工厂多处电脑中病毒,导致无法打开文件或进入不了系统。该病毒为勒索病毒,需要7天内汇1000万美金到指定账户。 聊天记录还提到,针对发生的加密勒索,公司提示相关用户需要保持非必要不开机;已经开机的用户马上关机断电;不要使用美信、邮箱发送文件等,并且会安排安保进行强制关机。 据了解,2021年美的集团实现营业总收入3434亿元,同比增长20.2%;实现净利润290亿元,同比增长5.5%。 2022年第一季度,美的集团实现营业总收入909亿元,同比增长9.5%;实现净利润72亿元,同比增长10%。 转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1303447.htm 封面来源于网络,如有侵权请联系删除

思科修复了ASA、FTD设备中的漏洞,该设备能访问 RSA 私钥

Hackernews 编译,转载请注明出处: 思科修复了一个严重漏洞,跟踪为CVE-2022-20866,影响自适应安全设备(ASA)和火力威胁防御(FTD)软件。 该漏洞影响了运行思科ASA软件和FTD软件的设备对RSA密钥的处理,未经身份验证的远程攻击者可以触发该漏洞以检索RSA私钥。一旦获得密钥,攻击者可以模拟运行ASA/FTD软件的设备或解密设备流量。 “RSA密钥存储在执行硬件加密的平台内存中时,存在逻辑错误,从而引起该漏洞。攻击者可以通过对目标设备使用Lenstra侧通道攻击来利用此漏洞,成功利用可使攻击者检索RSA私钥。”IT巨头发布的公告中写道。 该公告指出,在受影响的设备上可能会观察到以下情况: 此问题将影响运行易受攻击的ASA软件或FTD软件的设备上大约5%的RSA密钥;并非所有RSA密钥都会因应用于RSA密钥的数学计算而受到影响。 RSA密钥可能有效,但它具有特定的特征,容易受到RSA私钥潜在泄露的影响。 RSA密钥可能格式不正确且无效。格式错误的RSA密钥不起作用,并且TLS客户端连接到运行思科ASA软件或FTD软件的设备,如果使用格式错误的RSA密钥,将导致TLS签名失败,这意味着易受攻击的软件版本创建了无效的RSA签名,无法通过验证。如果攻击者获取RSA私钥,他们可以使用该密钥来模拟运行思科ASA软件/FTD软件的设备,或解密设备流量。 该漏洞会影响运行易受攻击的思科ASA(9.16.1及更高版本)或思科FTD(7.0.0及更高版本)软件的产品,这些软件执行基于硬件的加密功能: ASA 5506-X with FirePOWER Services ASA 5506H-X with FirePOWER Services ASA 5506W-X with FirePOWER Services ASA 5508-X with FirePOWER Services ASA 5516-X with FirePOWER Services Firepower 1000 Series Next-Generation Firewall Firepower 2100 Series Security Appliances Firepower 4100 Series Security Appliances Firepower 9300 Series Security Appliances Secure Firewall 3100 思科建议ASA/FTD设备的管理员删除格式错误或易受攻击的RSA密钥,并吊销可能与这些RSA密钥相关的任何证书,因为RSA私钥可能已泄露给攻击者。 思科对加州大学圣地亚哥分校的Nadia Heninger和George Sullivan以及科罗拉多大学博尔德分校的Jackson Sippe和Eric Wustrow报告该安全漏洞表示感谢。 产品安全事件响应团队尚未发现有利用此漏洞进行的野外攻击。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

超过 60% 的企业公开暴露 SSH 协议

研究发现,64%的受访者至少拥有一台暴露SSH的设备,这可能允许攻击者探测它以进行远程访问。 据ExtraHop最新发布的报告,全球大多数组织都在向公共互联网公开暴露敏感和不安全的协议,这可能会使攻击面扩大。 报告分析了一系列企业IT环境,基于开放端口和敏感协议暴露情况对网络安全状况进行基准测试。 研究发现,64%的受访者至少拥有一台暴露SSH的设备,这可能允许攻击者探测它以进行远程访问。 该研究还显示,超过三分之一(36%)的组织通过不安全的文件传输协议(FTP)暴露了至少一个设备,该协议以纯文本形式发送文件,这意味着它们很容易被拦截。 超过五分之二(41%)的受访企业至少拥有一台暴露LDAP的设备,该设备可被用于在Active Directory中查找用户名。这些协议以纯文本形式传输查询,可能会使凭据面临风险。 令人惊讶的是,报告还发现,尽管远程连接协议(Telnet)自2002年以来已被弃用,但仍有12%的组织至少有一台设备将Telnet暴露在公共互联网上。 SMB协议是WannaCry和其他攻击的热门目标,是企业的另一个常见安全风险。超过一半(51%)的医疗组织和45%的SLED组织拥有多个暴露SMB协议的设备。 ExtraHop首席信息安全官Jeff Costlow将这些端口和协议称为“门和走廊”,攻击者使用这些端口和协议来探索网络和发动攻击。 “知道哪些协议在你的网络上运行以及哪些漏洞与它们相关极为重要,”他补充道:“这使防御者能够基于其风险承受能力做出明智的决定并采取行动——例如在环境中保持软件和硬件的持续资产报告,快速、持续地修补软件,以及投资用于实时洞察和分析的工具。” 转自 安全内参,原文链接:https://www.secrss.com/articles/45646 封面来源于网络,如有侵权请联系删除

因从事间谍活动,前 Twitter 员工最高可判 20 年监禁

据彭博社报道,因窃取 Twitter 用户有关的私人信息,并将数据交给沙特阿拉伯政府,美国公民艾哈迈德·阿布阿莫(Ahmad Abouammo)将最高面临 20 年的监禁。 据悉,该案件还涉及到另一位 Twitter 工程师阿尔扎巴拉(Ali Alzabarah),此人目前已逃离美国,正在被当局通缉,阿布阿莫于 2019 年 11 月 5 日被捕。 早在三年前,阿布阿莫与阿尔扎巴拉和艾哈迈德-阿尔穆泰里(Ahmed Aljbreen)三人被美国法院指控是沙特阿拉伯的“非法代理人 ”,遭到了起诉。根据旧金山联邦法院的判决可知,前者还遭到了串谋电信欺诈、伪造记录和洗钱等犯罪指控。 被告人开始从事间谍活动 从法庭文件披露的信息来看,2013 年,阿布阿莫和阿尔扎巴拉在推特工作期间接受了沙特阿拉伯王国官员的招募,在社交媒体平台上揭露其批评者。 这两个人利用他们对内部系统的访问权限,在未经授权的情况下,非法获取了有关批评阿拉伯政权用户的非公开信息(主要包括电子邮件地址、电话号码、IP 地址和出生日期等私人信息)。 随后,2 人将这些信息告诉了一名与沙特政府有关联的沙特官员,作为回报,阿布阿莫收到了 30 万美元的现金和一块价值 4 万美元的 Hublot Unico Big Bang King Gold Ceramic 手表。 值得一提的是,据说为了阻碍调查,阿布阿莫在 2018 年 10 月在西雅图的家中面对联邦调查局(FBI)探员时撒了谎,称收到的这块手表是 “垃圾”,仅仅值 500 美元。 联邦调查局特别探员约翰-F-贝内特强调,阿布阿莫几人被指控在沙特阿拉伯政府的指示和控制下,以持不同政见者的批评者为目标,以期获取他们的私人数据信息,这种行为对美国企业和美国国家安全构成了严重威胁。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341604.html 封面来源于网络,如有侵权请联系删除

GitHub Releadot 警示开发者留意易受攻击的 GitHub 操作

Hackernews 编译,转载请注明出处: 云代码托管平台GitHub宣布,它将为易受攻击的GitHub Actions发送Dependabot警报,以帮助开发人员修复CI/CD工作流程中的安全问题。 GitHub的Brittany O’Shea和Kate Catlin说:“在行动中报告安全漏洞时,我们的安全研究团队会创建一个文件来记录该漏洞,这会触发对受影响存储库的警报。” GitHub Actions是一种持续集成和持续交付(CI/CD)解决方案,使用户能够自动执行软件生成、测试和部署管道。 Dependabot是微软旗下子公司的一部分,通过通知用户其源代码依赖于具有安全漏洞的软件包,并帮助所有依赖项保持最新状态,来确保软件供应链的安全。 最新举措需要接收有关GitHub操作和影响开发人员代码的漏洞的警报,用户还可以选择通过遵守一致的披露流程,提交特定GitHub操作的建议。 该公司指出:“这些改进加强了GitHub和我们用户的安全态势,这就是为什么我们继续投资收紧GitHub供应链安全解决方案和GitHub Actions之间的连接点,从而提高构建的安全性。” 本周早些时候,GitHub开放了一个新的评论系统,允许软件包维护人员能够与Sigstore合作签署和验证发布到NPM的软件包。 消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

CISA 警告 Windows 和 UnRAR 漏洞在野被利用

近期美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中增加了两个漏洞。其中一个已经在Windows支持诊断工具(MSDT)中作为零日漏洞了潜在了两年多的时间,并且它具有公开可用的漏洞利用代码。这两个安全问题的严重程度都很高,并且是目录遍历漏洞,可以帮助攻击者在目标系统上植入恶意软件。该漏洞编号为CVE-2022-34713,非正式地称为DogWalk,MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。 该问题最初是由研究员Imre Rad于2020年1月向微软报告的,但他的报告被错误地归类为未描述安全风险,因此被驳回。今年,安全研究员j00sean再次引起了公众的关注,他总结了攻击者可以通过利用它实现的目标,并提供了视频证明。 该漏洞的成功利用需要用户交互,这是一个很容易通过社会工程克服的障碍,尤其是在电子邮件和基于Web的攻击中,微软在今天的一份咨询中表示: 在电子邮件攻击场景中,攻击者可以通过向用户发送特制文件并诱使用户打开文件来利用该漏洞。在基于 Web 的攻击情形中,攻击者可能拥有一个网站(或利用接受或托管用户提供的内容的受感染网站),其中包含旨在利用该漏洞的特制文件。 自6月初以来,0patch微补丁服务已为大多数受影响的Windows 版本(Windows 7/10/11 和 Server 2008 至 2022)提供了一个非官方补丁。作为2022年8月Windows安全更新的一部分,微软今天解决了CVE-2022-34713 。该公司指出,该问题已在攻击中被利用。 添加到CISA 的已知已利用漏洞目录的第二个漏洞编号为CVE-2022-30333,它是用于Linux 和 Unix系统的 UnRAR 实用程序中的路径遍历漏洞。攻击者可以利用它在解压操作期间将恶意文件提取到任意位置,从而在目标系统上植入恶意文件。 瑞士公司SonarSource于 6 月下旬在一份报告中披露了该安全问题,该报告描述了如何将其用于远程执行代码,从而在未经身份验证的情况下破坏 Zimbra 电子邮件服务器。本月早些时候,被利用的代码已添加到Metasploit渗透测试软件中。对于这两个漏洞,美国的联邦机构预计将在 8 月 30 日之前应用供应商的更新。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341495.html 封面来源于网络,如有侵权请联系删除

新型 Linux 僵尸网络 RapperBot 暴力破解 SSH 服务器

近日,FortiGuard实验室的研究人员发现了一种新型物联网(IoT)僵尸网络“RapperBot”,自2022年6月中旬以来就一直处于活动状态。 该僵尸程序从原始Mirai僵尸网络中借用了大部分代码,但与其他IoT恶意软件家族不同,它实现了一种内置功能来暴力破解凭据并获得对SSH服务器(而非在Mirai中实现的Telnet)的访问权限。 专家们还注意到,最新的样本包括保持持久性的代码,这在其他Mirai变体中很少实现。 RapperBot具有有限的DDoS功能,它旨在针对ARM、MIPS、SPARC和x86架构。 根据FortiGuard实验室发布的分析结果指出, “与大多数Mirai变体(使用默认或弱密码暴力破解Telnet服务器)不同,RapperBot专门扫描并尝试暴力破解配置为‘接受密码身份验证’的SSH服务器。其大部分恶意软件代码包含一个SSH 2.0客户端的实现,可以连接和暴力破解任何支持Diffie-Hellmann密钥交换的768位或2048位密钥以及使用AES128-CTR数据加密的SSH服务器。RapperBot暴力破解实现的一个显著特征是在SSH协议交换阶段使用‘SSH-2.0-HELLOWORLD’向目标SSH服务器标识自己。”   该恶意软件的早期样本将暴力破解凭据列表硬编码到二进制文件中,但从7月开始,新的样本开始从C2服务器检索该列表。 自7月中旬以来,RapperBot开始使用自我传播方式来维持对暴力破解SSH服务器的远程访问。该僵尸网络运行一个shell命令,将远程受害者的“ ~/.ssh/authorized_keys”替换为包含威胁参与者SSH公钥的命令。 一旦将公钥存储在 ~/.ssh/authorized_keys中,任何拥有相应私钥的人都可以在不提供密码的情况下验证SSH服务器。 RapperBot还能通过在执行时将上述相同的SSH密钥附加到受感染设备的本地“~/.ssh/authorized_keys”上,来保持其在任何设备上的立足点。这允许该恶意软件通过SSH保持对这些受感染设备的访问权限,即便是设备重启或从设备中删除RapperBot也无济于事。 该报告补充道, “在最新的RapperBot样本中,该恶意软件还开始通过直接写入‘/etc/passwd’和‘/etc/shadow/’将root用户‘suhelper’添加到受感染的设备,进一步允许攻击者完全控制设备。同时,它还通过写入脚本‘/etc/cron.hourly/0’每小时添加一次root用户帐户,以防其他用户(或僵尸网络)试图从受害者系统中删除他们的帐户。” 该僵尸网络的早期版本具有纯文本字符串,但随后的版本通过将字符串构建在堆栈上,为字符串添加了额外的混淆,以逃避检测。 数据显示,自6月中旬以来,该僵尸网络使用全球3,500多个唯一IP扫描并尝试使用SSH-2.0-HELLOWORLD客户端标识字符串暴力破解Linux SSH服务器。其中,大多数IP来自美国、台湾和韩国。 最后,研究人员称,RapperBot的目标仍不明朗。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341192.html 封面来源于网络,如有侵权请联系删除

美国将与朝鲜黑客有关的加密货币 Tornado Cash 公司列入黑名单

近日,美国财政部海外资产控制办公室 (OFAC) 今天批准了加密货币混合器 Tornado Cash一种去中心化加密货币混合服务,据悉,自 2019 年创建以来用于洗钱超过 70 亿美元。 朝鲜支持的 APT Lazarus Group 还使用加密货币混合器恶意洗钱大约 4.55 亿美元,这是有史以来最大的已知加密货币抢劫案。据悉,这是自 Lazarus 在 4 月入侵 Axie Infinity 的 Ronin 网桥后窃取价值 6.2 亿美元的以太坊以来,攻击后收集的总赏金的一部分。 Tornado Cash 还被用于在 6 月 Harmony Bridge 黑客攻击事件中洗钱超过 9600 万美元 (其中 1 亿美元被盗),以及至少 780 万美元来自 8 月 Nomad Heist  (被盗 1.5 亿美元)。 在入侵区块链音乐平台Audius、Beanstalk DeFi 平台和去中心化加密货币交易所Uniswap以及 Arbix Finance退出骗局之后,这种加密混合器还被用来使追踪被盗资金变得更加困难。 “今天,财政部正在制裁 Tornado Cash,这是一种虚拟货币混合器,可以清洗网络犯罪的收益,包括针对美国受害者的犯罪,”负责恐怖主义和金融情报的财政部副部长 Brian E. Nelson 说。“尽管公众另有保证,但 Tornado Cash 一再未能实施旨在阻止其定期为恶意网络行为者洗钱的有效控制措施,并且没有采取基本措施来解决其风险。” 财政部对加密货币混合器实施制裁绝非第一次 此前,美国财政部官员今年发起了一波制裁,以防止加密货币被用于逃避制裁和洗钱。今年4月,在首次制裁虚拟货币混币器之前不久,美国财政部也首次点名了一家加密货币挖矿公司——总部设在瑞士的Bitriver AG,因为它在俄罗斯科技领域运营。同样在那个月,美国财政部还指控总部位于莫斯科的Garantex加密货币交易所“故意无视”反洗钱义务,并“允许(其)系统被非法行为者滥用”。 金融犯罪执法网络 (FinCEN) 还于 2020 年 10 月对 Helix 和 Coin Ninja 混合器服务的创始人和运营商拉里·迪恩·哈蒙 (Larry Dean Harmon) 发出了有史以来第一次民事罚款,罪名 是违反了《银行保密法》(BSA) 及其实施条例。 FinCEN 当时透露,使用 Helix 不倒翁洗钱的最大数量的加密货币来自暗网非法市场,包括 AlphaBay、Dream Mark、Agora Market、Nucleus 等。 “协助犯罪分子的虚拟货币混合器对美国国家安全构成威胁。财政部将继续调查混合器用于非法目的的情况,并利用其权力应对虚拟货币生态系统中的非法融资风险,”OFAC 今天补充道。 “正如今天的行动所表明的那样,虚拟货币公司通常应将混合器视为高风险,只有当它们有适当的控制措施以防止混合器被用于洗钱非法收益时,它们才应处理交易。” 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/oh4s1eF0dT415wf-WNe9YA 封面来源于网络,如有侵权请联系删除