分类: 网络攻击

俄乌冲突期间“匿名者”黑客组织的行动速度比政府还要快

俄乌冲突爆发后,以美国为首的北约国家相继颁布了对俄罗斯的制裁。与此同时,国际黑客组织“匿名者”也很快发动了针对俄罗斯的网络攻击。截止周六上午,该组织一度瘫痪了克里姆林宫、俄罗斯国防部、以及俄罗斯杜马的网站,之后相关服务一直处于时断时续的状态。最新消息是,“匿名者”宣称已瘫痪俄罗斯国企 Tvingo 的网站。 此外该组织宣称正在搜集俄军通讯动向,且其它国家也可能正在挖掘这些数据。即使后者没有这么做,相关数据也可能是“匿名者”所披露的。 比如美国众议员 Marco Rubio,就在 Twitter 上对俄方高层的“心理健康状况”表示质疑。 但是对于多次涉足政治的“匿名者”黑客组织,其本身还是存在着不少争议。   (消息及封面来源:cnBeta)

俄对乌克兰展开新一轮恶意软件攻击

Hackernews 编译,转载请注明出处: 网络安全公司ESET 和Broadcom的Symantec表示,他们发现了一种新的数据雨刷恶意软件,用于对乌克兰数百台电脑的新一轮攻击。俄罗斯军队正式对乌克兰展开全面军事行动。 这家斯洛伐克公司将这款雨刷命名为”HermeticWiper” (又名 KillDisk.NCV) ,其中一个恶意软件样本编写于2021年12月28日,这意味着攻击的准备工作可能已经进行了近两个月。 ESET 在一系列推文中说: “雨刷二进制文件是使用Hermetica 数字有限公司签发的代码签名证书签名的。”“雨刮器使用 EaseUS Partition Master 软件的合法驱动程序,以破坏数据。最后,雨刮会重新启动计算机。” 其中至少有一次入侵涉及直接从 Windows 网域控制器中部署恶意软件,这表明攻击者已经控制了目标网络。 数据清除攻击的规模和影响尚不清楚,感染背后的黑客身份也不得而知。但这是今年第二次有破坏性的恶意软件被部署到乌克兰的计算机系统中,第一次是在1月中旬  WhisperGate 攻击事件。 此前,在乌克兰发生了第三波“大规模”分布式拒绝服务(DDoS)攻击,数家乌克兰政府和银行机构在周三遭到攻击,乌克兰外交部(Ministry of Foreign Affairs)、部长内阁(Cabinet of minister)和议会(Rada)的网络门户遭到破坏。 上周,乌克兰最大的两家银行 PrivatBank 和 Oschadbank,以及乌克兰国防部和武装部队的网站由于来自不明角色的 DDoS 攻击而瘫痪,英国和美国政府将矛头指向俄罗斯总参谋部情报部(GRU),克里姆林宫否认了这一指控。 使用 DDoS 攻击的行为会产生大量垃圾信息,目的是压倒目标,使他们无法访问。随后,CERT-UA 对2月15日事件的分析发现,这些事件是通过类似 Mirai和 Mēris这样的僵尸网络,利用感染的 MikroTik 路由器和其他物联网设备实现的。 此外,据说仅在2022年1月,乌克兰国家机构的信息系统就遭受了多达121次的网络攻击。 这还不是全部。Accenture本周早些时候发布的一份报告显示,暗网上的网络犯罪分子正试图利用目前的政治紧张局势,在 RaidForums 和 Free Civilian 市场上推销他们的数据库和网络访问,因为其中包含乌克兰公民和重要基础设施实体的信息,“希望获得高额利润”。 自今年年初以来,破坏性的恶意网络行为不断发生,乌克兰执法机构将这些攻击描述为散布焦虑、削弱人们对国家保护公民能力的信心,以及破坏国家团结的行为。 2月14日,乌克兰安全局(SSU)表示: “乌克兰正面临着有组织地制造恐慌、传播虚假信息和歪曲事实的行动”。“所有这些加在一起,只不过是又一场大规模的混合战争。”     消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

乌克兰银行和政府网站疑遭网络攻击而陷入瘫痪

东欧国家数字转型部负责人表示,由于大规模分布式拒绝服务(DDoS)攻击,多个乌克兰政府网站于周三下线了。DDoS攻击通过使用大量的请求来提供网页进而使网站陷入瘫痪。Mykhailo Fedorov在Telegram上表示,一些银行网站也被关闭了。 乌克兰外交部、部长内阁和议会网站在周三早些时候仍无法使用。 CNBC指出,这次明显的网络攻击的来源未经证实,但它发生在俄罗斯军队包围乌克兰之际,美国总统乔·拜登于周二则称这是“俄罗斯入侵的开始”。 上周,乌克兰的军队和银行也有遭到了类似的攻击,安全专家警告称,俄罗斯可能会加剧对乌克兰的网络攻击,进而试图破坏该国政府和经济的稳定性。   (消息及封面来源:cnBeta)

红十字国际委员会称“国家支持的”黑客利用未修复的漏洞发起攻击

据TechCrunch报道,红十字国际委员会(ICRC)最近遭到网络攻击,超过51.5万名“高危人群”的数据被泄露,这很可能是国家支持的黑客所为。在周三发布的更新中,红十字国际委员会证实,最初的入侵可以追溯到2021年11月9日,即在1月18日攻击被披露之前的两个月,并补充说,其分析表明,入侵是对其系统的“高度复杂的”有针对性的攻击–而不是像红十字国际委员会最初所说的对第三方承包商系统的攻击。 红十字国际委员会表示,它知道这次攻击是有针对性的,“因为攻击者创建的代码只为在相关的红十字国际委员会服务器上执行。” 根据该更新,攻击者使用的恶意软件被设计为针对红十字国际委员会基础设施中的特定服务器。 黑客利用Zoho公司开发的单点登录工具中一个已知但未修复的关键等级漏洞进入红十字国际委员会的网络,该公司提供基于网络的办公服务。该漏洞是美国网络安全和基础设施安全局(CISA)在9月发布的公告的主题,其CVSS严重性评分为9.8(满分10分)。 红十字国际委员会称,通过利用这一漏洞,这些不知名的国家支持的黑客随后发起攻击,如泄露管理员证书,在整个网络中移动,并渗入注册表和域文件。 “一旦进入我们的网络,黑客就能够部署进攻性安全工具,使他们能够将自己伪装成合法用户或管理员。”红十字国际委员会说:“这反过来又使他们能够访问数据,尽管这些数据是加密的。”该机构补充说,它没有确凿的证据表明在这次攻击中被盗的数据已被公布或被交易,也没有提出赎金要求,但它表示正在联系那些敏感信息可能被访问的人。 红十字国际委员会说,在攻击发生时,其在目标服务器上的反恶意软件工具处于激活状态,并阻止了攻击者使用的一些恶意文件,但部署的大多数文件是“专门制作的,以绕过”其反恶意软件保护。 红十字国际委员会指出,这些工具通常由高级持续性威胁(APT)组织或国家支持的攻击者使用,但该机构表示,它尚未正式将这次攻击归于任何特定组织。 由于网络攻击,红十字国际委员会说它不得不使用电子表格来开展其重要工作,其中包括让因冲突或灾难而分离的家庭成员团聚。 红十字国际委员会总干事Robert Mardini在一份声明中说:“我们希望这次对弱势人群数据的攻击能够成为变革的催化剂。我们现在将加强与国家和非国家行为者的接触,明确要求将对红十字和红新月运动的人道主义使命的保护延伸到我们的数据资产和基础设施。” “我们认为,关键是要有一个坚定的共识–在语言和行动上–人道主义数据决不能受到攻击。”   (消息及封面来源:cnBeta)

CISA、FBI、NSA 就勒索软件攻击严重增加发布警告

Hackernews 编译,转载请注明出处: 澳大利亚、英国和美国的网络安全部门发布了一份联合警告,称2021年针对全球关键基础设施组织的复杂、高影响力的勒索软件攻击将有所增加。 这些事件针对的行业范围很广,包括国防、应急服务、农业、政府设施、 IT、医疗保健、金融服务、教育、能源、慈善机构、法律机构和公共服务。 “勒索软件的策略和技术在2021年继续发展,这表明勒索软件威胁组织的技术日益复杂,对全球组织的勒索软件威胁也在增加,”这些安全部门在联合公报中说。 鱼叉式网络钓鱼(Spear-phishing)、窃取或暴力强制远程桌面协议(RDP)凭证以及利用软件漏洞成为最值得注意的三大感染媒介,这些媒介被用来在受到攻击的网络上部署勒索软件,就连这种犯罪商业模式已经演变成一个由不同类型的黑客主导的“专业”市场,以获得初始访问权、谈判赎金和解决钱款纠纷。 但随着去年对 Colonial Pipeline、 JBS 和 Kaseya 的高调攻击,勒索软件黑客在2021年下半年转移了对美国“大猎物”的追捕,将重点放在中等规模的受害者身上,以躲避执法部门的监视。 “在对受害者网络进行加密之后,勒索软件黑客越来越多地使用‘三重勒索’,威胁要(1)公开被盗的敏感信息,(2)中断受害者的互联网接入,和/或(3)向受害者的合作伙伴、股东或供应商通报此事。” 根据 Syhunt 本周发布的一份新报告,从2019年1月到2022年1月,勒索软件组织从受害者组织中窃取了超过150tb 的数据,仅 REvil 就占了该组织从282名受害者那里窃取的所有被盗信息中的44.1 TB。 勒索软件集团采取的扩大影响的其他策略包括: 利用已知的漏洞攻击云基础设施; 通过一个初始入侵攻击托管服务提供商(MSPs)访问多个受害者; 部署用于破坏工业流程的代码; 毒害软件供应链; 以及在节假日和周末进行攻击。 为了减少和减轻勒索软件攻击的可能性和影响,各组织积极采取行动ーー 保持所有操作系统和软件的更新, 通过内部网络限制对资源的访问,特别是限制 RDP 和使用虚拟桌面基础设施, 提高用户对网络钓鱼的风险的认识, 使用强大、独特的密码和双重身份验证,以保护账户免受接管攻击, 加密cloud中的数据, 实现网络分割, 禁用不必要的命令行实用程序,并限制脚本编写活动和权限, 对特权帐户访问实施时间限制,以及 保持数据的脱机(即物理断开)备份 “犯罪活动的动机是金钱利益,所以支付赎金可能会鼓励对手攻击更多的组织,或鼓励网络犯罪分子参与分发勒索软件,”该机构警告说。”支付赎金也不能保证受害者的档案会被找回。此外,减少勒索软件威胁行为者的经济收益将有助于打破勒索软件犯罪商业模式。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

FBI 注意到 SIM 卡替换攻击类型急剧增加 导致民众损失超过 6800 万美元

在一份公共服务公告中,联邦调查局透露,与SIM卡替换有关的犯罪行为有惊人的增长,在2021年给美国公众造成了价值超过6800万美元的损失。随着越来越多的消费者将其在线账户的访问和恢复与电话号码绑定为2FA(二次验证),攻击者通过恶意挂失SIM卡,并将所有数据如电话、恢复短信和OTP转移到他们选择的设备上,从而绕过这一额外的安全措施。 FBI建议除了2FA验证外,使用认证应用程序和物理安全令牌可以增加安全性,并建议人们避免在社交媒体网站论坛上分享个人和财务细节。 SIM卡替换攻击的基本方式是嫌犯窃取一定数量的个人数据(包括受害者电话号码),假装机主联系另一家运营商,声称手机已丢失并说服运营商提供新手机和SIM卡,断开“旧”线路,然后从云端传输受害者的应用程序和信息。通过SIM卡替换攻击,罪犯可以用不同的设备控制手机以持续获得更多有用的信息。 SIM替换攻击迅速增加的一个证据是联邦调查局去年收到的相关投诉的数量。在2018年1月至2020年12月期间,总共有320起此类投诉,总计导致1200万美元的损失。然而,仅在2021年,在1611起SIM卡替换攻击投诉被记录以后,这一数字急剧上升到6800万美元。 虽然基于短信的2FA为账户增加了额外的安全层,但这种方法长期以来一直被认为是有风险的,因为移动运营商发来的短信仍然可以通过恶意软件窃取或冒充,攻击者会欺骗运营商将电话号码换到他们选择的SIM卡上。 SIM卡替换的受害者也可能因为在社交媒体和公共论坛上宣传他们的金融资产而自食其果,这也包括分享加密货币投资上的细节,正如联邦调查局的咨询中指出的那样。 当然,用户可以通过强度更大的密码(和密码管理器),以及采用更强大的2FA方法,而不是基于短信来解决依赖短信的问题问题。基于应用程序的认证器生成代码,或像Google这样的无代码实施,已被证明可以提高账户保护能力。 此外,联邦调查局还建议移动运营商对员工进行有关SIM卡替换的教育和培训,并采取更严格的措施来验证与将号码换到新设备上有关的真实用户请求。   (消息及封面来源:cnBeta)

Vodafone Portugal 遭严重网络攻击 数百万用户无法使用服务

一场“蓄意的恶意网络攻击”,导致服务葡萄牙企业和数百万人的服务瘫痪,其中还包括救护车和其他紧急服务。Vodafone Portugal 是英国沃达丰集团下属子公司,拥有 430 万手机用户和 340 万光纤用户。在最新发布的一份声明中,公司表示本次公司始于本周一晚上。攻击迅速摧毁了该子公司的 4G 和 5G 网络,并停止了固定语音、电视、短信以及语音和数字应答服务。 据葡萄牙新闻网站 Lusa 报道,Vodafone Portugal 公司首席执行官 Mário Vaz 在一次新闻发布会上说:“[这是]一次针对网络的攻击,其目的肯定是蓄意的,故意让我们的客户没有任何服务”。这次攻击的目的显然是使我们的网络无法使用,而且其严重程度使服务水平尽可能的困难。 据 Lusa 和其他当地新闻机构报道,数以百万计的客户无法拨打语音电话,发送短信,使用互联网,或访问有线电视。该国 Multibanco 自动取款机网络的运营商说,这次攻击对其服务造成了“一些偶尔的不稳定”。其他企业和公共服务也受到影响,包括救护车运营商、消防部门和医院。 虽然在本周一晚些时候,Vodafone Portugal 已经恢复了该国大部分地区的 3G 语音和数据服务,但是截至本周三,依然有很多受到影响的服务尚未完全修复。恢复服务的工作正在优先考虑紧急服务。 公司官员在周二的声明中写道:“不幸的是,我们所遭受的犯罪行为的规模和严重性,意味着所有其他服务都需要谨慎和长时间的工作。他们补充说,恢复过程 涉及多个国家和国际团队以及外部合作伙伴”。   (消息及封面来源:cnBeta)

朝鲜关键服务无法访问 疑似遭到 DDoS 攻击

根据 NK News 获得的日志文件和域名记录显示,在上周五和上周日朝鲜的关键服务器无法访问,从而在互联网上消失了数个小时。网络安全研究员 Junade Ali 说,连接失败的模式表明,朝鲜的 IT 基础设施可能受到了分布式拒绝服务(DDOS)攻击。 图片来自于 Pixabay Ali 表示:“断断续续的连接问题,一波接一波,加上路由器完全失效,表明这可能是一次 DDOS 攻击。朝鲜遭受了全面的互联网中断。该国所有的电子邮件、网络和域名系统(DNS)服务器都受到连接损失的影响”。 根据 Ali 收集并经过 NK News 审查的日志文件,朝鲜的服务器和其上托管的网站在当地时间周五上午 7 点 40 分左右从互联网上消失,并在此后大约四个小时内几乎无法访问。 根据监测记录和 NK News 记者的测试,中断的情况在星期六清晨一直持续到至少 9:30 KST。受中断影响的网络域名包括 airkoryo.com.kp、cooks.org.kp、friend.com.kp、gnu.rep.kp、kass.org.kp 和 kcna.kp。 Ali 解释说:“如果是宕机,那么线路会立即消失,这是因为路由器失去了电源。而现在是连接超时,丢包情况非常严重。这表明某种形式的网络压力导致了这种情况的发生”。而最为常见的就是 DDOS。 经营 dprkinternetwatch.com 网站的网络安全研究员尼古拉斯·罗伊(Nicholas Roy)告诉 NK News,重大技术错误或有针对性的攻击也可以解释这次中断。他说:“要么有人把事情搞得非常糟糕,就像Facebook几周前做的那样,要么可能是某种攻击”。 罗伊解释说,由于朝鲜的IT基础设施相当薄弱,而且带宽有限,因此将该国的服务器关闭并不特别困难。   (消息及封面来源:cnBeta)

半数北美企业高管与雇员收到过黑客提出的协助发起勒索软件攻击请求

为应对近年来不断增长的勒索软件攻击,越来越多的企业 IT 高管和员工,已经收到了专业人士的相关安全建议。Hitachi ID 刚刚公布了针对北美企业的最新调查报告,其中强调了内外部的 IT 安全措施需求。可知有 65% 的受访者表示,他们有被黑客接近,试图引诱他们参与谋划针对自家企业的勒索软件攻击。 (来自:Hitachi ID) 与 2021 年 11 月的调查数据相比,这一比例增加了 17% 。只有 27% 的受访者表示其从未接触过,另有 8% 的人回答“不确定”。 据悉,黑客会尝试利用现金或比特币来贿赂内鬼。金额通常不超过 50 万美元,但也有一小部分会超过百万。 约有半数受访者会向联邦执法部门上报攻击者的这一企图,另有 18% 的人会向内外部汇报。 此外 38% 受访者表示其公司受到过勒索软件攻击,且那些试图被收买的人,后来几乎一半都成为了勒索软件攻击的受害者。 最后,大多数“攻击请求”(59%)是通过电子邮件渗透进来的,其余还包括电话 / 社交媒体。 半数受访者表示他们对来自内部和外部的安全威胁表示关切; 另有超过 1/3 的受访者表示只担心来自外部的安全威胁。   (消息及封面来源:cnBeta)

红十字国际委员会遭受网络攻击 超 51.5 万名“高危人群”的数据遭泄露

据CNN报道,红十字国际委员会(ICRC)周三表示,该组织使用的一个承包商遭到的网络攻击已经泄露了超过51.5万名“高危人群”的个人数据,包括因冲突和灾难而与家人分离的人。 该人道主义组织说,黑客攻击迫使红十字会关闭了支持因冲突、移民或灾难而分离的家庭团聚的IT系统。 目前还不清楚谁是这次网络事件的责任人,但红十字会表示,它 “最担心的问题”是这些数据可能会被泄露。红十字会称,目前还没有迹象表明这种情况已经发生。 红十字国际委员会总干事罗伯特·马尔迪尼在一份声明中说:“我们都感到震惊和困惑,这些人道主义信息会成为目标并被泄露。” 该人道主义组织表示,黑客攻击了一家位于瑞士的公司,红十字会付钱给这家公司存储其数据。被泄露的数据来自至少60个“国家协会”,即红十字会在世界各地的志愿者和工作人员网络,红十字会将其作为灾难的第一反应者。 红十字会发言人Elizabeth Shaw在一封电子邮件中告诉CNN:“作为第一步,我们将与最相关的红十字会代表团以及当地的红十字会和红新月会合作,寻找方法通知那些数据可能已被泄露的个人和家庭,正在采取哪些措施来保护他们的数据以及他们可能面临的风险。” Shaw说,这一事件与勒索软件无关,红十字会正在与“高度专业化”的网络安全公司合作,以应对黑客攻击。 日内瓦红十字会总部的前网络战顾问Lukasz Olejnik告诉CNN,这次事件“似乎是红十字会历史上最大和最敏感的漏洞,而且考虑到其敏感性,可能是迄今为止所有人道主义组织的漏洞”。 作为独立网络安全顾问的Olejnik告诉CNN,红十字会应该考虑向作为《日内瓦公约》缔约国的政府寻求帮助,以从网络攻击中恢复过来。   (消息及封面来源:cnBeta)