分类: 黑客事件

哥斯达黎加政府部分网络系统因遭黑客攻击 仍处于关闭状态

截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。 当地时间18日,哥斯达黎加财政部的网络系统就遭到黑客攻击,政府随即采取预防性措施,关闭了部分系统。该国养老金、公共系统薪酬支付以及税收、进出口系统均受到不同程度影响。 据当地媒体报道,目前已有包括社会保障、劳工部等在内的至少6个政府部门的网络系统遭到了黑客攻击。   转自 央视网  封面来源于网络,如有侵权请联系删除

Okta 结束 Lapsus$ 黑客事件调查:攻击持续25分钟 仅两个客户受到影响

在被黑客组织 Lapsus$ 入侵三个月后,身份验证平台 Okta 终于在周二的一篇博客文章中,分享了正式版的内部调查报告。公司首席安全官 David Bradbury 指出:在攻击发生后不久,他们就已经就获知了相关细节。不过随着分析的深入,他们进一步收缩了早期评估的潜在影响范围。 Bradbury 写道,公司内部安全专家已携手一家全球公认的网络安全企业开展了彻底调查,现能够得出如下结论 —— 该事件的影响,远低于 3 月 22 日披露的预估范围。 【事件回顾】2022 年 1 月 21 日,Lapsus$ 黑客远程访问了属于 Sitel 员工的机器,进而入侵了 Okta 的系统,因为该公司分包负责了 Okta 的部分客户服务。 两个月后,一名 Lapsus$ 成员在电报群里分享了 Okta 内部系统的屏幕截图,让该公司内部安全团队的颜面尽失。 由于 Okta 扮演着管理诸多其它技术平台访问权限的身份验证中心的角色,本次攻击也引发了相当大的恐慌情绪。 对于使用 Salesforce、Google Workspace 或 Microsoft Office 365 等企业软件的公司客户来说,Okta 提供了单点安全访问,允许管理员控制用户的登录方式、时间和地点。 在最坏的设想下,黑客甚至能够通过渗透 Okta、将某个公司的整个软件堆栈“一锅端”。庆幸的是,在上月的简报会上,Okta 声称措施得当的安全协议,成功阻挡了黑客对内部系统的访问。 随着正式调查报告的公布,Bradbury 的表述也得到了验证。尽管早期报告预估未经授权的访问时长不超过 5 天,但进一步分析表明安全违例仅持续了 25 分钟。 之前评估的受影响客户数量多达 366 个,但新报告也精确到了只有 2 个 Okta 客户的身份验证系统被 Lapsus$ 摸到过。 欣慰的是,在短暂的访问期限内,黑客未能直接对任何客户的账户实施身份验证、或更改其配置,后续 Okta 将更加努力地挽回客户的信任。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260827.htm 封面来源于网络,如有侵权请联系删除

美将 Ronin 网络 6.25 亿美元加密货币被盗事件归咎于朝鲜黑客组织

据Vice的报道,美财政部将Ronin网络6.25亿美元加密货币被盗事件归咎于朝鲜黑客组织。据悉,该网络是支持Axie Infinity游戏的区块链。当地时间周四,财政部更新了制裁措施,其中包括收到资金的钱包地址并将其归于Lazarus集团。 开发商集团Sky Mavis拥有的Ronin网络在关于该事件的更新帖子中披露称,美财政部和联邦调查局已经将攻击归咎于Lazarus。帖子写道:“在重新部署Ronin Bridge之前,我们仍在增加额外的安全措施以减轻未来的风险。我们预计将在本月底前提供一份完整的事后报告,其中将详细说明所采取的安全措施和下一步措施。”Ronin指出,它将在本月底使其桥梁重新上线。该桥允许用户在其他区块链和Axie Infinity之间转移资金,它在攻击发生后被封锁。 Vice指出,被标记的钱包地址目前包含超4.45亿美元(14.8万以太坊)并在不到一天前向另一个地址发送了近1000万美元(3302.6以太坊)。加密货币交易追踪器Etherscan将该地址标记为“据说参与了针对Ronin bridge的黑客攻击”。 当地时间3月29日,黑客在迄今为止最大的加密货币抢劫案之一中盗走了价值6.25亿美元的以太坊。据加密货币调查组织Chainanalysis称,Lazarus组织跟朝鲜情报机构存在联系并对去年的七次攻击负责。该组织因在2014年入侵索尼影业,泄露由塞斯·罗根执导的以朝鲜为背景的喜剧《Interview》而声名鹊起。后来,它在2018年使用木马恶意软件从亚洲和非洲各地的自动取款机中窃取了数百万美元并跟WannaCry勒索软件存在关联。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1258433.htm 封面来源于网络,如有侵权请联系删除

黑客利用 Conti 泄露的勒索软件攻击俄罗斯公司

一个黑客组织利用Conti恶意软件集团泄露的勒索软件源代码创建了他们自己的勒索软件,然后用于对俄罗斯组织进行网络攻击。虽然经常听到勒索软件攻击公司并加密数据,但我们很少听到位于俄罗斯的黑客组织受到类似的攻击。这种缺乏攻击的情况是由于俄罗斯黑客普遍认为,如果他们不影响俄罗斯的利益,那么该国的执法部门将对攻击其他国家的行为视而不见。 然而,现在情况发生了变化,一个被称为NB65的黑客组织现在专门以俄罗斯组织为目标进行勒索软件攻击。 过去一个月,一个名为NB65的黑客组织一直在入侵俄罗斯实体,窃取他们的数据,并将其泄露到网上,并警告说这些攻击是由于俄罗斯入侵乌克兰。 据称被该黑客组织攻击的俄罗斯实体包括文件管理运营商Tensor,俄罗斯航天局,以及国有的俄罗斯电视和广播公司VGTRK。 对VGTRK的攻击尤其重要,它导致了据称786.2GB的数据被盗,其中包括90万封电子邮件和4000个文件,这些数据被公布在DDoS Secrets网站上。 最近,NB65黑客转向了一种新的战术–自3月底以来以俄罗斯组织为目标进行勒索软件攻击。 更有趣的是,该黑客组织使用泄露的Conti勒索软件操作的源代码创建了他们定制版本的勒索软件,这些来自俄罗斯的网络安全威胁行为始作俑者通常禁止其成员攻击俄罗斯的实体。 Conti的源代码是在他们在攻击乌克兰的问题上与俄罗斯站在一起之后泄露的,一位安全研究员泄露了17万条内部聊天信息和他们行动的源代码。 BleepingComputer首先通过威胁分析师Tom Malka了解到NB65的攻击,但我们找不到勒索软件的样本,而且该黑客组织也不愿意分享它。 然而,这种情况在昨天发生了变化,NB65修改过的Conti勒索软件可执行文件的样本被上传到VirusTotal,让我们得以一窥它的运作方式。 几乎所有的杀毒软件供应商都将VirusTotal上的这个样本检测为Conti,Intezer Analyze还确定它使用的代码与通常的Conti勒索软件样本有66%相同。 BleepingComputer给NB65的勒索软件做了一个测试,当加密文件时,它会在被加密文件的名称后加上.NB65的扩展名。 该勒索软件还将在整个加密设备中创建名为R3ADM3.txt的勒索信文本,威胁者将网络攻击归咎于总统弗拉基米尔·普京入侵乌克兰。 “我们正在密切关注。 你们的总统不应该犯下战争罪。”NB65勒索软件显示的说明中写道。 NB65黑客组织的一名代表表示,他们的加密器是基于第一个Conti源代码的泄漏,但因为改变了算法,所以现有的解密器将无法工作。 “它被修改后,所有版本的Conti解密器都无法工作。每次部署都会根据我们为每个目标改变的几个变量产生一个随机的密钥。如果不与我们联系,真的没有办法解密。” 目前,NB65还没有收到他们的受害者的任何通信,并告诉我们他们不期待任何通信。 至于NB65攻击俄罗斯组织的原因: “在布查屠杀事件后之后,我们选择了针对某些公司,这些公司可能看上去是服务于民用市场的,但仍然会对俄罗斯的正常运作能力产生影响。 俄罗斯民众对普京的战争罪行的支持是压倒性的。 从一开始我们就明确表示。 我们在支持乌克兰。 我们将兑现我们的承诺。 当俄罗斯停止在乌克兰的所有敌对行动并结束这场荒谬的战争时,NB65将停止攻击俄罗斯互联网上的资产和公司。” “我们将不会攻击俄罗斯以外的任何目标。 像Conti和Sandworm这样的组织,以及其他俄罗斯APT多年来一直通过勒索软件、供应链攻击(Solarwinds或国防承包商)来打击西方。我们认为现在是他们自己处理这个问题的时候了。”   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1256653.htm 封面来源于网络,如有侵权请联系删除

Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。 Meta公司在2月份的安全更新中标出了Ghostwriter行动的活动,但自那次更新以来,该公司表示,该组织还试图入侵”几十个”账户,尽管它只在少数情况下成功。 在成功的情况下,Ghostwriter背后的黑客还通过视频形式发送误导内容,但Meta公司表示,它已经阻止了这些视频的进一步分享。传播虚假的投降信息已经成为黑客的一种策略,他们入侵了乌克兰的电视网络,并在直播新闻中植入了乌克兰投降的虚假报道。尽管这类声明可以很快被推翻,但专家们认为其目的是为了削弱乌克兰人对媒体的整体信任。 该组织还试图破坏”几十个”账户” 最新的Ghostwriter黑客攻击的细节发表在Meta的季度对抗性威胁报告的第一部分,这建立在2021年12月的类似报告之上,该报告详细介绍了该年全年面临的威胁。虽然Meta公司之前已经发布了关于平台上协调的不真实行为的定期报告,但新的威胁报告的范围更广,包括间谍行动和其他新兴威胁,如大规模虚假内容散播活动。 除了针对军事人员的黑客攻击,最新报告还详细介绍了亲俄罗斯的威胁行为者进行的一系列其他行动,包括针对各种乌克兰目标的秘密影响活动。在报告中的一个案例中,Meta公司称,一个与白俄罗斯克格勃有关的团体试图在华沙组织一个反对波兰政府的抗议活动,尽管该活动和创建该活动的账户很快被下线。 “虽然近年来公众的大部分注意力都集中在外国干涉上,但在全球范围内,国内威胁也在增加。” 虽然像这样的外国影响行动构成了报告中一些最引人注目的细节,但Meta公司表示,它也看到了专制政府在国内针对本国公民开展的影响活动的上升趋势。在周三与记者的电话会议上,Facebook负责全球事务的总裁尼克-克莱格说,对互联网自由的攻击已经急剧加强了。 克莱格说:”虽然近年来公众的大部分注意力都集中在外国干涉上,但在全球范围内,国内威胁也在增加。就像2021年一样,今年前三个月我们破坏的行动有一半以上是针对本国人民的,包括通过黑客攻击人们的账户、开展欺骗性活动和向Facebook虚假报告内容以压制批评者。” 克莱格说,专制政权通常希望通过两种方式控制信息的获取:首先是通过国营媒体和影响力活动进行宣传,其次是试图阻断可信的替代信息来源的流动。 根据Meta的报告,后一种方法也被用来限制有关乌克兰冲突的信息,该公司删除了一个由大约200个俄罗斯运营的账户组成的网络,这些账户参与了对其他用户虚构的违规行为的协调报告,包括仇恨言论、欺凌和虚假消息。 克莱格赞同取自Meta公司游说工作的一个论点,他说,报告中概述的威胁表明,”为什么我们需要保护开放的互联网,不仅要防止专制政权带来的误导和破坏,还要防止因缺乏明确规则而造成的分裂”。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255727.htm 封面来源于网络,如有侵权请联系删除

伪造“紧急搜查令”泛滥 美议员呼吁推动“数字真实性”立法

Krebs On Security 周二警告称:黑客正越来越多地利用受感染的政府和警察部门的电子邮件账户,以从移动运营商、互联网服务提供商(ISP)和社交媒体公司榨取敏感的客户信息。周四,美国参议院内精通技术的议员之一表示,其对这份报告感到很是不安,并且已向科技企业和联邦机构发去询问,以了解此类活动到底有多活跃。 叫卖政府与警方电子邮件账户访问权限的帖子截图 引发争议的“紧急数据请求”(EDR),通常由经常或政府机构的电子邮件账户发出,特点是能够绕过法院传票或收查令,让科技企业交出客户或用户数据。 鉴于任何管辖区的警局都可基于 EDR 请求而立即访问数据(前提是执法机构提供了数据请求的紧迫性证明),黑客显然也盯上了这个薄弱环节。 正如周二报道的那样,对于一个搜到 EDR 请求的企业来说,经手人员并无快速简便的方法来知悉该请求是否合法。 毕竟仅在美国境内,就有大约 1.8 万个不同的警察组织,更别提还有遍布全球的数千个政府和警察机构。 利用这种模糊性,网络犯罪分子便积极寻求攻破相关组织的电子邮件账户,然后就可以向受害企业发去以假乱真的紧急数据请求邮件。 本周的系列报道,证实了社交媒体平台 Discord 已经躺枪。此外彭博社周三指出,近期已有黑客成功地骗到了苹果和 Meta(Facebook)头上。 黑客兜售伪造 EDR 传票 / 搜查令的服务 KrebsOnSecurity 援引俄勒冈州参议员 Ron Wyden 的话称: 近期的新闻报道,揭示了针对美国民众和国家安全的巨大威胁。我特别担心这种伪造的紧急数据请求命令,可能被别有用心的境外组织利用于针对广大弱势群体。 我正在向科技企业和多个联邦机构索取信息,以了解黑客对 EDR 请求的确切滥用情况。没人希望科技企业在个人安全受威胁时拒绝合法的紧急请求,但现有机制有着亟需修补的明确缺口。 假冒政府请求的欺诈行为已构成一个重大的问题,这也是我为何呼吁推动《法院命令数字真实性法案》的立法、以彻底杜绝伪造的法院传票或搜查令的主要原因。 此外周二报道表明,以欺诈手段获得的紧急数据请求,利用了臭名昭著的 LAPSUS$ 黑客组织的工具。 早些时候,该组织侵入了微软、英伟达、Okta 和三星等企业,但其中一名英国青少年黑客已因频繁发送虚假 EDR 而被多次逮捕。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1253751.htm 封面来源于网络,如有侵权请联系删除

区块链公司 Ronin 被黑 6.15亿美元加密货币被盗

  视频链接:https://n.sinaimg.cn/sinakd20211219s/138/w600h338/20211219/9907-45d93401a89f40f888b22dc250f73fab.jpg 区块链项目Ronin发布消息称,黑客从该项目窃取价值6.15亿美元的加密货币。按照Ronin的说法,3月23日不明身份的黑客进入系统,窃取173600枚Ether币和2550万枚USD Coin币。按照当前汇率,被窃取的加密货币价值6.15亿美元,被黑时约值5.4亿美元。 Ronin在博文中表示,黑客利用被盗私人密钥(获取加密货币资金的密码)窃取资金。周二时Ronin发现系统被黑,它正在与相关政府机构合作,以确保将罪犯绳之以法,它还与Axie Infinity讨论如何保证用户的资金安全。 Ronin平台的用户已经无法存取资金,它还与区块链追踪商Chainalysis合作追踪被盗资金,目前大多被盗资金还在黑客的数字钱包内。 你也许不知道Ronin,它是新加坡游戏工作室Sky Mavis开发的,该公司也是Axie Infinity的所有者。   转自 新浪科技 ,原文链接:https://finance.sina.com.cn/tech/2022-03-30/doc-imcwipii1329672.shtml 封面来源于网络,如有侵权请联系删除

透明部落黑客针对印度官员发动新一轮黑客攻击

 Hackernews 编译,转载请注明出处: 从2021年6月,一个可能来自巴基斯坦的攻击者与一个针对感兴趣目标的后门攻击有关,该攻击使用了一种基于 windows 的远程访问木马,名为 CrimsonRAT。 Cisco Talos公司的研究人员在与The Hacker News分享的一份分析报告中说: “透明部落黑客是印度次大陆高度活跃的 APT 组织。”“他们的主要目标是阿富汗和印度的政府和军事人员。这场攻击进一步加强了这种针对性,以及他们的核心目标是建立长期间谍渠道。” 上个月,该APT组织扩展了它的恶意软件工具集,用一个名为 CapraRAT的后门侵入了安卓设备,这个后门与 CrimsonRAT 有很高的“重合度”。 Cisco Talos 公司详细介绍的最新一系列攻击包括利用伪造的合法政府和相关组织的虚假域名来传递恶意有效负载,有效负载包含一个基于 python 的存储器,用于安装基于 .NET的侦察工具和RAT,以及一个原装的基于 .NET的植入,在受感染的系统上运行任意代码。 除了不断改进他们的部署策略和恶意功能,透明部落黑客依赖于各种各样的分发方法,例如可执行程序冒充合法应用程序、文档、武器化的文档的安装程序,以攻击印度实体和个人。 其中一个下载程序可执行程序冒充为 Kavach (在印度语中意为“盔甲”) 以传递恶意程序,Kavach是一个印度政府授权的双因素身份验证解决方案,用于访问电子邮件服务。 另外还有 covid-19主题的诱饵图像和 VHD格式文件,这些文件被用作从远程命令和控制服务器(比如CrimsonRAT)检索额外有效载荷的发射台,CrimsonRAT用于收集敏感数据和建立进入受害者网络的长期访问。 研究人员表示: “使用多种类型的分发工具和新型定制易修改的恶意软件,以适应各种紧急操作,这表明该组织具有攻击性、持久性、灵活性,并不断改进他们的策略,以感染目标。” 消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

不少 WordPress 网站被注入恶意脚本 对乌克兰网站发起 DDoS 攻击

不少 WordPress 网站正在遭受黑客们的攻击,通过注入的恶意脚本,利用访问者的浏览器对乌克兰网站进行分布式拒绝服务攻击。今天,MalwareHunterTeam 发现一个 WordPress 网站被入侵使用这个脚本,针对十个网站进行分布式拒绝服务(DDoS)攻击。 这些网站包括乌克兰政府机构、智囊团、乌克兰国际军团的招募网站、金融网站和其他亲乌克兰的网站。 目标网站的完整清单如下。 https://stop-russian-desinformation.near.page https://gfsis.org/ http://93.79.82.132/ http://195.66.140.252/ https://kordon.io/ https://war.ukraine.ua/ https://www.fightforua.org/ https://bank.gov.ua/ https://liqpay.ua https://edmo.eu 当加载时,JavaScript 脚本将迫使访问者的浏览器对列出的每个网站执行 HTTP GET 请求,每次不超过 1000 个并发连接。DDoS攻击将在后台发生,而用户不知道它正在发生,只是他们的浏览器会变慢。这使得脚本能够在访问者不知道他们的浏览器已被用于攻击的情况下进行 DDoS 攻击。 对目标网站的每个请求都将利用一个随机查询字符串,这样请求就不会通过 Cloudflare 或 Akamai 等缓存服务提供,而是直接由被攻击的服务器接收。例如,DDoS 脚本将在网站服务器的访问日志中产生类似以下的请求。 “get /?17.650025158868488 http/1.1” “get /?932.8529889504794 http/1.1” “get /?71.59119445542395 http/1.1” BleepingComputer 只找到了几个感染了这种 DDoS 脚本的网站。然而,开发者 Andrii Savchenko 表示,有数百个 WordPress 网站被破坏,以进行这些攻击。Savchenko 在Twitter上说:“实际上大约有上百个这样的网站。都是通过WP漏洞。不幸的是,许多供应商/业主没有反应”。 在研究该脚本以寻找其他受感染的网站时,BleepingComputer 发现,亲乌克兰的网站 https://stop-russian-desinformation.near.page,也在使用同样的脚本,用于对俄罗斯网站进行攻击。在访问该网站时,用户的浏览器被用来对67个俄罗斯网站进行 DDoS 攻击。 虽然这个网站澄清它将利用访问者的浏览器对俄罗斯网站进行DDoS攻击,但被攻击的WordPress网站在网站所有者或其访问者不知情的情况下使用了这些脚本。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1252613.htm 封面来源于网络,如有侵权请联系删除

黑客正在利用伪造的执法机构传票窃取苹果、Google 等公司的用户数据

据报道,犯罪黑客正在通过一种有效的、狡猾的技术用偷来的执法部门的电子邮件从大型科技公司、ISP、运营商和社交媒体公司窃取用户数据。据网络安全记者Brian Krebs称,更具体地说,攻击者显然正在伪装成执法官员以获取传票特权数据。 一般来说,他们使用被破坏的执法部门电子邮件账户。 这种策略还依赖于一种叫做紧急数据请求(EDR)的政府调查。通常情况下,技术公司只有在有法院命令的情况下才会交出用户数据或发出传票。然而当局可以在涉及迫在眉睫的伤害或死亡威胁的情况下提出EDR–绕过法院批准的文件或官方审查的需要。 据Krebs称,恶意黑客已经发现,技术公司和社交媒体公司没有简单的方法来验证EDR是否合法。“通过利用对警方电子邮件系统的非法访问,黑客将发送一个假的EDR,同时证明,如果不立即提供所要求的数据无辜的人将可能遭受巨大的痛苦或死亡。” 记者发现,网络犯罪分子会向潜在买家出售“搜查令/传票服务”的证据,这些人宣称可以从苹果、Google和Snapchat等服务中获取执法数据。 然而对于这样的情况,没有简单的方法来缓解这个问题。技术公司在面对EDR时不得不做出令人不安的选择,即遵从一个可能是假的请求或拒绝一个合法的请求–可能会使某人的生命受到威胁。 来自加州大学伯克利分校的安全专家Nicholas Weaver认为,清理这一漏洞的唯一方法是由FBI这样的机构充当所有州和地方执法机构的唯一身份提供者。 不过Weaver认为,即使是这样也不一定有效,因为FBI如何实时审查一些请求是否真的来自某个偏远的警察部门还是一个问题。 “如果你被抓到,风险很大,但这样做不是一个技巧问题。而是一个意志的问题。如果不在全美范围内彻底重做我们对互联网身份的思考,这是一个根本无法解决的问题,”Weaver说道。 2021年7月,美国立法者提出了一项可能有帮助的法案。该立法将要求向州和部落法院提供资金以便它们能够采用数字签名技术来打击伪造的法院命令。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1252595.htm 封面来源于网络,如有侵权请联系删除