HackerNews 编译，转载请注明出处： 随着美以与伊朗冲突升级，双方展开大规模网络作战，包括广泛断网、网站及应用攻击、基础设施干扰，西方实体同时防范伊朗潜在网络袭击。 冲突于2月28日爆发，美以联合对伊朗军事设施、导弹基地、核设施及高层官员发动协调空袭，导致最高领袖哈梅内伊及多名领导人死亡。伊朗则以导弹和无人机密集袭击波斯湾地区美军基地，并直接攻击以色列，造成军民设施有限伤亡。 针对伊朗的网络攻击 据美以媒体报道，美以部队实施的网攻导致伊朗大规模混乱，包括新闻/宣传网站（如伊通社IRNA）、伊斯兰革命卫队通信基础设施、本地应用及数字政府服务中断。对革命卫队指挥控制系统的攻击旨在限制其反击协调能力。 报道称，对伊网攻包括DDoS攻击及针对能源、航空基础设施系统的”深度渗透”，被部分人士称为”史上最大规模网络攻击”。 亲西方黑客还劫持热门祈祷应用，推送”援助已抵达！”的通知。 互联网观测机构NetBlocks 3月2日报告称，伊朗断网已超48小时，并指出长期断网在该国并不罕见，通常由政权触发以掩盖人权侵犯。 来自伊朗的网络攻击 冲突爆发后，伊朗及亲伊威胁行为体亦加强行动。某组织声称攻击了一家以色列公司的防空系统。 网络安全公司Flashpoint向SecurityWeek透露，伊朗正发动黑客所称的”伟大史诗”网络战役。 威胁组织声称攻击约旦燃料基础设施，并扩大行动至以色列工业控制系统（ICS），声称已扰乱制造和能源分配系统。其他组织则专注于DDoS攻击和数据擦除行动，据称目标为美以军事物流供应商。 CrowdStrike反对手行动负责人Adam Meyers在邮件声明中表示，公司”已观察到符合伊朗关联威胁行为体和黑客组织进行侦察并发起DDoS攻击的活动”。 他指出：”这些行为通常预示更激进的行动。过去冲突中，德黑兰网络行为体的活动常与更广泛战略目标保持一致，对能源、关键基础设施、金融、电信和医疗等目标加大压力和曝光度。” Sophos报告称：”与伊朗情报安全部（MOIS）关联的黑客组织声称在约旦发动攻击，并威胁该地区其他国家。该组织惯常夸大其能力和攻击影响，但偶尔确实能够执行数据窃取和擦除攻击。” 前FBI网络部副助理主任、现任Halcyon勒索软件研究中心高级副总裁Cynthia Kaiser表示，Halcyon情报团队观察到中东活动增加，注意到”DDoS僵尸网络HydraC2、黑客组织Handala和勒索软件组织Sicarii的动员号召”。 Kaiser在领英帖文中写道：”伊朗长期使用网络行动报复 perceived 政治冒犯——2011至2013年瘫痪美国金融网站，2014年抹除拉斯维加斯金沙赌场数据，在伊朗军事指挥官苏莱曼尼死后篡改网站，2020及2021年对美国选举官员发出在线死亡威胁，德黑兰的网络策略一直激进且不断演变。” 她指出，勒索软件日益被纳入伊朗网络活动，破坏性工具可能在未来数周用于美国网络。”去年，一名伊朗国民对瘫痪巴尔的摩及其他美国市政机构的勒索软件攻击认罪，造成数千万美元损失，”她提醒道，”自2017年起，伊朗运营商就瞄准美国关键基础设施——包括一次针对波士顿儿童医院的未遂行动——发动勒索软件战役，模糊犯罪勒索与国家资助破坏的界限。” 对网络攻击影响声明的谨慎态度 伊朗黑客以攻击ICS及其他关键基础设施著称。支持政权的威胁行为体亦被观察到利用黑客手段为物理打击做准备。然而，他们也以夸大网络行动影响闻名。 美以均拥有高度发达的网络攻击工具，但冲突期间关于网攻影响的报告可能存在夸大。 尽管部分混乱或损害声明经仔细审查后可能证明被夸大，但国家关联行为体在动能行动同时实施复杂网络入侵的 demonstrated 能力，凸显了真实且不断演变的威胁，需要持续警惕和准备。 美国网络安全公司SentinelOne在冲突开始后立即报告称，”未将重大恶意网络活动直接归因于这些近期事件”。 但该公司警告：”我们高度确信，以色列、美国及盟国组织可能面临直接或间接攻击——特别是政府、关键基础设施、国防、金融服务、学术和媒体部门。” 《华尔街日报》周六晚间报道称，美国在Anthropic AI协助下对伊朗发动大规模空袭，此前不久特朗普总统刚下令所有联邦机构逐步停用Anthropic技术，因该公司拒绝允许其AI无限制军事使用。     消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名乌克兰男子对运营 OnlyFake 网站认罪，该 AI 驱动网站为全球用户生成并出售超过 10000 份伪造身份证件照片。 27 岁的 Yurii Nazarenko（化名 John Wick、Tor Ford、Uriel Septimberus）承认，其订阅制平台 OnlyFake 使用人工智能生成高度逼真的伪造护照、驾照和社会保障卡。 美国检察官 Jay Clayton 周四表示：“我们依靠政府签发的身份证件打击恐怖主义、劫持、欺诈、洗钱及其他多种犯罪。OnlyFake 制作伪造身份证件及其他文件的行为使所有人面临风险，必须予以制止。” 起诉书显示，Nazarenko 的 OnlyFake 平台可让用户生成美国全部 50 个州的伪造数字驾照、美国护照及护照卡，以及约 56 个其他国家的身份证件数字版本。 用户还可使用个人信息定制伪造数字证件，选择随机信息，并选择最终成品为扫描件或桌面拍摄件样式。 图片 OnlyFake 网站（美国司法部） 纽约联邦检察官表示，这些伪造数字证件主要用于绕过银行和加密货币交易所的客户身份验证（KYC）要求，该要求是《爱国者法案》规定的反洗钱保障措施。 2024 年 5 月至 6 月，FBI 卧底特工从 OnlyFake 网站多次购买，获取了纽约州伪造驾照、美国护照及社会保障卡。 OnlyFake 仅接受加密货币支付，并提供最多 1000 份伪造证件的折扣批量套餐。2024 年 2 月 404 Media 报道该网站后，Nazarenko 通过多钱包中转加密货币支付并删除邮件，试图掩盖行踪。 FBI 助理局长 James C. Barnacle, Jr. 补充称：“Yurii Nazarenko 搭建网站制作超过 10000 份伪造身份证件，通过非法获利赚取数十万美元。该平台为客户提供了大量犯罪机会，包括绕过传统监管进行洗钱。” Nazarenko 于 2025 年 9 月从罗马尼亚被引渡回国，并同意没收 120 万美元。他目前面临最高 15 年监禁，定于 2026 年 6 月 26 日宣判。   消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

随着2024年的落幕，全球网络安全领域经历了一系列深刻变化和挑战。这一年，我们见证了网络攻击的规模和复杂性达到了前所未有的水平，从勒索软件的全球肆虐到数据泄露事件的惊人规模，网络安全事件的频发不仅考验了各国的安全防御能力，也暴露了数字化世界中的脆弱性。AI技术的双刃剑效应愈发明显，一方面，它被用作增强网络防御的利器，另一方面，它也成为网络犯罪分子的新武器。 本文基于HackerNews网站数据，以“创宇资讯”视角出发，筛选并总结出了2024年备受关注的网络安全热点事件，排名不分先后。它们不仅定义了这一年的网络安全态势，也预示着未来的趋势和挑战。 1、Ivanti的零日漏洞被大规模利用 2024年1月，Ivanti公司披露了两个影响其Ivanti Connect Secure VPN（前称Pulse Secure）和Ivanti Policy Secure设备的零日漏洞。这两个漏洞允许攻击者绕过身份验证并执行命令注入，进而可能导致未授权的远程代码执行（RCE）和内部网络的横向移动。 CVE-2023-46805：这是一个认证绕过漏洞，攻击者可以通过路径遍历来绕过访问控制检查。 CVE-2024-21887：这是一个命令注入漏洞，允许具有管理员权限的认证用户发送特殊构造的请求并在设备上执行任意命令。 攻击者，被称为UNC5221或UTA0178，利用这些漏洞在野外进行攻击。他们使用多个自定义恶意软件家族，在某些情况下，通过在设备内对合法文件进行木马化来植入恶意代码。这些漏洞的影响非常广泛，因为Ivanti Connect Secure作为SSL-VPN解决方案，对于潜在攻击者来说是一个极具吸引力的目标，它们寻求进入企业内部网络的入口点。如果被破坏，可能会给恶意行为者提供进入敏感组织系统和数据存储库的立足点。因此，了解和加强围绕Ivanti Connect Secure的安全措施对于保护潜在网络威胁和入侵至关重要。 在漏洞被披露后，美国网络安全和基础设施安全局（CISA）发布了紧急指令，要求所有联邦机构在2024年2月2日之前断开受影响的Ivanti产品与网络的连接，并在已经受到威胁的情况下执行额外的取证分析和清理步骤。Ivanti也发布了补丁，以解决所有受影响产品的安全问题。 这次事件显示了攻击者对新发现漏洞的迅速利用能力，增加了各行业面临的安全风险，特别是对于那些依赖于VPN解决方案来保护网络访问的组织。这也强调了及时应用安全补丁和维护强大的网络安全措施的重要性。 相关阅读： https://hackernews.cc/archives/49790 2、超大规模数据泄露事件曝光 2024年1月，网络安全领域遭遇了一次前所未有的挑战，研究人员揭露了一起涉及260亿条记录的超大规模数据泄露事件。这次泄露的数据不仅数量惊人，而且来源多样，包括了多家国际知名企业和机构，如Twitter、Adobe、LinkedIn等。泄露的数据种类繁多，涵盖了大量个人身份信息、账户凭证、电子邮件地址和电话号码等敏感信息，对全球网络安全构成了严重威胁。 这一事件由网络安全专家Bob Diachenko及其团队发现。初步调查显示，泄露的数据来源复杂多样，既有多个先前已泄露的数据库和历史数据，也包括通过非法渠道收集的信息。泄露数据的存储方式和数量表明，这些数据可能由网络犯罪分子或数据经纪人收集，并与跨境数据交换及恶意组织的合作有着密切联系。这一事件不仅暴露了个人隐私和敏感信息的安全风险，也凸显了全球数据保护和网络安全管理的紧迫性和重要性。 相关阅读： https://hackernews.cc/archives/49414 3、勒索团伙LockBit遭执法机构重锤 2024年2月，一个名为“克洛诺斯行动”（Operation Cronos）的联合执法行动在全球范围内对臭名昭著的勒索软件组织LockBit发起了毁灭性的打击。这次行动由11个国家的执法机构共同参与，包括美国、法国、英国等，取得了显著的成果。 在这次行动中，两名LockBit的运营者在波兰和乌克兰被捕，执法部门扣押了超过200个可能包含受害者支付的勒索金的加密钱包。此外，执法部门从查获的LockBit服务器中获取了超过1,000个解密密钥，并基于这些密钥开发了一个免费的解密工具，供受害者恢复加密文件。LockBit的服务器和基础设施被查获，其数据泄露站点也被接管，用于发布解密工具和悬赏通知。 法国和美国司法当局针对其他LockBit威胁行为者发出了三份国际逮捕令和五项起诉书。此次全球行动由英国国家犯罪局(NCA)领导，并在欧洲由欧洲刑警组织和欧洲司法局协调。欧洲刑警组织表示，为期数月的行动最终成功捣毁了LockBit组织犯罪活动所依赖的主要平台和其他关键基础设施。 这次行动的成功不仅展示了国际合作在打击网络犯罪方面的力量，也为全球网络安全领域树立了一个重要的里程碑。通过这次行动，执法机构不仅重创了LockBit的基础设施，还获取了大量情报，包括与其合作过的组织信息以及利用LockBit服务危害全球网络安全的信息。这些成果对于预防未来的网络犯罪活动和保护全球网络安全具有重要意义。 相关阅读： https://hackernews.cc/archives/50030 https://hackernews.cc/archives/50057 4、联合健康集团子公司Change Healthcare遭到勒索软件攻击 2024年2月，美国医疗支付服务提供商Change Healthcare遭受了一起严重的勒索软件攻击事件，导致约1亿人的个人信息受到影响。这次攻击由臭名昭著的勒索软件组织ALPHV/BlackCat声称负责。攻击者通过从缺乏多因素认证的Citrix门户获取的被盗凭证访问了Change Healthcare的系统，并在网络中潜伏了大约九天，未被发现，随后部署了勒索软件。 此次攻击干扰了超过100个Change Healthcare应用程序，包括牙科、药房、医疗记录、临床服务、注册、收入和付款等多个应用程序服务中断，影响了全国范围内的计费、保险索赔处理、处方药交付等关键功能。由于系统被加密，许多医院和药房无法正常处理索赔和接收付款，导致医疗服务中断。此外，攻击还导致了大量敏感数据被盗，包括个人身份信息、医疗记录、账单记录和保险数据等。 与此次攻击相关的总成本预计超过24.5亿美元，包括赎金支付、恢复工作和法律责任。据报道，Change Healthcare支付了2200万美元的赎金，尽管这一支付并未阻止另一个名为RansomHub的组织进行进一步的敲诈。这次攻击不仅对Change Healthcare造成了巨大的经济损失，也对美国医疗保健系统的正常运作造成了严重影响。 相关阅读： https://hackernews.cc/archives/50120 https://hackernews.cc/archives/51728 https://hackernews.cc/archives/56184 5、Snowflake被黑导致165家企业数据泄露 Snowflake数据泄露事件是2024年春季发生的一系列针对使用Snowflake云存储服务的组织的大规模数据泄露。根据谷歌Mandiant的报告，至少有165家组织受到了影响，包括Ticketmaster、Advance Auto Parts、Santander等知名企业。这些泄露事件并非由于Snowflake自身的环境问题，而是由于客户凭证被泄露，且许多受影响账户没有启用多因素身份验证（MFA）。 攻击者，被Mandiant归因于UNC5537，是一个以经济动机为驱动的威胁行为者，涉嫌从Snowflake客户环境中窃取大量记录。他们通过窃取的客户凭证入侵Snowflake客户实例，并在网络犯罪论坛上发布出售受害者数据的广告，试图敲诈受害者。UNC5537主要位于北美，另有一名成员在土耳其。 这次事件不仅对Snowflake造成了财务损失和声誉损害，还引发了多起针对Snowflake及其他受影响公司如AT&T、Santander Bank、Ticketmaster、Lending Tree和Advanced Auto Parts的集体诉讼。此外，受影响组织的员工数据，如用户名、密码和独特的网络地址也受到了影响。泄露的数据包括个人身份信息，如姓名、地址、信用卡信息和用户名。 Snowflake在识别出导致泄露的原因后，通知了其客户，并建议他们实施MFA以防止未经授权访问其数据库。这一事件强调了多因素身份验证在强大网络安全策略中的重要性。如果所有第三方承包商都实施了MFA，黑客就不会获得访问Snowflake系统的机会。 相关阅读： https://hackernews.cc/archives/53057 6、戴尔公司数据安全事件 2024年5月，戴尔科技集团（Dell Technologies）遭受了一起重大的数据泄露事件，影响了约4900万用户。一名自称为Menelik的黑客在网络犯罪论坛上声称拥有包含4900万条戴尔客户记录的数据库，并试图出售这些数据。这些记录涉及自2017年至2024年间购买戴尔产品的客户。 泄露的数据包括客户的姓名、实际家庭住址、选购的戴尔产品和订单详情以及服务标签、商品描述、订购日期和相关的保修信息等。戴尔公司强调，被盗信息中不包含任何财务或付款信息、电子邮件地址或电话号码。数百万客户面临潜在的身份盗窃和钓鱼攻击风险。此次泄露还削弱了客户对戴尔保护客户数据能力的信任。戴尔因泄露事件面临巨大的财务损失，包括调查、补救、法律费用和潜在的监管罚款。公司股价在披露后也出现了下跌。 戴尔数据泄露事件强调了组织必须持续投资于强大的网络安全措施以保护敏感数据免受不断演变的威胁，实施主动监控系统以实时检测和响应潜在泄露，以及在危机期间与客户和利益相关者进行开放和诚实的沟通对于维护信任和最小化损害至关重要。 相关阅读： https://hackernews.cc/archives/52293 7、《纽约时报》重大数据泄露事故 2024年6月，《纽约时报》揭露了一起严重的数据泄露事件，其严重性在于泄露的数据规模和敏感性。一名匿名黑客在4chan论坛上公开了大约270GB的数据，这些数据包含了约360万个文件。泄露的数据不仅包括《纽约时报》网站和移动应用程序的源代码，还涵盖了内部工具的敏感信息，这些信息对于保护新闻机构的网络安全至关重要。 这次数据泄露事件对《纽约时报》来说是一个重大打击，因为它不仅暴露了其技术基础设施的脆弱性，还可能危及到其记者和员工的安全。源代码的泄露可能会导致未来的网络攻击更加针对性和有效，因为攻击者可以利用这些信息来发现和利用系统的安全漏洞。 此外，这一事件也凸显了即使是全球知名的新闻机构也可能成为网络犯罪的目标，这进一步强调了加强网络安全措施的重要性，以及对内部数据进行更好的保护和管理的必要性。《纽约时报》和其他组织必须从这次事件中吸取教训，加强其网络安全防御，以防止未来发生类似的数据泄露。 相关阅读： https://hackernews.cc/archives/53066 8、微软蓝屏故障横扫全球 2024年7月，全球范围内发生了一起严重的IT系统故障事件，主角是美国网络安全企业CrowdStrike的一次错误更新。这次更新导致全球超过850万台Windows设备出现“蓝屏”死机现象，影响范围极广，包括航空公司、铁路运输、金融机构、广播电台、医疗机构、支付系统等关键基础设施。具体来说，CrowdStrike Falcon Sensor的一个关键更新导致了Windows系统出现大面积BSOD（蓝屏死机）错误，这不仅影响了个人用户，还对企业运营造成了严重影响。 此次事件中，包括美国航空、达美航空和联合航空在内的主要航空公司报告了严重的中断，航班停飞，值机系统无法运行，许多乘客被困或面临严重延误。此外，全球有4.1万个航班被推迟，逾4600个航班被取消，经济损失以十亿美元计算。CrowdStrike的美股盘前跌超13%，微软跌2%，CrowdStrike市值一夜蒸发近百亿美元，创2022年以来最差单日表现。 中国企业在这次蓝屏风波中相对“独善其身”，背后原因是众多关系国计民生的行业普遍使用国产终端安全防护软件，国产网络安全防护产品以更加可靠、稳定和智能的本土特色广泛服务于广大政企客户。这次事件不仅给全球IT基础设施的韧性与安全性带来了深刻检验，也凸显了全球对少数供应商软件依赖所构成的严重风险，一旦出现问题，后果可能比不运作的后果更严重。 相关阅读： https://hackernews.cc/archives/54253 9、AT&T客户敏感信息泄露 2024年7月，美国电信巨头AT&T遭遇了一起重大的数据泄露事件，影响了约1.09亿名客户的敏感信息。这次泄露的数据主要托管在Snowflake云服务公司，包括了客户手机和固定电话的号码、通话和短信记录，以及通话时的位置信息。值得注意的是，虽然泄露的数据不包括通话或短信的内容、社会保障号码、出生日期或其他个人身份信息，但这些元数据仍然可能被用来追踪用户的行为和联系。 AT&T在4月19日得知了这次数据泄露事件，并发现其与3月的一起安全事件无关。被盗的数据涉及2022年5月1日至2022年10月31日六个月期间的记录，以及2023年1月2日以来少数客户的记录。这次泄露事件被追溯到Snowflake平台上的AT&T工作区，并未影响AT&T的网络。目前，尚不清楚AT&T出于何种原因将客户数据存储在Snowflake中。 面对这一严峻的形势，AT&T迅速启动了内部及外部调查，并与执法部门紧密合作。目前至少有一名涉案人员被捕。同时，公司正在采取措施关闭非法接入点，以努力遏制数据泄露的进一步扩散。此次事件再次将美国电信行业的客户数据保护问题推向风口浪尖，引发了公众对个人信息安全的深切忧虑。 相关阅读： https://hackernews.cc/archives/53763 https://hackernews.cc/archives/53815 10、黎巴嫩传呼机、对讲机两轮爆炸 2024年9月，黎巴嫩经历了一场前所未有的安全危机，一系列与对讲机和传呼机相关的爆炸事件震惊了全球。这些爆炸主要针对黎巴嫩真主党成员，造成了数十人死亡和数千人受伤。爆炸事件分为两个阶段：第一阶段为寻呼机爆炸，第二阶段为对讲机爆炸。在寻呼机爆炸发生后的24小时内，对讲机也发生了爆炸，许多爆炸发生在因寻呼机爆炸事件而聚集的人群中，包括葬礼和医院。 据报道，以色列情报机构摩萨德涉嫌在黎巴嫩真主党订购的寻呼机内安放了爆炸物，这些寻呼机的电路板经过特殊设计，难以被检测到异常。当这些寻呼机接收到特定代码时，就会被引爆。这种将日常通讯工具转变为致命武器的行为，不仅展示了技术“双刃剑”的特性，也暴露了全球供应链安全的重大漏洞。 这一事件引起了国际社会的广泛关注和强烈反响。各国政府对遇难者表示哀悼，并对黎巴嫩政府表示支持，同时呼吁彻查事件真相，严惩幕后黑手。联合国等国际组织也表达了对地区紧张局势加剧的担忧，并呼吁各方保持克制，共同维护中东地区的和平与稳定。黎巴嫩传呼机、对讲机两轮爆炸事件不仅是一次针对特定组织的攻击，更是对全球供应链安全和平民生活安全的一次警示。 相关阅读： https://hackernews.cc/archives/55523 https://hackernews.cc/archives/55544 11、美国国家公共数据公司（NPD）敏感信息泄露事件 美国国家公共数据公司（NPD）遭遇的敏感信息泄露事件是2024年最严重的数据安全事件之一。NPD是一家背景调查公司，主要从非公开来源收集个人身份信息（PII）。今年4月，NPD遭受了网络攻击，导致29亿条个人记录被泄露，这被认为是历史上第二大数据泄露事件。泄露的信息包括社会安全号码、姓名和地址等敏感数据。黑客USDoD在地下论坛上出售这些数据，声称拥有与29亿人相关的个人数据。 这次泄露的数据量巨大，涵盖了2019年至2024年间的信息，总计达到277.1GB。这些数据的泄露不仅对个人隐私构成了严重威胁，也可能被用于身份盗窃和金融欺诈等犯罪活动。由于无法产生足够的收入来解决潜在的负债及相关费用，加之医疗机构等客户禁止有背景问题的企业提供服务，NPD最终由其母公司Jerico Pictures于10月2日向佛罗里达州南区法院申请破产。 NPD的数据安全管理漏洞暴露了其在保护敏感信息方面的不足，包括未及时修补的软件缺陷和不严密的访问控制机制。这一事件凸显了处理个人敏感数据的组织在全球范围内面临的数据安全挑战，以及加强数据保护措施的紧迫性。 相关阅读： https://hackernews.cc/archives/55839 12、网络安全迎来 AI 新挑战 2024年，随着人工智能领域的不断进步，AI和深伪技术被黑客利用发起更大规模、更复杂且难以检测的攻击，黑客进行身份伪造、欺诈活动等行为变得更加容易和高效。比如通过深伪技术生成的虚假视频或音频可以欺骗用户，使其相信是真实可信的信息来源，从而实施诈骗。此外，AI算法还可以自动分析大量数据，寻找目标人群的弱点，并定制个性化的钓鱼邮件或社交媒体消息，提高攻击的精准度和成功率。这种新型的诈骗方式不仅对个人用户构成威胁，也给企业和政府机构带来了巨大的安全挑战。例如，2024年3月，在一起针对德国数十家机构网络钓鱼活动中，研究人员发现攻击者使用的 PowerShell 脚本很有可能由AI辅助创建。 AI的崛起无疑为网络安全领域带来了前所未有的挑战，仿佛打开了潘多拉的魔盒。在不远的未来，我们预期将会见证更多借助于AI技术进行的攻击事件，这些攻击将更加复杂、难以预测和防御。同时，这也迫切要求防御领域采取积极的改进措施，以应对这一新兴威胁。 相关阅读： https://hackernews.cc/archives/51536 https://hackernews.cc/archives/55750 https://hackernews.cc/archives/56188       数据来源 https://hackernews.cc/，转载请注明出处

安全内参7月29日消息，美国白宫管理和预算办公室（OMB）上周五发布了《联邦风险和授权管理计划（FedRAMP）现代化》备忘录（M-24-15），以应对云市场变化和各机构对多样化任务交付的需求，推动联邦政府加速安全采用云服务。 关注快速缓解、自动化等能力 该备忘录旨在通过提高几大战略目标的关注度，从而改革云安全授权计划。例如，备忘录规定FedRAMP需实现“严格审查”功能，并要求云服务提供商（CSPs）快速缓解任何安全架构中的弱点，以保护联邦机构免受最“突出的威胁”。2023年秋天，管理与预算办公室开始听取针对该备忘录草案的公共意见。 备忘录特别强调，应建立自动化流程，用于输入、使用并重用安全评估和审查，以减少参与者的负担，并加快云解决方案的实施进度。 在接受FedScoop采访时，美国联邦政府副首席信息官Drew Myklegard和总务管理局云战略执行主任Eric Mill一致认为，通过该备忘录，两家机构可以集中精力确保各机构成功实现FedRAMP现代化。 Mill表示：“拥有一个明确的操作框架非常有益。”备忘录中的工作展示了“我们如何以更大的信心、更高的可信度……和更强的执行能力来落实FedRAMP现代化。我认为，这对备忘录的执行，以及美国政府和拜登当局落实FedRAMP主要任务来说，不啻于一个福音。” 配套政策应在半年内发布更新 在备忘录发布后，各机构将有180天的时间发布或更新符合备忘录要求的机构范围政策。该政策必须促进使用符合该计划的安全和其他基于风险的性能要求的云计算产品和服务，这些要求由美国管理与预算办公室、总务管理局和网络安全和基础设施安全局确定。 此外，为了保证程序授权的充分性，机构政策“不得假定特定路径或FedRAMP授权的赞助者是不可接受的”。 除了各机构之外，总务管理局需在180天内更新该计划的“持续监控流程和相关文档”，以体现备忘录的原则；一年内制定出FedRAMP组织计划，以鼓励各机构转向非政府特定的云基础设施；18个月内通过机器可读和自动化手段实现授权和持续监控；24个月内确保治理、风险和合规性以及系统清单工具能够使用开放安全控制评估语言（OSCAL）“摄取和生成”工件。 指南还指出，总务管理局“将探索在各种FedRAMP流程中使用适用的新兴技术”。 FedRAMP需在2025和2026财年第二季度向管理与预算办公室提交年度计划，并由总务管理局管理员批准。年度计划必须详细说明项目活动，例如人员配置计划和实施指南要求的预算信息。 备忘录将推动政府IT现代化转型 联邦首席信息官Clare Martorana在给FedScoop的声明中表示：“FedRAMP现代化是政府范围内数字化转型和IT现代化的催化剂。增强的计划将加速安全云的采用，使我们的技术投资与任务需求对齐，并释放资源用于创新，以更快、更高效地向公众提供数字服务。” 在之前的采访中，Myklegard表示，该备忘录将反映已在计划内生效的实践和改进，例如技术咨询小组。备忘录草案中已经概述过这些实施要求。按照Myklegard的说法，公众对这些要求的反馈“非常好”。 部分反馈要求实现自动化，例如采用OSCAL语言“用于数字授权和在云服务提供商与机构之间交换授权，从而提高处理速度”。OSCAL是由社区参与建立和管理、美国国家标准技术研究院推动的数据模型。 Mill承认，对该计划来说，自动化并不是新要求。各方多年来已经做了很多相关工作，出台了“各种备忘录”。《FedRAMP授权法案》也提出了应如何解决这一问题。 Mill说道：“要实现这一目标，需要多个参与者在一段时间内进行大量工作，并且专注于政府内部的技术领导能力。这就是我们正在实现的事情。”   转自安全内参，原文链接：https://www.secrss.com/articles/68590 封面来源于网络，如有侵权请联系删除

安全内参7月30日消息，作为奥运会东道主，法国正在接待来自世界各地的运动员和游客。然而，法国关键基础设施在近几天内遭遇了两次袭击，使得奥运会期间的安保问题更加引人关注。 法国企业网络服务商Netalis示，长途光纤电缆在本周一凌晨遭遇了一次“重大破坏”行动。Netalis在推特发帖中表示，此次袭击发生在凌晨2:15左右，影响了多家运营商，需要“数小时内”才能解决该问题。 法国主要网络服务提供商Iliad的企业部门Free Pro也证实了此次袭击，并警告客户其网络会出现“显著减速”。 Iliad公司的发言人表示，网络减速影响了法国101个省中的6个。作为大部分奥运会赛事举办地的巴黎未受影响。 警方向法新社证实，受影响的地区包括罗讷河口省、奥德省、瓦兹省、埃罗省、默兹省和德龙省。 即将离任的法国数字事务初级部长Marina Ferrari表示：“昨晚，我们的电信运营商在多个省份遭到了破坏。我谴责这些懦弱和不负责任的行为。” 在线监测工具DownDetector显示，主要法国服务提供商的故障和中断问题有所增加。 上周五，法国铁路网络遭到大面积精心策划的纵火袭击。即将离任的内政部长Gérald Darmanin于本周一宣布，官方已确定可能与铁路袭击有关的个人“身份”，并补充说，破坏行为“类似于极左翼的操作手法”，但“问题在于这些人是被他人操纵还是代表自己行事。”   转自安全内参，原文链接：https://www.secrss.com/articles/68639 封面来源于网络，如有侵权请联系删除

近期， Imperva 发布的《2024 年 API 安全状况报告》中提到，2023 年的大部分互联网流量（71%）都是由 API 调用，通过 API 传输的大量互联网流量应该引起每一位网络安全专家的关注。 目前，尽管大部分企业已经尽最大努力采用了左移框架和 SDLC 流程，但 API 仍经常在编目、验证或审计之前就被嵌入到了业务流程中（企业在生产中平均拥有 613 个 API 端点），随着当下向客户更快、更高效地交付数字服务的压力不断增加，这一数字也在迅速扩大。 随着时间推移，API 可能会成为有风险、易受攻击的端点。 Imperva 在报告中指出，鉴于API 是访问敏感数据的直接途径，早已成为网络威胁攻击者的常见攻击载体。事实上，Marsh McLennan 网络风险分析中心的一项研究发现，与 API 相关的安全事件每年给全球企业造成的损失高达 750 亿美元。 API 调用量越高，会出现更多安全问题 值得一提的是，研究发现相比其他行业，银行业和在线零售业在 2023 年的 API 调用量最高，这两个行业都依赖大型 API 生态系统向客户提供数字服务。网络威胁攻击者使用各种”手段“攻击 API 端点，其中一个常见的攻击载体便是账户接管（ATO）。当网络威胁攻击者利用 API 身份验证流程中的安全漏洞，未经授权访问账户时，就会发动这种攻击。 2023 年，近一半（45.8%）的 ATO 攻击以 API 端点为目标，这些”企图“通常是以恶意机器人的形式通过自动化来实现（注:恶意机器人是指怀有恶意运行自动化任务的软件代理)。考虑到银行以及其他金融机构管理的客户数据信息价值，ATO 是一个非常令人担忧的业务风险。 这种攻击一旦成功，网络威胁攻击者就会立刻锁定受害者的账户，盗取敏感数据。不仅仅造成经济损失，还会增加违规风险。 为什么管理不善的 API 会带来安全威胁 目前来看，因为没有受到合理的监管，以及缺乏足够的身份验证控制，导致每 10 个应用程序接口中就有近一个容易受到网络攻击，降低 API 的安全风险具有很大挑战，即使最成熟的安全团队也会为此感到”棘手“。其中主要的问题源于软件开发的快节奏，以及缺乏成熟的工具和流程来帮助开发人员和安全团队更好地协同工作。 Imperva 在报告中指出了影子 API、废弃 API 和未认证 API三种常见的 API 端点管理不善类型，它们会给企业带来安全风险： 影子 API： 这些 API 也称为未记录或未发现的 API，它们不受监督、被遗忘和或不在安全团队的可见范围内。据 Imperva 估计，影子 API 占每个组织活动 API 集合的 4.7%。如果不对这些 API 端点进行适当的编目或管理，就会出现安全问题。 企业应该关注影子 API，它们通常可以访问到敏感信息，但没有人知道它们的存在位置或连接内容。一个影子 API 就可能导致合规违规和监管罚款，更有甚者，有动机的网络犯罪分子会滥用它来访问企业的敏感数据。 废弃的 API： 废弃 API 端点是软件生命周期中的一个自然过程。因此，随着软件的快速、持续更新，被废弃的 API 并不少见。 事实上，据 Imperva 估算，已废弃的 API 平均占企业活动 API 集合的 2.6%。当端点被废弃时，支持此类端点的服务就会更新，对废弃端点的请求就会失败。但是，如果服务没有更新，API 也没有删除，端点就会因为缺乏必要的补丁和软件更新而变得脆弱。 未经验证的 API： 未验证的 API 通常是由于配置错误、匆忙发布过程中的疏忽或为适应旧版本软件而放宽了严格的验证过程而引入的。这些应用程序接口平均占企业活动应用程序接口集合的 3.4%。未经身份验证的 API 的存在给企业带来了巨大的风险，因为它可能会将敏感数据或功能暴露给未经授权的用户，从而导致数据泄露或系统操纵。 为降低管理不善的 API 带来的各种安全风险，建议企业进行定期审计，以识别未监控或未经身份验证的 API 端点。此外，开发人员应定期更新和升级 API，以确保用更安全的替代品取代过时的端点。 如何最大程度降低 API 的安全风险 API 的安全风险与日俱增，严重影响了企业正常经营生产。对此，Imperva 提出了几项建议，以帮助企业改善 API 安全状况： 发现、分类和清查所有 API、端点、参数和有效载荷，使用持续发现来维护始终最新的 API 清单，并披露敏感数据的暴露情况； 识别并保护敏感和高风险 API，执行风险评估，特别是针对易受授权和身份验证漏洞以及过度数据暴露影响的 API 端点； 为 API 端点建立强大的监控系统，主动检测和分析可疑行为和访问模式； 采用 API 安全方法，将 Web 应用程序防火墙 (WAF)、API 保护、分布式拒绝服务 (DDoS) 防范和僵尸程序保护整合在一起。   转自Freebuf，原文链接：https://www.freebuf.com/news/395332.html 封面来源于网络，如有侵权请联系删除

哈马斯对以色列发动致命袭击大约 11 天后， Telegram 频道一黑客组织发布消息声称，以色列内瓦蒂姆空军基地的计算机系统遭到破坏，该组织已收集了有关该设施飞行员、其他人员及其家人的信息。该消息包括据称从基地附近的安全摄像头拍摄的屏幕截图和视频。其中一张图片上的标题写道：“你不会安全。” 内瓦蒂姆位于以色列南部，是该国最大的空军基地之一，定期驻扎美国军事资产，并接收了多批美国军事援助物资。 以色列驻华盛顿大使馆周二没有回应置评请求，目前尚不清楚该组织的说法是否准确。对于与哈马斯结盟的黑客来说，对内瓦蒂姆系统的破坏将构成一次重大的公关政变。 这些类型的潜在爆炸性但难以验证的主张已成为寻求影响冲突的黑客活动组织的惯用手段。 周末，一个亲伊朗组织声称，为了报复美国对以色列的支持，它已经获取了数千名美国军方、执法和情报人员的数据，并以大约 2,000 美元的比特币价格出售。该组织发布的样本似乎包括数十名美国军人的身份证和相关文件。 美国军方发言人没有回复置评请求，执法官员周二也拒绝置评。 在以色列和哈马斯之间持续两周多的战斗之后，随着黑客活动组织加大行动力度，诸如此类未经证实的说法变得越来越普遍。针对 内瓦蒂姆空军基地的攻击是否真的发生尚不清楚，但专家警告说，随着冲突的持续，一系列微不足道的攻击 – 以及声称更为严重的攻击 – 可能预示着更重要的网络行动。 SentinelLabs 首席威胁研究员汤姆·黑格尔 (Tom Hegel) 告诉 CyberScoop：“我们可以预见，人们会越来越依赖旨在影响全球对冲突看法的信息行动，特别是在该地区复杂的地缘政治背景下。国家支持的威胁行为者通过各种手段加强其信息行动，包括操纵社交媒体平台、创建虚构的黑客组织以及实施旨在影响全球媒体的战略活动。” 驻英国的伊朗反对派活动家兼独立网络间谍研究员纳里曼·加里布 (Nariman Gharib) 告诉 CyberScoop，伊朗黑客组织“不断针对西方和以色列”。例如，与伊朗有关的人物已经表现出愿意通过窃取和发布有关性取向和艾滋病毒状况等敏感问题的个人数据来恐吓普通民众。 中东是黑客组织的沃土，而最近的网络行动历史是专家们如此担心随着以色列和哈马斯之间的战争拖延而对数字系统的攻击可能升级的原因之一。 被认为与哈马斯、真主党和伊朗有联系的组织多年来一直很活跃，开展的活动包括网络间谍、数据盗窃、黑客攻击和泄密活动，以及以工业控制设施为目标。 SentinelLabs 的高级威胁研究员在周二发布的区域参与者概要中写道。 与以色列有关的网络行动以伊朗政府资产为目标，发起令人尴尬的攻击，导致燃料分配系统关闭并损坏工业设施。 展望未来，黑格尔和米伦科斯基警告说，国家支持的黑客组织可能会利用黑客活动组织作为幌子来掩盖其攻击的起源，而伊朗黑客组织构成了特殊的威胁。 研究人员写道：“伊朗网络威胁行为者的多样性和适应性使他们成为未来全球威胁格局的重要且多方面的组成部分。” “必须将伊朗作为直接网络攻击行动和哈马斯和真主党等与伊朗有联系的组织支持的代理行动的潜在来源。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291017 封面来源于网络，如有侵权请联系删除

Okta近两年来屡次成为网络攻击焦点，不仅旗下产品被利用成为攻击客户的初始点，还因为自身网络被黑导致客户遭入侵，该公司已成为行业内的典型反例。 安全内参10月25日消息，自Okta上周五（10月20日）披露其支持系统遭黑客攻击以来，公司市值已经减少超过20亿美元。 这一备受瞩目的事件是一系列与Okta或其产品相关安全事件的最新一起。这些事件影响广泛，包括近期多个国际赌场遭到侵入。 Okta上周五披露，一个不明身份的黑客组织能够通过支持系统访问客户文件。该公司股价应声下跌，跌幅超过11%。该公司只披露了一组技术检测指标，没有提供更多细节。本周一开盘后，该公司股价继续下跌，收盘时跌幅达8.1%。 Okta公司的品牌知名度不高，但在国际大型企业的网络安全系统中扮演了重要角色。Okta是一家身份管理公司，拥有超过18000名客户。这些客户使用Okta产品为具体公司使用多个不同平台提供单一登录点。例如，Zoom使用Okta实现“无缝”访问，通过单一登录可以访问公司的Google Workspace、ServiceNow、VMware和Workday等平台。 Okta表示，已经在上周五的公告中与所有受影响的客户进行了沟通。其中至少一家客户表示，数周前就已经提醒Okta可能发生了入侵。 身份管理公司BeyondTrust在上周五发帖表示，他们已经在10月2日向Okta的安全团队报告了BeyondTrust使用的Okta系统中存在可疑活动。尽管BeyondTrust表示担忧“Okta支持系统内很可能已被入侵，而且我们或许不是唯一受影响的客户”，但是Okta一开始并未承认这起事件是一次入侵。 云安全公司Cloudflare、密码管理软件1Password也发表声明，表示发现了与内部Okta系统相关的恶意活动。 Okta承认支持系统入侵后近三天的股价下跌情况 身份供应商成为攻击焦点 Okta曾经多次成为其他备受关注的事件的焦点。 今年早些时候，赌场巨头凯撒娱乐和美高梅都受到黑客攻击。消息人士表示，凯撒娱乐被迫向黑客组织支付数百万美元的赎金。美高梅在SEC文件中承认，不得不关闭对公司利润产生实质性影响的关键系统。 这些事件造成的直接和间接损失总额超过1亿美元。这两起攻击都以复杂的社交工程方式瞄准了美高梅和凯撒娱乐的Okta系统。Okta一名高管对路透社表示，在同一时期，黑客组织还针对其他三家公司进行了攻击。 Okta自身此前也曾多次遭受网络攻击 2022年3月，一家自称Lapsus$的黑客组织曾试图入侵多个Okta系统。根据美国网络安全与基础设施安全局的报告，Lapsus$还曾参与对优步、《侠盗猎车手》制造商Rockstar Games的黑客攻击。   转自安全内参，原文链接：https://www.secrss.com/articles/60015 封面来源于网络，如有侵权请联系删除

亚马逊、Cloudflare 和谷歌周二联合发布消息称，一种依赖于 HTTP/2 快速重置技术的攻击行为对它们造成了破纪录的分布式拒绝服务 (DDoS) 攻击。 根据披露的信息，该攻击自8月下旬以来便一直存在，所利用的漏洞被跟踪为CVE-2023-44487，CVSS 分数为 7.5。在针对谷歌云的攻击中，攻击峰值达到了每秒 3.98 亿次请求(RPS)，而针对 AWS 和 Cloudflare 的攻击量分别超过了每秒 1.55 亿次和 2.01 亿次请求 (RPS)。 HTTP/2 快速重置是指 HTTP/2 协议中的0-Day缺陷，可被利用来执行 DDoS 攻击。简而言之，该攻击滥用 HTTP/2 的流取消功能，不断发送和取消请求，以压垮目标服务器。另一个关键方面在于此类攻击可以使用中等规模的僵尸网络来实施，据 Cloudflare 观察，该僵尸网络可容纳 2万台机器。 据W3Techs称，目前有35.6% 的网站使用 HTTP/2 。根据Web Almanac共享的数据，使用 HTTP/2 的请求百分比为 77% 。谷歌云表示，已经观察到快速重置攻击的多种变体，且比标准 HTTP/2 DDoS 攻击更有效。 缓解措施 Cloudflare 发现，HTTP/2 代理或负载均衡器特别容易受到快速发送的长字符串重置请求的影响，并最终使用了一个旨在处理超容量攻击的系统（称为“IP Jail”）来缓解这些攻击，公司已将该系统扩展到覆盖其整个基础设施。 亚马逊表示已缓解了数十起此类攻击，但没有提供有关其影响的任何详细信息，并强调其客户服务的可用性得到了维持。 受影响的三家公司都得出结论，客户应对 HTTP/2 快速重置攻击的最佳方法是使用所有可用的 HTTP 洪水防护工具，并通过多方面的缓解措施增强其 DDoS 抵御能力。 但由于这种策略滥用了 HTTP/2 协议，因此没有通用的修复方法可以完全阻止攻击者使用这种 DDoS 技术。相反，在软件中使用该协议的软件开发人员正在实施速率控制，以减轻 HTTP/2 快速重置攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/380270.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，基于 Mirai 的 DDoS 恶意软件僵尸网络 IZ1H9 近期又开始活跃了，为 D-Link、Zyxel、TP-Link、TOTOLINK 等 Linux 路由器“添加”了 13 个新有效载荷。 Fortinet 安全研究人员表示 9 月份的第一周， IZ1H9  恶意软件的利用率达到了历史峰值，针对易受攻击设备的利用尝试达到了数万次。IZ1H9 在成功入侵受害者设备后，便将其加入 DDoS 群，然后对指定目标发起 DDoS 攻击。 整个 9 月份观察到的利用尝试（Fortinet） IZ1H9 瞄准众多攻击目标 众所周知，DDoS 恶意软件盯上的设备和漏洞越多，就越有可能建立一个庞大而强大的僵尸网络，以此对目标网站进行大规模攻击。就 IZ1H9 而言，Fortinet 报告称它使用了以下多个漏洞，时间跨度从 2015 年到 2023 年： D-Link 设备： CVE-2015-1187、CVE-2016-20017、CVE-2020-25506、CVE-2021-45382 Netis WF2419：CVE-2019-19356 Sunhillo SureLine（8.7.0.1.1 之前的版本）： CVE-2021-36380 Geutebruck 产品： CVE-2021-33544、CVE-2021-33548、CVE-2021-33549、CVE-2021-33550、CVE-2021-33551、CVE-2021-33552、CVE-2021-33553、CVE-2021-33554 Yealink Device Management (DM) 3.6.0.20: CVE-2021-27561, CVE-2021-27562 Zyxel EMG3525/VMG1312（V5.50 之前）： CVE 未指定，但针对 Zyxel 裝置的 /bin/zhttpd/ 元件漏洞 TP-Link Archer AX21 (AX1800)： CVE-2023-1389 Korenix JetWave 无线 AP： CVE-2023-23295 TOTOLINK 路由器 CVE-2022-40475, CVE-2022-25080, CVE-2022-25079, CVE-2022-25081, CVE-2022-25082, CVE-2022-25078, CVE-2022-25084, CVE-2022-25077, CVE-2022-25076, CVE-2022-38511, CVE-2022-25075, CVE-2022-25083 不仅如此， IZ1H9 网络攻击活动还针对与”/cgi-bin/login.cgi “路由相关的未指定 CVE，这可能会影响 Prolink PRC2402M 路由器。 攻击链详情分析 在利用上述漏洞后，IZ1H9 有效载荷就会被立刻注入到受害者目标设备，其中包含一条从指定 URL 获取名为 “l.sh “的 shell 脚本下载器的命令。脚本执行后，会删除日志以隐藏恶意活动，接下来，它会获取针对不同系统架构定制的机器人客户端。 最后，脚本会修改设备的 iptables 规则，以阻碍特定端口的连接，增加设备管理员从设备上删除恶意软件的难度。 完成上述所有操作后，IZ1H9 僵尸网络就会与 C2（命令与控制）服务器建立通信，并等待执行命令。据悉，支持的命令涉及要发起的 DDoS 攻击类型，主要包括 UDP、UDP Plain、HTTP Flood 和 TCP SYN等。 DDoS 命令（Fortinet） Fortinet 还在报告中指出，IZ1H9 的数据部分包含用于暴力破解攻击的硬编码凭证。以上这些攻击可能有助于传播到受害目标的相邻设备中，或对没有有效利用的 IoT 进行身份验证。 硬编码凭证（Fortinet） 最后，网络安全专家建议物联网设备所有者使用强大的管理员用户凭据，并将其更新为最新可用的固件版本，在可能的情况下，尽量减少设备在公共互联网上暴露的频次。   转自Freebuf，原文链接：https://www.freebuf.com/news/380228.html 封面来源于网络，如有侵权请联系删除