分类: 安全快讯

女子被控入侵飞行学校电脑系统 让需要维修的飞机起飞

据称,一名妇女入侵了佛罗里达州一家飞行培训学校的系统,删除并篡改了与该校飞机有关的信息。根据一份警方报告,在某些情况下,以前有维修问题的飞机被 “批准 “飞行。据该学校的首席执行官说,黑客攻击可能使飞行员处于危险之中。 这位名叫劳伦-利德的女性,曾经在墨尔本飞行培训学校工作,在2019年11月底,公司解雇了她的父亲后,她辞去了飞行操作经理的职务。根据Motherboard网站获得的法庭记录,几个月后她黑进了前公司的系统,删除和更改记录,显然是为了报复她的前雇主。 墨尔本飞行培训公司的首席执行官德里克-法伦于2020年1月17日报警,称五天前他登录了自己的Flight Circle账户,这是一个公司用来管理和跟踪飞机的应用程序,并发现有信息丢失。德里克-法伦发现,有人删除了与有维修问题飞机有关的记录,检查的提醒也都被删除了。这意味着可能不安全的飞机被故意变成了适航。 德里克-法伦随后停飞了所有航班。根据该文件,五天后,德里克-法伦报警并指控汉普顿-利德和他的女儿劳伦是黑客的幕后黑手。警方调查人员随后获得了用于访问该账户IP地址的相关信息,并发现它属于汉普顿-利德。调查人员还传唤了Google,以获取用于登录Flight Circle应用程序的Gmail账户信息,并发现该电子邮件地址属于一个名字为”Lides”的用户。根据该文件,汉普顿-利德后来告诉调查人员,这就是他们家的电子邮件地址。 最终,调查员说,他们相信劳伦-利德使用墨尔本飞行培训公司目前的飞行操作经理账户来篡改系统。目前还不清楚她涉嫌如何获得他的密码。劳伦-利德被指控犯有一项欺诈性使用计算机罪,以及两项未经授权进入计算机系统或网络的罪名。   (消息及封面来源:cnBeta)

微软安全报告称美国多家国防公司被盯上 攻击者疑似来自伊朗

数日前,微软发布了年度《Digital Defense Report》,指出对政府最大的数字威胁主要来自俄罗斯、朝鲜、伊朗等国家。今天,这家科技巨头再次发布了一份咨询报告,称多家参与国防的美国公司正被一个与伊朗有关的威胁行为者盯上。 图片来自于微软 微软发现的最新恶意活动集群目前被称为 DEV-0343。该公司将这一命名方式分配给一个发展中的集群,其身份尚未得到确认。一旦对他们的身份达到足够高的信任度,这个 ID 就会被改变为一个被命名的威胁行为者的 ID。 截至目前,DEV-0343 的目标似乎是美国和以色列的国防公司、在中东有业务的全球海上运输公司以及波斯湾的入境港口。它的攻击方法包括对 Office 365 订阅用户进行密码喷洒(Password Spraying),这显然意味着具有多因素认证(MFA)的账户对它有弹性。微软表示,超过 250 个订阅用户成为攻击目标,但只有不到 20 个租户被成功入侵。目前受影响的客户已经被告知。 微软将这一活动与伊朗联系起来的一些理由如下。 根据生活模式分析,这一活动可能支持伊朗伊斯兰共和国的国家利益,与伊朗行为者在地理和部门目标上的广泛交叉,以及与源自伊朗的另一行为者在技术和目标上的一致性。 微软公司评估说,这种目标定位支持伊朗政府跟踪对手的安全服务和中东地区的海上航运,以加强他们的应急计划。获得商业卫星图像和专有的航运计划和日志可以帮助伊朗弥补其发展中的卫星计划。 鉴于伊朗过去对航运和海上目标的网络和军事攻击,微软认为这一活动增加了这些行业的公司的风险,微软鼓励这些行业和地理区域的客户审查本博客中分享的信息,以防御这一威胁。 微软强调,DEV-0343 已经继续发展,并使用 Tor IP 地址来隐藏其运营基础设施。微软建议企业注意在 UTC 时间 4:00:00 至 11:00:00 之间来自模拟 Firefox 或 Chrome 浏览器的 Tor IPs 的大量入站流量,列举 Exchange ActiveSync 或 Autodiscover 端点,使用后者来验证账户和密码,以及利用密码喷雾工具,如 o365spray。 微软建议客户也使用 MFA 和无密码解决方案,如Microsoft Authenticator,审查Exchange Online访问策略,并尽可能阻止来自匿名服务的流量。该公司还为Microsoft 365 Defender和Azure Sentinel列出了一些狩猎查询,客户可以利用它们来检测恶意活动。你可以在这里查看它们。   (消息及封面来源:cnBeta)

指挥着 10 万多台僵尸机器人网络的黑客被乌克兰警方抓获

乌克兰安全局(SBU)已经逮捕了一名黑客,他开发和利用了一个由超过10万个机器人组成的僵尸网络。该罪犯是一名居住在乌克兰伊万诺·弗兰科夫斯克的普里卡尔帕蒂亚地区的居民。这个庞大的机器人大军被用来触发分布式拒绝服务(DDoS)攻击或用于发送垃圾邮件。 除此以外,他还被用来通过暴力手段来窃取用户凭证,如密码,测试各种网站的弱点,为将来的网络攻击做准备,罪犯通过在线论坛和Telegram销售和接收此类攻击的命令。 SBU利用他在俄罗斯数字支付服务WebMoney上注册的账户追踪到他,这名黑客不慎在那里提供了他的真实地址。 根据《乌克兰刑法典》,该罪犯将根据”第361-1条第2部分(以创作为目的)、361-1条(为使用、分发或销售恶意软件或硬件的目的而创造,以及分发或销售),以及363-1条(干扰工作)。363-1条(通过大量传播电信信息干扰电子计算机(电脑)、自动化系统、计算机网络或电信网络的工作)”被指控。   (消息及封面来源:cnBeta)

美司法部:瞒报网络攻击或数据泄露事件的联邦承包商将被起诉

美国司法部表示,如果联邦承包商未能如实上报网络攻击或数据泄露事件,则它们将面临法律诉讼。本周,副总检察长 Lisa O. Monaco 提出了一项民事网络欺诈倡议,以期参照现有的虚假申报法案(FCA)来追究与政府承包商和资助接受者们相关的网络安全欺诈行为。 新闻稿指出,该倡议将让个人或联邦承包商等实体,在故意提供有缺陷的网络安全产品或服务、导致美国网络技术设施面临风险时承担责任。与此同时,政府承包商将因违反监测上报网络安全事件和数据泄露行为而面临处罚。 据悉,这是美国政府在一系列针对联邦机构(包括财政部、国务院和国土安全部)的黑客攻击之后做出的最新回应。此前有调查称境外间谍活动波及 SolarWinds 网络,使其 Orion 软件被植入后门,并通过受污染的软件更新渠道推送到了客户网络。 通过政策法规上的“亡羊补牢”,美司法部希望建立适用于所有公共部门、广泛且具有弹性的网络安全入侵应对措施,并帮助政府努力识别、打造和披露常用产品或服务的漏洞补丁。若发现相关企业未能达到政府要求的安全标准,责任方还将承担相应的损失补救义务。 Lisa O. Monaco 解释称:长期以来,企业总是错误地认为瞒报比主动披露违规事件的风险要更小,但当下的环境已经大不相同。 通过今日宣布的倡议,我们将动用民事执法工具来追查那些不遵守网络安全标准规定的企业,尤其是接受联邦资金资助的政务承包商。 我们深知瞒报将让所有人都陷于风险之中,这也是我们必须确保的适当动用纳税人资金、并保护公共财政与维护公众信任的一项有力工具。 据悉,这项倡议的公布时间,恰逢加密货币执法团队的成立,以期处理复杂调查和滥用加密货币的刑事案件。 本周早些时候,参议员 Elizabeth Warren 和众议员 Deborah Ross 还提出了一项“赎金披露法案”,以强制勒索软件受害者在 48 小时内披露其支付的赎金金额的详细信息。   (消息及封面来源:cnBeta)

EFF 将停止 HTTPS Everywhere 扩展服务 称其使命已经完成

随着HTTPS采用率的提高和网络浏览器提供原生控制,电子前沿基金会(EFF)已决定在2022年将其流行的浏览器扩展HTTPS Everywhere转为维护模式。该公司表示,早在10年前就推出的扩展的目的就是为了像今天这样使其成为多余的。 HTTPS Everywhere是一个可用于Firefox、Chrome、Microsoft Edge、Opera和Vivaldi等网络浏览器的扩展,安装该扩展后,会尽可能通过HTTPS加载HTTP网站。当该扩展最初可用时,大多数网站都不支持HTTPS。 自从Mozilla、Google、微软联手提高HTTPS在网络上的采用率后,HTTPS强制扩展就变成了不必要的。近年来,不仅有很多网站从HTTP转移到HTTPS,而且网络浏览器提供了一个设置,如果可能的话,通过安全连接加载网页,只用HTTPS模式或HTTPS优先模式。Firefox浏览器提供了这个功能,微软的Edge和Chrome也有。 因此,启用纯HTTPS模式设置是用户今后在网络浏览器中需要做的所有事情,他们现在可以删除HTTPS everywhere扩展。 “HTTPS everywhere的目标始终是成为多余的。这将意味着我们实现了更大的目标:一个HTTPS广泛可用的世界,用户不再需要一个额外的浏览器扩展来获得它。现在,这个世界比以往任何时候都更接近主流浏览器提供了对纯HTTPS模式的本地支持。” EFF表示,HTTPS Everywhere将在整个2022年处于维护模式。该公司承诺,在完全关闭该扩展之前,将告知用户浏览器中的原生HTTPS-only模式选项。 Google最近发布了Chrome 94,在桌面和Android上采用HTTPS-only模式。用户需要访问安全设置,并切换”始终使用安全连接”选项以启用该功能。 这样一样,用户就不应该在网页浏览器中启用HTTPS-Only的同时运行HTTPS Everywhere,因为两者可能会相互冲突,正确的做法是删除扩展,而不是禁用它。 截至目前,一些网络浏览器供应商还没有足够的信心在浏览器中默认强制使用HTTPS,这可能需要一些时间才能使纯HTTPS模式成为每个支持它的网络浏览器的默认模式,无论是Firefox还是微软Edge。   (消息及封面来源:cnBeta)

一份报告称勒索软件已经影响医院病人死亡率

Ponemon研究所一份新报告强化了勒索软件攻击对病人的安全风险。22%的受访医疗机构在网络攻击后看到病人死亡率上升。该报告称,第三方风险对病人护理产生的不利影是响其中最大的痛点。 网络攻击导致更多病人出现住院时间延长,医疗程序和测试的延误,导致医疗结果不佳。在Censinet赞助的报告中,Ponemon研究人员调查了597名来自医疗服务机构(HDO)IT安全专业人士,以评估COVID-19和勒索软件等网络攻击增加对病人护理和病人数据安全的影响。 行业利益相关者长期以来一直警告说,网络攻击和相关停机时间,对患者安全构成了迫在眉睫的风险。但在2019年的报告之外,关于具体死亡事件的数据仍然稀少,促使人们需要分享威胁和第一手资料,以更好地获得网络攻击对增加病人伤害风险的具体情况。 通过Ponemon的报告,医疗IT领导者通过供应商的经验证实了网络攻击和病人护理之间的直接联系。在过去两年中,43%的受访医疗机构经历了一次勒索软件攻击,其中33%的机构成为两次或更多攻击的受害者。在这些医疗机构中,71%的人报告说住院时间延长,70%的人看到医疗程序和测试的延误,导致护理效果不佳。另有65%的受访者发现,由于攻击的直接原因,转院或转到当地医疗机构的病人增加,36%的受访者报告医疗程序的并发症增加。 研究结果表明,越来越多的网络攻击,特别是勒索软件,对病人护理产生了负面影响,而COVID对医疗机构的影响更加剧了网络攻击的影响。   (消息及封面来源:cnBeta)

因担心通风报信 FBI 暂缓公开 REvil 恶意软件的密钥

今年夏季 REvil 团伙发起了将近 3 周的大规模恶意软件攻击,美国联邦调查局(FBI)秘密扣留了密钥。该密钥本可以解密多达 1500 个网络上的数据和计算机,包括医院、学校和企业运营的网络。 援引华盛顿邮报报道,联邦调查局渗透了 REvil 团伙的服务器以获得该密钥。不过在和其他机构讨论之后,FBI 决定暂缓公开该密钥,因为担心有用户向犯罪分子通风报信。消息人士告诉《华盛顿邮报》,FBI 不希望有人向 REvil 团伙通风报信,并希望能打掉他们的行动。 不过在 FBI 介入之前,REvil 于 7 月 13 日消失了。由于还没有解释的原因,联邦调查局最终在 7 月 21 日才拿出密钥。本周二在国会问询时,FBI 局长克里斯托弗·雷(Christopher Wray)表示:“我们作为一个团体做出决定,而不是单方面的。这些都是复杂的……决定,旨在创造最大的影响,而这需要时间来对付对手,我们必须调集资源,不仅是在全国各地,而且是在全世界”。 7 月 13 日,REvil 勒索软件组织的基础设施和网站已神秘下线。该组织又称之为 Sodinokibi,利用多个明网和暗网运作,用作赎金谈判网站、勒索软件数据泄露网站和后台基础设施。 路透社13日报道称,被西方认为在俄罗斯境内活动的“REvil”至今已向受害者收取了数千万美元的赎金。过去几周,该黑客组织宣称向全球800家至1500家企业发动了袭击。美国联邦调查局(FBI)认为“REvil”是5月底导致全球最大肉类生产商JBS美国分公司运营瘫痪的罪魁祸首。   (消息及封面来源:cnBeta)

美国对向阿联酋提供黑客服务的前 NSA 雇员处以罚款处罚

据外媒报道,美司法部对三名前美国家安局(NSA)雇员处以罚款,据悉,这三名雇员在阿联酋一家网络安全公司担任雇佣黑客。49岁的Marc Baier、34岁的Ryan Adams和40岁的Daniel Gericke违反了美国出口管制法律,该法律要求公司和个人在向外国政府提供国防相关服务之前必须从国务院国防贸易控制理事会(DDTC)获得特别许可证。 资料图 根据法庭文件了解到,三名嫌疑人帮助阿联酋公司开发并成功部署了至少两种黑客工具。 这三人今日(当地时间9月14日)跟美司法部达成了一项史无前例的暂缓起诉协议,他们分别同意在三年的刑期内分别支付75万美元、60万美元和33.5万美元以避免入狱。 虽然法庭文件被大量修改,但Baier、Adams和Genicke的故事是众所周知的,他们的行为由一名告密者最先曝光并在2019年1月的一项路透社调查中被记录下来。 根据路透社的报道和美司法部官员的说法,这三人在2016年1月至2019年11月期间为阿联酋公司DarkMatter担任承包商角色。 这些前NSA分析师曾在“乌鸦计划(Project Raven)”中工作,“乌鸦计划”是DarkMatters内部的一个团队,由十几名前美情报人员组成。 在这个项目中,他们三人帮助开发了两个iOS零点击漏洞Karma和Karma 2。 路透社指出,这两个漏洞都是针对iPhone手机设计的,阿联酋官员利用它们监视持不同政见者、记者和政府反对派领导人。 除了罚款,美司法部的协议还包括以下条款: 与相关部门和FBI部门充分合作; 立即放弃任何外国或美国安全许可; 终身禁止未来通过美国安全审查; 未来的就业限制,包括禁止涉及CNE(计算机网络开发)活动或出口国防物品或提供国防服务的就业(如CNE技术); 对某些阿联酋组织的就业限制。 美代理助力总检察长Mark J. Lesko表示:“这项协议是对两种不同类型的犯罪活动进行调查的首个此类决议:提供未经许可的出口控制的国防服务以支持计算机网络开发–以及一家商业公司创建、支持和操作专门用于允许他人未经授权从世界各地(包括美国)的计算机访问数据的系统。” 另外,他还补充道:“雇佣黑客和那些支持此类违反美国法律的活动的人完全有可能因为他们的犯罪行为而被起诉。” “这些人选择无视警告,并利用他们多年的经验来支持和加强外国政府的进攻性网络行动,”FBI华盛顿外勤办公室主管助理局长Steven M. D ‘Antuono指出,“这些指控和相关处罚表明,FBI将继续调查此类违规行为。”   (消息及封面来源:cnBeta)

苹果公司发布 macOS Big Sur 11.6 包含安全修复措施

苹果公司今天发布了macOS Big Sur 11.6,这是2020年11月首次推出的macOS Big Sur操作系统的第六次更新。macOS Big Sur 11.6是在macOS Big Sur 11.5.2(一个错误修复更新)发布一个月后发布的。 新的macOS Big Sur 11.6更新可以使用系统偏好设置的软件更新部分为所有符合条件的Mac机型下载(在不受支持的机器上非正常手段强制安装的则需要下载安装盘经过技术处理后来升级)。 根据苹果的发布说明,macOS Big Sur提高了macOS的安全性,建议所有用户升级。 苹果还发布了macOS Catalina的安全更新2021-005,这两个更新都解决了一个可能允许恶意制作的PDF执行代码的问题。 苹果公司表示,据目前掌握的情况,有报告说这个错误可能已经被外部黑客积极利用了,因此升级系统以修复问题更是一件需要引起重视的事情。   (消息及封面来源:cnBeta)

报道称德国警方秘密购买了 NSO 的 Pegasus 间谍软件

在创建适用于 Android 和 iOS 的监控工具失败之后,德国联邦刑事警察局(BKA)在 2019 年购买了来自于 NSO 集团的 Pegasus 间谍软件。援引外媒 Die Zeit 报道,周二在德国议会内政委员会的一次闭门会议上,联邦政府透露了和 NSO 的协议。 目前尚不清楚 BKA 是何时开始使用 PegASUS 间谍软件的,不过该工具于 2019 年购买,目前与国家开发的一个效果较差的木马程序一起使用。 Suddeutsche Zeitung 通过 DW.com 的一份单独报告,引用了 BKA 副主席 Martina Link 的话,确认在 2020 年底购买,然后在今年 3 月部署,打击恐怖主义和有组织犯罪嫌疑人。 尽管官员们对部署可允许近乎不受限制地访问 iPhone 和 Android 手机的软件的合法性表示担忧,但还是决定采用 Pegasus。正如报告中所指出的,NSO 的间谍软件利用零日漏洞获得对智能手机的访问权,包括最新的 iPhone 手机,以记录对话,收集位置数据,访问聊天记录等。 德国的法律规定,当局只有在特殊情况下才能渗透到嫌疑人的手机和电脑中,而监视行动也有类似的严格规定。消息人士告诉 Die Zeit,德国联邦调查局官员规定,只有 Pegasus 的某些功能可以激活,以使这个强大的工具符合该国的隐私法。目前还不清楚这些限制是如何实施的,以及它们是否有效。同样不清楚的是 Pegasus 被部署的频率和对象。 Die Zeit 报道称,德国在 2017 年首次就潜在的许可安排与 NSO 接触,但由于担心软件的功能,该计划被否决。在 BKA 试图创建自己的间谍软件的尝试失败后,双方重新进行了会谈。   (消息及封面来源:cnBeta)