分类: 安全快讯

甜甜圈勒索组织正对企业部署双重勒索

据BleepingComputer 11月22日消息称,名为甜甜圈(D0nut)的勒索软件组织正制定针对企业的双重勒索攻击策略。 今年8月,BleepingComputer首次报道了甜甜圈勒索软件组织,它们分别参与了对希腊天然气公司 DESFA、英国建筑公司 Sheppard Robson 和跨国建筑公司 Sando 的网络勒索攻击。 最近,BleepingComputer 发现了用于甜甜圈的加密器样本,表明该组织正在使用自己定制的勒索软件进行双重勒索攻击。根据分析,加密器在执行时会扫描匹配特定扩展名的文件进行加密,并避开包含以下字符串的文件和文件夹: Edge ntldr Opera bootsect.bak Chrome BOOTSTAT.DAT boot.ini AllUsers Chromium bootmgr Windows thumbs.db ntuser.ini ntuser.dat desktop.ini bootmgr.efi autorun.inf 当文件被加密时,Donut 勒索软件会将 .d0nut 扩展名附加到加密文件。因此,例如,1.jpg 将被加密并重命名为 1.jpg.d0nut。 甜甜圈勒索软件还会利用 ASCII 编码,制作富有个性化的赎金票据页面,如旋转的 ASCII 甜甜圈。 甜甜圈勒索软件的赎金票据 为了增强隐蔽性,赎金票据被严重混淆,所有字符串都被编码,要通过JavaScript在浏览器中对赎金票据进行解码。这些赎金票据包括联系攻击者的不同方式,例如通过 TOX 和 Tor 协商站点。 甜甜圈勒索软件还在其数据泄露站点上设置了一个构建器,由一个 bash 脚本组成,用于创建 Windows 和 Linux Electron 应用程序,并带有捆绑的 Tor 客户端以访问数据泄露站点。 BleepingComputer认为,该勒索组织不仅有较为突出的技能水平,而且还有一定的营销能力,需要对其引起足够的警惕。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350528.html 封面来源于网络,如有侵权请联系删除

美国当局没收用于“杀猪”加密货币诈骗的域名

Hackernews 编译,转载请注明出处: 美国司法部(DoJ)当地时间11月21日宣布关闭七个与“杀猪盘”加密货币骗局有关的域名。美国司法部表示,该欺诈计划从2022年5月至2022年8月运作,从五名受害者那里净赚了超过1000万美元。 杀猪,也被称为杀猪盘,是一种骗局,骗子引诱毫无戒心的投资者发送他们的加密资产。犯罪分子在约会软件、社交媒体网站和短信上遇到了潜在的受害者。 这些人发起虚假关系,试图建立信任,只是为了欺骗他们在虚假平台上进行加密货币投资。 美国司法部表示:“一旦钱被发送到虚假投资应用程序,骗子就会消失,带走所有的钱,给受害者造成重大损失。” 该机构指出,被查封的七家门户网站都模仿了新加坡国际货币交易所(SIMEX)。 但是,一旦资金被转移到这些域名提供的钱包地址,数字货币会立即通过一系列私人钱包和交换服务,来隐藏踪迹。 “情感的操纵、友好的语气,以及事先利用阶段的持续时间,让真实的情感得以发展,黑客利用这种情感获得经济利益,有时会损失数百万美元。” 美国联邦调查局(FBI)上个月发布的一份咨询报告指出,当受害者试图撤回投资时,他们被要求支付额外的税款或罚款,从而导致更多的损失。 今年4月,该情报机构透露,它在2021年收到了4300多起与加密浪漫诈骗有关的投诉,造成超过4.29亿美元的损失。 Proofpoint最近的一份报告还详细介绍了欺诈者采取的一些其他策略,包括建议将对话转移到Telegram或WhatsApp进行“更私密的聊天”,并鼓励受害者发送有损隐私的照片。 研究人员Tim Krombhardt和Genina Po表示:“除了基于加密货币的诱饵,这些犯罪企业还利用黄金、外汇、股票和其他对象来剥削受害者。” “这种计划之所以成功,是因为导致‘屠杀’的对话具有亲密性质。对于利用这种社会工程剥削受害者的黑客来说,制造羞耻和尴尬是关键目标,类似于浪漫诈骗。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

网络犯罪团伙越来越多地使用 Aurora 信息窃取恶意软件

Hackernews 编译,转载请注明出处: 一种名为Aurora Stealer的基于Go的新兴恶意软件正被越来越多地部署,用于从受攻击主机上窃取敏感信息。 网络安全公司SEKOIA表示:“这些感染链冒充合法软件的下载页面,包括加密货币钱包或远程访问工具,以及911方法,利用YouTube视频和搜索引擎优化(SEO)的假冒破解软件下载网站。” Aurora于2022年4月首次在俄罗斯网络犯罪论坛上发布广告,作为商品恶意软件提供给其他黑客,被称为“具有窃取、下载和远程访问功能的多用途僵尸网络”。 在过去的几个月里,该恶意软件的规模已经缩小到一个窃取者,可以从40个加密货币钱包和Telegram等应用程序中获取感兴趣的文件、数据。 Aurora还附带了一个加载器,可以使用PowerShell命令部署下一阶段的负载。 这家网络安全公司表示,至少有不同的网络犯罪组织,称为traffers,负责将用户的流量重定向到由其他参与者操作的恶意内容,已经将Aurora添加到了他们的工具集中,无论是单独添加还是与RedLine和Raccoon一起添加。 SEKOIA表示:“Aurora是另一个以浏览器、加密货币钱包、本地系统的数据为目标的信息窃取者,并充当加载器。收集到的数据在市场上以高价出售,网络犯罪分子对这些数据特别感兴趣,这让他们能够开展后续有利可图的活动,包括大型狩猎活动。” 帕洛阿尔托网络Unit 42的研究人员详细介绍了另一款名为Typhon stealer的增强版本。 这种新变体被称为Typhon Reborn,旨在从加密货币钱包、网页浏览器和其他系统数据中窃取数据,同时删除先前存在的功能,如密钥记录和加密货币挖掘,以尽量减少检测。 Unit 42的研究人员Riley Porter和Udai Pratap Singh表示:“Typhon Stealer为黑客提供了一个易于使用、可配置的构建器。” Typhon Reborn的新反分析技术正在沿着行业路线发展,在规避策略方面变得更加有效,同时拓宽了他们窃取受害者数据的工具集。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Windows 版 iCloud 遭遇重大 Bug,用户宣称看到陌生人的照片

从理论上讲,将照片和视频上传到云端应该是确保你的文件安全可靠的一种便捷方式。但在Windows版iCloud的情况下,结果似乎正好相反。来自MacRumors的一份报告指出了一系列来自iCloud for Windows用户的投诉,他们解释说,在将他们的视频上传到云端后,文件最终被完全损坏,以至于无法再观看它们。 然而,更令人担忧的是,一些用户最终获得了属于他人的照片,原因至今都还没有确定。目前还不太清楚为什么会出现这种情况,但苹果公司还没有对这个bug发表评论。但根据上述消息来源,整个事情有可能是由服务器端问题引起的,删除iCloud forWindows并重新安装该应用似乎并不能使事情恢复正常。 “iCloud for Windows正在破坏从iPhone14 Pro Max录制的视频,导致出现带有一条白色扫描线的黑色视频。在极少数情况下,它还会显示可能是其他人的iCloud账户里的内容,我在我的iCloud账户中看到了我在生活中从未见过的其他人的家庭照片,足球比赛和其他随机照片。显然,这非常令人担忧,并不完全让我感到使用iCloud有足够安全。”一位用户解释说。 在这一点上,看起来Windows版iCloud运行的平台不是主要原因,因为这个问题在Windows 10和Windows 11上都会发生。目前官方似乎还没有提供解决的办法。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7168862497855209999/?log_from=3332e25087635_1669171877414 封面来源于网络,如有侵权请联系删除

印度证券业关键机构遭恶意软件入侵,部分设备已隔离

安全内参11月22日消息,总部位于孟买的印度领先中央证券存管机构Central Depository Services Limited(CDSL)表示,其系统已遭恶意软件入侵。 上周五(11月18日),该证券存管机构向印度国家证券交易所提交一份文件,称其检测到“一些内部设备”已遭恶意软件影响。 文件指出,“出于谨慎考量,我公司立即隔离了这些设备,并脱离资产交易市场以避免影响其他部分。” CDSL表示将继续开展调查,但截至目前,“尚无迹象表明有任何机密信息或投资者数据因此事件而遭泄露。” CDSL并未透露该恶意软件的具体细节。截至本文撰稿时,该公司网站已经关闭,且CDSL拒绝解释网站关停是否与攻击事件有关。 CDSL发言人Banali Banerjee表示暂时无法回答其他问题,包括公司是否保存有能确定哪些数据被泄露(如果确有泄露)的日志记录。发言人只表示,“我们正在努力解决问题。” 中央证券存管机构为印度证券业运转关键机构 CDSL号称维护并服务于全国各投资者的近7500万个交易员账户(在印度被称为demat账户),该公司的重要股东包括孟买证券交易所、渣打银行和印度Life Insurance Corporation(LIC)人寿保险公司。 CDSL成立于1999年,是印度唯一一家公开上市的同类公司,也是仅次于印度最早证券存管机构National Depository Services Limited(NDSL)的第二大存管机构。CDSL允许用户以电子形式持有证券及相关交易,并协助证券交易所进行贸易结算。 印度证券交易委员会要求,所有想交易印度证券的人都必须拥有Demat账户。而只有国家证券存托有限公司和中央存托服务有限公司这两个机构才能批准Demat账户开设。 CDSL公司在提交的文件中表示,“CDSL团队已经向有关当局上报了此次事件,目前正与政府网络安全顾问合作,共同分析事件影响。” 转自 安全内参,原文链接:https://www.secrss.com/articles/49261 封面来源于网络,如有侵权请联系删除

诈骗分子被捕,5.75 亿美元的加密货币庞氏骗局”暴雷“

Bleeping Computer 网站披露,近期爱沙尼亚逮捕了两名本国国民,此前这两人因实施大规模加密货币庞氏骗局被起诉,该骗局最终导致 5.75 亿美元的损失。 据悉,此次逮捕的两名爱沙尼亚公民姓名分别是 Sergei Potapenko 和 Ivan Turõgin,这两人被指控在 2013 年 12 月至 2019 年 8 月期间,与居住在爱沙尼亚、白俄罗斯和瑞士的其他四名同伙一起诈骗了数十万名受害者。 犯罪分子苦心经营庞氏骗局 这个诈骗团伙通过一个由空壳公司(疑似出售挖矿设备)、银行账户、虚拟资产服务和加密货币钱包组成的复杂网络,将受害者资金集中在一起,以帮助他们洗钱。 当不能按时交付设备时,为了避免客户退款,诈骗团伙通过一种名为 HashFlare(于 2015 年 2 月推出)的新加密货币挖矿服务,诱骗已支付挖矿硬件费用的客户签署远程挖矿合同(”云挖矿“)。 从起诉书的内容来看,该团伙许诺部分同意”云挖矿“的客户将从一个集中远程挖矿中获得采矿权,并可以获得一定比例的利润。但是 HashFlare 利润回报和余额都是假的,HashFlarePotapenko 和 Turõgin 只是将其当作了一个大规模的庞氏骗局来运营。 值得一提的是,起诉书显示,当受害者要求提取其采矿收益时,为了掩盖骗局,该犯罪团伙要么拒绝付款,要么从公开市场上购买一些虚拟货币支付给受害者。 以开”银行“的名义,欺骗受害者 从起诉书内容来看,这伙诈骗分子还在爱沙尼亚成立了一家名为 Polybius Foundation OÜ(又名 Polybius Bank )的新公司,并邀请许多潜在投资者通过 “首次代币发行”(ICO)为项目提供资金,以换取被称为 Polybius代币(PLBT)的虚拟代币,表示这一举措是 “数字加密银行世界的真正革命 “的一部分。 随后,Polybius 在一份新闻稿中声称,ICO 已经从超过 14250 名投资者手里筹集了约 1700 万美元,满足了获得欧洲银行执照的要求(想要获得银行执照需要三天内筹集 600 多万美元)。 此外,FBI 的 HashFlare 调查结果显示,这伙诈骗分子从第三方投资者处筹集了超过 3100 万美元,这些资金被转移到他们的个人银行账户和虚拟货币钱包,而不是用于资助 Polybius 银行,犯罪分子从未向投资者支付任何股息,也从未组建银行。 相反,欺诈分子利用非法资金购买了至少 75 处房地产、豪华车辆,还投资了数以千计的加密货币采矿机。 美国检察官尼克-布朗表示,犯罪分子利用加密货币的”诱惑力“,围绕加密货币采矿的神秘性实施了一个巨大庞氏骗局,涉及范围和造成的影响确实令人震惊。 诈骗分子利用虚假消息吸引投资者,然后利用拉来的资金支付给早期投资者,还试图把这些赃款”隐匿“在爱沙尼亚的房产、豪华汽车以及世界各地的银行账户和虚拟货币钱包里。 目前,美国与爱沙尼亚当局正在努力追查赃款,两名诈骗分子也被指控了 16 项电信诈骗罪,一项阴谋洗钱罪。一旦罪名成立,这两人将面临最高 20 年监禁。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350426.html 封面来源于网络,如有侵权请联系删除

博彩公司 DraftKings 遭大规模“撞库”攻击,损失超 300000 美元

11月21日体育博彩公司DraftKings在推特上发表称, 部分用户遭到了黑客组织的撞库攻击,该攻击导致的损失高达30万美元。目前DraftKings正在调查客户的账户问题,对受影响的账户进行整改。 根据调查,所有被劫持账户的共同点可能是最初的5美元存款,然后攻击者改变密码,在不同的电话号码上利用双因素身份认证(2FA),从受害者的网上银行账户中提款。 很多受害者在社交媒体上表达了他们的不满,因为他们无法与DraftKings的任何人取得联系,从而不得不看着攻击者反复的从他们银行账户中取钱。 在遭受攻击12个小时后,DraftKings总裁兼联合创始人保罗-利伯曼表示:”我们目前认为,这些客户的登录信息在其他网站上被泄露,然后被用来访问他们的DraftKings账户,受害者使用了相同的登录信息”。 “我们没有看到任何证据表明DraftKings的系统被攻破以获得这些信息。我们已经确定有近30万美元的客户资金受到影响,我们打算补偿受到影响的客户。 同时DraftKings公司建议客户不要在多个线上服务中使用同一个密码,也不要让第三方平台获取他们的认证许可,除了DraftKings提供的投注跟踪器和投注应用程序。 建议还没有受到此次攻击的DraftKings客户立即在他们的账户上打开2FA,并删除任何银行信息,解除银行账户链接,以阻止欺诈性提款请求。 在此次的撞库攻击中,威胁者使用自动化工具反复尝试(多达数百万次),使用从其他在线服务中窃取的凭证(通常是用户/密码对)获得用户账户的访问权限。 撞库攻击对那些在多个平台登录凭证相同的账户来说效果非常好。攻击者一旦获得账户登录权限,则可以窃取相关的个人和财务信息、进行未经授权的购买或者像被劫持的DraftKings账户那样,将链接的银行账户中的钱转移到他们控制的账户。 正如联邦调查局最近警告的那样,由于比较容易获得泄露的登录凭证,类似这种撞库攻击的数量正在迅速增加。 Okta还报告说,今年的情况急剧恶化,在2022年的前三个月,它在其平台上记录了超过100亿次撞库事件。这个数字约占Okta跟踪的整体身份验证流量的34%,这意味着三分之一的登录尝试是恶意的和欺诈性的。 转自 Freebuf,原文链接:https://www.freebuf.com/news/350429.html 封面来源于网络,如有侵权请联系删除

专家发布了 macOS 沙盒逃逸漏洞的 PoC 代码

Hackernews 编译,转载请注明出处: SecuRing的研究人员Wojciech Reguła(@_r3ggi)发布了一个macOS沙盒逃逸漏洞的技术细节和概念验证(PoC)代码,该漏洞被追踪为CVE-2022-26696(CVSS评分7.8)。 在Regula发表的总结中,研究人员观察到,这个漏洞是由他在沙盒macOS应用程序中观察到的一个奇怪行为引起的,这个行为可能会启动任何不继承主应用程序沙盒配置文件的应用程序。 苹果公司发布的建议写道:“沙盒进程可能可以绕过沙盒限制,该建议通过改进环境卫生解决了该漏洞。 ZDI发布的报告中写道:“该漏洞允许远程攻击者逃离受影响的Apple macOS安装上的沙盒。攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用此漏洞。LaunchServices组件中的XPC消息处理过程中存在特定漏洞,精心制作的消息可能会触发特权操作的执行。攻击者可以利用此漏洞提升权限,并在当前用户的上下文中执行任意代码。” 该漏洞于2021年12月22日报告给供应商,并于2022年8月15日披露。 Regula将分析重点放在Terminal.app的Objective-C方法上。 专家写道:“设置__OSINSTALL_ENVIRONMENT环境变量时,+[TTApplicationisRunningInInstallEnvironment]将返回YES,因此,当终端启动,+[TTApplicationisRunningInInstallEnvironment]返回YES时,一些环境变量没有被清除。通过简单的命令注入,我能够在终端中执行代码,而无需任何沙盒!” 专家通过将漏洞嵌入到Word文档中,并加载Mythic的JXA有效载荷,从而将漏洞武器化。 Regula解释道:“在终端内执行代码可能非常危险,因为它可能已经获得了一些TCC权限。” Reguła分享了一个视频PoC,演示了如何将Word文档武器化,以逃离沙盒并在终端内执行代码。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

专家发现了三个新的勒索软件:AXLocker、Octocrypt 和 Alice

Hackernews 编译,转载请注明出处: Cyble研究和情报实验室(CRIL)的专家发现了三个新的勒索软件:AXLocker、Octocrypt和Alice勒索软件。 AXLocker勒索软件会加密受害者的文件,并从受感染的机器上窃取Discord令牌。对代码的分析表明,startencryption()函数通过枚举C:\驱动器上的可用目录来实现搜索文件的功能。该恶意软件只针对特定的文件扩展名,并从加密过程中排除目录列表。 AXLocker勒索软件使用AES加密算法加密文件,与其他勒索软件不同,它不会更改加密文件的名称或扩展名。 Cyble发布的分析表明:“在加密受害者的文件后,勒索软件收集并向黑客发送敏感信息,如计算机名、用户名、机器IP地址、系统UUID和Discord令牌。” 恶意软件使用正则表达式在本地存储文件中查找Discord令牌,然后将其与其他信息一起发送到Discord服务器。 一旦勒索软件对文件进行了加密,它就会弹出一个窗口,其中包含一张赎金通知,指示用户与操作人员联系。赎金单不包括要求受害者恢复文件的金额。 Cyble还发现了一种名为Octocrypt的新勒索软件,这是一种Golang勒索软件,其运营商正在采用勒索软件即服务(RaaS)的商业模式。该恶意软件于2022年10月左右出现在威胁环境中,售价为400美元。 Cyble继续说道:“Octocrypt网页面板生成器界面允许黑客通过输入API URL、加密地址、加密金额和联系人邮箱地址等选项来生成勒索软件二进制可执行文件。” Cyble发现的第三种勒索软件被称为“Alice”,也被提供为勒索软件即服务(RaaS)。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

网络援乌:美国企业如何在俄乌网络战中大显身手?

安全内参11月21日消息,就在俄军进入乌克兰领土的几周之后,美国知名安全公司曼迪安特(Mandiant)的一名代表拨通了乌克兰最大国有石油及天然气公司Naftogaz的高管电话,提出一个不同寻常的建议:Naftogaz是否愿意让曼迪安特帮助他们检查网络当中存在的安全隐患? 多年以来,俄罗斯黑客针对Naftogaz系统的入侵尝试从未停歇,因此在听说曼迪安特愿意免费部署搜索团队、检测网络中是否潜伏安全隐患时,这家能源公司表示十分乐意。 这项提议是西方科技企业的广泛努力之一,希望帮助乌克兰在战时保护自己免受俄方网络攻击影响。从曼迪安特到微软,来自美国网络安全、威胁情报及科技领域的数十家公司联合组建了一支网络志愿团队,放弃中立态度,直接介入俄乌冲突。 他们自称为网络防御援助协作组织(CDAC),这个创意由摩根大通前首席信息安全官Greg Rattray最早提出。几个月来,他一直努力建立公私合作关系,希望对抗破坏性网络攻击。本文是他第一次公开深入讨论此项倡议。 多年来,美国官员一直希望通过公私合作伙伴关系来打击破坏性网络攻击。这个思路背后的逻辑是:美国国安局和网络司令部经常在网络攻击发生之前或期间,掌握关于攻击活动的情报,美国网络安全企业则拥有阻止攻击的专业知识。如果能够成功协同合作,有望更好地抵御破坏性网络攻击。 而CDAC倡议的与众不同之处,在于其合作伙伴并非华盛顿,而是基辅。这也成为公私合作的难得测试场景,可以检验构想中的联合,最终能不能在美国本土发挥作用。 Rattray在接受采访时表示,“俄乌冲突在周四(2月24日)正式爆发,我从周一起就开始四处沟通。”很快就有二十多家美国企业迅速签署了协议,愿意提供许可证、人员和专业知识,帮助乌克兰捍卫自己的网络空间。 Rattray解释称,“在我看来,俄罗斯方面的粗暴进军成为团结各家企业、签署合作协议的最大助力。大家都愿意以乌克兰为实验场,看看自己到底能够为网络安全做点什么。” 黑客的天然目标 Naftogaz公司拥有庞大的供应商、子公司和在线计费系统网络,众多设施环节使其成为俄罗斯黑客们的天然攻击目标。而一旦有攻击者成功突入防线,Naftogaz的内部设施就可能被搅成一团乱麻,阻碍乌克兰天然气输送系统的正常运行、甚至将能源系统彻底关停。 早在2015年,俄罗斯就曾经在电网身上动过类似的手脚。当时俄方黑客侵入了乌克兰电网,导致基辅周边近25万居民陷入黑暗长达六个小时。人们普遍认为,如果俄罗斯能让乌克兰停电一次,那在双方开战期间就绝对能让乌克兰停电第二次、第三次。 正是这样的压力,促使曼迪安特首席技术官Ron Bushar致电Naftogaz,询问对方是否愿意让曼迪安特的独家软件程序扫描其运营网络。Bushar解释称,行业普遍怀疑Naftogaz网络当中已经潜伏有俄方黑客,迫切需要一场大“扫荡”、大“搜捕”。 网上的搜捕队就如同循着犯案线索努力跟进的警察:他们查找电子“指纹”、清点盗窃行为,并认真观察入侵者可能留下的一切痕迹——比如恶意代码。 Bushar表示,“我们以极快的速度对成千上万的系统进行了扫描。一旦有所发现,我们就会继续深挖,对该系统展开进一步研究。” 但问题是,他们并没有太多发现:确实找到了能擦除硬盘信息的恶意代码,也扫描出了黑客“埋设”在此以待日后激活的预置恶意软件,可并不存在能造成大规模系统中断的“暴雷”。 Bushar回忆道,“我们没有检测到明显的攻击性活动,只发现恶意黑客已经获得了访问权限,并正在内部环境中移动的证据。” 于是,他们排查到了入侵的缺口并将恶意黑客拒之门外。 俄乌战争爆发初期,俄罗斯黑客在全乌范围内发动了一系列缓慢推进的低级别攻击,并未特别针对Naftogaz。他们擦除了硬盘数据并瘫痪掉身份验证系统,导致员工们无法登录。 但在Naftogaz保护并强化了自身网络边界之后,擦除类恶意软件仍在以某种方式不断出现在系统当中,密码和登录信息盗窃也一刻未停。研究人员们能意识到出了问题,但却无法解释原因。突然之间,Bushar他们顿悟般想通了一切:必须用军事思维审视问题。 内部威胁 事实证明,战争期间的网络安全保护工作有其特殊性。Busahr和他的团队意识到,需要保护的边界一直处于变化之中。如今占领乌克兰小块领土的俄罗斯军队已经夺取到了部分天然气设施,并试图通过终端侵入其运营系统。 Bushar指出,“在乌克兰东部地区,俄军已经占据了部分领土和相应的关键基础设施。”其中就包括Naftogaz公司的数据中心和当地电信及行政办公室。“整理敌占区各点位上的系统和IP地址,证明这些就是我们所看到攻击的确切来源。” 事实上,有时候攻击看起来像是源自Naftogaz内部。他们发现这并不是因为俄方突破了安全边界,而是“他们已经占据了Naftogaz的数据中心及相关系统,这样就能正常访问系统并攻击设施内的其他部分……整个过程类似于应对内部威胁。” 于是援助人员们调整了防御策略,开始切断俄占区内的业务系统。“我们提出建议,如果乌方决定从某省撤退,Naftogaz就应该在系统落入敌军手中之前,主动将这些系统从网络中断离开来。” 建议最终转化成了实践。Naftogaz开始指示员工在城镇被俄军攻占时联系主管,切断当地的网络访问。而在逃离敌占城市时,员工们还会向Naftogaz总部呼叫确认。这套新策略贯彻下去之后,Naftogaz就能及时调整防御姿态以反映各地战况。Bashar表示,神秘的内部威胁也就此消散无踪。 技术实力 在CDAC创始人Rattray着手为合作倡议物色志愿者时,他的第一个电话就打给了RSA Security前CEO Art Coviello。RSA Security是网络安全与加密领域的先驱之一。如今的Coviello则经营着一家风险投资基金,专门为网络安全企业提供资金支持。 他表示,“乌克兰人有这个技术实力。不少公司都在乌克兰设有软件开发分部,这本身就说明那里的技术储备和教育水平都比较到位。他们只是没有机会,或者没有像美国本土这样的金融资源来建设自己的网安防御体系。” 而CDAC的参与,应该有助于弥合这个缺口。 Coviello提到,这项努力并不单纯是为了响应战争。乌克兰以外的人们也应当保持警惕,毕竟俄罗斯对乌克兰使用的网络武器,也可能被用于攻击其他目标。“我绝对不会低估俄罗斯人的能力。” Coviello强调,“人们可能没有意识到,美国人民其实生活在世界上最大的数字玻璃屋内。我们受到的影响最大、承担的损失最重,因为我们之间的联系非常紧密、对技术的依赖性极高。我们的一切关键基础设施和业务构成都受到了这种技术转型的影响。” Rattray则提到,乌克兰用行动震惊了全世界——这种成就不仅来自正面战场,也来自网络空间。乌克兰方面极为敏捷,能够快速将系统迁移至云端,而云数据不会受到本土轰炸和一般黑客攻击的影响。乌克兰人的技术专长让他们能够在受到攻击时迅速转向,并充分运用来自科技界的巨大助力。 Rattray总结道,“俄罗斯人并不像我们想象中那么擅长网络作战。他们在数字空间中的行动跟我们的预期基本相符,比如信息战竞争、用传统方式通过网络空间收集监控情报之类。但我们预想中的破坏性攻击并没有出现。” 转自 安全内参,原文链接:https://www.secrss.com/articles/49226 封面来源于网络,如有侵权请联系删除