HackerNews 编译，转载请注明出处： 研究人员观察到，与伊朗相关的行为体针对以色列及海湾国家的网络摄像头发起攻击，此举很可能用于支持军事情报搜集与战损评估。 根据《Check Point 2026 年网络安全报告》，网络行动正越来越多地被用于支持军事活动与战损评估（BDA）。在以色列与伊朗紧张局势期间，Check Point 软件技术公司的研究人员观察到，针对以色列及海湾国家（包括阿联酋、卡塔尔、巴林、科威特，以及黎巴嫩和塞浦路斯）网络摄像头的攻击数量激增。这些活动被归因于与伊朗相关的行为体，攻击者依托 VPN 和 VPS 基础设施，对设备进行已知漏洞扫描。 “在持续冲突期间，我们发现自 2026 年 2 月 28 日起，针对两家制造商生产的网络摄像头的攻击活动加剧，攻击源头来自我们归因于伊朗威胁行为体的基础设施。 攻击范围覆盖以色列、卡塔尔、巴林、科威特、阿联酋和塞浦路斯 —— 这些国家同样遭遇了大量与伊朗相关的导弹袭击活动。3 月 1 日，我们还观察到针对黎巴嫩特定区域摄像头的攻击活动。”Check Point 软件技术公司表示。 “我们还在更早的 1 月 14 日至 15 日观察到针对以色列和卡塔尔摄像头的更具针对性的活动。这些日期恰逢伊朗临时关闭其领空期间，据报道，当时伊朗预计可能遭遇美国打击。” 研究人员认为，攻击者的目的是侦察与实时监控，以支持情报搜集和潜在军事打击目标锁定。 威胁行为者利用以下漏洞发起攻击： 专家表示，厂商已对上述所有漏洞发布补丁。 研究人员分析了与伊朗相关基础设施发起的、针对 CVE-2021-33044 和 CVE-2017-7921 漏洞的利用尝试。 2021 年 10 月，专家曾发出警告称，身份认证绕过漏洞（编号为 CVE-2021-33044 和 CVE-2021-33045）已出现概念验证（PoC）利用代码。远程攻击者可通过向存在漏洞的摄像头发送特制数据包来利用这两个漏洞。 自 2026 年初以来，以色列及多个中东国家境内针对网络摄像头的扫描活动激增，此类活动往往与地缘政治紧张局势同步发生，例如伊朗国内抗议活动、美国军方访问以色列，以及对可能发生打击行动的担忧。 类似模式也出现在 2025 年 6 月以色列与伊朗冲突期间，当时被攻陷的摄像头很可能被用于侦察与战损评估，其中包括一起在导弹袭击前控制以色列魏茨曼科学研究所附近摄像头的案例。 “其中一起最知名的案例是，伊朗使用弹道导弹袭击了以色列魏茨曼科学研究所，而据报道，袭击方在袭击发生前刚刚控制了正对该建筑的街道摄像头。” 报告总结道。 防御方应通过以下方式降低风险：取消摄像头的公网访问权限，将其部署在 VPN 或零信任网关之后；组织应修改默认密码，强制使用高强度独立凭证，并保持设备固件更新；摄像头应运行在隔离网段，并限制出站流量；安全团队还应监控重复登录失败、可疑远程访问与异常外连行为。 本周，美国网络安全与基础设施安全局（CISA）将海康威视多款产品的不当身份认证漏洞 CVE-2017-7921（CVSS 评分 9.8）加入其已知被利用漏洞目录（KEV）。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着美以与伊朗冲突升级，双方展开大规模网络作战，包括广泛断网、网站及应用攻击、基础设施干扰，西方实体同时防范伊朗潜在网络袭击。 冲突于2月28日爆发，美以联合对伊朗军事设施、导弹基地、核设施及高层官员发动协调空袭，导致最高领袖哈梅内伊及多名领导人死亡。伊朗则以导弹和无人机密集袭击波斯湾地区美军基地，并直接攻击以色列，造成军民设施有限伤亡。 针对伊朗的网络攻击 据美以媒体报道，美以部队实施的网攻导致伊朗大规模混乱，包括新闻/宣传网站（如伊通社IRNA）、伊斯兰革命卫队通信基础设施、本地应用及数字政府服务中断。对革命卫队指挥控制系统的攻击旨在限制其反击协调能力。 报道称，对伊网攻包括DDoS攻击及针对能源、航空基础设施系统的”深度渗透”，被部分人士称为”史上最大规模网络攻击”。 亲西方黑客还劫持热门祈祷应用，推送”援助已抵达！”的通知。 互联网观测机构NetBlocks 3月2日报告称，伊朗断网已超48小时，并指出长期断网在该国并不罕见，通常由政权触发以掩盖人权侵犯。 来自伊朗的网络攻击 冲突爆发后，伊朗及亲伊威胁行为体亦加强行动。某组织声称攻击了一家以色列公司的防空系统。 网络安全公司Flashpoint向SecurityWeek透露，伊朗正发动黑客所称的”伟大史诗”网络战役。 威胁组织声称攻击约旦燃料基础设施，并扩大行动至以色列工业控制系统（ICS），声称已扰乱制造和能源分配系统。其他组织则专注于DDoS攻击和数据擦除行动，据称目标为美以军事物流供应商。 CrowdStrike反对手行动负责人Adam Meyers在邮件声明中表示，公司”已观察到符合伊朗关联威胁行为体和黑客组织进行侦察并发起DDoS攻击的活动”。 他指出：”这些行为通常预示更激进的行动。过去冲突中，德黑兰网络行为体的活动常与更广泛战略目标保持一致，对能源、关键基础设施、金融、电信和医疗等目标加大压力和曝光度。” Sophos报告称：”与伊朗情报安全部（MOIS）关联的黑客组织声称在约旦发动攻击，并威胁该地区其他国家。该组织惯常夸大其能力和攻击影响，但偶尔确实能够执行数据窃取和擦除攻击。” 前FBI网络部副助理主任、现任Halcyon勒索软件研究中心高级副总裁Cynthia Kaiser表示，Halcyon情报团队观察到中东活动增加，注意到”DDoS僵尸网络HydraC2、黑客组织Handala和勒索软件组织Sicarii的动员号召”。 Kaiser在领英帖文中写道：”伊朗长期使用网络行动报复 perceived 政治冒犯——2011至2013年瘫痪美国金融网站，2014年抹除拉斯维加斯金沙赌场数据，在伊朗军事指挥官苏莱曼尼死后篡改网站，2020及2021年对美国选举官员发出在线死亡威胁，德黑兰的网络策略一直激进且不断演变。” 她指出，勒索软件日益被纳入伊朗网络活动，破坏性工具可能在未来数周用于美国网络。”去年，一名伊朗国民对瘫痪巴尔的摩及其他美国市政机构的勒索软件攻击认罪，造成数千万美元损失，”她提醒道，”自2017年起，伊朗运营商就瞄准美国关键基础设施——包括一次针对波士顿儿童医院的未遂行动——发动勒索软件战役，模糊犯罪勒索与国家资助破坏的界限。” 对网络攻击影响声明的谨慎态度 伊朗黑客以攻击ICS及其他关键基础设施著称。支持政权的威胁行为体亦被观察到利用黑客手段为物理打击做准备。然而，他们也以夸大网络行动影响闻名。 美以均拥有高度发达的网络攻击工具，但冲突期间关于网攻影响的报告可能存在夸大。 尽管部分混乱或损害声明经仔细审查后可能证明被夸大，但国家关联行为体在动能行动同时实施复杂网络入侵的 demonstrated 能力，凸显了真实且不断演变的威胁，需要持续警惕和准备。 美国网络安全公司SentinelOne在冲突开始后立即报告称，”未将重大恶意网络活动直接归因于这些近期事件”。 但该公司警告：”我们高度确信，以色列、美国及盟国组织可能面临直接或间接攻击——特别是政府、关键基础设施、国防、金融服务、学术和媒体部门。” 《华尔街日报》周六晚间报道称，美国在Anthropic AI协助下对伊朗发动大规模空袭，此前不久特朗普总统刚下令所有联邦机构逐步停用Anthropic技术，因该公司拒绝允许其AI无限制军事使用。     消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列间谍软件公司 Paragon Solutions 在领英的一条帖子中，不慎暴露了其高度保密的 Graphite 间谍软件控制面板，此举遭到网络安全专家的严厉批评。这一失误让外界得以罕见窥见这款工具针对加密通信的监控运作方式。 2026 年 2 月 11 日，网络安全研究员 Jurre van Bergen 发现，Paragon 公司的总法律顾问在领英发布了一张截图。该截图显示，控制面板界面中出现了标注为 “Valentina” 的捷克手机号码、2026 年 2 月 10 日的实时拦截日志，还有通过零点击漏洞监控 WhatsApp 等加密应用的操作界面。 Paragon 的总法律顾问今日在领英上传了一张图片，曝光了 Paragon 间谍软件的控制面板。 该面板可查看捷克的手机号、设备中的应用与账户、手机媒体文件、拦截状态，以及从各类应用中提取的号码信息。 ——Jurre van Bergen（账号 @DrWhax）2026 年 2 月 11 日 公民实验室研究员 John Scott-Railton 将此次事件称作 “操作安全的重大失误”，并强调这类疏忽会严重破坏间谍软件行业的操作安全。尽管 Paragon 迅速删除了该帖子，但截图仍在网络上快速传播，外界对该公司隐秘运作行为的审视也进一步升级。 Paragon 公司 2019 年创立于以色列，其对外将 Graphite 软件宣传为高端监控工具，可实现对手机的远程访问。这款软件被称作 “商业间谍软件”，可在无需用户任何操作的情况下入侵设备，窃取 WhatsApp、Signal 等应用的消息、设备存储数据及实时通信内容。 与以色列 NSO Group 的 Pegasus 间谍软件不同，Paragon 将 Graphite 软件定位为 “更合规” 的替代产品，但外界仍不断指控该软件被用于监控记者和活动人士。 2025 年初，WhatsApp 指控 Paragon 利用零点击漏洞，对 90 名记者和民间社会人士实施监控，其中包括意大利 Fanpage.it 网站的编辑 Francesco Cancellato。公民实验室证实，Graphite 软件的运作基础设施与以色列相关，且在受感染的安卓设备中检测到了 “BIGPRETZEL” 等该软件的取证痕迹。 据公民实验室的分析，Paragon 的客户包括澳大利亚、加拿大、塞浦路斯、丹麦、以色列和新加坡等国的政府。2025 年 1 月，特朗普政府公开证实，美国政府曾采购 Graphite 软件，为移民与海关执法局（ICE）的行动提供支持。 民权组织记录到，加拿大安大略省等地区也部署了 Graphite 软件，此举因涉及对活动人士的监控引发了人权方面的强烈警示。意大利等国因与 Paragon 签订相关合同、利用该软件监控批评者，遭到了民众的强烈反对。 此次信息暴露凸显了这个以高度保密著称的行业，始终存在着操作安全（OPSEC）层面的隐患。尽管 Paragon 声称其软件仅合规出售给经过严格审核的政府机构，但 WhatsApp 监控事件与此次领英操作失误等事件，让这一说法不攻自破。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员称，与伊朗有关联的威胁行为体MuddyWater利用伪装成经典游戏“贪吃蛇”的间谍软件，针对埃及和以色列的关键基础设施发动攻击。 ESET 研究人员透露，该行动主要在2024年9月至2025年3月期间活跃，主要目标涵盖以色列科技、工程、地方政府、教育及制造业领域的机构。 该攻击活动通过鱼叉式钓鱼邮件展开，邮件通常附带 PDF 附件，其中包含指向托管在OneHub和Mega等免费文件共享平台上的间谍软件安装程序的链接。 ESET研究人员表示，一个名为“MuddyViper”的新后门程序，使攻击者能够窃取Windows登录凭证和浏览器数据、收集系统信息、传输文件以及执行文件和Shell命令。 MuddyViper使用的自定义加载器（被称为”Fooder”）使其恶意软件更难以被检测，因为它模拟了贪吃蛇游戏的运行方式。 ESET 指出，MuddyViper的出现表明，与伊朗情报与国家安全部有关的黑客组织在技术上正在不断演进，其规避检测和维持持久存在的能力已变得更强。 Fooder加载器能将MuddyViper反射加载到内存中并执行。ESET称，该加载器还依赖于一个自定义的延迟函数，该函数结合了贪吃蛇游戏的“核心逻辑”和“Sleep” API调用。 这些功能旨在延迟执行，以试图在自动化分析系统面前隐藏恶意行为。总体而言，这次活动显示出技术演进的迹象——更高的精准度、更具战略性的目标选择以及更先进的工具集。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家黑客组织声称入侵了以色列航天通信公司Spacecom，该公司运营着AMOS卫星（以色列军民两用静止轨道通信卫星）。攻击者称，已获取了该公司地面控制站的访问权限。 亲巴勒斯坦黑客组织Handala在其暗网博客上将Spacecom列为攻击目标，该组织常通过此博客展示其最新攻击对象。 攻击者声称，他们从Spacecom系统中获取了几百个GB 的数据，其中包括地面控制站的相关数据（地面控制站是卫星控制基础设施的核心组成部分）。 Spacecom运营着多颗AMOS卫星，通过这些卫星在中东、欧盟及其他地区提供民用和军用通信服务，该公司年收入约为 1 亿美元。 Handala组织称，此次获取的数据约379GB 数据，其中包含多个国家地面站的信息。该组织还额外发布了一篇帖子，据称曝光了太空通信公司员工的个人详细信息。 根据Cybernews研究团队消息，暗网上的截图包含Spacecom与客户签订的保密协议照片。这些协议主要涉及使用AMOS—17卫星进行通信服务的客户。研究人员表示，协议中包含服务套餐规格等内容，并非高度敏感信息。 研究人员解释道：“Handala组织附带了一个约 960MB 的压缩文件夹，其中包含 RINEX 观测与导航文件，这些文件看似仅是卫星运行日志，可用于实时监控卫星运行状态，但要发挥实际作用，还需配合其他敏感信息。” 该团队认为，这些信息主要可用于对该公司员工实施社会工程学攻击。 研究人员表示：“目前尚无充分证据表明他们确实掌握了可控制卫星的高度机密数据或敏感系统。尽管如此，太空通信公司应立即对可能遭攻击的系统进行漏洞修补。” 与此同时，Handala组织是一个支持德黑兰的黑客激进组织，其攻击目标主要为以色列及西方机构。与勒索软件团伙类似，该组织运营着一个暗网博客，用于发布窃取的数据。 今年早些时候，该组织曾攻击伊朗国际电视台。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软公司已启动紧急外部调查，回应以色列军事情报机构被指控利用其Azure云平台实施针对巴勒斯坦民众的大规模监控。此次行动源于《卫报》联合以色列-巴勒斯坦媒体《+972》及希伯来语媒体《Local Call》发布的调查报告，该报告揭露以色列8200部队在Azure平台定制隔离区存储加沙和约旦河西岸民众每日数百万条通话录音。 微软声明称，若Azure被用于“存储通过广泛或大规模监控加沙及约旦河西岸平民获取的通话数据文件”，将违反其服务条款。此次调查由美国科文顿·柏灵律师事务所监督，系微软就以色列军方使用其技术发起的第二次外部审查。今年五月公布的首次审查结论称“未发现以军违反服务条款或利用Azure锁定攻击加沙民众的证据”，但新报告促使微软高层质疑以色列员工在先前调查中隐瞒了关键信息。 核心争议点 数据规模：8200部队在荷兰与爱尔兰的微软数据中心存储约11500TB军事数据（相当于2亿小时音频），系统具备每小时处理百万通电话的能力。 军事应用：情报人员证实，云端存储的通话内容被用于研究并确定加沙轰炸目标，部分录音还被用作拘捕和勒索巴勒斯坦人的依据。 合作溯源：2021年8200部队指挥官约西·沙利叶与微软CEO萨提亚·纳德拉在西雅图会晤，双方就迁移70%敏感数据至Azure达成协议。微软工程师随后与以方合作开发定制安全层。 各方回应 微软：坚称高管对存储数据性质不知情，“无法获知客户云环境中的数据信息”。但泄露文件显示，公司预计该项目将带来“数亿美元收入”，并被定位为“打入国防情报市场的全球样板”。 以色列国防军：声明“微软从未参与以军数据存储或处理”，但微软内部人士反驳称军方声明“令人惊讶”，因公司与以色列国防部存在明确云存储合同。 社会压力：员工组织“抵制Azure用于种族隔离”要求微软公开所有军方合作并终止关系，抗议者指其“从巴勒斯坦苦难中牟利”。 此次调查正值微软面临双重困境：一方面，美国联邦贸易委员会正审查其云计算业务的反竞争行为；另一方面，国际刑事法院已对以色列总理发出逮捕令，指控其军事行动造成超6万名巴勒斯坦人死亡。微软承诺调查结束后将向公众公布事实结论。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员指出，伊朗勒索软件团伙Pay2Key.I2P在中东紧张局势升级之际扩大行动规模，承诺向针对以色列和美国的网络攻击参与者提供更高比例的分成。该组织被认为是原Pay2Key行动的后继者，而Pay2Key已被证实与伊朗国家支持的“狐狸猫”（Fox Kitten）黑客组织有关联——该组织曾实施针对以色列和美国机构的网络间谍活动。 网络安全公司Morphisec最新报告显示，Pay2Key.I2P采用勒索软件即服务（RaaS）模式运营，宣称过去四个月已获取超过400万美元赎金。自今年6月以来，该组织将对伊朗敌对国实施攻击的附属团伙分成比例从70%提升至80%。该组织在暗网论坛发布的声明中宣称：“我们的伊朗兄弟正遭受军事侵略，我们愿为任何攻击伊朗敌人者提供最优厚分成比例。” Morphisec分析认为该组织兼具牟利与意识形态动机，目前正试图在俄语黑客论坛招募成员。研究显示Pay2Key.I2P与Mimic勒索软件运营商存在合作，而Mimic使用了已解散的Conti团伙泄露的代码——Conti曾因公开支持俄罗斯入侵乌克兰导致其工具代码被公开。 尽管Pay2Key.I2P宣称截至6月下旬其附属团伙已成功实施50余次攻击，但具体针对以色列和美国机构的攻击数量尚不明确。此次行动正值美国官员警告伊朗可能发动报复性网络攻击之际。去年美国情报机构曾指出，德黑兰当局正协调勒索软件团伙针对美国、以色列、阿塞拜疆和阿联酋的实体实施攻击，并明确将“狐狸猫”列为关键威胁行为者。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意攻击者正试图借伊朗局势升温之机倒卖旧数据。尽管数据陈旧，其潜在危害仍不容小觑。 某数据泄露论坛近期出现兜售伊朗核能生产开发公司（NPPD）敏感数据的广告。该公司隶属伊朗原子能组织（AEOI），负责国家核能开发管理。攻击者宣称窃取了高达25GB的机密数据，包含员工姓名、身份证件、核能项目文件，甚至部分员工的加密货币持有量。 网络安全研究团队分析样本后指出，所谓“新泄露”实为2019-2020年旧数据的重新包装，涉嫌欺诈买家。研究人员强调：“此类旧数据改头换面高价出售已成常态。数据不会过期，可反复用于受害者画像分析或大规模凭证填充攻击，直至榨干最后一分钱。” 当前伊朗-以色列冲突骤然升级背景下，攻击者可能利用这些核能机构员工信息实施精准钓鱼攻击。6月以来，双方黑客组织活动激增：伊朗黑客劫持以色列家庭监控摄像头实时追踪人员动向，迫使政府通过广播警告民众；以色列黑客则对伊朗金融系统实施打击，窃取加密货币交易所近9000万美元资产。网络安全专家警示：“网络领域已成为以伊冲突主战场。”         消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 伊朗国家支持的黑客组织“Educated Manticore”被揭露针对以色列记者、网络安全专家及计算机科学教授发起钓鱼攻击。该组织与伊斯兰革命卫队(IRGC)关联，攻击者通过电子邮件和WhatsApp冒充技术高管或研究人员的虚构助理，诱导目标访问伪造的Gmail登录页面或Google Meet邀请链接。 网络安全公司Check Point将此次行动归因于代号Educated Manticore的威胁集群，该组织与APT35（及其子集群APT42）、CALANQUE、Charming Kitten等十余个知名黑客团体存在重叠。该高级持续性威胁(APT)组织长期采用精心设计的社交工程手段，通过Facebook、LinkedIn等平台虚构身份诱骗目标部署恶意软件。 Check Point指出，自2025年6月中旬伊朗-以色列冲突升级以来，该组织利用定制化的虚假会议邀请（通过邮件或WhatsApp）对以色列个人发动新攻势。由于消息结构严谨且无语法错误，推测其使用人工智能(AI)工具生成内容。其中一则WhatsApp消息甚至利用当前地缘政治紧张局势，以“急需协助开发AI威胁检测系统应对6月12日以来的网络攻击激增”为饵诱导受害者参会。 攻击初期消息不含恶意载荷，专注于建立信任。当攻击者通过对话获取目标信任后，会发送钓鱼链接导向伪造登录页面以窃取谷歌账号凭证。发送链接前，攻击者会索要目标邮箱并预填至钓鱼页面，模仿正规谷歌认证流程提升可信度。该定制钓鱼工具包采用基于React的单页应用和动态路由技术，通过实时WebSocket连接传输窃取数据，并能隐藏代码规避检测。 钓鱼页面不仅能窃取账户凭证，还可捕获双重验证(2FA)码实施中继攻击，并内置被动键盘记录程序——若用户中途放弃操作，所有输入内容仍将被窃取。部分攻击还利用Google Sites域名托管伪造会议页面，点击页面任意位置即触发认证流程。 网络安全专家警示：Educated Manticore在伊朗-以色列冲突升级阶段持续构成高危威胁。该组织以激进钓鱼手段、快速搭建攻击基础设施、及时撤除暴露据点为特征，使其能在严密监控下保持高效攻击能力。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 随着近期以色列与伊朗冲突升级，支持巴勒斯坦的黑客行动主义团体 GhostSec 据称已将其攻击焦点转向天基资产，尤其针对以色列卫星。这是他们表达抗议的方式。 GhostSec 长期以来通过实施远比同行更复杂的战术和有针对性行动，在黑客行动主义领域中独树一帜。目前，该组织正专注于攻击 VSAT（甚小孔径终端）系统——一种用于卫星通信的地面终端设备。 这类终端通常关联远程军事、政府及其他关键工业控制设施。尽管该组织常宣称这些行动是对实际在轨“卫星”的攻击，但其真实目标是地面与在轨卫星通信的卫星终端及暴露的网络基础设施。 这是一种操纵天基基础设施的手段。 与想象不同，黑客行动主义者并非使用 RTL-SDR、卫星天线等专门的射频设备来定位、瞄准或入侵卫星基础设施。这是因为 VSAT 终端拥有公共 IP 地址，这意味着它们很容易通过 IP 范围扫描和 Shodan 等工具被发现。 虽然 Shodan 仍是各类黑客的首选资源，但 VSAT 端点也可通过 OSINT（开源情报）方法（如关联卫星 ISP 的 ASN/IP 所有权）暴露出来。此外，还能利用各种 SNMP 枚举技术进行发现，例如以下 Metasploit 模块：auxiliary/scanner/snmp/snmp_enum。 VSAT、SNMP、Shodan 与黑客行动主义 SNMP 指简单网络管理协议（Simple Network Management Protocol），运行于端口 161。大量 VSAT 终端在互联网上暴露了 SNMP 接口。由于使用 Shodan 搜索设备相当简单，用户可以观察到 SNMP 实际上是电信、应急通信和偏远外交前哨广泛使用的协议。 试想一下：一条改变卫星调制解调器设置的 SNMP 写入命令，就可能导致整个区域断网，在战区尤其如此。 暴露 SNMP 接口的 VSAT 终端通常会泄露卫星的识别信息： 设备类型 供应商/制造商（如 Gilat、iDirect、HughesNet 等） 接口名称（如 satEnd0、satUplink、rf0ut 等） 网络拓扑，包括卫星链路、调制解调器、路由行为等 物理位置 上行/下行链路统计数据 GPS 坐标（如已设置） GhostSec 电报频道言论 GhostSec 领袖 Sebastian Dante Alexander 就该组织近期目标表示： “这次针对卫星的最新攻击不同于我们之前入侵这些卫星 GNSS 接收器的行动。我们此次攻击的 VSAT 终端已确认被军方使用。攻击截图显示了攻击步骤。我们成功使攻击的两个 VSAT 终端瘫痪，直到问题解决为止——显然这花了他们超过 24 小时。” 他解释称，该组织使卫星失效，因此以色列军方在停机期间无法获取该卫星的任何信息或继续使用。 在远程部署中，VSAT 终端通常依赖 SNMP 进行日常监控和设备管理。这种轻量级协议使服务提供商能够跟踪关键指标，如运行时间、带宽使用情况和卫星链路性能。它还使操作员能够远程重启设备或调整配置——这在物理访问不切实际的情况下是必要的。 此外，许多 VSAT 出厂时带有默认的 SNMP 团体字符串（community strings），如 public（读权限）和 private（写权限），并且极少被更改。在 VSAT 终端上保留默认 SNMP 团体字符串会构成潜在威胁：拥有 public（读权限）的任何人都可从中提取信息（包括流量日志）。 若保留未更改的 private（写权限）团体字符串，攻击者就能向 VSAT 终端写入数据，这才是真正灾难的开始。拥有 private 字符串的访问权限，攻击者可以重启调制解调器、更改路由表、重新配置上行链路参数，甚至彻底瘫痪或完全禁用 VSAT 终端。 这正是在俄乌战争初期得到证实的网络攻击中发生的情况：2022 年 2 月 24 日（即俄罗斯入侵乌克兰当天），乌克兰的 Viasat KA-SAT 卫星网络遭入侵。该攻击导致数万个地面终端瘫痪，中断了乌克兰军事通信，并造成附带影响——波及德国风力发电场和中欧的民用互联网服务提供商。 GhostSec 的目标 该组织的身份本质上与瞄准高价值网络基础设施相关联。其异常复杂的攻击手段使其区别于大多数黑客行动主义团体——后者通常使用现成工具攻击易得目标，并制造乏味的结果。 2023 年春季，GhostSec 在破坏 11 台全球导航卫星系统（GNSS）接收器后成为头条新闻，这使他们能够清除每台设备的数据，并阻止卫星未来获取任何数据。 然而，GhostSec 当前的攻击虽然与之前类似，但略有不同。 “之前的 GNSS 接收器大多用于图像采集或一般用途。这次，我们瞄准了八颗特定卫星，并成功攻击了其中两颗，在此场景下产生了更大的影响。” GhostSec 的 Telegram 频道揭示了其重燃卫星入侵兴趣背后的意识形态驱动叙事。6 月 13 日，GhostSec 提及巴勒斯坦的压迫和以色列持续升级的错误行为。 “除了关闭 500 多个网站（数量仍在增加）之外，我们还将展示更多攻击成果。我们攻击了以色列境内超过 100 台 Modbus PLC 设备，影响了他们的工业系统和 OT 系统。我们入侵了超过 40 台 Aegis 2 水处理设备，篡改了部分设备界面，并彻底扰乱了其余设备的设置，最终将其全部关闭。” “我们入侵了八台 Unitronics 设备，在对系统进行彻底破坏后，也将其关闭。我们总共入侵了 10 台属于以色列的 VSAT 设备，特别是我们之前帖子中简要提及的卫星，影响了以色列直接拥有和军方控制的卫星。” “我们有着攻击以色列的历史记录，包括所有以往的入侵、数据泄露等等。仅过去一年我们就总计入侵了 700 多台设备，这足以说明问题，但今天我们发起大规模攻击，以继续向他们施压。” 该帖以声援巴勒斯坦的声明结尾。 6 月 11 日的更早帖子展示了该组织的 OSINT（开源情报）技能，他们发布了一份以色列卫星系统及其战略价值的清单。例如，由 Gilat Satellite Networks 开发的 SatTrooper-1000 卫星系统，被用于单兵背负式终端，供地面部队通信使用。 尽管这是公开信息，但 GhostSec 显然正在编制一份类似数字“愿望清单”的军事卫星通信（SATCOM）目标档案。 心理框架效应 此外，该组织利用宣传作为心理放大器的手法，带有心理震慑的成分。与我个人观察到的其他团体不同，GhostSec 向其 3607 名 Telegram 订阅者传递消息的方式可谓独特。 多数团体倾向于复制粘贴我称之为“新闻呕吐物”的内容——作为一种情绪放大器，充斥着半真半假、未经证实的说法和糟糕的新闻报道。因此，成员们对此情绪化回应，而非战术性回应。他们助长了绝望感，这就是为什么如此多的黑客行动主义团体未能取得任何引人注目甚至具有新闻价值的成果。 GhostSec 自信、直接的语气，结合其精准度和掌控力，营造出完全不同的效果——通常被称为通过权威框架实现的“信息主导”。他们可能并未完全意识到这一点，但他们的自信本身就是一种功勋章。 GhostSec 阐述其理念和目标的方式具有强大的心理影响力。对于以色列而言，这可能造成一种印象：其安全、加密的系统正在被分析并准备遭受攻击。 对于 GhostSec 的众多支持者，该组织展现了专业素养和研究能力，强化了其合法性。他们实现这一点的方式不是通过提问或猜测，而是通过以掌控者的姿态呈现机密级别的信息，将整个局势描述为既成事实。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文