近日，以色列最大的炼油厂运营商BAZAN集团的网站在世界大部分地区无法访问，攻击者声称黑掉了该集团的网络系统。 位于海法湾的BAZAN集团（前身为OilRefineriesLtd.）每年创造逾135亿美元的收入，并雇佣超过1800人。该公司声称拥有每年约980万吨的原油炼油能力。 上周末，BAZAN集团的网站bazan.co.il和eng.bazan.co.il遭遇DDoS攻击无法访问（上图），出现HTTP502错误，或服务器拒绝访问（403错误）。该炼油厂的网站在全球范围内大部分地区都无法访问，但在以色列境内仍可访问，这可能是BAZAN为抵御网络攻击实施的地理封锁。 伊朗黑客活动组织”CyberAvengers”宣称在周末攻击了BAZAN的网络，并在周六晚间泄露了BAZAN的SCADA系统的屏幕截图，这些系统用于监控和操作工业控制系统，其中包括“火炬气回收装置”、“胺再生”系统、石化“分流器部分”的图表和PLC代码。 BAZAN的发言人则否认了工控系统资料泄露，并称之为“完全捏造”。 此外，CyberAvengers声称他们通过利用CheckPoint防火墙的漏洞攻破了这家石化巨头，BleepingComputer也通过公开记录确认了黑客攻击的防火墙设备IP地址确实属于BAZAN，但CheckPoint的发言人矢口否认，指责黑客的声称“不属实”。 CyberAvengers还宣称在2020年攻击超过150个工业服务器瘫痪了28个以色列铁路车站，并对2021年海法湾石化厂管道故障引发的火灾负责。 最后，虽然BAZAN否认此次黑客攻击对其业务系统和资产造成任何损失，但这一事件再次凸显了关键基础设施的网络安全问题的紧迫性，同时也突显了攻击者在全球范围内发动网络战争的潜在威胁。尽管目前有关攻击的真实性仍存在争议，但这一事件也反映了网络攻击和信息战的复杂性和多维度特性。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/ldebxSHkeiLSEmWuCv7kkg 封面来源于网络，如有侵权请联系删除

以色列最大的炼油厂运营商BAZAN Group的网站遭遇黑客入侵，全球大范围宕机。 BAZAN集团总部位于海法湾，前身为石油精炼厂有限公司，每年原油炼化规模约980万吨，年收入超135亿美元，员工超过1800人。 BAZAN网站被切断网络 上周末，BAZAN Group旗下网站BAZAN .co.il和eng.bazan.co.il无法进入，登入页面显示“请求超时”、“被公司的服务器拒绝”等字样。 BleepingComputer证实，BAZAN Group全球各地的炼油厂网站均已无法访问。 但经BleepingComputer测试，该集团网站可以从以色列境内访问，这可能是由于BAZAN已经实施了地理封锁的举措的原因。 Bazan Group网站显示“访问被拒绝”错误信息 (BleepingComputer) 伊朗黑客组织声称对此次攻击负责 伊朗黑客组织Cyber Avengers又名“CyberAv3ngers”在Telegram中称，他们在周末入侵了BAZAN的网络。 周六（7月29日）晚上，该组织还泄露了BAZAN SCADA系统的截图，SCADA系统是用于监控和操作工业控制系统的软件应用程序。 如BleepingComputer所示，这些图表包括“火炬气回收装置”、“胺再生”系统、石化“分离器段”和PLC代码。 在给BleepingComputer的一份声明中，BAZAN的一位发言人驳斥了泄露的材料“完全是捏造的”。他表示：最近网上流传着一份针对BAZAN进行网络攻击的虚假出版物，请注意其提供的资料和图像完全是捏造的，与BAZAN及其资产毫无关联。虽然我们的图片网站在DDoS攻击期间短暂中断，但没有观察到公司服务器或资产受到损害。 BAZAN发言人还称，BAZAN的网络安全措施是警惕的，目前集团正在与以色列国家网络管理局和其他合作伙伴密切合作，监控任何可疑活动，以确保行动的安全和完整性。 黑客组织进一步暗示，它通过一个针对该公司Check Point防火墙的漏洞入侵了这家石化巨头。 威胁参与者使用的所谓检查点防火墙漏洞 据称属于防火墙设备的IP地址(194.xxx.xxx.xxx)确实分配给Oil refinery Ltd.， BleepingComputer可以通过公开记录确认。但IP地址在BleepingComputer的测试访问时提示了“Forbidden”错误消息。 Check Point发言人强调“这些说法都不是真的”，并在给BleepingComputer的电子邮件中重申了炼油厂的调查结果。邮件中澄清说道：过去没有任何漏洞导致这样的攻击。 此前，Cyber Avengers还称对2021年海法湾石油化工厂因管道故障引起的火灾负责。2020年，该组织还声称攻击了以色列28个火车站，目标是150多台工业服务器。不过这些声明的真实性暂时无法核实。       转自Freebuf，原文链接：https://www.freebuf.com/news/373441.html 封面来源于网络，如有侵权请联系删除

近日，伊朗黑客组织Tortoiseshell盯上了以色列航运、物流和金融服务公司，至少有8家公司的相关网站遭遇了水坑攻击。 网络安全公司ClearSky称，此次攻击是由一个名叫Tortoiseshell的伊朗威胁组织发起的，该组织也被称为Crimson Sandstorm(以前的Curium)、Imperial Kitten和TA456。 ClearSky在周二发布的一份技术报告中提到：这些受到感染的网站是通过脚本收集初步用户信息，大多数受影响的网站已经被清除了恶意代码。 据悉，该黑客组织从2018年7月已经开始频繁活动，早期的攻击目标是沙特阿拉伯的IT提供商。他们还为美国退伍军人建立了虚假的招聘网站，以诱使他们下载远程访问木马。 这种攻击方法也被称为战略网站攻击，其工作原理是感染已知的一群用户或特定行业内的用户经常访问的网站，从而传播恶意软件。 2022年8月，一个名为UNC3890的新兴伊朗组织在一家合法的以色列航运公司的登录页面上设置了一个“水坑”，将登录用户的初步数据传输到攻击者控制的域。 根据ClearSky的最新入侵记录显示，注入网站的恶意JavaScript也以类似的方式运行，收集有关系统的信息并将其发送到远程服务器。 此外，JavaScript代码还会进一步确认用户的语言偏好，ClearSky说这有利于攻击者使用用户日常使用的语言来设置对应的攻击策略，更有效的达成目的。 除此之外，这些攻击还利用了一个名为jquery-stack的域，可实现在线指挥与控制(C2)，通过模拟合法的jQuery JavaScript框架来避开雷达。 转自 Freebuf，原文链接：https://www.freebuf.com/news/367502.html 封面来源于网络，如有侵权请联系删除

以色列时报报道称，以色列国家安全机构一年前就已发现，有伊朗黑客团伙控制了以色列数十台安保摄像头，但并未采取任何阻止措施。直到上周一晚间有报道称，该黑客团伙发布了来自以色列各地的多段视频，包括去年一处武器制造设施以及上月发生在耶路撒冷的恐怖袭击的监控画面。 此次播报为前期预告，完整调查报道在次日（12月20日）正式播出。以色列公共广播公司Kan称，尽管以色列官员早已发现黑客团伙Moses Staff的活动，但却并未对摄像机采取保护行动。这次播放的报道片段并未公布消息来源。 该团伙在其Telegram频道上公布了多地视频画面，包括以色列海法拉斐尔国防承包工厂周边镜头，以及耶路撒冷及特拉维夫等各处摄像机拍下的镜头。 该团伙还公布了上月在耶路撒冷发生的恐怖爆炸袭击事件画面，该事件已导致两人死亡。这些画面明显来自以色列主要安全机构所使用的监控摄像头。 根据Kan广播公司的介绍，黑客团伙在很长一段时间内能够随意控制摄像机，包括平移、倾斜和缩放拍摄镜头。目前还不清楚这些摄像机是否遭受黑客攻击。 安全官员在接受Kan采访时表示，Moses Staff上传的视频来自未接入任何安保网络的民用摄像机。 Kan广播公司提到，完整报道将探讨黑客在监视以色列高级官员方面做出的尝试，同时会揭露Moses Staff背后的推动力量。 Moses Staff黑客团伙曾在今年6月宣称对一次网络攻击负责，此次攻击导致耶路撒冷和以色列南部城市埃拉特的部分地区误响火箭空袭警报。 Moses Staff去年还曾表示其窃取到关于士兵的敏感信息，具体内容似乎来自LinkedIn上的公开资料；此外，该团伙还通过商业网站获得了以色列航拍图像。 还有另一条未经证实的消息，该团伙声称曾在6月致使军用观察气球在加沙地带坠毁。但以色列军方表示事故起因是气球没有正确系好。   转自 安全内参，原文链接：https://www.secrss.com/articles/50405 封面来源于网络，如有侵权请联系删除

以色列国防承包商埃尔比特系统公司的美国分公司表示，其网络在6月初遭到黑客攻击，员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中说，有369名员工受到数据泄露的影响，其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。 在通知中，这家位于得克萨斯州的公司几乎没有分享任何细节，只是说“有人试图干扰美国埃尔比特公司的网络运营”，而且其调查正在进行。 埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府，也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。 总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头，为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。 埃尔比特公司在监控软件市场也有涉猎。2015年，埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门，并将其分拆为一个名为Cyberbit的子公司。两年后，互联网监督机构Citizen Lab的研究人员发现，由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说，这些间谍软件冒充假的浏览器插件，旨在从受害者的电脑中提取私人用户数据，包括电子邮件、密码和屏幕截图。 Citizen Lab说，埃塞俄比亚政府可能下令进行监视。 埃尔比特公司在2020年出售了其在Cyberbit的股份，在美国私募股权公司Charlesbank Capital Partners投资7000万美元后，成为少数股东。 Cyberbit是设在以色列的几个已知的间谍软件制造商之一，包括NSO集团、Cytrox和Candiru。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1321033.htm 封面来源于网络，如有侵权请联系删除

网络安全公司 Avast，刚刚将一个在 Google Chrome 浏览器中被积极利用（现已修复）的零日漏洞，与一家针对中东记者的以色列间谍软件制造商联系了起来。据悉，作为一家总部位于特拉维夫的黑客雇佣公司，Candiru（又称 Saito Tech）与此前被卷入丑闻的 NSO Group 非常相似，主要向政府客户提供强大的间谍软件。 （来自：Avast） 尽管 Candiru 冠冕堂皇地宣称，其软件旨在供政府与执法机构用来阻止潜在的恐怖主义和犯罪。 但研究人员发现，有关部门在利用间谍软件针对记者、不同政见者和镇压制度批评者。 去年 11 月，美政府将四家从事违反美国国家安全活动的外国公司，列入了美国商务部的制裁名单。 除了 NSO Group、Computer Security Initiative Consultancy PTE（COSEINC）和 Positive Technologies，Candiru 也榜上有名。 注入受感染网站（stylishblock[.]com）的恶意代码 Avast 表示，其在 3 月份观察到 Candiru 在利用 Chrome 零日漏洞，向土耳其、也门、巴勒斯坦的个人和黎巴嫩的记者发起了攻击，并且侵入了一家新闻机构员工使用的网站。 Avast 恶意软件研究员 Jan Vojtěšek 表示：“虽然无法确定攻击者的真实目的，但攻击追捕记者或找到泄露消息来源的做法，或对新闻自由构成威胁”。 以植入黎巴嫩新闻机构网站的 Chrome 零日漏洞为例，其旨在从受害者的浏览器中收集大约 50 个数据点。 通过分析语言、时区、屏幕信息、设备类型、浏览器插件和设备内存，来确保只有被特别针对的目标会受到损害。 找到目标后，间谍软件会利用 Chrome 零日漏洞在受害者的机器上扎根，研究人员称之为‘魔鬼舌’（DevilsTongue）。 易受攻击的 ioctl 处理程序之一 与其它此类间谍软件一样，DevilsTongue 能够窃取受害者手机上的内容 —— 包括消息、照片和通话记录，并实时跟踪受害者的位置。 Avast 于 7 月 1 日向 Google 披露了该漏洞（编号为 CVE-2022-2294），并于几天后（7 月 4 日）发布的 Chrome 103 中加以修复。 当时 Google 表示其已意识到在野外的漏洞利用，而自去年 7 月被微软和 Citizen Lab 首次曝光以来，相关调查表明该间谍软件制造商已至少针对百余名目标发起了攻击。 Avast 补充道：在去年 Citizen Lab 更新其恶意软件以躲避安全检测后，Candiru 似乎一直保持着低调，直到最近一轮攻击才又冒头。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1295411.htm 封面来源于网络，如有侵权请联系删除

身份不明的窥探者一直在利用健身追踪应用Strava监视以色列军方人员，跟踪他们在全国各处秘密基地的行踪，甚至在他们因公出差或前往世界各地度假时仍然持续窥探。 通过在军事基地内设置伪造的跑步“路段”，此次监视行动（目前尚未明确归因）能够密切关注在基地内锻炼的个人，即使账户设置了最高级别隐私选项也无法回避。 据英国媒体《卫报》了解，一位被认为与以色列核计划相关、在绝密基地的用户，被追踪到在其他军事基地和某个外国。 此次监视活动由以色列开源情报机构FakeReporter发现。该机构执行董事Achiya Schatz表示，“我们发现这一安全问题后，立即联系了以色列安全部队。在获得安全部队批准后，FakeReporter联系了Strava，对方组建了一支高级团队以解决这个问题。” Strava的跟踪工具允许任意用户自由划定跑步或骑行“路段”，并针对特定路段开展竞速，例如在热门骑行路线组织长距离上坡赛或园区单圈赛。用户可以向Strava应用上传并定义自己的路段，也可以直接导入来自其他产品或服务的GPS记录。 但Strava无法追踪这些GPS上传是否合法，因此没法识别哪些上传为真人实地划定，而哪些路段上传者自己根本没去过。事实上，部分上传路段记录显然是人为伪造，其中高达数百公里的平均时速、不自然的行进直线和瞬间垂直跃上悬崖等线索都是最好的证据。 这些伪造路段可被用于竞速作弊，但至少危害不大。而其中一些似乎别有邪恶目的，某个位置显示为“马萨诸塞州波士顿”的匿名用户，在以色列的众多军事机构内设置了一系列伪造路段，包括该国情报机构的前哨，以及被认为与核计划有关的绝密基地设施。 Schatz认为，“借助这种上传设计文件的功能，敌对分子开始利用流行应用程序，窥探全球各地用户的个人信息，这也标志着损害公民及国家安全的恶意手段再次迈出惊人的一步。” 这种伪造路段的行为还绕过了Strava的隐私设置。用户可以将自己的个人资料设置为只对“关注者”可见，借此防止自己的路线被他人窥探。但除非主动对每一次跑步都单独设置，否则用户的头像、名字和首字母仍将显示在相应的路段上。于是乎，当地图上散布了足够多的路段后，该用户的行动轨迹仍将暴露：例如，可以看到某用户曾在一次公开路段竞速中胜出，随后又在各安全军事设施内跑步。 健身服务公司Strava在一份声明中表示，“我们非常重视隐私问题。以色列机构FakeReporter已经告知我们关于特定用户账户的安全问题，我们也已经采取了必要的纠正措施。” “我们就Strava的信息分享功能提供了说明指引，也允许每位运动者根据自己的情况做出隐私选择。关于我们隐私控制机制的更多细节，请访问隐私中心。我们建议每位运动者都能花一点时间，保证自己在Strava中获得与预期相符的体验。” 这一发现不禁让人想到2018年的另一起丑闻。 当时Strava的一项新功能，在全球健身追踪平台上发布了所有运动的可视化标记。热力图显示出各地流行的跑步、自行车骑行与游泳路线。Strava在公告中强调，这项功能可以帮助用户轻松找到夏威夷铁人三项赛路线等重要地点。但其中也列出了某些不该被公开的内容：阿富汗赫尔曼德省多处军事基地的位置，布局清晰可见，英国福克兰群岛芒特普莱森特皇家空军基地也因附近的一处户外游泳点而进入公众视野。该地图甚至记录了一位孤独的自行车骑手在内华达州51区的行进路线。 面对质疑，Strava当时的态度是建议军方用户退出可视化功能，并辩解称这些信息是由上传用户自己公开的。而此次曝出的新问题中包含的细节还远超当年：一名美国空军服役人员在前往吉布提旅行时被追踪到，她在那里进行7公里环跑时，曾前往2016年调入的某德国空军基地。   转自 安全内参，原文链接：https://www.secrss.com/articles/43872 封面来源于网络，如有侵权请联系删除

据熟悉此事的人士透露，以色列阻止乌克兰购买NSO集团开发的飞马(Pegasus)间谍软件，因为其担心俄罗斯官员会因此而感到愤怒。在《卫报》和《华盛顿邮报》的联合调查之后，这一启示为以色列跟俄罗斯的关系有时会破坏乌克兰的进攻能力提供了新的见解–并跟美国的优先事项相矛盾。 自俄罗斯于2月24日对乌克兰采取军事行动以来，乌克兰总统沃洛基米尔·泽伦斯基一直在批评以色列的立场。他在最近对以色列议会议员的讲话中称，以色列必须“给出答案”来说明其没有向乌克兰提供武器或对俄罗斯人实施制裁的原因。 据直接了解此事的人透露，这至少可以追溯到2019年，当时，乌克兰官员游说以色列以试图说服以色列许可乌克兰使用间谍软件工具。但这些努力遭到拒绝，受以色列国防部监管的NSO集团从未被允许向乌克兰推销或出售该公司的间谍软件。 据了解，当飞马被成功地部署在一个目标上时，它可以被用来入侵任何移动电话、拦截电话对话、阅读文本信息或查看用户的照片。另外它还可以被用作远程监听设备，因为间谍软件的政府用户可以用它来远程开启和关闭移动电话录音机。 最近的新闻报道都集中在NSO的政府客户如何使用间谍软件–包括飞马–来攻击世界各地的记者和人权维护者。该联盟的报告还表明，从匈牙利到沙特阿拉伯，飞马的销售跟以色列的外交政策相一致。 从西班牙到法国再到乌干达，该间谍软件还被用来对付高级政府和外交官员，这些案例被认为是一些国家试图利用该工具进行国内或国际间谍活动。 NSO表示，其间谍软件是为了让政府客户用来对付严重的罪犯和恐怖分子。另外它还表示，它对滥用的严重指控有展开调查。 知情人士透露，在大多数常规情况下，以色列国防部首先是允许NSO向政府客户销售飞马软件的，然后进行审查以确定究竟是允许还是阻止交易的进一步发展。 一位乌克兰高级情报官员指出，以色列的决定让乌克兰官员感到“困惑”。这名官员表示，他并不完全了解乌克兰为什么被拒绝使用这一强大的间谍工具，但他补充称，他相信美国政府支持乌克兰的努力。 接近此事的消息人士表示，以色列的决定反映了它不愿意激怒俄罗斯，而俄罗斯跟以色列有着密切的情报关系。消息人士称，以色列担心授予乌克兰通过飞马瞄准俄罗斯手机号码的能力会被视为对俄罗斯情报部门的一种侵略行为。 这并不是唯一一次俄罗斯的主要地区敌人之一被拒绝进入飞马的一些权限。熟悉此事的人说，爱沙尼亚作为北约成员国，在2019年获得了飞马的使用权，但在当年8月被NSO告知，该公司不允许爱沙尼亚官员使用间谍软件来打击俄罗斯目标。 爱沙尼亚国防部女发言人Susan Lilleväli拒绝就此事发表评论。 不过NSO在回答一组详细的问题时发表了一份单行声明–“NSO继续受到有关所谓客户的不准确的媒体报道，这些报道是基于道听途说、政治暗示和不实之词。” 以色列国防部周二也对一连串的问题做出了回应，不过其发表的声明并没有直接解决大多数问题。声明说道：“以色列国根据2007年《国防出口管制法》对网络产品的营销和出口进行监管。” 另外它还补充称：“有关出口管制的政策决定考虑到了安全和战略因素，其中包括遵守国际安排。作为一项政策，根据获取政府提供的最终用途/最终用户声明，以色列国只批准向政府实体出口网络产品，用于合法用途并且只用于预防和调查犯罪和打击恐怖主义的目的。” 乌克兰官员拒绝对飞马或其寻求强大监控技术的整体努力发表评论。但主管乌克兰数字技术的副总理Mykhailo Fedorov表示：“以色列政府目前没有参与任何有关进攻性技术的讨论或促进，但我们与市场上的许多以色列公司有持续的对话，并且它们处于不同阶段。但我还是要说：我们有足够的能力继续获胜，我们每天都在增加新的工具，包括新兴工具。”   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/science/1251117.htm 封面来源于网络，如有侵权请联系删除

以色列似乎正在从一场大规模的网络攻击中恢复过来。据Haaretz和Kan的Amichai Stein报道，攻击者在周一晚上攻陷了几个以色列政府网站，其中包括卫生部、内政部、司法部和福利部网站。总理办公室的网站也受到了影响。以色列国家网络管理局在一份声明中称，现在所有的网站都已重新上线。 虽然以色列政府还没有正式确定可能的肇事者，但它指出这些网站是拒绝服务攻击的受害者，该攻击使它们的流量泛滥。消息称，网络攻击的目标是拥有gov.il域名的网站，另外还怀疑是一个国家行为者或一个“大型组织”所为。另外获悉，一个跟伊朗有联系的黑客组织据称对这些攻击负责，而且这可能是对以色列针对伊朗核设施的行动的报复。不过，这两件事都没有得到证实。 据该国的一位国防人士透露，目前还不清楚这是否是迄今为止针对以色列的最大的网络攻击。然而，据报道，国家武装部队和国防官员的担忧足以宣布进入紧急状态并审查可能的损害，其中包括任何可能危及其他关键网站和关键基础设施的情况。 据了解，这些拒绝服务攻击不太可能造成很大的损害。它们只是让网站更难访问，但没有证据表明肇事者破坏了网站或泄露了数据。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1246989.htm 封面来源于网络，如有侵权请联系删除