在2023年12月12日上午Kyivstar 遭受大范围黑客攻击，导致技术故障，造成Kyivstar网络上的通信和互联网接入服务暂时不可用。与俄罗斯武装部队格鲁乌单位有联系的名为Solntsepek 的黑客组织此前声称对此次袭击负责。该组织声称，Kyivstar拥有的10,000台计算机、4,000多台服务器上的所有云存储和备份系统已在攻击中被擦除。 这次黑客攻击是自近两年前俄乌开战以来最严重的一次黑客攻击，俄罗斯黑客至少从去年5月起就侵入了乌克兰电信巨头Kyivstar的系统。从12月12日起，乌克兰最大的电信运营商为约2400万用户提供的服务中断了数天。 乌克兰安全局（SBU）网络安全部门负责人Illia Vitiuk 在接受采访时透露了有关此次黑客攻击的独家细节，他表示此次黑客攻击造成了“灾难性”破坏，旨在造成心理打击并收集情报。该负责人称具体情况还在调查中，没有披露黑客什么时间拿到控制权、为何选择在12月12日发起破坏性行动以及初始突破点（内鬼协助、钓鱼员工、漏洞利用）在哪里。 Vitiuk还说：“这次袭击是一个重大信息，一个重大警告，不仅是对乌克兰，也是对整个西方世界来说，没有人实际上是不可触碰的。” 他指出Kyivstar是一家资金雄厚的私营公司，在网络安全方面投入了大量资金。 SBU评估称，黑客能够窃取个人信息、了解手机位置、拦截SMS消息，甚至可能利用他们获得的访问级别窃取 Telegram帐户。 由于这次袭击，人们争先恐后地购买其他SIM卡，造成了大排长龙。他说，使用Kyivstar SIM卡上网的ATM机停止工作，导弹和无人机袭击期间使用的空袭警报器在某些地区也无法正常工作。 Vitiuk 表示，这次攻击对乌克兰军方没有太大影响，乌克兰军方不依赖电信运营商，并使用了他所说的“不同的算法和协议”。“这种情况并没有对我们产生强烈影响，”他说。 俄罗斯沙虫难逃干系 由于Kyivstar的基础设施遭到破坏，调查这次攻击变得更加困难。 Vitiuk 表示，他“非常确定”这是由俄罗斯军事情报网络战单位Sandworm实施的，该单位与乌克兰和其他地方的网络攻击有关。据了解，沙虫组织的武器库中拥有多个数据擦除器，并于2023年1月又添加了一个。研究人员当时表示，这种破坏性恶意软件被Eset命名为NikoWiper，它基于SDelete，这是Microsoft 的一个命令行实用程序，用于安全删除文件。 Vitiuk表示，一年前，Sandworm渗透到了一家乌克兰电信运营商，但被基辅发现，因为该SBU本身就在俄罗斯系统内。但他拒绝透露该公司的身份。之前的黑客攻击尚未被报道过。 俄罗斯国防部没有回应对维蒂克言论发表评论的书面请求。 维蒂克表示，这种行为模式表明电信运营商可能仍然是俄罗斯黑客的目标。他说，SBU去年挫败了超过4,500起针对乌克兰政府机构和关键基础设施的重大网络攻击。 SBU认为一个名为Solntsepyok的组织与Sandworm有关联，该组织表示对此次攻击负责。 俄黑客渗透的途径仍在调查中 Vitiuk表示，SBU调查人员仍在努力确定Kyivstar是如何被渗透的，或者可能使用什么类型的特洛伊木马恶意软件进行入侵，并补充说，这可能是网络钓鱼、有人在内部提供帮助或其他原因。 他说，如果这是内部工作，那么帮助黑客的内部人员在公司中并没有高级别的许可，因为黑客利用了用于窃取口令哈希的恶意软件。他补充说，该恶意软件的样本已被恢复并正在分析中。 Kyivstar首席执行官Oleksandr Komarov于12月20日表示，公司在全国范围内的所有服务已全面恢复。Vitiuk赞扬了SBU为安全恢复系统而做出的事件响应努力。 Vitiuk表示，由于Kyivsta 与俄罗斯移动运营商Beeline具有相似之处，后者采用类似的基础设施，因此对Kyivstar 的攻击可能会变得更容易。他补充说，Kyivstar基础设施的庞大规模在专家指导下会更容易被搞清楚。 Kyivstar的破坏开始于当地时间凌晨5:00左右，当时乌克兰总统弗拉基米尔·泽伦斯基正在华盛顿，敦促西方国家继续提供援助。 维蒂克表示，在人们通讯困难之际，这次攻击并未伴随大规模导弹和无人机袭击，这限制了其影响。 他说，黑客选择12月12日的原因尚不清楚，并补充道：“也许某个上校想成为将军。” 为什么没能检测到初始攻击？ My1Login首席执行官迈克·纽曼(Mike Newman)表示，Sandworm 发起攻击之前已在Kyivstar网络上存在了数月之久，这一消息引发了人们的重大疑问：为什么没有更早地发现攻击者。 他指出：“目前尚不清楚攻击最初是如何执行的，但如果黑客设法通过网络钓鱼获取员工的登录凭据，则该登录凭据可能是他们的网关。这可以解释为什么威胁检测工具没有检测到恶意活动，因为对手会被视为合法用户”。 Closed Door Security首席执行官威廉·赖特(William Wright)认为，该组织在Kyivstar网络内呆了六个多月，很可能已经访问了移动运营商的大部分数据，这些数据可用于针对该公司、其客户和乌克兰。 “可以说，这次对关键国家基础设施的攻击将被黑客用来摧毁基础设施，并在这之前收集尽可能多的信息。这让人想起2017年马士基的攻击，该攻击造成了约100亿美元的损失，”赖特警告说。 转自安全内参，原文链接：https://www.secrss.com/articles/62502 封面来源于网络，如有侵权请联系删除

乌克兰安全部门表示，他们拆除了两台据称被俄罗斯黑客入侵了的网络摄像头，这两台摄像头用于监视乌克兰首都基辅的防空部队和关键基础设施。 这些摄像头安装在基辅的住宅楼上，最初被居民用来监视周围区域和停车场。据称，在被黑客攻击后，俄罗斯情报机构远程访问了这些摄像头，改变了它们的视角，并将其连接到YouTube，以传输敏感画面。 根据乌克兰国家安全局（SBU）的说法，这些录像很可能在上周俄罗斯对乌克兰进行的大规模军事行动中辅助指引无人机和导弹攻击基辅。在行动中，俄罗斯发射了近100枚导弹和多架无人机，主要瞄准基辅和乌克兰第二大城市哈尔科夫。 自从俄罗斯于2022年2月和乌克兰开战以来，SBU表示已经封锁了约10,000台数字安全摄像头，以防止俄罗斯筹备对乌克兰的军事行动。 根据 Radio Free Europe 的调查，俄罗斯情报机构可能一直在获取数千台配备有俄罗斯软件程序 Trassir 的乌克兰监控摄像头的视频画面。这个监控系统可以捕捉人和车辆的移动，并能够识别人脸和车牌。 这些摄像头的录像将直接传送到莫斯科的服务器，并可能被俄罗斯的安全部门获取。乌克兰在战争开始后才逐渐禁用俄罗斯软件。 在线录像，包括照片和视频，可能是乌克兰和俄罗斯情报机构的重要信息来源。 乌克兰法律规定，禁止公民分享被俄罗斯导弹攻击的住宅建筑或关键基础设施的照片或视频，因为这有助于俄罗斯“修正”目标。触犯该法律的人将有可能被判处12年的监禁。 乌克兰国家安全局呼吁街头监控摄像头的所有者将其设备下线，并报告在 YouTube 上发现的任何这类摄像头的数据流。 消息来源：The Record，译者：Leopold；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

被称为Cloud Atlas 的黑客组织与一系列针对俄罗斯企业的鱼叉式网络钓鱼攻击有关。 根据独立网络安全公司 FACCT 的一份报告，Cloud Atlas 黑客组织的攻击目标包括一家俄罗斯农工企业和一家国有研究公司。 Cloud Atlas 是一个来源不明的网络间谍组织，至少从 2014 年开始活跃。该黑客组织也被称为 Clean Ursa、Inception、Oxygen 和 Red October，主要针对俄罗斯、白俄罗斯、阿塞拜疆、土耳其和斯洛文尼亚。 2022 年 12 月，Check Point 和 Positive Technologies 详细介绍了多阶段攻击序列，黑客组织利用一系列攻击链部署 PowerShell 后门（称为 PowerShower），以及部署与攻击者控制的服务器进行通信的 DLL 有效负载。 初始攻击是一条带有诱饵文档的网络钓鱼消息，该文档利用 CVE-2017-11882（Microsoft Office 公式编辑器中存在六年的内存损坏缺陷）来启动恶意负载执行， Cloud Atlas 采用这一技术最早可追溯到 2018 年 10 月。 卡巴斯基在 2019 年 8 月指出：“ 攻击者的大规模鱼叉式网络钓鱼活动继续使用其简单但有效的方法来破坏其目标。”“与许多其他入侵集不同，Cloud Atlas 在最近的攻击活动期间没有选择使用开源植入程序。” FACCT 描述的最新杀伤链与 Positive Technologies 描述的杀伤链类似，通过 RTF 模板注入成功利用 CVE-2017-11882 ，为负责下载和运行混淆的 HTA 文件的 shellcode 铺平了道路。这些邮件来自流行的俄罗斯电子邮件服务 Yandex Mail 和 VK 的 Mail.ru。 恶意 HTML 应用程序随后启动 Visual Basic 脚本 (VBS) 文件，这些文件最终负责从远程服务器检索并执行未知的 VBS 代码。 Positive Technologies 去年谈到该组织时表示：“Cloud Atlas 组织多年来一直活跃，仔细考虑了其攻击的各个方面。” 该组织的工具包多年来没有改变——他们试图通过使用一次性有效负载请求并验证它们来向研究人员隐藏恶意软件。该组织通过使用合法的云存储和记录良好的软件功能来避免网络和文件攻击检测工具，尤其是在 Microsoft Office 中。 该公司表示，至少有 20 个位于俄罗斯的组织已受到 Decoy Dog（Pupy RAT 的修改版本）的攻击，并将其归因于一种称为 Hellhounds 的高级持续威胁组织。 这种积极维护的恶意软件除了允许对手远程控制受感染的主机外，还附带一个脚本，旨在将遥测数据传输到 Mastodon 上Mindly.Social 实例上名为“Lamir Hasabat”（@lahat ）的帐户。 安全研究人员斯坦尼斯拉夫·皮佐夫（Stanislav Pyzhov）和亚历山大·格里戈里安（Aleksandr Grigorian）表示：“在关于 Decoy Dog 第一个版本的材料发布后，恶意软件作者付出了很大的努力来阻碍其在流量和文件系统中的检测和分析。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/jNwmkpq5p7xCsaNYTXjFAQ? 封面来源于网络，如有侵权请联系删除

俄罗斯自来水公司遭到黑客攻击，以报复 Kyivstar 遭受袭击。 莫斯科的 Rosvodokanal 水管理公司遭到与乌克兰结盟的 Blackjack 组织洗劫，有报道称该公司的 IT 基础设施被“摧毁”。 据报道，在与乌克兰结盟的“Blackjack”组织发起网络攻击后，总部位于莫斯科的自来水公用事业和管理公司 Rosvodokanal 的运营已停止。 据《乌克兰真理报》报道，黑客在乌克兰安全局网络专家的帮助下“摧毁”了罗斯沃多卡纳尔的 IT 基础设施。执法部门消息人士告诉媒体，网络攻击者删除了超过 50TB 的数据，其中包括内部文档管理、公司电子邮件、备份，甚至网络安全保护。 报告补充说，乌克兰安全部门目前正在审查从自来水公司泄露的 1.5TB 数据。 据报道，针对 Rosvodokanal 的网络攻击是为了报复 12 月 12 日对乌克兰最大的移动电信服务提供商 Kyivstar 发起的破坏性网络攻击。此次攻击导致乌克兰各地的通信中断，是自俄罗斯入侵乌克兰以来对该国关键基础设施造成的最具破坏性的攻击。 12 月 20 日的报道称，Rosvodokanal 公用设施仍无法运行。 转自安全客，原文链接：https://www.anquanke.com/post/id/292112 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Proofpoint 网络安全公司获悉，一名疑似俄罗斯黑客正在通过电子邮件模仿求职者，从潜在雇主那里窃取有价值的数据。 该组织的新策略被分析师标记为 TA4557，标志着与之前观察到的在招聘公告板上上传虚假申请的策略背道而驰。 Proofpoint自2018年以来一直在跟踪这个团队，Proofpoint表示，“在最近观察到的活动中，TA4557不仅使用了直接通过电子邮件联系招聘人员的新方法，还使用了在公共招聘公告板上发布职位的旧技巧来启动攻击链”。 上当受骗的企业和其他组织最终会将他们的计算机系统暴露给跟踪其机器的恶意软件，并可能为进一步利用漏洞窃取有价值的数据铺平道路。 Proofpoint最近观察到的活动似乎是俄罗斯附属组织针对雇主的持续运动中的最新一次。2021年，在FBI发布警告称黑客正在利用在线招聘市场作为攻击途径后，Proofpoint在2021年发布了关于TA4557活动的类似警告。 个性化风格 新版本的攻击似乎应用了更个性化的风格，通过精心模仿求职信电子邮件和求职者简介，引诱粗心的雇主激活恶意软件，窃取数据并密切关注他们的机器。 Proofpoint表示：“在使用新的直接电子邮件技术的攻击链中，一旦收件人回复了最初的电子邮件，就会观察到黑客使用链接到黑客控制的网站的URL，假冒作为求职者简历”。 Proofpoint 发现的 TA4557 使用的另一种方法是回复另一封包含 PDF 或 Word 附件的电子邮件，其中包含指示目标访问假简历网站的指令。 Proofpoint在上个月观察到的一种活动策略，涉及在初始电子邮件中引导目标“通过我的电子邮件地址的域名来访问我的个人作品集”，而不是在后续回复中直接发送简历网站的URL。 Proofpoint分析认为，这种专门针对网上公布的真实职位空缺并通过电子邮件实施的策略，其目的是在欺诈者与目标对象之间建立更深层次的联系，以便更有说服力地欺骗他们。 Proofpoint表示：“电子邮件的语气和内容让收件人觉得黑客是一个合法的候选人，因为黑客专门针对招聘和雇佣工作的人员，这些电子邮件并不立即显得可疑。” 它补充说，为了保持灵活性并领先于调查人员一步，TA4557经常更改发送者电子邮件、假简历域名和其他支持基础设施。 恶意代码 在基本机制方面，网络攻击通过一系列操作进行。 Proofpoint说：“候选人网站使用了一个验证码，如果完成，将启动一个包含快捷方式文件（LNK）的zip文件的下载。” 然后，LNK“滥用合法软件功能”下载并执行安装后门的特殊代码，这是一种非法访问目标系统的方法，称为“More_Eggs”，“可用于建立持久性、分析机器并删除额外的有效载荷。” 工作完成后，代码会自行删除，进一步帮助掩盖黑客的踪迹。 Proofpoint 敦促未来的雇主更加警惕，并指示员工在招聘更多员工时要谨慎行事。 报告称：“使用第三方招聘网站的组织应该了解该黑客的策略、技术和程序，并对员工，特别是负责招聘和聘用职能的员工进行有关这一威胁的教育。”   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰最大的服务提供商Kyivstar在一次重大网络攻击后陷入瘫痪。 Kyivstar移动网络基于固定和移动技术的广泛范围，包括乌克兰的4G（LTE），为将近2600万移动客户和超过100万宽带固定互联网客户提供通信服务和数据传输。 12月12日早上，该公司宣布遭受了一次网络攻击，所有移动通信和互联网接入暂时中断。 Kyivstar通知了执法机构和当地政府，包括乌克兰安全局（SSU）。乌克兰安全局宣布，根据乌克兰刑法的八项条款，已对这次网络攻击开展了刑事诉讼。 该公司补充说，其订户的个人数据没有受到泄露。 公司首席执行官Oleksandr Komarov表示，这次攻击是“持续冲突的结果”，他还解释说，IT基础设施已被“部分破坏”。 “战争也在网络空间发生。不幸的是，我们因这场战争而受到打击”，Komarov在全国电视广播中说。 Komarov解释道，包含客户数据的两个数据库已受损并且目前被锁定。 乌克兰SBU情报机构告诉路透社，他们正在调查，事故的可能性之一是由俄罗斯安全机构发起的网络攻击。路透社报道称，俄罗斯外交部尚未对置评请求作出回应。 这次攻击很可能是一次战争行为，目的是攻击和破坏乌克兰关键基础设施。这次攻击不是出于财务动机，攻击者也没有使用任何假旗行动来掩盖攻击的性质。 一位乌克兰网络防御内部的消息人士告诉路透社，俄罗斯被怀疑是攻击的来源。 该消息人士说：“这绝对是国家黑客，没有赎金，全是破坏，所以这不是出于财务动机的攻击。” 由于Kyivstar服务的中断，乌克兰内政部长Ihor Klymenko说，乌克兰人可以在最近的警察或消防部门联系家人或紧急服务。 紧急电话101、102和112仍在运行。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰国防部主要情报局的黑客宣布，他们已经入侵了俄罗斯联邦税务局千台服务器，并清除了数据库和备份。 军事情报部门表示，这次黑客攻击是在俄罗斯境内成功开展特别行动的结果。 乌克兰国防部主情报局发布的声明中写道：“在这次特别行动中，军事情报部门成功入侵了俄罗斯联邦税务局的一个关键且防护良好的中央服务器，以及俄罗斯境内和暂时被占领的克里米亚地区的2300多个区域服务器。” 声明称，“由于这次网络攻击，所有服务器都感染了恶意软件。与此同时，为俄罗斯联邦安全局服务的俄罗斯IT公司Office.ed-it.ru也以同样的方式遭到了攻击。” 声明还称，乌克兰军事情报部门还能够捕获整个俄罗斯的税务数据的互联网流量。这次网络攻击还中断了俄罗斯联邦税务局中央办公室与2300个地区办公室之间的通信。 俄罗斯机构的专家连续四天试图恢复服务但未成功。乌克兰情报部门认为，俄罗斯联邦税务局将至少一个月无法正常运作，税务系统完全恢复是不可能的。 声明最后总结道：“乌克兰国防部的这次网络攻击是对克里姆林宫政权的又一严重打击，该政权暂时失去了对税收和费用的控制。” 11月底，乌克兰情报部门宣布他们已经黑客攻击了俄罗斯联邦航空运输局”Rosaviatsia”，这次攻击是一次复杂的特别网络行动的结果。Rosaviatsia是负责俄罗斯民用航空监管和管理的政府机构，其主要职责是确保国内航空运输的安全、安保和效率。 这些国家支持的黑客声称他们窃取了包含俄罗斯航空业危机证据的敏感文件。 今天，乌克兰最大的服务提供商Kyivstar遭到了一次网络攻击，其服务被瘫痪。这次攻击与持续的冲突有关。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国司法部起诉了两名与俄罗斯联邦安全局（FSB）有关联的黑客，指控他们针对政府官员开展了长达数年的网络间谍活动。司法部周四指控联邦安全局情报部门官员鲁斯兰-亚历山大罗维奇-佩列季亚特科（Ruslan Aleksandrovich Peretyatko）和信息技术工作者安德烈-斯坦尼斯拉沃维奇-科里涅茨（Andrey Stanislavovich Korinets）在2016年10月至2022年10月期间试图入侵多个美国政府机构（包括国防部和能源部）雇员的电脑。 起诉书还称，公开名称为”Callisto Group”的共谋者针对英国和其他地方的军方和政府官员、智库研究人员和工作人员以及记者，使用了复杂的鱼叉式网络钓鱼电子邮件，这些电子邮件声称来自电子邮件提供商，暗示用户违反了服务条款。 根据司法部的起诉书，这些电子邮件包含 Callisto 集团为获取受害者的凭证而创建的恶意域，使共谋者能够在未经授权的情况下访问受害者的账户并获取“有价值的情报”，其中包括与美国国防、外交和安全政策有关的情报。 据司法部称，作为黑客和泄密造谣活动的一部分，“从其中某些目标账户”获取的信息还在2019年英国大选前被泄露给了俄罗斯和英国的媒体。 周四早些时候，英国政府宣布，它也发现了联邦安全局干预英国政治进程的“持续不成功企图”，并制裁了 Peretyatko 和 Korinets 的鱼叉式网络钓鱼活动和相关活动，这些活动“导致未经授权的访问和敏感数据外流，其目的是破坏英国组织，更广泛地说，是破坏英国政府”。 英国国家网络安全中心（隶属于 GCHQ）称，这些黑客“几乎肯定隶属于”俄罗斯联邦安全局，并有选择地泄露了他们获得的信息，“符合俄罗斯的对抗目标，包括破坏英国和类似国家对政治的信任”。 美国财政部也宣布了对佩列季亚特科和科里涅茨的制裁，美国国务院还悬赏1000 万美元征集线索，以查明这两人的身份和下落。 Callisto集团被微软追踪为”Star Blizzard”，被Google威胁分析小组追踪为”Cold Driver”，因长期针对北约国家，特别是美国和英国开展间谍活动而闻名。2022年5月，Google研究人员将一次黑客泄密行动归咎于该组织，该组织窃取并泄露了大量支持英国脱欧的高层人士的电子邮件和文件，其中包括英国外国情报机构军情六处（MI6）前负责人理查德-迪尔洛夫爵士（Sir Richard Dearlove）。   转自今日头条，原文链接https://www.toutiao.com/article/7309922472684454426/?log_from=28daf104df523_1702024201260&wid=1702024267135 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 微软周一表示，与俄罗斯军事情报部门有关的黑客仍在积极利用微软软件的一个漏洞，获取受害者的电子邮件。 研究人员在3月份的一份报告的更新中表示，被微软追踪为 Forest Blizzard，同时也被称为 Fancy Bear 及 APT28 的黑客，早在2022年4月就试图利用该漏洞未经授权访问微软 Exchange 服务器内的电子邮件帐户。 该漏洞被追踪为 CVE-2023-23397，它影响 Windows 设备上所有版本的 Microsoft Outlook 软件。 今年春天，俄罗斯黑客利用该漏洞攻击了“欧洲政府、交通、能源和军事部门的部分组织”，微软对此进行了修补。 研究人员说:“用户应该确保微软的 Outlook 安装了补丁，并保持更新，以减轻这种威胁。” 波兰网络司令部与微软合作调查了这些攻击，该司令部表示，成功的攻击可以让黑客访问受害者的电子邮件通信。在波兰网络安全机构调查的案件中，黑客利用 Outlook 的漏洞进入了包含“高价值信息”的邮箱。 根据微软的说法，当攻击者向用户发送特制的消息时，攻击就开始了。如果 Windows 设备上的 Outlook 打开，用户甚至不需要与此消息交互。利用该漏洞几乎不会留下痕迹，因此很难检测到黑客活动。 Fancy Bear 被网络安全研究人员称为高级持续威胁(APT)组织，主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。该组织与俄罗斯军事情报机构(GRU)有关。 去年10月，法国指责该组织以大学、企业、智库和政府机构为目标。今年9月，该组织曾试图袭击乌克兰的一个重要能源设施。 黑客通常利用公开可用的漏洞。除了微软的 Outlook 漏洞，他们还瞄准了 WinRAR 的工具，以进行鱼叉式网络钓鱼操作，主要针对乌克兰政府目标。 微软表示，该组织“资源充足，训练有素”，这对“归因和追踪其活动构成了长期挑战”。波兰网络司令部表示，该组织对微软 Exchange 邮件系统的架构和机制有着高度的复杂性和深入的了解。     Hackernews 编译，转载请注明出处 消息来源：therecord，译者：Serene

Hackernews 编译，转载请注明出处： 亲俄黑客组织Killnet本周受到越来越严格的审查，此前一家新闻网站似乎披露了该组织领导人的身份。 他在网上被称为基尔米尔克(Killmilk)，在俄乌战争期间，他因代表一群出于政治动机的黑客而出名。据俄媒体 Gazeta.ru 周二发布的一篇报道，他实际上是一名30岁的俄罗斯公民，名叫尼古拉·塞拉菲莫夫(Nikolai Serafimov)。 根据 Gazeta.ru 从其他黑客活动人士和执法机构的消息来源获得的数据，塞拉菲莫夫已婚，拥有保时捷和宝马汽车，之前曾因分销毒品而被定罪。 截至周三，Killmilk 和 Killnet 都没有对这则新闻报道发表公开评论。 Gazeta.ru 没有解释是什么引发了报道，基尔米尔克一度要求 Gazeta.ru 披露是谁泄露了这些信息，但该新闻网站表示拒绝。据 Gazeta.ru 报道，这名黑客随后终止了通信并删除了聊天记录。 Killnet 声称对针对西方国家医疗机构以及美国和欧洲政府机构网站的DDoS攻击负责。 网络安全公司 Radware 的网络威胁情报主管帕斯卡尔·吉宁斯(Pascal Geenens)表示，新闻报道中描述的此人的形象——“具有说服能力和良好的社会工程技能，能够围绕自己建立一个品牌，攻击能力技术含量较低”——与他对基尔米尔克的看法一致，他说：“基尔米尔克的身份暴露后，他将无法继续经营下去。” 在周二的新闻发布之前，Killnet 的行动最近似乎就处于一个十字路口。研究人员说，在去年发起了几次活动后，该组织在过去几个月的活动有所减少，这可能是内部分裂的信号。 反 Killmilk 联盟 据Gazeta.ru报道，十多名黑客和黑客激进分子公开反对Killnet及其领导人。据研究人员称，尽管把自己定位为一个有影响力的爱国英雄，但基尔米尔克原来是一个普通的黑客，在同行中名声不佳。 研究人员说，基尔米尔克经常把其他黑客组织的行动归功于自己，或者对从未发生过的网络攻击撒谎。据俄罗斯黑客活动人士称，他还欠别人钱，欺骗自己的客户，很少兑现自己的承诺。 起初，这种古怪行为帮助基尔米尔克吸引了俄罗斯的支持者。基尔米尔克的前同事告诉 Gazeta.ru，他是“一个优秀的品牌创造者——他知道如何创造信息产品并销售它们。”然而，一些俄罗斯黑客声称他的行为“对整个俄罗斯黑客主义社区有害”。 “很多人都受够了基尔米尔克。在幕后，相当一部分亲俄组织反对他，”亲俄组织NET-WORKER 的一名黑客活动人士告诉 Gazeta.ru。 很长一段时间以来，俄罗斯黑客都不敢与基尔米尔克对抗，因为他以泄露对手的真实姓名而闻名。例如，他对“Anonymous Russia”组织的头目进行了人肉搜索——一名18岁的白俄罗斯公民，绰号“Raty”，在今年早些时候于白俄罗斯被捕。 研究人员说，如果 Killmilk 的身份被正式暴露，Killnet 可能很快就需要一个新的领导人。在这种情况下，地下黑客组织有时会消失，成员会在其他地方重新出现。 吉宁斯说道:“Killnet 与 Killmilk 的理念和声音有着紧密的联系。“这可能意味着一个时代和最具影响力的亲俄黑客组织的终结。但是，每当出现空白时，这个空白很快就会被另一个人或组织填补。”       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene