据观察，名为Turla的俄罗斯网络间谍组织搭载了一种已有十年历史的恶意软件使用的攻击基础设施，以乌克兰为目标提供自己的侦察和后门工具。 谷歌旗下的 Mandiant 正在跟踪未分类集群名称UNC4210下的操作，称被劫持的服务器对应于 2013 年上传到 VirusTotal的商品恶意软件变体，称为ANDROMEDA （又名 Gamarue）。 “UNC4210 重新注册了至少三个过期的 ANDROMEDA 命令和控制 (C2) 域，并开始对受害者进行分析，以便在 2022 年 9 月有选择地部署 KOPILUWAK 和 QUIETCANARY，”Mandiant 研究人员在上周发表的一份分析报告中表示。 Turla，也被称为 Iron Hunter、Krypton、Uroburos、Venomous Bear 和 Waterbug，主要针对使用大量自定义恶意软件的政府、外交和军事组织。 自 2022 年 2 月俄乌冲突以来，该组织与一系列针对该国实体的凭证网络钓鱼和侦察工作有关。 2022 年 7 月，谷歌的威胁分析小组 (TAG)透露，Turla 创建了一个恶意 Android 应用程序，据称是为了针对亲乌克兰的黑客活动分子对俄罗斯网站发起分布式拒绝服务 (DDoS) 攻击。 Mandiant 的最新发现表明，Turla 一直在偷偷地将旧感染作为恶意软件分发机制，更不用说利用 ANDROMEDA 通过受感染的 USB 密钥传播这一事实了。这家威胁情报公司表示：“通过 USB 传播的恶意软件仍然是获取组织初始访问权限的有用载体。” 在 Mandiant 分析的事件中，据说 2021年12月在一个未具名的乌克兰组织中插入了一个受感染的 U 盘，最终导致在启动恶意链接 (.LNK) 文件伪装时在主机上部署遗留仙女座工件作为 USB 驱动器中的文件夹。   威胁行为者通过交付第一阶段KOPILUWAK dropper（一种基于 JavaScript 的网络侦察实用程序），重新利用作为 ANDROMEDA 已失效 C2 基础设施一部分的休眠域之一（它于 2022 年 1 月重新注册）来分析受害者。 两天后，即 2022 年 9 月 8 日，攻击进入了最后阶段，执行了一个名为 QUIETCANARY（又名Tunnus）的基于 .NET 的植入程序，导致 2021 年 1 月 1 日之后创建的文件被泄露。 Turla 使用的交易技巧与此前有关该组织在俄乌战争期间进行广泛的受害者分析工作的报道相吻合，这可能有助于它调整后续的利用工作，以获取俄罗斯感兴趣的信息。 这也是为数不多的情况之一，黑客部门被发现以不同恶意软件活动的受害者为目标，以实现其自身的战略目标，同时也掩盖了其作用。 “随着旧的 ANDROMEDA 恶意软件继续从受损的 USB 设备传播，这些重新注册的域会带来风险，因为新的威胁行为者可以控制并向受害者提供新的恶意软件。”研究人员说。 “这种声称广泛分布的、出于经济动机的恶意软件使用的过期域的新技术可以在广泛的实体中实现后续妥协。此外，较旧的恶意软件和基础设施可能更容易被防御者忽视，对各种警报进行分类” COLDRIVER 瞄准美国核研究实验室 调查结果发布之际，路透社报道称，另一个代号为 COLDRIVER（又名 Callisto 或 SEABORGIUM）的俄罗斯国家支持的威胁组织在 2022 年初将美国的三个核研究实验室作为目标。 为此，数字攻击需要为布鲁克海文、阿贡和劳伦斯利弗莫尔国家实验室创建虚假登录页面，以试图诱骗核科学家泄露他们的密码。 这些策略与已知的 COLDRIVER 活动一致，该活动最近被揭穿欺骗了英国和美国的国防和情报咨询公司以及非政府组织、智库和高等教育实体的登录页面。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/_GZLiJAxsPEEf7ahl4EOmA 封面来源于网络，如有侵权请联系删除

波兰安全机构警告称，自俄乌冲突以来，波兰一直是亲俄黑客进行网络攻击的目标。这些攻击几乎针对波兰的任何实体，包括政府部门、私人组织、媒体机构。 在波兰政府发布的警报中称，无论是公共管理领域还是私营企业，媒体和普通用户都成为黑客攻击的目标。来自能源或军备等战略部门的实体尤其面临风险。其中一些敌对活动可以直接与亲俄黑客组织的活动联系起来。 据波兰情报部门也表示，由于波兰所处于的战略地位，被认为是乌克兰的重要盟友，针对该国的袭击是克里姆林宫对波兰向乌克兰提供支持所作出的回应，企图破坏该国局势。 7 月，亲俄罗斯的Killnet黑客攻击了波兰的多个政府资源，包括外交部、参议院、边境管制和警察。 4 月，同一组织声称对美国、爱沙尼亚、波兰、捷克共和国等州的机构网站以及北约网站发起 DDoS 攻击。 10 月，微软报告称，一种名为Prestige 勒索软件的新型勒索软件被用于针对乌克兰和波兰的运输和物流组织的攻击。 波兰安全机构还报告了 11 月波兰议会遭到亲俄组织 NoName057(16) 袭击的案例。这次袭击是对波兰共和国众议院通过一项将俄罗斯列为恐怖主义支持国的决议的回应。 此类网络空间事件被称为是俄罗斯典型的报复行动，是对其他国家支持乌克兰的回应。与克里姆林宫有关的黑客团体使用勒索软件、DDos 和网络钓鱼攻击，混合攻击的目的旨在破坏稳定、恐吓和制造混乱。 最后，波兰政府推出了与网络安全相关的第三个安全警报 CHARLIE-CRP，以应对网络空间日益增长的威胁。   转自 Freebuf，原文链接：https://www.freebuf.com/news/354107.html 封面来源于网络，如有侵权请联系删除

俄罗斯第二大金融机构VTB银行表示，在其网站和移动应用程序因持续的DDoS（分布式拒绝服务）攻击而下线后，他们正面临着其历史上最严重的网络攻击。 VTB发言人向塔斯社表示：”目前，VTB的技术基础设施正受到来自国外前所未有的网络攻击”。”这不仅是今年记录的最大的网络攻击，而且是银行整个历史上最大的网络攻击”。 该银行表示，其内部分析表明，此次DDoS攻击是有计划的，其具体目的是通过扰乱银行服务给客户带来不便。 目前，VTB的在线门户网站处于离线状态，但该机构表示，所有的核心银行服务都运作正常。 此外，VTB还表示客户数据目前处于受到保护状态，因为这些数据存储在其基础设施的内部边界，而攻击者并没有攻破这些边界。 该银行表示，他们已经确定大多数恶意的DDoS请求来自国外。然而，也有几个俄罗斯IP地址参与了攻击。 这意味着外国行为者要么使用当地代理进行攻击，要么设法招募当地黑客参与到其DDoS攻击活动中。 有关这些IP地址的信息已被转给俄罗斯执法部门进行刑事调查。 VTB中，国有股份占比61%，财政部和经济发展部在该集团都有股份，所以这些攻击有政治目的，是对俄罗斯政府的间接打击。 “乌克兰 IT 军”声称发动袭击 亲乌克兰的黑客组织 “乌克兰IT军 “声称对此次网络攻击负责，并在11月底在Telegram上宣布了这一活动。 这个特殊的黑客组织是在2022年2月得到乌克兰政府的正式批准成立的，意在加强该国的网络战能力。 由 “乌克兰IT军 “造成的引人注目的网络攻击包括伏特加酒生产商和经销商使用的门户网站的中断，以及俄罗斯领先的航空航天和国防集团Rostec网站的瘫痪。 亲乌克兰的黑客在11月非常活跃，针对900多个俄罗斯实体，包括销售军事装备和无人机的商店、俄罗斯中央银行、国家人工智能发展中心和阿尔法银行。 （展示后续VTB中断） 2022年12月1日，VTB受到第一个漏洞攻击，当时黑客分子在社交媒体上发布了客户对VTB的投诉，银行试图淡化这些投诉。但是，随着银行的服务中断现在更加明显，因为网站和移动应用程序不再可用，VTB不得不公开承认它正在受到大规模网络攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351762.html 封面来源于网络，如有侵权请联系删除

近日，计算机巨头微软公司就10月份俄罗斯军事情报组织对波兰的运输和相关物流业发起的勒索软件攻击事件表明：俄罗斯在今年冬天可能会对欧洲网络空间推行其在乌克兰方面同样的攻势。 微软在近日的一份警报中写道：俄罗斯已经在欧洲推行了一种以数字网络为基础的虚假信息策略，它在包括德国在内的中欧国家尤其有效，而且这种策略在未来几个月可能会加强。 微软数字威胁分析中心总经理克林特-瓦茨说道：世界应该为今年冬天俄罗斯在数字领域的几条潜在攻击线做好准备。 今年秋天的时候，微软将活跃在乌克兰和波兰的新型勒索软件活动归咎于对NotPetya恶意软件，该恶意软件的始作俑者与2015年和2016年冬季对乌克兰电力供应商进行网络攻击的背后组织相同。都与俄罗斯GRU军事情报机构有关，该攻击组织被称为 “沙虫”。 同时，俄罗斯情报机构（包括 GRU、SVR 和 FSB）一直对在俄乌战争后帮助乌克兰的国家政府的网络攻击，试图破坏全球数十个国家的实体，绝大多数攻击主要集中在北约和西方对俄乌战争中发挥关键作用的国家。 根据“沙虫 ”最近的活动显示，俄罗斯从之前占领的乌克兰领土上撤退后，开始更加针对乌克兰的关键基础设施。微软表示，乌克兰反击战的成功与CaddyWiper和FoxBlade恶意软件活动的激增相匹配，这些恶意软件主要服务于基辅，涉及发电、供水以及人员和货物的运输。 “沙虫 ”对波兰部署了微软称为 “Prestige “的勒索软件，表明它已经准备好破坏乌克兰的供应链。虽然Prestige的效果有限，但至少可以肯定的是他们收集了关于供应路线和物流操作的情报，这可能有助于未来的攻击。 微软公司还评估说，破坏欧洲对乌克兰支持的一个更容易的方式可能是加强虚假信息行动，特别是在德国。根据俄罗斯赞助的新闻机构和推广媒体消费的衡量标准，德国在西欧国家中对俄罗斯宣传的消费排名最高。德国有大量的俄罗斯侨民，加上政府几十年来与莫斯科的和睦政策，使的在德国形成了对以经济和能源为噱头的宣传，有着很大的受众群体。 微软还表示：德国并不是唯一一个受俄罗斯影响行的国家。捷克国内正在举行大规模的抗议活动。抗议要求与乌克兰结盟的右翼政府下台以促进与俄罗斯在能源方面的谈话。此抗议活动在俄罗斯国家和国家附属媒体上反复出现。 转自 Freebuf，原文链接：https://www.freebuf.com/news/351700.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 乌克兰遭受了新一轮勒索软件攻击，类似于此前俄罗斯Sandworm民族国家组织的入侵。 斯洛伐克网络安全公司ESET将这种新型勒索软件称为RansomBoggs，该公司表示，针对多个乌克兰实体的攻击最早是在2022年11月21日被发现的。 该公司在周五的推文中表示：“虽然用.NET编写的恶意软件是新的，但其部署与之前的Sandworm攻击类似。” 与此同时，被微软追踪为Iridium的Sandworm黑客涉嫌于2022年10月使用另一种名为Prestige的勒索软件，对乌克兰和波兰的运输和物流部门发动了一系列攻击。 据称，RansomBoggs活动使用PowerShell脚本分发勒索软件，后者与今年4月份曝光的Industrier2恶意软件攻击中使用的脚本“几乎相同”。 据乌克兰计算机应急响应小组（CERT-UA）称，名为POWERGAP的PowerShell脚本利用一个名为ArguePatch（又名AprilAxe）的加载程序部署了名为CaddyWiper的数据擦除恶意软件。 ESET对这种新型勒索软件的分析表明，它会生成一个随机生成的密钥，在CBC模式下使用AES-256加密文件，并附加“.chsch”文件扩展名。 沙虫（Sandworm）是俄罗斯军事情报机构内部的一个精英对抗黑客组织，多年来在打击关键基础设施方面有着臭名昭著的记录。 该黑客与2017年针对医院和医疗设施的NotPetya网络攻击，以及2015年和2016年针对乌克兰电网的破坏性攻击有关。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参11月24日消息，昨天，数十枚俄罗斯导弹袭击了乌克兰多处城市，导致乌克兰及其邻国摩尔多瓦的互联网连接中断，全国大规模停电。 互联网状态监控服务NetBlocks公布的数据显示，在俄罗斯袭击乌克兰电力设施后，乌克兰的互联网可用性下降了近65%。 城市地区的电力基础设施受到的破坏最为严重，因此城区互联网连接也成为影响重灾区。比如乌克兰西部的利沃夫市，白天至少有几个小时没有电力供应。 导弹袭击在摩尔多瓦也造成了类似的破坏。摩尔多瓦与乌克兰接壤，而且与乌方电网直接连通。 图：俄罗斯导弹袭击引发大面积停电，导致乌克兰在12：00 UTC（当地时间14：00）后遭遇严重互联网中断。 摩尔多瓦副总理安德烈·斯皮努 (Andrei Spinu) 表示，摩尔多瓦超过一半的地区也失去供电，包括首都基希讷乌以及俄罗斯支持分裂的德涅斯特河沿岸地区。 摩尔多瓦总统马娅·桑杜（Maia Sandu）称，“摩尔多瓦无法相信一个让国家处于黑暗和寒冷中的政权”。 这已经是摩尔多瓦本月第二次因俄乌战争而陷入停电。11月15日，一次导弹袭击曾导致摩尔多瓦一条主要供电路线中断，致使“超过六个城市”无电可用。 本周三，俄罗斯共向乌克兰发射了70枚导弹、派出5架无人机，共造成5人死亡、35人受伤。就在不久前，欧洲议会将俄罗斯认定为支持恐怖主义的国家。 在周三袭击发生后，乌克兰所有核电站和大部分火力发电厂暂时关闭。部分在线服务，包括Glovo外卖平台，也因停电而中断。 俄乌战争后，乌克兰断网已成家常便饭 事实上，断网在乌克兰已然成为新的“日常”。俄罗斯导弹袭击已经摧毁了乌克兰近半数能源系统，迫使政府多次进行三到六个小时的白天临时停电。 由于紧急停电，成千上万乌克兰人失去了供水、供暖和网络宽带服务。由于电信运营商无法处理暴增的流量，所以移动互联网也时断时续。 乌克兰数字转型部长米哈伊洛·费多罗夫 (Mykhailo Fedorov)表示，乌克兰网络运营商会使用发电机为民众提供网络连接。每台发电机可在不中途加油的情况下持续工作8至40小时。 地方当局还计划在整个乌克兰引入免费WiFi热点。这样即使停电持续数天，民众也仍然可以正常上网和为设备充电。 为了在大部分网络设施被俄军摧毁的城市中恢复通信，乌克兰电信运营商使用了由美国公司SpaceX提供的Starlink星链卫星互联网终端。 乌克兰目前拥有超22000台星链终端，由当地志愿者、欧洲盟友、美国政府和私营公司提供。SpaceX公司自身也向乌克兰捐赠了约4670台终端。 转自 安全内参，原文链接：https://www.secrss.com/articles/49365 封面来源于网络，如有侵权请联系删除

11月23日，在欧盟宣布俄罗斯为恐怖主义国家之后，欧洲议会网站遭到亲俄黑客组织KillNet发起的DDoS网络攻击。目前该网站仍处于瘫痪状态。 欧洲议会主席也证实了这一事件，称“这是一次高水平的外部攻击，议会的IT专家正在反击并保护我们的系统”。 早有预谋 11月23日通过欧洲议会决议，正式认定俄罗斯为恐怖主义国家。议会成员以494票赞成，58票反对，44票弃权的结果通过了该决议。 在立法机构宣布俄罗斯为恐怖主义国家仅几小时后，KillNet发动 DDoS 攻击，关闭了欧洲议会的网站。 欧洲议会呼吁欧盟对俄罗斯实施进一步制裁，在国际上孤立俄罗斯。包括在俄罗斯加入联合国安理会等国际组织和机构的问题上。同时还希望减少与俄罗斯的外交关系，将欧盟与俄罗斯官方代表的接触保持在最低限度，并禁止俄罗斯在欧盟的国家附属机构在世界范围内进行宣传。 报复性攻击频演 KillNet是少数几个公开受俄罗斯领导的网络犯罪集团之一。该组织的名字来自于一种可用于发动DDoS攻击的工具。自俄乌战争以来，KillNet一直在积极招募志愿者，经常将他们组织成不同的小分队，名称为 “Kratos”、”Rayd “和 “Zarya”，对西方国家进行DDoS攻击。 此前曾针对支持乌克兰的国家，如罗马尼亚和意大利，而其“子集团”Legion出于类似原因袭击了挪威和立陶宛的主要实体。 随着乌克兰战争进入新阶段，KillNet开启了新一轮的报复性网络攻击。 在波兰参议院一致投票承认俄罗斯为 “恐怖政权 “后，该组织于10月对波兰参议院网站进行了类似的DDoS攻击，该组织还攻击了几个巴尔干国家的其他政府网站。 美国作为俄罗斯主要军事对手及北约的实际领导者，KillNet 的目标范围也包括美国，同样用类似 DDoS 组织攻击了科罗拉多州、肯塔基州和密西西比州的政府网站。 包括几周前间歇性离线的洛杉矶国际机场 (LAX) 和美国大型空中交通枢纽哈茨菲尔德-杰克逊亚特兰大国际机场 (ATL)。 10 月初对美国财政部的发起攻击；关闭了CISA 受保护的关键基础设施信息管理系统网站等 根据追踪公开披露的数据，自2月俄乌战争开始以来，KillNet已经对亲乌克兰的国家发动了76次攻击。 美国联邦调查局表示 ，由亲俄黑客组织KillNet发起的 DDoS 攻击对其目标影响不大，因为他们攻击的是面向公众的基础设施，如网站，而不是实际服务，也仅仅导致有限的中断，并不能造成较大的影响。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350656.html 封面来源于网络，如有侵权请联系删除

近日，黑客开始在黑客论坛上出售包含720万客户详细信息的数据库后，俄罗斯踏板车共享服务Whoosh确认发生数据泄露。据悉，Whoosh 是俄罗斯领先的城市出行服务平台，在40个城市运营，拥有超过75,000辆电动滑板车。 一名威胁行为者开始在黑客论坛上出售被盗数据，据称其中包含可用于免费访问该服务的促销代码，以及部分用户身份和支付卡数据。该公司本月早些时候通过俄罗斯媒体的声明证实了网络攻击，但声称其 IT 专家已成功阻止了攻击。 在今天与RIA Novosti分享的一份新声明中，Whoosh承认存在数据泄露，并告知其用户群他们正在与执法当局合作，采取一切措施阻止数据的分发。 Whoosh的一位发言人表示：“此次泄露并未影响敏感的用户数据，例如账户访问、交易信息或旅行详情。我们的安全程序还排除了第三方获取用户银行卡全部支付数据的可能性。” 据悉是“Breached”黑客论坛上的一位用户发布了一个数据库，其中包含大约720万 Whoosh客户的详细信息，包括电子邮件地址、电话号码和名字。 该数据库还包含1,900,000名用户子集的部分支付卡详细信息。卖家还声称，被盗数据包括 3,000,000 个促销代码，人们可以使用这些代码免费租用 Whoosh 滑板车。 卖家表示，他们仅以每人 4,200 美元或 .21490980 比特币的价格将数据出售给五个买家，根据用于交易的SatoshiDisk平台，还没有人购买该数据库。 在Telegram上单独出售的数据中，威胁者声称它是在2022年11月对 Whoosh 的攻击中被盗的。 俄罗斯数据库泄露 根据俄罗斯互联网监管机构 Roskomnadzor 2022年8月的一份报告，自今年年初以来，已确认有4起俄罗斯公司数据泄露事件。 2022年9月，Group-IB发布了一份报告，声称仅在今年夏天就观察到140起俄罗斯公司的数据库销售被盗，暴露的记录总数达到 3.04 亿条。 就今年的影响而言，最显着的泄密事件是外卖应用程序 Yandex Food的泄密事件，它导致了多项附属数据的泄露。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/lMRsk5r0mo8GpAigfx30Iw 封面来源于网络，如有侵权请联系删除

当地时间11月10日，欧洲刑警组织宣布在加拿大安大略省逮捕了一名LockBit勒索软件运营商，该勒索软件与俄罗斯相关，经常针对全球关键基础设施组织和知名公司。 在欧洲刑警组织欧洲网络犯罪中心（EC3）、联邦调查局（FBI）和加拿大皇家骑警（RCMP）的协助下，法国国家宪兵队领导了一项调查，嫌疑人于上月在加拿大安大略省被捕，目前正在等待被引渡到美国。 欧洲刑警组织表示：“10月26日，世界上最多产的勒索软件运营商之一在加拿大安大略省被捕。嫌疑人是一名33岁的俄罗斯人，据信他部署了LockBit勒索软件，对世界各地的关键基础设施和大型工业集团实施攻击。” 执法人员还从嫌疑人家中缴获了8台电脑和32个外挂硬盘、两支枪支和价值40万欧元的加密货币。 这名LockBit运营商“是欧洲刑警组织的高价值目标之一，他参与了许多重大勒索软件案件”，他通常开出500万至7000万欧元的赎金要求。欧洲刑警组织补充到。 虽然欧洲刑警组织将嫌疑人描述为LockBit勒索软件的“运营商”，但他很可能只是该网络犯罪行动的一个附属机构，而不是主理者。此外，LockBit代表“LockBitSupp”昨天还在黑客论坛上发帖。 因参与LockBit勒索软件攻击被起诉 美国司法部在10日发布的新闻稿中称，嫌疑人名叫米哈伊尔·瓦西里耶夫，来自加拿大安大略省布拉德福德，拥有俄罗斯和加拿大双重国籍。 根据刑事起诉书，加拿大执法部门在2022年8月对他的住处进行搜查时，还发现了Tox与“LockBitSupp”交换的截图、关于如何部署LockBit的Linux/ESXi锁和恶意软件源代码的说明，以及“一张照片，显示了加拿大一名LockBit受害者员工的各种平台的用户名和密码，该受害者在2022年1月左右遭受了确认的LockBit攻击。” 瓦西里耶夫被指控共谋勒索攻击和故意破坏电脑。如果罪名成立，他将面临最高5年的监禁。 美国司法部副部长Lisa O. Monaco当天表示：“此次逮捕是对LockBit勒索软件集团两年半多的调查的结果，该勒索软件集团伤害了美国和世界各地的受害者。” 若干勒索软件运营者被捕 在此之前，2021年10月，FBI、法国警方和乌克兰国家警察在乌克兰开展了一项联合国际执法行动，在基辅逮捕了瓦西里耶夫的两名同伙。 欧洲刑警组织和乌克兰警方在公告中称嫌犯是一个顶级勒索软件团伙的成员，但欧洲刑警组织曾向媒体，出于行动原因，他们必须对该团伙的名字保密。 欧洲刑警组织表示：“两人是同一组织的成员，他们不仅专注于勒索赎金，还涉嫌清洗犯罪资金。” 去年，乌克兰警方还逮捕了据信是Clop和Egregor勒索软件行动成员的其他嫌疑人。 欧洲刑警组织还于2021年10月宣布，执法机构在乌克兰和瑞士逮捕了12名据信与LockerGoga、MegaCortex和Dharma勒索软件攻击有关的嫌疑人，这些攻击影响了71个国家的1800多名受害者。   转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/349468.html 封面来源于网络，如有侵权请联系删除

安全内参11月9日消息，乌克兰黑客分子称已成功入侵俄罗斯中央银行，并窃取到数千份内部文件。 外媒The Record审查了上周四（11月3日）公开发布的部分“被盗”文件，总计2.6 GB，包含27000个文件。从内容上看，这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。 黑客分子们在Telegram上写道，“如果俄罗斯央行无法保护自己的数据，又怎么保证卢布的稳定？”这起入侵事件出自乌克兰IT军成员之手，该组织在俄乌战争爆发后建立，有超20万名网络志愿者，各成员协同对俄罗斯网站开展分布式拒绝服务攻击。 中央银行是俄罗斯最重要的金融机构之一，也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道，央行方面否认其系统遭黑客入侵，并表示这些所谓外泄文件原本就存放在公开域内。 泄露数据时间跨度大，涉及未来战略规划 这已经不是黑客首次宣称攻破俄罗斯央行。今年3月，匿名者（Anonymous）组织的黑客曾声称，从俄央行处窃取到35000份文件，并发布到了网上。 数据安全公司Very Good Security的分析师Kenneth Geers认为，“对于间谍、媒体和人权活动家们来说，这次泄露的文件可能是个宝库，其中也许包含会对俄罗斯造成灾难性打击的消息和故事。” 到目前为止，还很难断言这批泄露文件到底有多重要。部分已公开的文件可以追溯到近20年前，还有一些文件概述了俄罗斯央行未来两年的战略。 部分文件详细说明了俄罗斯用国内技术替代进口计算机程序/软件的政策，旨在“确保银行支付系统能顺利运行”。 由于俄乌战争爆发后的国际制裁，不少跨国科技企业目前已退出俄罗斯市场或暂停运营，迫使俄罗斯方面寻求国内替代方案。 乌克兰IT军还发布了其他一些文件，据称其中包含俄罗斯军人的个人数据、电话号码和银行账号。 俄乌冲突爆发后，俄罗斯银行业屡遭网络攻击 自俄乌开战以来，俄罗斯银行一直是乌克兰黑客们最热衷于攻击的目标。今年9月初，乌克兰IT军还入侵了俄罗斯第三大银行Gazprombank（俄罗斯天然气工业银行）。 据乌克兰IT军称，该银行网站在DDoS攻击下瘫痪了四个小时，导致客户无法付款、访问个人账户或使用手机银行。 IT军一位代表在采访中表示，“为了成功完成攻击，我们遍历了对方的整个网络并从中找到了漏洞。” 为了绕过俄罗斯的DDoS保护服务，IT军宣称创建了一款“特殊程序”，能够“以非标准方式攻击系统，因此对方很难抵挡。” 俄罗斯天然气工业银行证实了9月的黑客攻击事件，副总裁Olexander Egorkin甚至称赞了乌克兰黑客的“创造力”和“专业精神”。 Egorkin在9月的一次会议上表示，“这次攻势极为猛烈，就连俄罗斯最大的电信运营商Rostelecom都感到压力巨大。”尽管如此，目前还无法断言IT军在俄乌之间的网络战进程中究竟起到了怎样的作用。只能说部分行动确实暂时性扰乱了俄罗斯的业务，或者至少引发了俄方关注。 据俄罗斯媒体报道，自俄乌开战以来，俄罗斯银行业对于网络攻击和数据泄露的防御性服务需求开始急剧增加。 随着思科、IBM、甲骨文、Imperva、Fortinet、诺顿和Avast等全球技术与网络安全厂商纷纷退出俄罗斯，俄罗斯企业也更易受到网络攻击影响。 这也从另一方面鼓舞了IT军的士气，他们坚称，“我们的目标仍旧不变：让银行难以正常支付、拖慢财务履约速度，把怀疑的种子播撒在收款人们的心中。” 转自 安全内参，原文链接：https://www.secrss.com/articles/48803 封面来源于网络，如有侵权请联系删除