安全内参11月9日消息，乌克兰黑客分子称已成功入侵俄罗斯中央银行，并窃取到数千份内部文件。 外媒The Record审查了上周四（11月3日）公开发布的部分“被盗”文件，总计2.6 GB，包含27000个文件。从内容上看，这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。 黑客分子们在Telegram上写道，“如果俄罗斯央行无法保护自己的数据，又怎么保证卢布的稳定？”这起入侵事件出自乌克兰IT军成员之手，该组织在俄乌战争爆发后建立，有超20万名网络志愿者，各成员协同对俄罗斯网站开展分布式拒绝服务攻击。 中央银行是俄罗斯最重要的金融机构之一，也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道，央行方面否认其系统遭黑客入侵，并表示这些所谓外泄文件原本就存放在公开域内。 泄露数据时间跨度大，涉及未来战略规划 这已经不是黑客首次宣称攻破俄罗斯央行。今年3月，匿名者（Anonymous）组织的黑客曾声称，从俄央行处窃取到35000份文件，并发布到了网上。 数据安全公司Very Good Security的分析师Kenneth Geers认为，“对于间谍、媒体和人权活动家们来说，这次泄露的文件可能是个宝库，其中也许包含会对俄罗斯造成灾难性打击的消息和故事。” 到目前为止，还很难断言这批泄露文件到底有多重要。部分已公开的文件可以追溯到近20年前，还有一些文件概述了俄罗斯央行未来两年的战略。 部分文件详细说明了俄罗斯用国内技术替代进口计算机程序/软件的政策，旨在“确保银行支付系统能顺利运行”。 由于俄乌战争爆发后的国际制裁，不少跨国科技企业目前已退出俄罗斯市场或暂停运营，迫使俄罗斯方面寻求国内替代方案。 乌克兰IT军还发布了其他一些文件，据称其中包含俄罗斯军人的个人数据、电话号码和银行账号。 俄乌冲突爆发后，俄罗斯银行业屡遭网络攻击 自俄乌开战以来，俄罗斯银行一直是乌克兰黑客们最热衷于攻击的目标。今年9月初，乌克兰IT军还入侵了俄罗斯第三大银行Gazprombank（俄罗斯天然气工业银行）。 据乌克兰IT军称，该银行网站在DDoS攻击下瘫痪了四个小时，导致客户无法付款、访问个人账户或使用手机银行。 IT军一位代表在采访中表示，“为了成功完成攻击，我们遍历了对方的整个网络并从中找到了漏洞。” 为了绕过俄罗斯的DDoS保护服务，IT军宣称创建了一款“特殊程序”，能够“以非标准方式攻击系统，因此对方很难抵挡。” 俄罗斯天然气工业银行证实了9月的黑客攻击事件，副总裁Olexander Egorkin甚至称赞了乌克兰黑客的“创造力”和“专业精神”。 Egorkin在9月的一次会议上表示，“这次攻势极为猛烈，就连俄罗斯最大的电信运营商Rostelecom都感到压力巨大。”尽管如此，目前还无法断言IT军在俄乌之间的网络战进程中究竟起到了怎样的作用。只能说部分行动确实暂时性扰乱了俄罗斯的业务，或者至少引发了俄方关注。 据俄罗斯媒体报道，自俄乌开战以来，俄罗斯银行业对于网络攻击和数据泄露的防御性服务需求开始急剧增加。 随着思科、IBM、甲骨文、Imperva、Fortinet、诺顿和Avast等全球技术与网络安全厂商纷纷退出俄罗斯，俄罗斯企业也更易受到网络攻击影响。 这也从另一方面鼓舞了IT军的士气，他们坚称，“我们的目标仍旧不变：让银行难以正常支付、拖慢财务履约速度，把怀疑的种子播撒在收款人们的心中。” 转自 安全内参，原文链接：https://www.secrss.com/articles/48803 封面来源于网络，如有侵权请联系删除

据securityaffairs消息，保加利亚政府机构的基础设施遭到大规模 DDoS 攻击，包括内务部、国防部、司法部、宪法法院等多个政府部门受到严重影响。本轮攻击自10月15日开始，保加利亚专家认为是由具有俄罗斯政治背景的攻击者者精心策划。 目前，保加利亚政府表示已对该事件展开调查，并警告称这些袭击正在威胁国家的基础。首席检察官伊万·格舍夫（Ivan Geshev）在有关该主题的特别简报中将此次DDoS攻击定义为刑事犯罪。 Ivan Geshev表示，“在本次网络攻击中，包括总统府在内的网站遭遇攻击，对方的目标是整个保加利亚国家，是欧洲大家庭的一部分。甚至宪法法院也遭到了网络攻击，但我不知道他们为什么把检察官办公室排除在外（开玩笑）。” 众所周知，DDoS 攻击会发送过多的请求，从而使目标网站不堪重负，最终导致这些网站无法被访问，会响应速度变的十分缓慢。数字事务部表示，已采取措施减少攻击对保加利亚政府网站的影响，目前网络攻击已经停止，并未泄露敏感内容。 初步调查显示，DDoS攻击起源于俄罗斯马格尼托哥尔斯克，副首席检察官兼国家调查局局长鲍里斯拉夫·萨拉福夫解释称，仅仅依靠这些信息不足以将攻击归因于特定的威胁行为者。“无论是某些人的倡议还是国家机构的要求，我现在都不能承诺，因为这也是调查保密的问题。” 萨拉福夫补充到，地方当局已经确定了至少一名参与袭击的攻击者，保加利亚当局将会要求引渡，但可以预见的是，俄罗斯政府永远不会支持保加利亚当局的要求。这也不是俄罗斯第一次发生此类事件，此前来自俄罗斯的网络攻击还对保加利亚邮政系统发动了突袭。 据广播公司 Dnevnik 报道称，俄罗斯黑客组织 KillNet 声称对此负责，并在其 Telegram 频道上宣布了这次攻击。KillNet 的成员称自己是站在克里姆林宫这边的爱国者，而保加利亚正在俄乌战争中对乌克兰进行援助，他们攻击的目的是吸引注意力和传播虚假信息。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347110.html 封面来源于网络，如有侵权请联系删除

乌克兰网络警察局称，目前已有20多人在周一的俄罗斯导弹袭击中丧生，其中包括一位现年41岁的网络安全高级官员。 身故的Yuriy Zaskoka是乌克兰国家警察关键基础设施保护部门负责人。俄罗斯周一向乌克兰首都基辅市中心发射导弹时，他正在驱车上班的路上。此轮袭击共造成6人死亡、50人受伤。 现场录像显示，基辅市一条往日繁忙的街道上汽车残骸四落、火光闪烁。周一早上，基辅市全城出现十余次爆炸声，这也是今年6月以来基辅遭遇的首轮大规模导弹袭击。 作为两个孩子的父亲，Zaskoka已经为乌克兰警方工作了近24年。据乌克兰网警机关介绍，作为网络安全官员，Zaskoka曾调查网络犯罪并教授人们如何安全使用互联网。 乌克兰内政部长的顾问Anton Gerashchenko表示，“他是一个伟大的人、专业人士，也是一名爱国者。” 乌克兰国家特别通信局（SSSCIP）也在声明中指出，“我们整个团队都会铭记Yuriv，他是个全身心倾注在工作上的人。”   本周一的导弹袭击还导致乌克兰特别通信局的四名雇员丧生，他们身在卢甘斯克东部和第聂伯地区的电信及关键基础设施领域工作，这些区域同样受到俄罗斯的猛烈攻击。通信局强调，“你们每个人都很重要，每位成员的离去都令人悲痛。” 10月10日当天，俄罗斯共向乌克兰发射了84枚导弹并发动24次无人机袭击，共破坏200处目标，包括关键基础设施、住宅楼、学校、文化机构和医疗保健设施。袭击造成至少20人死亡，108人受伤。 俄罗斯的本轮导弹袭击还导致乌克兰大范围停电，进而引发互联网与移动通信中断。据Cloudflare称，本周一早，乌克兰的互联网可用性较正常水平下降了35%。 俄罗斯周二继续对乌克兰施展打击，目标主要集中在热电厂和能源设施。不少乌克兰城市已陷入停电。 在对基辅遭到破坏的基础设施开展维修期间，当地能源企业决定全市每天停电4小时。   转自 安全内参，原文链接：https://www.secrss.com/articles/47896 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Meta 近期捣毁一个由 Facebook 和 Instagram 账户组成的庞大俄罗斯网络，该网络用于在欧洲各地 60 多个冒充新闻机构的网站上发布虚假信息。据悉，散布虚假信息的行动开始于 2022 年 5 月，主要针对德国、法国、意大利、乌克兰和英国等国。 Meta 指出，这是自乌克兰战争开始以来，公司捣毁的最大和最复杂的俄罗斯行动。这些账户在传播与乌克兰战争及其对欧洲影响有关的虚假内容，部分文章还批评乌克兰和乌克兰难民，并认为西方对俄罗斯的制裁会适得其反。 以下是用于冒充合法新闻机构的域名列表。 Avisindependent[.]eu 6/3/2022 France bild[.]pics 6/6/2022 Germany rrn[.]world 6/6/2022 Multiple dailymail[.]top 6/10/2022 UK repubblica[.]life 6/13/2022 Italy delfi[.]life 6/15/2022 Latvia dailymail[.]cam 6/23/2022 UK dailymail[.]cfd 6/23/2022 UK 20minuts[.]com 6/28/2022 France ansa[.]ltd 6/28/2022 Italy spiegel[.]ltd 6/29/2022 Germany theguardian[.]co[.]com 7/7/2022 UK 此外，此次行动背后的攻击者在许多互联网服务中推广文章以及原创备忘录和 YouTube 视频，包括 Facebook、Instagram、Telegram、Twitter、请愿网站 Change.org 和 Avaaz，甚至是 LiveJournal 也没有逃过。 以下是 Meta 分享的与这次活动有关的一些数字： 在 Facebook 和 Instagram 上的存在 1633 个账户，703 个页面，1 个小组和 29 个 Instagram 账户。 关注者：大约 4000 个账户关注了一个或多个网页，不到 10 个账户加入了这个小组，大约 1500 个账户关注了一个或多个 Instagram 账户。 广告支出：在 Facebook 和 Instagram上的广告支出约为10.5万美元，主要以美元和欧元支付。   转自 Freebuf，原文链接：https://www.freebuf.com/news/345904.html 封面来源于网络，如有侵权请联系删除

在苹果公司将VKontakte从应用商店中删除后，俄罗斯监管机构表示，这将损害其公民之间的沟通，并要求苹果公司做出解释。VKontakte是俄罗斯最大的社交网络应用。在苹果公司于9月28日下架该应用后，俄罗斯监管机构Roskomnadzor对该行动提出异议，称其具有”歧视性”。 该应用背后的公司VK周一就此事发布了一份声明，并表示被删除的其他应用包括Mail.ru、VK Music和Youla classified。声明说，这些应用程序将继续在兼容的设备上工作，只是从App Store上被删除。不过，用户可能会在通知和支付等功能上遇到问题。 移除VK应用后，苹果公司表示，它正在遵守来自英国因俄罗斯入侵乌克兰而实施的制裁命令，这些被制裁方拥有或控制的开发者在俄罗斯境外，他们的开发者账户被苹果终止，因为这显然是在规避国际制裁，所有地方的苹果用户都受到这一决定的影响，而不仅仅是在俄罗斯的客户。 正如路透社周三的一份报告所指出，Roskomnadzor是俄罗斯与美国科技巨头对接的主要监管机构。它此前迫使苹果公司从应用程序商店中删除一个反对派领导人的应用程序，但在俄乌战争爆发后才恢复。 2015年，Roskomnadzor还要求苹果公司将在俄罗斯境内产生的iCloud数据托管在该国，Roskomnadzor对Telegram、微软、Google和其他公司实施了类似的监管。 2022年2月，苹果公司在俄罗斯开设了第一个公司办公室，3月，在俄罗斯政府入侵乌克兰后，苹果公司停止了在该国的所有在线销售工作（仅提供维修所需零部件），迄今尚未恢复。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1321929.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 乌克兰国防部情报总局（HUR MO）警告称，俄罗斯正计划升级针对乌克兰和西方国家关键基础设施的网络攻击。 据乌克兰军事情报局称，这些攻击旨在破坏关键基础设施的运营，包括电网和能源行业的设施。 Facebook上发布的报告中写道：“克里姆林宫正计划对乌克兰企业的关键基础设施和其盟国的关键基础设施机构进行大规模网络攻击。攻击将针对能源部门的企业。2015年和2016年对乌克兰能源系统的网络攻击经验将被用于开展行动。” 报告还指出，网络攻击的目的是干扰乌克兰军队的能力，支持俄罗斯军队的军事进攻。 克里姆林宫还计划对乌克兰盟友（如波兰和波罗的海国家）的关键基础设施进行更强大的DDoS攻击。 HUR MO发布的警报称：“敌人将试图增加导弹攻击对电力供应设施的影响，主要是在乌克兰东部和南部地区。占领军司令部确信，这将减缓乌克兰国防军的进攻行动。” 美国总统拜登在2021年7月警告说，网络攻击导致严重的安全漏洞可能引发“真正的枪战”。一个月后北约发布声明，称网络攻击可以与“武装攻击”（在某些情况下）相提并论。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 据Mandiant称，至少有三个支持俄罗斯利益的黑客组织可能与国家支持的网络黑客合作。 谷歌旗下的威胁情报和事件响应公司表示：“据称，黑客活动Telegram频道‘XakNet Team’、‘Infoccentr’和‘CyberArmyofRussia_Reborn’的发布者正在与俄罗斯主要情报局（GRU）资助的网络黑客协调其业务。” Mandiant的评估基于以下证据：从乌克兰组织窃取的数据泄漏发生在被追踪为APT28（又名Fancy Bear、Sofacy或Strontium）的俄罗斯民族国家组织实施的恶意雨刷事件的24小时内。 为此，来自这些组织的16次数据泄露中，有4次与APT28发起的磁盘擦除恶意软件攻击同时发生，该恶意软件使用了一种名为CaddyWiper的病毒。 APT28从2009年开始活跃，与俄罗斯军事情报局、总参谋部主要情报局（GRU）有关联，并在2016年因在美国总统选举前违反民主党全国委员会（DNC）而引起公众关注。 虽然所谓的黑客组织已经针对乌克兰进行了分布式拒绝服务（DDoS）攻击和网站破坏，但有迹象表明，这些虚假角色是信息操作和破坏性网络活动的幌子。 也就是说，这种关系的确切性质以及与俄罗斯国家的关联程度仍然未知，尽管它表明，要么是GRU官员本人直接参与，要么是通过运营Telegram频道的管理员参与。 XakNet泄露了APT28用于入侵乌克兰网络的“独特”技术工件，以及CyberArmyofRussia_Reborn的数据发布之前是APT28入侵操作的事实，从而证实了这一推理。 这家网络安全公司指出，它还发现了XakNet团队和Infoccentr以及亲俄罗斯组织KillNet之间的某种程度的协调。 Mandiant说：“乌克兰战争也为了解俄罗斯网络计划的整体性、协调性和有效性提供了新的机会，包括黑客对社交媒体平台的使用情况。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Security Affairs 网站披露，“匿名者”黑客组织声称已成功入侵俄罗斯国防部网站并泄露了 305925 人的数据信息。据悉，这些人中可能包含部分俄罗斯新动员起来赴乌克兰作战的士兵。 “匿名者”黑客组织通过 ProtonDrive 分享了一个大小 90MB 的TXT 文件，文件中包含 30 多万人的姓名、出生日期、区域和地区等详细信息。值得注意的是，目前还无法核实所公布档案的确切来源。 匿名者一直支持乌克兰 近日，俄罗斯总统普京发表了全国讲话，宣布军事动员 30 万名预备役军人，以加强在乌克兰的特别军事行动。如果“匿名者”所说的网络攻击消息属实，可能会使俄预备役人员受到社工攻击，并存在被乌克兰方面“联系”的可能性。 俄乌冲发生后，“匿名者”黑客组织立即宣布对俄罗斯政府进行“网络战争”，至今已发起多次对俄罗斯的网络攻击活动。 3 月份，匿名者组织声称攻破了负责监督通信、信息技术和大众媒体的俄罗斯联邦机构数据库，并泄露了超过 36 万份文件。同月，该组织还入侵了俄罗斯流媒体服务和电视新闻频道，播放了乌克兰战争画面。 网络战已经成为俄乌战争中重要组成部分，网络也逐渐成为双方角力的战场。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/345581.html 封面来源于网络，如有侵权请联系删除

黑客组织 Anonymous 声称已经泄露了超过 300,000 人的个人数据，这些人可能被俄罗斯政府动员起来作为预备役军人。在2022年9月23日星期五，该组织的一个 Twitter 账户上发布的消息表示，“入侵了俄罗斯国防部的网站并泄露了 305,925 人的数据，这些人可能在三波动员中的第一波中被调动起来。” 一张图片声称显示了这些人的个人信息。 Anonymous的说法是在俄罗斯总统普京两天前，即9月21日发表全国讲话后宣布的，其中宣布动员 300,000 名预备役人员进行部分军事动员，以应对目前俄罗斯所面对的威胁。 如果 Anonymous 的最新说法被证实属实，这可能会使预备役人员受到攻击，并可能被乌克兰方联系。此前，黑客组织 Anonymous 在乌俄冲突期间对俄罗斯发起了多次网络攻击，以支持乌克兰。在 2022年2月24日入侵开始后，它立即宣布对普京政府发动“网络战” 。 3月，该组织声称已经破坏了负责监管通信、信息技术和大众媒体的俄罗斯联邦机构的数据库，在此过程中泄露了超过36万份文件。同月，该组织还入侵了俄罗斯的流媒体服务和电视新闻频道，以播放乌克兰战争的镜头。 网络在俄罗斯与乌克兰的战争中发挥了重要作用。 此外，Recorded Future 旗下Insikt Group 的全球问题团队 Craig Terron在最近发表的一篇关于乌克兰战争网络方面的信息安全杂志文章中评论说：“我们没有看到这些大规模攻击的部分原因是乌克兰的网络防御一直很强大在西方和北约的一些支持下。” 除乌克兰外，西方政府已警告国内企业通过网络攻击来加强其网络防御，这些网络攻击预计将被用作俄罗斯在面临严厉制裁时的报复策略。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/_qDzJYmnoWnkp3LcIxbKVA 封面来源于网络，如有侵权请联系删除

据观察，与俄罗斯有关的黑客组织 Sandworm 伪装成电信提供商，以恶意软件攻击乌克兰实体。美国政府将其归为俄罗斯 GRU 外国军事情报部门的一部分。据悉，APT 黑客组织在今年发起了多次攻击，包括对乌克兰能源基础设施的攻击以及名为“ Cyclops Blink ” 的持久僵尸网络的部署。 从2022年8月开始，Recorded Future的研究人员就观察到使用伪装成乌克兰电信服务提供商的动态 DNS 域的 Sandworm 命令和控制 (C2) 基础设施有所增加。最近的活动旨在将 Colibri Loader 和 Warzone RAT（远程访问木马）等商品恶意软件部署到关键的乌克兰系统上。 新的沙虫基础设施 虽然 Sandworm 已显着更新了其 C2 基础设施，但它是逐步更新的，因此 CERT-UA 报告中的历史数据使 Recorded Future 能够将当前操作与威胁行为者联系起来。 一个例子是 CERT-UA于 2022 年 6 月发现的域“datagroup[.]ddns[.]net”  ，伪装成乌克兰电信运营商 Datagroup 的在线门户。 另一个被欺骗的乌克兰电信服务提供商是 Kyivstar，Sandworm 使用“kyiv-star[.]ddns[.]net”和“kievstar[.]online”的外观。 最近的案例是“ett[.]ddns[.]net”和“ett[.]hopto[.]org”，很可能是为了模仿另一家乌克兰电信运营商 EuroTransTelecom LLC 的在线平台。 其中许多域解析为新的 IP 地址，但在某些情况下，与可追溯到 2022 年 5 月的过去 Sandworm 活动有重叠。 感染链 攻击首先引诱受害者访问这些域，通常是通过从这些域发送的电子邮件，使发件人看起来像是乌克兰的电信提供商。这些网站使用的语言是乌克兰语，呈现的主题涉及军事行动、行政通知、报告等。 Recorded Future 看到的最常见的网页是包含文本“ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ”的网页，翻译为“敖德萨地区军事管理局”。 网页的 HTML 包含一个 base64 编码的 ISO 文件，当使用 HTML 走私技术访问网站时会自动下载该文件。 值得注意的是，几个俄罗斯国家资助的黑客组织使用 HTML 走私，最近的一个例子是 APT29。 图像文件中包含的有效载荷是 Warzone RAT，这是一种创建于 2018 年并在 2019 年达到顶峰的恶意软件。Sandworm 使用它来替换他们在前几个月部署的 DarkCrystal RAT。 可能是，俄罗斯黑客希望通过使用广泛可用的恶意软件并希望他们的踪迹“消失在噪音中”，从而使安全分析师的跟踪和归因更加困难。 WarZone RAT 恶意软件可能已经过时，但它仍然提供强大的功能，如 UAC 绕过、隐藏的远程桌面、cookie 和密码窃取、实时键盘记录、文件操作、反向代理、远程外壳 (CMD) 和进程管理。 此外，Palo Alto 的 Unit42 的一份报告详细介绍了 APT29 在单独的活动中使用的类似 HTML Smuggling 例程来下载 ISO 文件，如下图 11所示。APT29 最初使用此例程是用于二进制数组，这有助于潜在地阐明 UAC-0113 的冗余 for 循环的原始目的。APT29 的 HTML 和 JavaScript 代码与上面图 10中所示的 UAC-0113 链接示例有类似的重叠。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/NTdCugs1lMX-_x2By3NYtA 封面来源于网络，如有侵权请联系删除