据乌克兰数字转型部消息，乌克兰IT军队在8月29日至9月11日的两周内，攻击了2400多个俄罗斯网站，其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。 当地时间9月12日，乌克兰数字转型部在Telegram宣布，其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪，涉及金融业、实体企业、媒体等组织。 俄罗斯联邦最大和最重要的银行：俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪，导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示，“更严重的是，俄罗斯士兵领不到工资，亲属领不到赔偿。” 受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示，“我们注意到，一些宣传人员已经在考虑停战，但现在已经太迟了。” 此外，乌克兰IT团队还在9月1日（苏联解体国家的知识日），通过克里米亚主要电视频道，向学生传达总统泽连斯基的问候。 据乌克兰媒体Ukrinform报道，9月11日俄罗斯对乌克兰展开大规模袭击，哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据，共有40个的变电站停电，4名电力工程师遇难。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344375.html 封面来源于网络，如有侵权请联系删除

本周四，黑客通过叫车应用 Yandex Taxi 下单，让数十辆的士同时前往相同地点，意图造成莫斯科交通拥堵。这是首次发现攻击者利用基于应用的出租车公司在道路上制造混乱的方式。 社交媒体上流传的视频显示，出租车在一条原本就交通不便的道路上出现了很长时间的交通堵塞。该视频随后由 @runews 帐户分享，截至撰写本文时，该视频已被转发超过 6,500 次。 在提交给 Motherboard 的一份声明中，Yandex 公司发言人确认存在该事件。他表示：“9 月 1 日上午，Yandex Taxi 遭遇攻击，企图破坏服务——数十名司机收到了前往莫斯科 Fili 区的批量订单”。 Fili 区位于莫斯科市中心以外的 Kutuzovsky Prospekt 沿线，这是一条从西南通往莫斯科市中心的主干道。目前尚不清楚为什么该区域特别受到攻击，Yandex 发言人拒绝分享有关此次攻击的更多细节。 莫斯科以其交通拥堵而闻名，经常跻身世界上交通拥堵最严重的城市之列。 Yandex 发言人表示，该问题“在不到一个小时内”得到了解决，“Yandex Taxi 的安全服务及时制止了人为拥堵汽车的企图，并改进了检测和预防此类攻击的算法，以防止未来发生类似事件。 ” 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1311957.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 俄罗斯国家支持的黑客继续用窃取信息的恶意软件打击乌克兰实体，这被怀疑是间谍行动的一部分。 Broadcom Software旗下公司Symantec将这场恶意活动归因于跟踪Shuckworm的黑客，也称为Actinium、Armageddon、Gamaredon、Primitive Bear和Trident Ursa。乌克兰计算机应急小组（CERT-UA）证实了这些发现。 该黑客自2013年以来一直活跃，因明确针对乌克兰的公共和私人实体而闻名。自2022年末俄罗斯军事入侵以来，攻击事件不断升级。 据说，最新的一系列攻击已于2022年7月15日开始，一直持续到8月8日，感染链利用伪装成通讯和战斗命令的网络钓鱼电子邮件，最终部署了名为GammaLoad.PS1_v2的PowerShell窃取者恶意软件。 同时，还向受损机器交付了两个后门，分别名为Giddome和Pterodo，这两个后门都是典型的Shuckworm工具，攻击者不断重新开发，旨在领先检测标准。 Pterodo的核心是一种Visual Basic Script（VBS）dropper恶意软件，具有执行PowerShell脚本、使用计划任务（shtasks.exe）来保持持久性，以及从命令和控制服务器下载其他代码的功能。 另一方面，Giddome植入物具有多种功能，包括录制音频、捕获屏幕截图、记录击键，以及在受感染主机上检索和执行任意可执行文件。 这些入侵行为通过从受感染账户分发的电子邮件发生，进一步利用Ammyy Admin和AnyDesk等合法软件来促进远程访问。 这一发现是因为Gamaredon黑客与一系列旨在启动GammaLoad.PS1交付链的社会工程攻击有关，使攻击者能够窃取存储在Web浏览器中的文件和凭据。 调查结果是在CERT-UA发出警报后公布的，该警报警告称，“系统性、大规模和地理分散的”网络钓鱼攻击涉及使用名为RelicRace的.NET下载程序来执行Formbook和Snake Keylogger等有效负载。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

莫斯科时报》报道称，亲俄黑客组织Killnet声称对最近袭击航空航天和国防巨头洛克希德马丁公司的 DDoS 攻击负责。Killnet 组织还声称从洛克希德马丁公司的一名员工那里窃取了数据，并威胁要分享这些数据。 该组织自 3 月以来一直活跃，它对意大利、罗马尼亚、摩尔多瓦、捷克共和国、立陶宛、挪威和拉脱维亚等表示支持乌克兰的政府发起 DDoS 攻击。这家公司是“海马斯”（HIMARS）火箭炮的生产商。 该组织在 Telegram 上分享的一段视频中，该组织声称窃取了洛克希德马丁公司员工的个人信息，包括姓名、电子邮件地址、电话号码和图片。 该小组还分享了两个包含俄语消息的电子表格： “如果你无事可做，你可以给洛克希德马丁恐怖分子发电子邮件——他们制造武器后果的照片和视频！让他们意识到他们创造了什么以及他们做出了什么贡献。” 目前无法确定这些数据的真实来源。洛克希德马丁公司知道 Killnet 的说法，但没有对此发表评论。 Killnet组织还表示，他们在8月9日攻击了直播美国参议院举行的新一揽子对乌援助会议的网络资源。“Duma TV”电视台网站发布的黑客声明称：“通过这一揽子对乌援助会延长西方对俄罗斯发动的战争。我们通过此次攻击向大家展示，他们是多么的脆弱和可怜。” 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/ldgXWnD6Xq51c2ZnzXthhQ 封面来源于网络，如有侵权请联系删除

随着俄乌冲突的爆发，双方支持的电子战也在网络上蔓延开来。早前，Website Planet 研究团队已经分享了打着“匿名者”名号的黑客组织攻破了大量俄罗斯网站。现在，又有分析人士指出 —— 随着战期被越拉越长，优势的天平将更加倾向于俄方。 资料图（来自：Wikipedia / Vitaly V. Kuzmin / CC-BY-SA-4.0） TheVerge 报道称：在冲突爆发的第六个月，许多观察家注意到俄罗斯电子战（EW）系统正在发挥更大的作用。而所谓电子战，特指一系列能够干扰、拦截、或定位敌方通信的软硬件系统。 今年 6 月，美联社报道称这些系统开始在乌克兰东部得到更多使用。距当地较短的补给线，使得俄罗斯军队能够将专用电子战设备转移到更接近战场的地点。 乌克兰方面在接受美联社采访时称，制导系统的 GPS 干扰，将对无人机的有效性构成“相当严重”的威胁。 在上月底于 IEEE Spectrum 上发表的一项新分析补充道，虽然电子战在冲突中没有发挥决定性作用，但形势正在向有利于俄罗斯的方向倾斜。 不过哈德逊研究所国防概念与技术中心主任 Bryan Clark 也指出，专家们长期吹捧俄罗斯拥有世界上一流的电子战部队和装备经验。 所以当俄乌冲突于 2 月 24 日爆发的初期，分析人士就推测俄罗斯部队会迅速控制并主导无线频谱，但这一预估事件并未如期而至。 即便如此，Bryan Clark 还是补充道 —— 随着俄罗斯部队控制了更多地区，且越来越多地在城市周围采取围攻战术，电子战的威力才开始更加显现。 有一例报道称，俄部队能够干扰乌克兰无人机的雷达通信，使之无法有效辨识其炮兵所在地。 同时拦截技术的介入，也让俄部队能够定位并锁定乌方火炮，从而以更加显著的数字优势压制住对方。 最后，除了干扰通讯，支持双方的非官方黑客活动也在俄乌冲突期间发挥了相当大的影响力。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1299647.htm 封面来源于网络，如有侵权请联系删除

7月26日至7月27日，在12个小时的时间里，苹果（Apple）的互联网流量诡异绕道俄罗斯网络设备。 在为互联网路由公益组织MANRS（路由安全共同协定规范）撰写的一篇文章中，Internet Society高级互联网技术经理Aftab Siddiqui表示，7月26日，俄罗斯电信（Rostelecom）开始发布苹果部分网络的路由——这种操作通常被称为BGP（边界网关协议）劫持。 BGP就是将多个网络粘到一起形成互联网的粘合剂。但是，这么重要的协议，却很容易遭遇欺骗。当自治系统（由单个实体管理的一组网络，AS）发布不属于自身的IP地址组（IP前缀）的路由时，如果没有过滤掉这些恶意路由声明，互联网流量通常就会适应这些路由。 有些不良路由声明是偶发的，是配置错误之类无心之失的结果，但有些就纯属恶意了。 例如，2018年，网络窃贼通过BGP劫持干扰亚马逊的Route 53 DNS服务，并将互联网流量从加密货币网站重定向到托管在俄罗斯的网络钓鱼站点。 Siddiqui称，苹果的网络流量重定向开始于世界标准时间7月26日21点25分，当时俄罗斯电信的AS12389网络开始发布17.70.96.0/19，这是苹果17.0.0.0/8地址块的一部分，通常作为更大的17.0.0.0/9地址块的一部分加以发布。 GRIP Internet Intel（GA Tech）和BGPstream.com（Cisco Works）都检测到了这一路由变更，后者还将此地址块标识为AS714 APPLE-ENGINEERING, US。整个过程持续了12个小时多点。 苹果没有回应媒体的置评请求，英国科技媒体The Register也未发现该公司就其网络流量被劫持事件发表了什么公开声明。 “目前尚不清楚哪些服务受到此次事件的影响。”Siddiqui说道，“除非我们从苹果或其他研究人员那里获悉更多细节，否则我们只能猜测。” Siddiqui表示，俄罗斯电信（AS12389）曾参与过之前的BGP劫持，并强调称，网络运营商会根据可靠信息实施有效路由过滤，从而阻止此类恶行。 The Register向MANRS询问自其帖子发布以来是否有人从苹果那里听到过任何消息，MANRS发言人回答说：“我们尚未从苹果那里听到关于这个问题的任何消息。MANRS团队正私下联系相关人士，了解有关此事件的更多信息。” 2020年，尽管非常清楚事实并非如此，Cloudflare还是创建了网站“Is BGP safe yet?”（网站名称意为“BGP安全了吗？”）而就在本文提交发布之时，这个问题的答案仍旧是“不安全”。 转自 安全内参，原文链接：https://www.secrss.com/articles/45297 封面来源于网络，如有侵权请联系删除

在大约12个小时的时间里，俄罗斯的Rostelecom公司多次试图将苹果服务的用户导向自己的服务器，甚至尝试对抗苹果工程师应用的反制措施。Rostelecom是俄罗斯最大的互联网供应商，在超过12小时的时间里，它多次试图劫持用于苹果服务的流量。 目前还不能确定这是一个故意的尝试还是一个互联网配置错误，但Rostelecom做了所谓的虚假路由公告，可以使互联网连接到其服务器而不是苹果的服务器。 MANRS是一个致力于”减少最常见的路由威胁”的组织，它说俄罗斯在7月26日和7月27日期间出现了劫持流量的问题。 用户从不选择通往服务器的具体路由，他们只是试图访问一项服务，而路由是在幕后进行的。MANRS说，实际上，Rostelecom的服务器声称是通往广泛的苹果服务的路由。 该组织的全篇文章研究了所有公开的关于这次攻击的信息，并详细说明了苹果公司必须采取的一些措施来打击它。 MANRS写道：”当一个网络宣布的路由没有被有效的路由来源授权（ROA）所覆盖时，在路由劫持期间，唯一的选择是宣布更具体的路由。这正是苹果工程公司今天所做的事情”。 大约12小时后，Rostelecom停止了发送虚假的路由公告。 “我们还不知道苹果公司有任何信息表明哪些（如果有的话）苹果服务受到了影响，”MANRS继续说道。”我们也没有看到来自Rostelecom的任何信息，即这是一个配置错误还是一个故意的行为。” 在路由受到攻击的这段时间里，苹果服务没有出现停机，投诉也没有明显的增加。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1298093.htm 封面来源于网络，如有侵权请联系删除

俄罗斯关联黑客组织舒适熊（Cozy Bear）曾发起臭名昭著的 SolarWinds 间谍活动，而现在又利用 Google Drive 将魔爪伸向了新的受害者。根据 Palo Alto Networks 旗下 Unit 42 威胁情报团队本周二的报告，有俄罗斯对外情报局(SVR)背景、被美国联邦政府归类为高级持续威胁 APT29 的舒适熊组织利用 Google 的云存储服务隐藏它们的恶意软件和活动。 根据 Unit 42 披露的信息，APT29 在近期的活动中使用了全新的策略，在今年 5 月初至 6 月期间对葡萄牙和巴西的外交使团和外国使馆发起了攻击。 研究人员表示：“攻击者采用了全新的策略，利用 Google 云存储服务的普遍性以及基于全球数百万用户对其的信任传播恶意软件，而意味着如何检测出这些恶意软件面临着巨大的挑战。在使用经过加密且值得信任的服务时，大多数人都会直接打开文件，而要检测黑客活动中的所有恶意软件是极端困难的”。 事实上这并非是 ATP29 组织首次滥用合法的网络服务。在今年 5 月，根据安全机构 Mandiant 披露的报告，该组织利用 Dropbox 针对各种政府机构传播各种带命令和控制的恶意文件。不过 Dropbox 发言人表示在发现这些动机之后立即禁用了这些账号。 Unit 42 披露了 ATP29 在 Google Drive 和 Dropbox 上的活动情况。目前 Google 并未做出回应。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1294921.htm 封面来源于网络，如有侵权请联系删除

《孙子兵法》有云：“兵者，诡道也”。在 2500 年后的今天，这句格言也适用于虚拟/物理战场。在俄乌冲突中，来自 Google 的研究人员发现了一款由俄罗斯政府支持的恶意应用程序，它伪装成为亲乌克兰的应用进行传播。 在 Google Threat Analysis Group (TAG) 团队今天发布的博文中，详细地披露了这个俄罗斯政府支持的恶意应用程序。该应用叫做 Cyber Azov，伪装成乌克兰的极右翼军事部门 Azov Regiment 创建，但实际上是由俄罗斯政府支持的黑客组织 Turla 创建。 根据 TAG 的研究，这款应用通过 Turla 控制的域名即逆行分发，网站上提供了离线的 APK 安装文件，而不是托管在 Google Play Store 上。在 Cyber Azov 网站上描述，称该应用会对俄罗斯网站发起拒绝服务攻击，不过实际上经 TAG 分析该应用并无这方面的功能。 通过 VirusTotal 分析该 APK 文件，很多知名反恶意软件提供商都将其标记为含有木马的恶意应用。TAG 博文中表示目前安装该恶意应用的用户数量并不多。不过 The Verge 发现 Cyber Azov 的域名网站仍可访问，这意味着会有更多的 Android 用户中招。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1294409.htm 封面来源于网络，如有侵权请联系删除

安全内参消息，美媒福布斯援引法律申请了一批政府公开文件，首次揭露了美国政府通过私营公司监视国际公民行踪的秘密监视令活动。 美国的Sabre和英国的Travelport是两家世界级大型旅游公司，把持着中国和俄罗斯之外的全球旅游预订市场。 几十年来，这两家公司一直在通过所谓的“全球分销系统”（GDS）收集和储存国际游客的信息，帮助游客在各大航空公司、邮轮公司、汽车租赁公司和酒店完成旅游预定。这些蕴含着巨大价值的数据显然引起了美国执法部门的注意。 布尔科夫案 阿历克谢・布尔科夫（Aleksei Burkov）是一名俄罗斯黑客。美国政府认为他经营的Cardplanet网站涉嫌协助他人使用被盗信用卡获利2000万美元，因此于2015年责成特勤局对其进行追捕。 但莫斯科与华盛顿之间没有签署引渡协议。这意味着只能趁逮捕布尔科夫离开俄罗斯的时候将其逮捕，所以美国执法部门想起了Sabre和Travelport经手与使用的旅行数据。 在2015年发布的一份法庭令中，美国特勤局要求Sabre和Travelport公司对布尔科夫的旅行情况进行持续两年的监视（美方称之为“完整的实时同步账户活动”，主要监视目标账户的记录、服务、使用等情况），并向特勤局每周报告一次监视所得结果。根据福布斯的披露，Sabre公司此前还对另外一名黑客进行过此类监视。但那次持续时间仅为六个月，远远短于布尔科夫的两年。 图：布尔科夫在以色列被捕 Sabre和Travelport公司的监视效果如何目前并不清楚。但布尔科夫确实在法庭令发布后不久的2015年12月被捕。当时他刚刚在特拉维夫度过了几周假期。不过，官方始终没有公布他是如何被追踪到在以色列旅游的。美国司法部也三缄其口，未就此事提供更多信息。 尽管俄罗斯一再阻挠，但以色列还是于2019年末把布尔科夫引渡到美国。2020年6月，布尔科夫被美国政府以伪造和网络入侵等罪名判处108个月徒刑。 但奇怪的是，他在美国服刑至2021年9月便被莫名其妙地送回俄罗斯。尽管有议员担心布尔科夫回到俄罗斯后会为俄政府工作，从事有损美国利益的网络活动，但美国司法部至今也未向外界解释当时为什么会把他送回俄罗斯。 涉事公司不愿直面监视话题 卷入布尔科夫案的Sabre和Travelport两家公司显然不愿意正面回答是否遵从了美国政府发布的监视令。 Saber公司发言人只是泛泛地表示本公司会在法律允许的范围内对合法程序进行回应。“保护Sabre用户的数据以及遵守法律是我们必须严肃承担起来的义务，”他说。 Travelport公司则声称，本公司并未执行过对特定人员的监视任务。“Travelport公司一向遵守合法渠道发出政府法令，但从未对任何个人进行过主动监视，”公司发言人说。与此同时，Travelport公司没有澄清可以在政府要求下提供何种类型的数据。 （本文刊出后，Travelport公司声称游客信息将在最后一次旅游交易完成36个月后予以删除。并表示通过公司掌握的数据记录只能看出游客在哪里做的预定，无法确定该游客是否按照预定进行了旅行。公司发言人说，“Travelport没有向政府部门提供个人数据的惯例，也不会给美国执法部门、情报机构或其他政府部门留下读取数据的后门。”） 在无法得到当事公司正面回应的情况下，外界显然无法确定Sabre和Travelport两家公司是否成了美国特勤局等政府部门的“帮凶”，以及究竟有多少人“享受”过与布尔科夫一样的漫长且非同寻常的监视待遇。 美国官方对涉事公司也持维护态度。司法部公然宣称公众无权查阅根据《全令法案》发出的法令，而且“执法部门需要对此类材料进行持续性封存”。联邦法院发布的一项法庭令支持了司法部的说法，称“出于重要的政策原因”，上述法令应该“按惯例处于保密状态”。 《全令法案》适用性引争议 利用数据收集公司对个人进行监视的合法性源于1789年的《全令法案》（All Writs Act of 1789）。该法案允许政府发布“所有必要并合适的法令”，协助权力部门“出于恰当的司法目的”从实体处获得与特定调查没有直接关联的“非负担”协助并对案件进行调查。 布尔科夫案之前，《全令法案》此前数次被启用，不少大型科技公司都被官方强迫交出“有助于调查”的信息。尤其是谷歌和苹果公司，曾多次被政府要求对嫌疑人的安卓设备或苹果手机进行解锁，以协助联邦部门对犯罪案件进行调查。 2015年，FBI以《全令法案》为依据要求苹果公司解锁一部圣贝纳迪诺枪击案嫌疑人使用的手机未能成功，该法案的启动和使用遂引起外界关注。美国公民自由联盟（ACLU）将这种做法称为“不恰当的使用”，并直斥其有遭到滥用的可能。 “有太多此类法令不为公众所知，” 美国公民自由联盟监视与网络安全顾问珍妮弗・格兰尼克（Jennifer Granick）说。“借助这些公司收集的个人数据进行调查，警方无异于获得了未得到民主程序批准和监管的监视权。”格兰尼克表示，这样的结果是无法想象的——公众对执法部门在何种调查中如何使用手中的权力，以及他们调用数据是否得到批准等等几乎一无所知。所以她认为，收集与过往犯罪活动无关的未来旅行信息“（对人权和个人隐私）有很强的侵犯性，而且很可能遭到滥用”。 基于上述原因，美国公民自由联盟（ACLU）和电子前沿基金会（Electronic Frontier Foundation）的人权活动分子认为《全令法案》不应取得与搜查令和窃听令相同的合法地位，应该依法予以封存。 “征用”民用数据或不会停止 福布斯的调查结果引发舆论争议。批评者认为，政府部门借法庭令之威强迫高技术公司交出受隐私法保护的用户数据“非常过分”，利用这些民用数据进行监视活动更是对人权的秘密侵犯。 Netenrich网络活动分析公司首席威胁分析师约翰・巴姆本尼克（John Bambenek）表示，尽管自己不担心联邦政府借助合法手段获取高技术公司收集的个人隐私数据，但却担心这些海量数据获取者的身份，“担心他们滥用所获得的数据。” 部分法律人士以及其他支持者则认为这种做法值得支持用于罪案调查。 前CIA网络威胁分析师、技术情报官罗莎・斯玛则斯（Ross Smothers）以布尔科夫案为例讲解称，“审阅卷宗后，联邦法官认可了（对布尔科夫采取措施）司法正确性，并发布了授权监视活动的法令。这与流氓政府胡搞乱来地进行未获授权的数据收集行为是完全不一样的。” 尽管毁誉参半，但美国政府显然不愿意放过旅游公司掌握的海量数据。 体量巨大的Sabre、Travelport等公司对全球旅游市场影响巨大，掌握的旅客信息也了达到无法想象的规模。熟悉这两家公司业务的前高级管理人员乔・赫佐格（Joe Herzog）因而表示，从技术角度说，Sabre和Travelport两家公司应要求与政府合作并向执法部门提供数据“相对比较简单”，只需注意隐私问题即可。“我想GDS系统内大概90%的信息都是可以被外人获取的。”   转自 安全内参，原文链接：https://www.secrss.com/articles/44372 封面来源于网络，如有侵权请联系删除