“匿名者”组织宣称侵入俄罗斯太空研究网站并泄露任务文件
作为俄乌冲突抗议活动的后续,“匿名者”组织刚刚宣称破坏了一个属于俄罗斯空间研究所(IKI)的网站,并在推特上发布了指向俄罗斯联邦航空局(Roscosmos)泄露数据的缓存页面的链接。Vice 报道称,黑客似乎侵入了 IKI 网站的一个子域,同时其它子域仍处于正常在线的状态。 据悉,网站受损部分与世界空间紫外天文台(WSO-UV)有关,该项目与哈勃太空望远镜类似,并计划于 2025 年发射升空。 周五上午,@YourAnonNews 推特账户披露本次攻击与 v0g3lSec 有关,且当时 uv.ikiweb.ru 网站处于无法访问的状态,上方截图为 3 月 3 日上午的缓存页面。 此外 @YourAnonNews 账户分享了一个指向云端 .zip 压缩包文件的链接,下载后可知其中包含了手写表单、PDF 文档、电子表格等资料,且包含了对月球任务的相关描述。 对此,外媒暂时无法验证数据的真实性。但在美国宣布制裁后,俄罗斯航天局负责人曾暗示美俄双方的航天合作可能会走到尽头,乃至威胁到国际空间站的未来运营。 (消息及封面来源:cnBeta)
乌克兰网络警察部队参战:已对多家俄罗斯主要网站发起攻击
乌克兰网络警察部队(Ukrainian cyber police force)公开宣布加入网络战争,已经对多家俄罗斯主要网站和国家在线门户网站发起攻击。正如该部队在公告中所详述的,该部队的专家与志愿者联手攻击俄罗斯和白俄罗斯的网络资源。 这三个国家目前正在进行大规模的武装力量冲突,其中包括网络前线,这甚至在入侵之前就表现出来了。周六,乌克兰官员决定组建一支特殊的“IT 军队”(IT Army),由来自全球的网络特工和志愿黑客组成。 志愿者们利用可以招募到的任何可用火力,对俄罗斯和白俄罗斯的网站发起攻击,并协调针对敌方地面上的高级官员和意见领袖的大规模数据曝光行动。乌克兰网络警察宣布已针对俄罗斯联邦调查委员会、联邦安全局(FSB)和俄罗斯国有银行 Sberbank 的网站发起攻击。 在本次攻击中,以下网站被关闭 ● sberbank.ru ● vsrf.ru ● scrf.gov.ru ● kremlin.ru ● radiobelarus.by ● rec.gov.by ● sb.by ● belarus.by ● belta.by ● tvr.by Bleeping Computer 在撰文时候访问上述网站,均已经无法访问。IT Army 的 Telegram 频道列出了以下网站在成功的网络攻击后被关闭。今天,乌克兰网络警察宣布了一个新的信息收集系统,人们可以提交俄罗斯网络的已知漏洞,分享对关键系统的访问,等等。 例如,一个名为“Cyber Partisans”的白俄罗斯黑客组织声称破坏了白俄罗斯的火车,以帮助延缓俄罗斯军队的运输。另一个被称为“AgainstTheWest”的黑客组织也以俄罗斯的利益为目标,声称已经不断入侵俄罗斯的网站和公司。 (消息及封面来源:cnBeta)
俄乌冲突期间“匿名者”黑客组织的行动速度比政府还要快
俄乌冲突爆发后,以美国为首的北约国家相继颁布了对俄罗斯的制裁。与此同时,国际黑客组织“匿名者”也很快发动了针对俄罗斯的网络攻击。截止周六上午,该组织一度瘫痪了克里姆林宫、俄罗斯国防部、以及俄罗斯杜马的网站,之后相关服务一直处于时断时续的状态。最新消息是,“匿名者”宣称已瘫痪俄罗斯国企 Tvingo 的网站。 此外该组织宣称正在搜集俄军通讯动向,且其它国家也可能正在挖掘这些数据。即使后者没有这么做,相关数据也可能是“匿名者”所披露的。 比如美国众议员 Marco Rubio,就在 Twitter 上对俄方高层的“心理健康状况”表示质疑。 但是对于多次涉足政治的“匿名者”黑客组织,其本身还是存在着不少争议。 (消息及封面来源:cnBeta)
Conti勒索软件团伙“内讧” 分享诸多内部聊天记录
在俄罗斯入侵乌克兰之后,Conti 勒索软件团伙于周五在其官方网站上发布了一条激进的亲俄信息后,该团队中的一名成员(据信是乌克兰人)泄露了该团伙的内部聊天记录。 这条公开的亲俄信息似乎让 Conti 的一些乌克兰成员感到不快,其中一人黑进了该团伙的内部 Jabber/XMPP 服务器。今天早些时候,内部日志已经通过电子邮件方式发给多名记者和安全研究人员。 Dmitry Smilyanets 是 Recorded Future 的威胁情报分析员,他过去曾与 Conti 团伙互动过,他证实了泄露的对话的真实性。泄露的数据包含 339 个 JSON 文件,每个文件由一整天的日志组成。从 2021 年 1 月 29 日到 2022 年 2 月 27 日的对话已被泄露。安全公司 IntelligenceX 提供了在线阅读。 在今天早些时候发布的电子邮件中,泄密者表示:“我们保证它非常有趣”。泄密者还表示他们计划在未来分享更多关于 Conti 的信息,而本次只是“开胃菜”。但这次泄密也是网络犯罪地下世界多日来动荡的结果,俄乌冲突也使这个社区出现了分裂。 虽然过去俄罗斯和乌克兰的黑客曾并肩作战,但自周二以来,这个兄弟会一直处于紧张状态,几个团体在两国的武装冲突中选择了立场。几个团伙已经站出来宣布计划发动网络攻击,支持双方中的一方,Conti 是众多选择站在俄罗斯一边的团伙之一。 (消息及封面来源:cnBeta)
去年恶意勒索资金中有 74% 流向了俄罗斯有关黑客手中
一项新研究表明,2021 年通过勒索软件攻击方式牟取的所有资金中有 74% 流向了俄罗斯有关的黑客手中。研究人员说,价值超过 4 亿美元的加密货币支付给了“极有可能与俄罗斯有关联”的团体。研究人员还称,大量基于加密货币的洗钱活动是通过俄罗斯加密公司进行。 这项研究是由 Chainalysis 公司进行的,它利用公共区块链交易记录,跟踪已知黑客组织的数字钱包的资金流向和流出。分析师说,他们知道哪些黑客组织是俄罗斯的,因为他们显示出各种特征,例如。 ● 他们的勒索软件代码的编写是为了防止它在检测到受害者的电脑位于俄罗斯或独联体国家时破坏文件 ● 该团伙在讲俄语的论坛上用俄语运作 ● 该团伙与美国通缉的所谓网络犯罪集团 Evil Corp 有联系。 这项研究进一步证明,许多网络犯罪团伙在俄罗斯或周边的独立国家联合体(CIS)–一个由讲俄语的前苏联国家组成的政府间组织–开展活动。然而,该报告只考察了网络犯罪团伙头目的资金流,许多人经营附属业务–基本上是将发动攻击所需的工具出租给他人–因此不知道为大团伙工作的个别黑客来自哪里。 (消息及封面来源:cnBeta)
Google 起诉两名俄罗斯人 称他们利用 Google 服务帮助操纵僵尸网络
Google 正起诉两名俄罗斯人,称他们操纵着一个复杂的僵尸网络发起了多次攻击,该网络已经悄悄地渗透到全球 100 多万台 Windows 机器中。在设备被感染之后,僵尸网络就会窃取用户的证书和数据,秘密挖掘加密货币,并设置代理,通过受感染的机器和路由器输送其他人的互联网流量。 图片来自于 internetsecurity 在一份提交给纽约南区美国地方法院的诉状中,Google 称俄罗斯国民德米特里·斯塔罗维科夫(Dmitry Starovikov)和亚历山大·菲利波夫(Alexander Filippov)是 Glupteba 僵尸网络的两个主要操作者,并列举了据称他们创建的 Gmail 和 Google Workspace 账户来帮助他们运作犯罪企业。 Google 声称,两名被告利用僵尸网络(被描述为“现代的、无边界的有组织犯罪的技术体现”),包括盗窃和未经授权使用 Google 用户的登录和账户信息。它要求 Starovikov 和 Filippov 支付赔偿金,并永久禁止使用 Google 服务。 Google 表示自 2020 年以来一直在追踪 Glupteba 僵尸网络,到目前为止,它已经感染了全球约 100 万台 Windows 机器,并且每天都在以数千台新设备的速度增长。一旦设备被感染,通常是欺骗用户通过第三方“免费下载”网站下载恶意软件–僵尸网络就会窃取用户的证书和数据,秘密挖掘加密货币,并设置代理,通过受感染的机器和路由器输送其他人的互联网流量。 Google在其投诉中补充说:”在任何时候,Glupteba 僵尸网络的力量都可能被用于强大的勒索软件攻击或分布式拒绝服务攻击。除了对所谓的 Glupteba 僵尸网络发起诉讼外,该公司的威胁分析小组(TAG)已经观察到该僵尸网络以美国、印度、巴西、越南和东南亚的受害者为目标。Google 宣布它已经与互联网托管服务提供商合作,破坏了该僵尸网络的关键指挥和控制(C2)基础设施。这意味着其运营商不再控制该僵尸网络,尽管Google警告说,由于Glupteba使用区块链技术作为一种弹性机制,它可能会卷土重来。 (消息及封面来源:cnBeta)
微软称俄罗斯黑客自 5 月以来至少入侵了 14 家 IT 供应链公司
微软表示,去年SolarWinds黑客事件背后由俄罗斯支持的Nobelium威胁集团仍在瞄准全球IT供应链,自2021年5月以来,有140家管理服务提供商(MSP)和云服务提供商受到攻击,至少有14家被攻破。 这次活动与Nobelium的传统做法相同,即通过攻破服务提供商来破坏一个重要的目标名单。就像以前的攻击一样,俄罗斯国家黑客使用了一个多样化和不断变化的工具包,包括一长串工具和战术,从恶意软件、密码喷剂、令牌盗窃到API滥用和鱼叉式网络钓鱼。这些新攻击的主要目标是为其客户部署和管理云服务和类似技术的经销商和技术服务提供商。 微软在发现这些攻击后通知了受影响的目标,还在威胁保护产品中增加了检测功能,使这些目标在未来能够发现入侵企图。自7月以来,超过600名微软客户成为目标。微软表示,自5月以来,它已经通知了140多个被Nobelium攻击的经销商和技术服务提供商。 微软将继续调查,但到目前为止,微软认为这些经销商和服务提供商中多达14家已经受到影响,但是总共有600多个微软客户被攻击了数千次,尽管在7月至10月期间攻击成功率很低。但是,这表明,Nobelium仍在试图发动类似于他们在攻破SolarWinds系统后发动的攻击,以获得对相关目标系统的长期访问,并建立间谍和渗透渠道。 Nobelium是俄罗斯对外情报局(SVR)的黑客部门,也被称为APT29、Cozy Bear和The Dukes。2021年4月,美国政府正式指责SVR部门协调了针对SolarWinds 广泛的网络间谍活动,导致多个美国政府机构被入侵。 (消息及封面来源:cnBeta)
拜登与普京通电话 呼吁对勒索软件攻击采取行动
白宫发布声明称,美国总统乔·拜登周五与俄罗斯总统弗拉基米尔·普京通电话,敦促普京采取行动打击该国的黑客。美国认为,世界各地公司最近遭到的勒索攻击是俄罗斯黑客所为。声明说,“拜登强调俄罗斯需要采取行动打击在俄罗斯运作的勒索软件组织,并强调他致力于继续应对勒索软件构成的更广泛威胁。” 声明称,拜登强调,面对这种持续的挑战,美国将采取任何必要行动保卫其人民和关键基础设施。白宫发言人Jen Psaki说,通话持续了大约1个小时。 Psaki告诉记者,美国和俄罗斯的网络官员将于下周举行会谈。 (消息及封面来源:新浪财经综合)
曝俄罗斯黑客组织 Cozy Bear 攻击了美共和党计算机系统
据外媒报道,隶属于Cozy Bear组织的俄罗斯国家黑客是上周针对Synnex的网络攻击的幕后策划者。Synnex是一家为美共和党全国委员会(RNC)提供IT服务的承包商。这次攻击可能泄露了该组织的信息。RNC一位发言人在接受彭博社采访时虽然否认了该组织的系统遭到黑客攻击,但证实其IT供应商之一Synnex已遭到曝光。 RNC就这次攻击发表了以下声明:“上周末,我们被告知第三方供应商Synnex遭到了网络攻击。为此我们立即屏蔽了Synnex帐号对我们云环境的所有访问。我们的团队跟微软合作以对我们的系统进行审查,经过彻底的调查没有RNC数据被访问。我们将继续跟微软及联邦执法官员就此事进行合作。” Synnex则在7月6日发布的一份声明中进一步证实它知道一些外部参与者试图通过Synnex访问微软云环境中的客户应用程序的实例。该公司声称正在跟微软和一家第三方安全公司一起评估这次攻击。据了解,这种操纵跟微软云交互的企业软件而不是直接追踪Azure或Office产品跟SolarWinds在2020年遭遇的黑客攻击有一些相似之处。 这种联系是有道理的:跟俄罗斯对外情报局SVR合作的Cozy Bear成员很大程度上被怀疑为非法目的操纵SolarWinds软件的幕后主使。SolarWinds的入侵可能会暴露100多家公司和政府机构的信息,甚至危及网络安全公司的工具,而这些工具旨在防止此类攻击。 美RNC遭黑客攻击跟民主党全国委员会(DNC)和希拉里·克林顿在2016年总统竞选期间遭遇的黑客攻击之间也存在着相似之处。那次入侵以及维基解密上数千封电子邮件的泄露最终导致俄罗斯军事情报机构GRU的12名成员被起诉。GRU跟另一个受熊类启发的俄罗斯黑客组织Fancy Bear存有关联。 彭博社表示,Cozy Bear的攻击可能是利用了这些勒索软件黑客作为一种掩护,即使他们没有这样做,攻击政治目标仍是一个持续存在的问题并且还不总是以戏剧性的泄露告终。 (消息及封面来源:cnBeta)
北约所用的云平台 SOA & IdM 被黑客入侵并威胁泄露数据给俄国
北约目前使用SOA & IdM平台来处理北极星(Polaris)计划中的几个基本功能,并且该机构将其列为关键设施并定义为机密级别,作为北约IT现代化计划的一部分,它被创建为提供集中的安全、整合和托管信息管理方案。 黑客声称,他们设法利用后门复制了这个平台上的数据,并试图敲诈安全解决方案商Everis。他们更进一步,半开玩笑说要把偷来的数据发给俄罗斯情报部门。 北极星项目官员保罗·豪兰解释了这个项目的好处。”这个项目有可能成为改变北约未来如何发展和部署其作战服务的游戏规则。它将推动创新和降低成本。通过确保对已部署的能力有更大的重复利用来实现操作”。 攻击背后的黑客说,他们最初并不知道他们可以利用北约平台上的漏洞。之前他们只关注Everis在拉丁美洲的企业数据,直到北约说它准备在发生网络威胁时采取行动。令他们惊讶的是,北约的一个安全平台就在Everis的子公司的掌管之中。 黑客们在分析了Everis公司并发现与无人机和军事防御系统有关的文件后,开始从该公司的网络中窃取更多数据。他们为破坏北极星计划的发展的活动辩护,说这一计划并不是”为了地球和网络世界的和平”。 黑客向Everis索要14500门罗币的赎金,这样他们就不会将其身份与LATAM航空公司的数据黑客联系起来。他们还要求用这笔赎金来换取不泄露北约的任何数据的保证。 (消息及封面来源:cnBeta)