北约目前使用SOA & IdM平台来处理北极星（Polaris）计划中的几个基本功能，并且该机构将其列为关键设施并定义为机密级别，作为北约IT现代化计划的一部分，它被创建为提供集中的安全、整合和托管信息管理方案。 黑客声称，他们设法利用后门复制了这个平台上的数据，并试图敲诈安全解决方案商Everis。他们更进一步，半开玩笑说要把偷来的数据发给俄罗斯情报部门。 北极星项目官员保罗·豪兰解释了这个项目的好处。”这个项目有可能成为改变北约未来如何发展和部署其作战服务的游戏规则。它将推动创新和降低成本。通过确保对已部署的能力有更大的重复利用来实现操作”。 攻击背后的黑客说，他们最初并不知道他们可以利用北约平台上的漏洞。之前他们只关注Everis在拉丁美洲的企业数据，直到北约说它准备在发生网络威胁时采取行动。令他们惊讶的是，北约的一个安全平台就在Everis的子公司的掌管之中。 黑客们在分析了Everis公司并发现与无人机和军事防御系统有关的文件后，开始从该公司的网络中窃取更多数据。他们为破坏北极星计划的发展的活动辩护，说这一计划并不是”为了地球和网络世界的和平”。 黑客向Everis索要14500门罗币的赎金，这样他们就不会将其身份与LATAM航空公司的数据黑客联系起来。他们还要求用这笔赎金来换取不泄露北约的任何数据的保证。   （消息及封面来源：cnBeta）

据外媒报道，美国一名联邦法官于当地时间周三判处一名俄罗斯男子5年监禁，罪名是他参与了利用恶意软件窃取相当于150万美元的美国纳税人纳税申报表的阴谋。据悉，35岁的Anton Bogdanov曾是利用会计软件漏洞将退税转到自己账户的一员。 据起诉书称，Bogdanov和他的同伙通过登录该软件以获取客户信息并更改收件人信息，进而将来自美国国税局(IRS)的钱转移到他们控制下的借记卡上。 Bogdanov更广为人知的化名是Kusok，他在犯罪期间居住在俄罗斯。2018年11月，他在泰国曼谷等待登上飞往俄罗斯的航班时被捕，进而成为美国当局在一次国际度假期间逮捕的多名被指控的网络罪犯之一。 FBI纽约分局副局长William Sweeney Jr.周三在一份声明中说道：“当受害者得知Bogdanov和他的同伙在俄罗斯时，他们可能认为正义难以伸张。今天的结果应该提醒我们，我们的影响是全球性的，我们专注于阻止网络罪犯，无论他们可能藏在哪里。” 如果所有罪名成立，Bogdanov将面临27年的监禁。据悉，在2019年3月从泰国被引渡到美国后，Bogdanov于2020年1月认罪。   （消息及封面来源：cnBeta）

据外媒报道，据两名熟悉此次网络更经济的美国国会消息人士透露，去年，疑似俄罗斯黑客窃取了数千封国务院官员的电子邮件。这是在不到10年时间里由克里姆林宫支持的对美国务院电子邮件服务器发起的第二起已知攻击。 美国会消息人士称，黑客侵入了国防部欧洲和欧亚事务局及东亚和太平洋事务局的电子邮件。第三位官员称，目前看来，这个机密网络还没有被攻破。 目前尚不清楚被盗国务院电子邮件是否是SolarWinds间谍活动的一部分。据悉，SolarWinds是俄罗斯黑客潜入躲美联邦政府和私营部门网络利用的一家软件开发IT公司–在政府和私营机构都有使用。据《华盛顿邮报》(The Washington Post)报道，美国国务院就使用了SolarWinds软件并在漏洞中暴露了自己。 这一具体事件以前没有被报道过。 美国务院发言人在回应有关黑客攻击的问题时称：“国务院有认真履行保护信息安全的责任并不断采取措施确保信息受到保护。出于安全原因，我们目前无法讨论任何所谓网络安全事件的性质或范围。” 负责网络和新兴技术的副国家安全顾问Anne Neuberger在一份声明中指出，白宫对具体机构不予置评。 “去年有几家联邦机构遭到黑客攻击。作为政府SolarWinds审查的一部分，我们发现联邦机构在网络安全防御方面存在巨大漏洞。我们确定了五个具体的网络安全现代化领域、评估了针对这些领域的机构并正在实施一个‘重建更好’计划以迅速资助和推出这些技术进而弥补漏洞并使我们的网络安全方法更现代化，”Neuberger说道。 美国务院电子邮件被盗事件表明，被怀疑是俄罗斯黑客的人获得的美国政府资料比公众此前所知的要多。受影响的办事处负责处理跟北约、欧洲和印度-太平洋伙伴等美国盟友有关的问题。 这次黑客攻击引发了人们对美国国务院网络安全实践的质疑–这是10年内已知的疑似俄罗斯黑客攻入美国务院的电子邮件服务器的第二次。2015年，俄罗斯黑客成功侵入国务院的网络和白宫的电脑。新冠大流行五一加剧了这种风险，因为许多联邦雇员在不那么安全的系统上远程工作。 对此，俄罗斯大使馆发言人没有立即回应置评请求。           （消息来源：cnBeta；封面源自网络）

由联邦调查局（FBI）和网络安全基础设施安全局（CISA）联合撰写的网络安全报告书，记载有关俄罗斯政府支持的、针对美国政府及航空网络的恶意攻击事件。该报告书持续更新CISA-FBI联合网络安全的相关信息。 最早从2020年9月起，由俄罗斯政府支持的、被称为Berserk Bear、Energetic Bear、TeamSpy、Dragonfly、Havex、Crouching Yeti和Koala的APT黑客就开展了针对美国政府的网络攻击。该APT黑客企图攻击多个SLTT组织并成功破坏了其网络基础设施，截至2020年10月1日，已窃取了至少两台服务器的数据。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1383/       消息来源：us-cert.cisa.gov ，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，当地时间周四欧盟宣布对俄罗斯实施制裁，因为认为后者参与了2015年入侵德国议会网络事件。欧盟对俄罗斯陆军下属的军事情报机构GRU及其两名军官进行了制裁。这两名GRU军官被确认为Dmitry Badin和Igor Kostyukov。 欧盟官员表示，Badin是2015年4月至5月期间入侵联邦议院IT网络的俄罗斯军事情报人员团队的一员。 “这次网络攻击的目标是议会的信息系统，并影响了议会数天的运作，”欧盟周四说。“大量数据被窃取，多名议员以及总理默克尔的电子邮件账户受到影响。” Kostyukov因担任GRU第一副负责人而受到制裁。欧盟官员表示，Kostyukov指挥着第85特种服务主中心（GTsSS），该中心也被称为军事单位26165，但在网络安全行业更常见的黑客代号为APT28、Fancy Bear、Sofacy或Strontium。 德国当局自今年早些时候对Badin提出正式指控后，一直在推动欧盟就2015年黑客事件对俄罗斯进行正式制裁。俄罗斯当局表示，德国从未就2015年联邦议院黑客事件和Badin的指控提供任何证据，指责柏林政府追逐制裁，而不是真的想把这位GRU官员送上法庭。 Badin在美国也被指控在APT28期间进行了一长串的黑客攻击，如针对世界反兴奋剂机构（WADA）、禁止化学武器组织（OPCW）的网络攻击，以及参与美国的政治虚假信息工作。 周四天的公告是欧盟今年对俄罗斯黑客实施的第二波制裁。布鲁塞尔官员在7月底制裁了四名GRU官员，因为他们试图入侵禁化武组织的WiFi网络。制裁内容包括旅行禁令和资产冻结。欧盟公民和企业被禁止与任何受制裁实体进行交易。     （消息及图片来源：cnBeta）

据外媒报道，FBI和美国网络安全与基础设施安全局(CISA)的情报专家于当地时间周四在一份联合声明中称，俄罗斯政府支持的黑客攻击了数十个州和地方政府的计算机网络并成功侵入了其中一些。另外据披露，黑客还从至少两台服务器上获取了数据。 根据声明，这个有时被称为Energetic Bear的组织的黑客跟俄罗斯政府存有关联，他们登录了政府管理员账号然后在敏感系统中行动。被盗的数据包括附加密码以及有关各国政府如何使用双重认证和密码重置请求等安全功能的信息。另外它还包括如何打印访问徽章以及政府跟哪些供应商合作的信息。 FBI和CISA在声明中表示，这些数据包括可能帮助黑客破坏选举的信息，但他们补充称，他们迄今还没有掌握表明选举数据的完整性受到了损害的证据。 而就在一天前，美国家情报总监John Ratcliffe和FBI局长Christopher Wray在新闻发布会上表示，俄罗斯和伊朗曾试图干预美国总统选举。Ratcliffe指出，伊朗黑客发送欺诈性电子邮件威胁选民告诉他们必须在即将到来的选举中投票给特朗普总统。 《纽约时报》周四援引匿名消息来源的一篇报道称，美情报官员认为来自俄罗斯的威胁更复杂、更严重。   （消息来源：cnbeta ；封面来自网络）

即使没有可利用的软件漏洞，黑客也总是会找到入侵的方法。 FBI逮捕了一名俄罗斯公民，他最近前往美国，并向目标公司的一名员工行贿100万美元，以帮助他将恶意软件手动安装到该公司的计算机网络中。 8月1日至8月21日，27岁的Egor Igorevich Kriuchkov作为一名游客进入美国，他曾多次与内华达一家未透露姓名的公司的雇员会面，讨论这起阴谋，之后在洛杉矶被捕。 法庭文件提到： “大约在7月16日左右，Egor Igorevich Kriuchkov用他的WhatsApp帐户联系了受害公司的雇员，并安排亲自去内华达州探望。” “大约在7月28日左右，Egor Igorevich Kriuchkov使用了他的俄罗斯护照和B1 / B2旅游签证进入了美国。” Kriuchkov还要求员工通过分享有关公司基础架构的信息来参与定制恶意软件的开发。 根据美国司法部公布的法庭文件，Kriuchkov要求安装的恶意软件旨在从该公司的网络中提取数据，使攻击者能在以后威胁该公司，要求该公司支付赎金。 Kriuchkov和他在俄罗斯的同谋向该雇员承诺，在成功植入上述恶意软件后，将支付100万美元比特币，并提出对该公司网络发起DDoS攻击，以转移人们对该恶意软件的注意力。 “如果CHS1 [员工]同意这一安排，他们将提供用于插入电脑的u盘或带有恶意软件附件的电子邮件。” “身份不明的同谋讨论了支付雇员的各种方式，包括使用加密货币，担保人保证金或现金支付。” “在与联邦调查局联系后，Kriuchkov一夜之间从内华达州里诺开车到洛杉矶。克里奥科夫要求一位熟人为他购买飞机票，以试图飞出该国。” 在被联邦调查局逮捕后，联邦调查局对Kriuchkov及其会议进行了实时监视，Kriuchkov列出了该团伙之前针对的公司，并透露每一个目标公司中都有人在代表该团伙安装恶意软件。 我们需要注意的是，一些高调的勒索软件和数据泄露攻击很有可能是由内部人士以同样的方式实施的。 最终，Kriuchkov被控一项共谋罪，意图故意对受保护的计算机造成损害。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

英国、美国和加拿大政府指控俄罗斯国家情报机关以黑客方式入侵国际制药和学术研究机构，以期赢得研制Covid-19疫苗的竞赛。 目前尚不清楚研究机构是否受损，或疫苗项目是否因黑客行动受阻，但上述国家官员警告说网络攻击仍在进行中。 英国国家网络安全中心（NCSC）周四在一份出人意料的声明中表示，多个国家的疫苗和治疗部门成为攻击目标。但该机构没有列出受此影响的机构名称及数量。 英国指，实施黑客入侵的组织名为APT29，称其“几乎可以肯定”是俄罗斯国家情报部门的组成部分。该小组还被称为Cozy Bear或The Dukes，针对英国、美国和加拿大的疫苗研发组织。 NCSC称，恶意活动一直在进行，主要针对政府、外交、智囊机构、卫生和能源目标，旨在窃取有价值的知识产权。 俄罗斯否认涉及任何针对新冠病毒疫苗的黑客活动。克里姆林宫发言人Dmitry Peskov对彭博说：“我们不知道什么人可能黑入了制药公司和研究中心。我们只能说，俄罗斯与这些企图毫无关联。”     （稿源：新浪财经，封面源自网络。）

2014年一个名为Turla Group的恶意软件组织消息出现，爱沙尼亚外交情报局推断它源于俄罗斯，代表俄罗斯联邦安全局（FSB）进行运作，该组织核心恶意软件也被公开描述为第一个滥用第三方程序来禁用DSE的案例。在Windows Vista中引入了这种安全机制，以防止未签名的驱动程序加载到内核空间。Turla利用了签名的VirtualBox驱动程序——VBoxDrv.sysv1.6.2来停用DSE，然后对未签名的有效负载驱动程序进行加载。 然而，这个漏洞有一些混淆，它被称为CVE-2008-3431。Turla使用的漏洞实际上滥用了两个漏洞，其中只有一个在前面提到的CVE中被修复过。另一个漏洞与CVE-2008-3431一起用在第一个攻击版本中，第二个攻击版本大约在2014年引入了内核模式恶意软件，其只使用了未修补的漏洞，我们将在后面详细讨论。 2019年2月，Unit 42发现了尚未知晓的威胁因素（信息安全社区不知道），发现第二个未修补的漏洞不仅可以利用VirtualBox VBoxDrv.sys驱动程序 v1.6.2，还可以利用 v3.0.0以下的所有其他版本。此外我们研究发现这个未知的参与者利用VirtualBox驱动程序2.2.0版，在2017年攻击至少两个不同的俄罗斯组织。我们猜测这样做是因为驱动程序版本2.2.0并不易受攻击，因此很可能不会被安全公司发现。由于没有发现其他受害者，我们认为这是一个非常罕见的恶意软件，仅用于目标攻击。 操作者使用了一个之前未知的恶意软件家族，我们称之为AcidBox。由于该恶意软件的复杂性、稀有性以及它是一个更大的工具集的一部分这一事实，我们相信它被高级威胁参与者用于定向攻击。如果攻击者仍然活跃的话，这个恶意软件很可能今天仍在使用。但是，我们预计它在一定程度上被重写了。根据我们掌握的信息，我们认为除了使用过的漏洞之外，这个未知的威胁因素与Turla无关。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1247/     消息来源：paloaltonetworks，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

本周早些时候，全球最大的200多家内容传输网络（CDN）和云主机提供商的流量被怀疑通过俄罗斯国有电信运营商Rostelecom转发。该事件影响了200多个网络的8800多条互联网流量路线。受影响的公司都是云和CDN市场的知名企业，包括Google、Amazon、Facebook、Akamai、Cloudflare、GoDaddy、Digital Ocean、Joyent、LeaseWeb、Hetzner和Linode等公司。 受害网络的完整名单可以参考这个Twitter信息流地址： https://twitter.com/search?q=AS12389%20(from%3Abgpstream)%20until%3A2020-04-07%20since%3A2020-04-01&src=typed_query 这次事件是一个典型的 “BGP劫持”，BGP是边界网关协议的缩写，BGP是全球互联网网络之间的互联网流量路由系统，从设计上，整个系统就非常脆弱，因为任何一个参与网络都可以简单地 “撒谎”式地发布一个BGP路由通告，例如声称 “Facebook的服务器”在他们的网络上，随后所有的互联网实体都会把它当作合法的目标，从而将Facebook的流量全部发送到劫持者的服务器上。 过去，在HTTPS被广泛用于加密流量之前，BGP劫持允许攻击者进行中间人（MitM）攻击，拦截和改变互联网流量。 如今，BGP劫持仍然是危险的，因为它可以让劫持者记录流量，并试图在以后的日子里对流量进行分析和解密，现时由于密码学科学的进步，用于保护流量的加密技术已经被削弱。 自90年代中期以来，BGP劫持一直是互联网主干网的一个问题，多年来通信从业者一直在努力加强BGP协议的安全性，自此产生了ROV、RPKI，以及最近的MANRS等项目。然而，在采用这些新协议方面的进展一直很缓慢，BGP劫持事件仍时有发生。 专家们过去曾多次指出，并非所有的BGP劫持都是恶意的。大多数事件可能是人为操作者误输入了一个ASN(自主系统号，即互联网实体的识别代码)，意外劫持了该公司的互联网流量。 然而，一些实体的BGP劫持事件的幕后黑手仍然时有发生，许多专家在事件的背后都被贴上了可疑的标签，说明这些事件不仅仅是意外。 Rostelecom（AS12389）虽然没有像之前部分国家的运营商那样直接故意地参与到BGP劫持事件中，但其背后也有很多类似的可疑事件。 上一次抢占头条的Rostelecom重大劫持事件发生在2017年，当时该电信公司劫持了包括Visa、Mastercard、汇丰银行等全球最大的金融实体的BGP路由。 这一次，通信业内还没有定论。BGPMon的创始人Andree Toonk正在给予俄罗斯电信公司以怀疑的理由。Toont在Twitter上表示，他认为这次 “劫持 “事件发生的原因是俄罗斯电信内部的流量整形系统可能在公共互联网上不小心暴露了错误的BGP路由，而不是俄罗斯电信内部网络的整体问题。 不幸的是，这个小小的失误被Rostelecom的上游供应商拿着新公布的BGP路由在互联网上重新传播，从而将BGP劫持事件在几秒钟内放大了，这让这个小错误变得更加严重。 但是，过去很多互联网专家也曾指出，故意的BGP劫持是有可能出现的，因为没有人能够分辨出来差异。在国家控制的电信实体中发生的BGP劫持一向被视为可疑-主要是由于政治因素，而不是技术原因。   (稿源：cnBeta，封面源自网络。）