HackerNews 编译，转载请注明出处： 上周五，新西兰宣布对俄罗斯格鲁乌（GRU）情报机构下属29155单位（Unit 29155）实施制裁，因其涉嫌参与针对乌克兰实施网络攻击。此次制裁措施包括资产冻结、旅行禁令，并禁止新西兰公民和企业向指定实体提供资金。 据西方安全机构表示，29155单位涉嫌在欧洲参与间谍活动、破坏行动和暗杀阴谋。早在2022年莫斯科全面入侵乌克兰前夕，该单位就曾主导了对乌克兰政府网络的WhisperGate恶意软件攻击。新西兰外交部长温斯顿·彼得斯在声明中表示：“俄罗斯一直非法使用恶意软件攻击乌克兰政府网络。”但关于相关细节并未过多透露。乌克兰总统泽连斯基对此举表示欢迎，称新西兰最新对俄制裁是“对乌克兰的强力支持信号”。 根据美国多家联邦机构的联合咨询，自2022年以来，29155单位一直专注于通过破坏性网络行动、数据窃取以及在欧洲、北美、拉丁美洲和中亚的侦察活动来破坏外界对乌克兰的援助。2024年，美国司法部已起诉该单位的成员，并悬赏1000万美元征集定罪该单位的信息。 此前，这些黑客也已成为其他国家的制裁目标。今年1月，欧盟制裁了29155单位三名涉嫌成员，因其参与2020年对爱沙尼亚部委的网络攻击，窃取了数千份政府和企业机密文件。7月，英国制裁了包括29155单位在内的三个格鲁乌下属单位，指控其侦察行动协助了导致乌克兰平民死亡的袭击。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 当奥列克桑德尔·波季伊（Oleksandr Potii）去年11月接管乌克兰网络安全机构时，他的任务清单急剧增加。曾经只负责少数政策领域的这位准将，其职责范围扩大到十几个领域——从保护关键基础设施到在全面战争中协调网络防御。 波季伊被任命为国家特殊通信和信息保护局（SSSCIP）的负责人，正值乌克兰在战场和网络空间都遭受俄罗斯无情攻击之际。他是自2022年克里姆林宫入侵以来该机构的第三任负责人。 作为一名拥有超过25年乌克兰武装部队经历的前信息安全教授，波季伊对莫斯科的能力直言不讳：“我们看到俄罗斯的技术水平很高，其潜力很强。我们不能低估他们，”他在一次采访中表示。 “俄罗斯不仅有能力，而且还有动机和政治意愿去使用这些能力。他们的智力资源不是用于建设自己的国家，而是用于破坏。” 在基辅的SSSCIP办公室接受 Recorded Future News 采访时，波季伊谈到了乌克兰不断发展的网络能力以及与西方盟友的合作——同时警告说，即使在战争的第三年，莫斯科的黑客仍然资源充足、动机明确且受政治驱动。 俄罗斯网络战略的转变 据波季伊称，与战争初期相比，“关键”网络攻击的数量有所减少，这些大规模行动旨在使关键基础设施瘫痪，他认为这一变化归因于乌克兰的防御能力增强以及发动此类行动的成本增加。 “每一次大规模关键攻击都需要精心准备、资源、工具、计划，并与其他行动进行协调，”他解释道。“也许俄罗斯不再有足够的资源发动这样的攻击，因为乌克兰继续加强其防御，降低了网络攻击成功的几率，同时增加了发动攻击所需的时间和精力。” 根据SSSCIP的一份报告，乌克兰计算机应急响应小组（CERT-UA）在2024年检测到59起关键和高级别的网络事件，而2023年为367起，2022年为1048起。 与此同时，非关键网络行动——从间谍活动到分布式拒绝服务攻击——有所增加。“也许俄罗斯正在节省资源。也许它仍有潜力但正在等待。或者也许乌克兰有效地阻止了这些攻击，”波季伊说。 波季伊表示：“我们看到网络活动直接取决于俄罗斯的政治目标和战略。”俄罗斯的网络活动反映了其政治战略的转变。最初，莫斯科试图破坏乌克兰社会的稳定并诋毁其机构。当这一企图失败后，它转向了间谍活动、数据盗窃和大规模破坏。 “我们看到网络活动直接取决于俄罗斯的政治目标和战略。攻击的重点和方向相应地发生变化，”他说。“通过预测俄罗斯政治优先事项的变化，我们也可以预测近期可能出现的攻击类型。” 随着冬季的临近，他预计克里姆林宫将重新瞄准乌克兰的能源网络和其他关键服务。“我们预计他们会发动传统打击，同时试图破坏维持关键基础设施运行的系统，”他说。 乌克兰的防御和伙伴关系 为了应对这一威胁，乌克兰依靠其网络防御力量之间的紧密合作以及国际伙伴的支持。CERT-UA目前正在追踪大约80个针对乌克兰的黑客组织——每个组织都有一个代号和独特的战术。 “由于我们维护着他们的战术数据库，我们可以预测下一步行动，通知伙伴并制定对策，”波季伊说。“对这些组织进行持续的技术研究使我们能够及时发现攻击并及时做出回应。” 据波季伊称，与欧洲和美国的信息共享仍然是乌克兰网络防御的核心。因此，基辅在最近美国领导层变动期间担心美国的支持是否会受到影响。 波季伊表示，尽管华盛顿发生了政治变化，但乌克兰与美国的技术联系仍然稳定。“我们与美国的合作几乎保持在同一水平，”他说。“在技术层面，没有任何变化：我们共享信息，他们帮助我们，我们也帮助他们。” 乌克兰正试图向伙伴，包括美国，保证他们的援助有利于他们自身的安全。“这不仅仅是援助——这是对我们共同安全的投资，”波季伊说。“我们让伙伴访问我们的平台，他们也让我们访问他们的平台。” 例如，乌克兰专家在美国接受了最新的网络安全和基础设施安全局（CISA）工具的培训，这些工具现在正在乌克兰积极部署。来自乌克兰数字战场的数据也帮助盟友更好地了解俄罗斯的黑客技术，这些技术可能会被用于攻击西方网络。 这种合作不仅限于美国，乌克兰还通过双边安全协议和备忘录与欧洲伙伴合作。“这些备忘录不仅仅是纸上的东西——它们是具体的计划，”波季伊说。 展望未来 波季伊于2020年加入SSSCIP，并在一系列领导层变动后于去年被任命为该机构负责人。前负责人尤里·米罗年科（Yury Myronenko）在任职仅一年后辞职，成为国防部副部长。 米罗年科的前任尤里·什丘格尔（Yurii Shchyhol）及其副手维克托·若拉（Viktor Zhora）于2023年被解职，当时正在调查涉嫌挪用国家资金的案件。他们被指控参与了一项软件采购计划，据称他们在2020年至2022年间窃取了170万美元。 波季伊表示，领导层的变动并没有影响该机构的效率，因为它有“制度记忆”——制度中嵌入的程序、文化和专业知识，而不仅仅是个人。 “新负责人可能会在一定程度上调整优先事项，但多年来SSSCIP一直在扩大其能力，”他说。“领导层的变动不是一场革命，而是为了与总统和总理设定的职能相一致而进行的调整。” 据波季伊称，乌克兰在网络空间的成功依赖于三个支柱——人员、技术和流程——这些必须随着战争的拖延而不断适应。他还补充说，建立伙伴之间的信任同样重要。“我们有我们信任的伙伴，也有我们不信任的伙伴。我们需要扩大值得信任的伙伴圈子——并确保他们也信任我们。” 随着俄罗斯继续试验新的工具和战术，这种信任将受到考验。波季伊以对乌克兰国家铁路公司（Ukrzaliznytsia）的攻击为例，提醒人们所面临的风险。“像对乌克兰国家铁路公司的严重攻击表明，俄罗斯进行了彻底的准备，并开发了全新的工具。这就是为什么这次攻击造成了重大干扰。” 尽管关键事件的数量有所下降，波季伊指出威胁依然存在。“俄罗斯的动机不会消失，”他说。“我们能做的是在技术上阻碍他们，使他们的行动复杂化。”     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个可能来自俄罗斯的威胁行为者被归因于针对哈萨克斯坦能源部门的新一轮攻击活动。 这一活动代号为“BarrelFire行动”，与Seqrite实验室追踪的新威胁组织Noisy Bear有关。该威胁行为者自2025年4月以来一直处于活跃状态。 “该活动针对的是KazMunaiGas（简称KMG）的员工，威胁实体发送了一份与KMG信息技术部门相关的虚假文件，模仿官方内部沟通，并利用政策更新、内部认证程序和薪资调整等主题，”安全研究员Subhajeet Singha表示。 感染链始于一封带有ZIP附件的网络钓鱼电子邮件，其中包含一个Windows快捷方式（LNK）下载器、一份与KazMunaiGas相关的诱饵文件，以及一个包含用俄语和哈萨克语书写的运行名为“KazMunayGaz_Viewer”程序的说明的README.txt文件。 据这家网络安全公司称，该电子邮件是通过一名在KazMunaiGas财务部门工作的个人的被入侵电子邮件地址发送的，并在2025年5月针对该公司其他员工。 LNK文件的有效载荷旨在投放额外的有效载荷，包括一个为名为DOWNSHELL的PowerShell加载器铺平道路的恶意批处理脚本。这些攻击最终部署了一个基于DLL的植入程序，这是一个64位二进制文件，可以运行shellcode以启动反向shell。 对Noisy Bear基础设施的进一步分析显示，其托管在俄罗斯的防弹托管（BPH）服务提供商Aeza Group上，该提供商因支持恶意活动而在2025年7月被美国制裁。 这一消息是在HarfangLab将一个与白俄罗斯有关联的威胁行为者（被称为Ghostwriter，也叫FrostyNeighbor或UNC1151）与自2025年4月以来针对乌克兰和波兰的活动联系起来之后发布的，这些活动使用恶意的ZIP和RAR档案，旨在收集有关被入侵系统的信息并部署用于进一步利用的植入程序。 “这些档案包含带有VBA宏的XLS电子表格，该宏会投放并加载一个DLL，”这家法国网络安全公司表示。“后者负责收集有关被入侵系统的信息，并从命令与控制（C2）服务器检索下一阶段恶意软件。” 该活动的后续迭代被发现会写入一个Microsoft Cabinet（CAB）文件以及LNK快捷方式，以从档案中提取并运行DLL。然后DLL会进行初步侦察，然后从外部服务器投放下一阶段恶意软件。 另一方面，针对波兰的攻击调整了攻击链，使用Slack作为信标机制和数据泄露渠道，反过来下载一个与域名pesthacks[.]icu建立联系的第二阶段有效载荷。 至少在一个案例中，通过带有宏的Excel电子表格投放的DLL被用来加载一个Cobalt Strike Beacon，以促进进一步的后期利用活动。 “这些小的变化表明UAC-0057可能正在探索替代方案，很可能是为了绕过检测，但优先考虑其行动的连续性或发展，而不是隐蔽性和复杂性，”HarfangLab表示。 这些发现正值OldGremlin在2025年上半年重新对俄罗斯公司发起勒索攻击，利用网络钓鱼电子邮件活动针对多达八家大型国内工业企业。 据卡巴斯基称，这些入侵涉及使用“自带易受攻击驱动程序”（BYOVD）技术来禁用受害者计算机上的安全解决方案，以及使用合法的Node.js解释器来执行恶意脚本。 针对俄罗斯的网络钓鱼攻击还投放了一种名为Phantom Stealer的新信息窃取器，它基于一个名为Stealerium的开源窃取器，利用与成人内容和支付相关的电子邮件诱饵收集各种敏感信息。它还与另一个名为Warp Stealer的Stealerium分支有重叠。 据F6称，Phantom Stealer还继承了Stealerium的“色情检测器”模块，当用户访问色情网站时，该模块会通过监控活动浏览器窗口以及标题是否包含色情、性等可配置术语来捕获网络摄像头截图。 “这很可能被用于‘色情勒索’，”Proofpoint在其对恶意软件的分析中表示。“虽然这一功能在网络犯罪恶意软件中并不新颖，但并不常见。” 在最近几个月，俄罗斯组织还遭受了被追踪为Cloud Atlas、PhantomCore和Scaly Wolf的黑客组织的攻击，这些组织利用VBShower、PhantomRAT和PhantomRShell等恶意软件家族来收集敏感信息并投放额外的有效载荷。 另一组活动涉及一种新的安卓恶意软件，它伪装成俄罗斯联邦安全局（FSB）创建的杀毒工具，以针对俄罗斯企业的代表。这些应用程序的名称包括SECURITY_FSB、ФСБ（俄语中的FSB）和GuardCB，后者试图冒充俄罗斯联邦中央银行。 这种恶意软件最初于2025年1月被发现，它从即时通讯和浏览器应用程序中窃取数据，从手机摄像头中获取视频流，并通过获取访问短信、位置、音频、摄像头的广泛权限来记录按键。它还要求在后台运行、设备管理员权限和无障碍服务。 “该应用程序的界面只提供一种语言——俄语，”Doctor Web表示。“因此，该恶意软件完全针对俄罗斯用户。后门还使用无障碍服务来防止自己被删除，如果它从威胁行为者那里收到相应的命令。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧盟委员会方面表示：欧盟委员会主席乌尔苏拉·冯德莱恩的飞机在保加利亚上空遭遇疑似俄罗斯的GPS干扰，但已安全降落。 欧盟确认乌尔苏拉·冯德莱恩的飞机在飞往保加利亚途中经历了GPS干扰。欧洲当局怀疑是俄罗斯进行了干扰，不过飞机最终安全降落。保加利亚官员提供了这一信息，欧盟发言人则称其为“公然的干扰行为”。 欧盟发言人表示：“我们确实可以确认发生了GPS干扰，但飞机已在保加利亚安全降落。我们从保加利亚当局获得的信息显示，他们怀疑这是俄罗斯的公然干扰所致。” 冯德莱恩的专机在普罗夫迪夫附近失去GPS信号，被迫盘旋一小时后使用模拟地图进行手动降落。官员将此事归咎于俄罗斯的干扰。保加利亚当局报告称，自2022年以来，GPS干扰和欺骗事件激增，这对飞机和地面系统的运行造成了干扰。 英国《金融时报》报道称：“周日下午，一架载有冯德莱恩前往普罗夫迪夫的飞机在接近该市机场时失去了电子导航辅助设备，三名了解事件的官员表示，这被视为俄罗斯的干扰行动。”其中一名官员称：“整个机场区域的GPS都失灵了。” 克里姆林宫发言人德米特里·佩斯科夫告诉《金融时报》：“你们的信息不正确”。 保加利亚当局确认该飞机的GPS信号被中和，空中交通管制随后使用地面导航工具提供了替代的降落指导以确保安全。 欧盟委员会称“威胁和恐吓是俄罗斯敌对行为的常规组成部分”，并表示此次事件将强化其“提升防御能力并支持乌克兰”的承诺。 在冯德莱恩前往保加利亚的航班受到GPS干扰后，欧盟计划发射更多近地轨道卫星以探测此类干扰。 在波罗的海附近飞行的航空公司报告了数万起GPS干扰事件。2024年3月，俄罗斯黑客通过电子战攻击击落了英国国防大臣格兰特·沙普斯所乘的皇家空军达索猎鹰900喷气式飞机的GPS和通信系统。当时，英国国防大臣格兰特·沙普斯的皇家空军达索猎鹰900喷气式飞机从波兰（他在那里访问了参加“坚定卫士”演习的英国部队）飞回英国。 《太阳报》的防务编辑当时就在这架皇家空军达索猎鹰900喷气式飞机上，他报道称GPS和通信系统被疑似俄罗斯发起的干扰攻击禁用。 皇家空军飞行员确认，在格兰特·沙普斯的飞机飞近俄罗斯飞地加里宁格勒（与波兰接壤）期间，GPS和其他信号被阻塞了将近30分钟。 没有GPS也可以飞行，但这会增加工作负荷、降低效率，并在能见度差的情况下限制进近的精度。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队成功挫败了一起试图利用微软认证流程发起的水坑攻击。该攻击活动被认定为与俄罗斯国家级黑客组织APT29有关。 在8月29日发布的帖子中，亚马逊首席信息安全官（CISO）CJ·摩西（CJ Moses）分享了该攻击活动的细节。其团队在发现由APT29控制的域名后，锁定了这起攻击。 水坑攻击是一种针对性网络攻击活动，黑客会入侵特定用户群体常访问的网站，并将用户重定向至恶意基础设施。其目的是投放恶意软件、窃取凭据或实施网络间谍活动。 在此次事件中，亚马逊发现多个合法网站被植入JavaScript代码，这些代码会将约10%的访客重定向至APT29控制的域名。攻击者的目标是诱骗用户通过微软的设备代码认证流程，授权由攻击者控制的设备。 这些域名（包括findcloudflare[.]com）模仿Cloudflare验证页面，以伪装成合法网站。 摩西写道：“亚马逊云服务（AWS）系统未受到入侵，也未观察到AWS服务或基础设施受到直接影响。” 代码分析显示，攻击者采用了多种规避检测的技术，包括随机重定向、Base64编码和持久化Cookie。此外，当防御系统拦截恶意基础设施时，威胁行为体会迅速转向新的域名和服务器，以维持攻击活动的持续性。 APT29攻击目标已超越政府人员 APT29是一个知名的网络威胁组织，拥有多个别名，包括“午夜暴风雪”（Midnight Blizzard）、“舒适熊”（Cozy Bear）、“诺贝尔奖”（Nobelium）和“公爵”（The Dukes）。该组织被美西方国家认为与俄罗斯对外情报局（SVR）有关联，至少自2013年以来一直活跃。 APT29以针对政府和关键行业实施间谍活动与情报收集著称，但近期观察显示其攻击目标范围正不断扩大。据报道，该组织参与了多起鱼叉式钓鱼活动，包括2025年4月针对欧洲外交官、以品酒会为主题的钓鱼攻击，以及2025年6月针对英国俄罗斯信息作战专家基尔·贾尔斯（Keir Giles）的攻击活动。 亚马逊威胁情报团队表示，此次新的水坑攻击“表明APT29在不断升级其攻击手段，扩大行动规模，以在情报收集工作中撒下更广泛的网”。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国检方已对一名30岁男子提起诉讼，指控其对俄罗斯国有石油巨头旗下德国子公司Rosneft Deutschland实施网络攻击。此次攻击发生在莫斯科全面入侵乌克兰后的数周内，导致公司运营瘫痪并造成千万欧元损失。 柏林检察官办公室于周三表示，该嫌疑人面临两项数据间谍罪指控，其中一项包括特别严重的电脑破坏罪。联邦刑事警察局（BKA）调查人员此前指控其在2022年3月的入侵过程中窃取了约20太字节数据，并删除了关键系统中的信息。黑客身份尚未公开。 失窃数据后来在一个由被告与“匿名者”黑客组织另外两名成员共同运营的网站上公布。该网站包含部分文件列表，已于2023年中期停止运营。 自称“德国匿名者”的黑客组织于2022年3月披露了此次入侵，声称已清除了数十台设备的信息（包括59台苹果系统），并将“荣耀归于乌克兰”的标语嵌入Rosneft的基础设施中。网上发布的截图显示他们已获取管理员权限。 检方表示，此次攻击迫使Rosneft Deutschland关闭其IT系统并启动取证调查，产生后续成本约976万欧元（约1139万美元）。内部通信和运营连续数日严重中断，物流交付受阻，导致额外经济损失约260万欧元（超过300万美元）。 当时，德国联邦信息安全局（BSI）警告称，该事件限制了公司提供关键服务的能力。 “匿名者”声称其动机是Rosneft与俄罗斯总统普京的密切关系，以及该公司逃避制裁的行为。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯一名高级官员表示，政府正在考虑封禁视频会议服务 Google Meet。此前，上周末该服务在俄罗斯出现了短暂中断。 国家杜马信息技术委员会副主席安德烈·斯温佐夫（Andrei Svintsov）表示，被认为对国家安全构成威胁的西方应用程序最终可能会被禁止。 “那些能够监视我国公民并向西方情报机构发送信息的应用程序很可能会被屏蔽，”斯温佐夫在评论近期 Google Meet 中断事件时对当地媒体表示，并补充说该服务目前尚未被禁。 监控服务 Downdetector 周五收到了超过 2300 起关于 Meet 运行状况的投诉，用户报告了通话卡顿冻结、视频和音频消失以及应用程序关闭等问题。访问随后恢复。谷歌未回应置评请求。 俄罗斯互联网监管机构 Roskomnadzor 否认对 Meet 实施了限制。斯温佐夫暗示，故障可能是由于本月早些时候俄罗斯限制了 WhatsApp 和 Telegram 的通话功能后用户涌入造成的。 独立记者和数字权利专家表示，随着克里姆林宫推动推广一款名为 Max 的国家支持的消息应用，封禁 Meet 是可能的。Max 由 VKontakte 创始人帕维尔·杜罗夫的继任团队开发，仿照中国微信模式。从 9 月开始，Max 将预装在俄罗斯销售的所有新智能手机上。 本月早些时候，莫斯科屏蔽了 WhatsApp 和 Telegram 的语音和视频通话功能，指责这两款美国应用程序助长欺诈、破坏活动和恐怖主义。当局表示，如果这些公司遵守与俄罗斯执法部门共享数据的要求，服务可以恢复。 科技巨头 Meta 旗下的 WhatsApp 称，限制其应用程序通话功能的决定是企图剥夺俄罗斯人安全通信的权利，并迫使他们转向“安全性较低的服务，以便政府实施监控”。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯移动安全公司Dr. Web最新报告披露，新型安卓间谍软件“Android.Backdoor.916.origin”伪装成俄罗斯联邦安全局（FSB）开发的杀毒工具，针对本国企业高管发起定向攻击。该恶意软件具备窃听对话、调用摄像头实时监控、记录键盘输入及窃取通讯应用数据等多项监控功能。 自2025年1月首次发现以来，该恶意软件已迭代多个版本，表明其处于持续开发中。研究人员根据分发诱饵、感染方式及仅提供俄语界面的特性，判定其专为针对俄罗斯企业设计。 攻击者采用两种主要伪装策略：一款名为“GuardCB”的应用冒充俄罗斯中央银行，另两款变体“SECURITY_FSB”和“ФСБ”（FSB）则仿冒俄罗斯情报机构的官方软件。Dr. Web强调：“其界面仅支持俄语，表明该程序完全针对俄罗斯用户。文件名中出现的‘SECURITY_FSB’等标识进一步证实，网络犯罪分子试图将其伪装成与俄执法机构相关的安全程序”。 尽管该程序缺乏实际安全功能，但通过模拟杀毒软件界面阻止用户卸载。用户点击“扫描”后，界面会以30%的概率随机生成1至3个虚假威胁报告以博取信任。 安装后，恶意软件会索要多项高危权限： 地理位置访问 短信及媒体文件读取 摄像头与录音调用 无障碍服务控制 后台持续运行权限 随后启动多项服务连接命令控制（C2）服务器，接收包括以下指令： 窃取短信、联系人、通话记录、地理位置及存储图像 激活麦克风窃听、摄像头监控及屏幕流捕捉 捕获通讯应用与浏览器内容（Telegram、WhatsApp、Gmail、Chrome及Yandex应用） 执行远程命令、维持持久化访问并启用自我保护机制 Dr. Web发现该恶意软件可切换多达15个托管服务提供商，虽当前未激活此功能，但表明其具备高弹性设计。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯投资分析平台Investment Projects本周早些时候遭亲乌克兰黑客组织攻击。截至8月21日，该平台网站仍处于瘫痪状态。平台声明称正在全力修复基础设施，并已向国家监管机构通报事件。 自称Cyber Anarchy Squad的黑客组织宣称对此次攻击负责。该组织声称已部分摧毁平台基础设施，获取内部数据库及员工文档，并公开大量据称窃取的文件。媒体Recorded Future News暂无法独立核实泄露材料的真实性。 Cyber Anarchy Squad表示，泄露数据旨在施压监管机构对该平台处以罚款。根据俄罗斯法律，企业因未能保护客户数据最高可面临2万卢布（约250美元）罚款。 Investment Projects平台主要推广和分析俄罗斯大型项目，涵盖工业、民用及交通建设领域，由PKR Group运营。其投资者与客户包括俄罗斯工程集团Konar、矿业巨头诺里尔斯克镍业、农业企业Rusagro以及私营航空公司S7 Airlines等知名企业。 针对此次攻击，平台回应称：“敌人正试图通过破坏俄罗斯的服务平台来削弱经济和工业，但我们终将更加强大。” Cyber Anarchy Squad自2022年左右开始活跃，以攻击俄罗斯和白俄罗斯机构著称，此前受害者包括电信服务商Infotel、网络安全公司Avanpost及政府关联实体。该组织通过Telegram频道宣传其行动。 尽管此次攻击的实际影响尚不明确，但此类事件通常会导致声誉损害、高昂恢复成本及潜在监管罚款。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）和思科公司警告称，俄罗斯网络间谍组织正通过2018年发现的漏洞，持续针对未打补丁的思科网络设备发起攻击。 FBI与思科Talos部门于周三发布的联合公告指出，俄罗斯联邦安全局（FSB）第16中心的黑客组织利用漏洞 CVE-2018-0171，攻击已进入生命周期结束状态的设备，入侵目标涵盖北美、亚洲、非洲和欧洲的电信、高等教育及制造业组织。 思科Talos表示，该活动背后的组织（安全专家称为Static Tundra、Berserk Bear或Dragonfly）多年来通过思科IOS和IOS XE软件的智能安装（Smart Install）功能中未修复的漏洞入侵设备，这些设备通常因达到生命周期结束状态而无法获得补丁更新。 思科Talos指出，受害者多“基于对俄罗斯政府的战略利益价值”被选定，其中部分位于乌克兰。该机构警告称，随着俄罗斯战略利益变化，该组织很可能持续针对乌克兰及其盟国。“我们观察到最明显的目标转变是：俄乌战争爆发后，Static Tundra对乌克兰实体的攻击急剧升级并维持高位。”他们表示，“与此前有限的针对性入侵不同，该组织已渗透乌克兰多个垂直领域的机构。” FBI称，过去一年中观察到该组织加速收集“数千台美国关键基础设施领域网络设备的配置文件”。黑客修改了部分设备的配置文件以维持对受害者系统的长期访问权限，并开展侦察活动——多数聚焦“与工业控制系统（ICS）相关的协议和应用”。 FBI认同思科的评估，即Static Tundra十余年来持续攻击同类系统，并开发定制化工具针对思科设备，包括名为SYNful Knock的恶意软件。思科Talos已发布可检测该恶意植入脚本的工具。 上周，挪威警察安全局（PST）表示，4月该国西南部一座水坝疑似遭亲俄黑客破坏——入侵控制系统后开启阀门长达四小时，大量洪水涌入里瑟尔瓦河，直至操作员重新夺回控制权。 长期渗透战略 思科Talos分析，Static Tundra的核心目标是窃取数据并建立对系统的持久访问权。该组织以“入侵受害者网络后进一步渗透并控制更多网络设备”而闻名，具备“在目标环境中潜伏多年不被发现”的能力。 “我们判断，此活动的目的是大规模窃取设备配置信息，以便根据俄罗斯政府当前的战略目标与利益需求灵活调用。”思科Talos专家解释，“Static Tundra随俄罗斯优先事项变化而调整攻击重点的行为印证了这一点。”研究人员补充称，该组织很可能利用Shodan和Censys等网络扫描服务寻找目标。 2021年，美国司法部起诉四名被控隶属Static Tundra的俄罗斯公民，指控其主导针对全球能源公司的黑客活动。这些人员专门瞄准工业技术系统：2012至2014年，他们入侵多家工业控制系统制造商与软件供应商，将Havex恶意软件植入网络。司法部指出，2014至2017年间，该组织针对“特定能源实体及从事工业系统的工程师”，波及全球136个国家超过500家企业和机构的3300余名用户，包括美国核管理委员会等政府机构。 该组织曾通过钓鱼邮件成功入侵堪萨斯州沃尔夫溪核运营公司的商业系统，并采用“水坑攻击”窃取能源领域工程师的登录凭证。思科Talos强调，除俄罗斯组织外，其他国家级黑客团体“很可能也在开展类似的网络设备入侵活动”，建议客户尽快修补漏洞、禁用智能安装功能或联系其获取协助。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文