俄乌冲突下 APT29 黑客组织再度活跃,欧美外交使团遭恶意袭击
最新研究表明,黑客对北约国家政府机构进行间谍活动的最新尝试包括与俄罗斯相关的Duke恶意软件的变种。根据荷兰网络安全公司EclecticIQ的一份报告,最近的一次攻击活动利用两个恶意PDF文件针对北约联盟政府的外交部。 其中一份PDF 提供了Duke的一种变体,该恶意软件与俄罗斯国家资助的APT29网络间谍活动(也称为Nobelium、Cozy Bear和The Dukes)有关。另一个文件可能用于测试或侦察,因为它不包含有效负载,但如果受害者打开电子邮件附件,则会通知黑客。 研究人员表示,这些PDF伪装成德国大使馆的外交邀请,似乎是针对全球外交使团的更广泛活动的一部分。该报告并未直接将德国大使馆的诱饵归因于APT29,但确实指出了其他研究人员在该组织的活动中发现的一些操作细节。 恶意PDF中的电子邮件地址引用了真实的Web域bahamas.gov.bs。在7月中旬的一份报告中,网络安全公司Lab52注意到,黑客利用同一域名冒充挪威大使馆,通过邀请诱饵攻击外交实体。EclecticIQ研究人员“高度确信”冒充德国大使馆的PDF文件很可能是由同一威胁行为者制作的。 自俄乌战争爆发以来,莫斯科在欧洲的网络间谍活动不断升级。距离基辅最近的国家,如波兰、立陶宛和拉脱维亚,受到的影响最大。 APT29以利用合法的网络服务(如Microsoft OneDrive和Notion)进行恶意软件命令和控制(C2)而闻名。据EclecticIQ报道,在最近的这场战役中,攻击者使用了Zulip应用程序进行C2。 Zulip是一款开源聊天应用程序,使用亚马逊网络服务接收和发送聊天消息。黑客利用其API功能规避并将其活动隐藏在合法的网络流量后面。 APT29被认为是由俄罗斯对外情报局指挥的,该局从其他国家收集政治和经济信息。该黑客组织的主要目标是美国和欧洲的政府、政治组织、研究公司以及能源、医疗保健、教育、金融和技术等关键行业。在俄乌战争期间,APT29对乌克兰军方及其政党、外交机构、智库和非营利组织进行了网络攻击。 转自E安全,原文链接:https://mp.weixin.qq.com/s/Nnjkes6JuGbS2aYDs-55kg 封面来源于网络,如有侵权请联系删除
SiegedSec 持续挑战全球组织,北约成为最新目标
北方条约组织(NATO)军事联盟正在调查一个黑客活动组织SiegedSec涉嫌的数据盗窃案。这一黑客群体声称破坏了利益共同体(COI)合作门户网站,窃取了数百份旨在供北约国家和合作伙伴使用的敏感文件。SiegedSec表示,数据泄露与俄罗斯和乌克兰之间持续的冲突无关。相反,这是对北约侵犯人权行为的回应,因为“泄露文件很有趣”。 北约数据盗窃似乎合法威胁情报公司CloudSEK分析了泄露的845 MB压缩数据,发现了来自31个国家的非机密信息和8000份员工记录。泄露的数据包括姓名、企业电子邮件地址、家庭地址、公司和单位、工作组、职位和照片。此外,CloudSEC发现了20份非机密文件,SeigedSec却声称多达700份。一些泄露的文件是几年前的,而另一些则是2023年7月才泄露的。尽管大多数泄露文件中的信息性质仍然是个谜,但一些文件列出了北约使用的软件清单、供应商详细信息和版本号。 北约承认各种威胁组织每天都有试图入侵的行为,并表示正在调查涉嫌的数据盗窃事件。此外,其工程师正在努力加强其预防、检测和应对此类事件的能力,缓解措施正在进行中。军事联盟发言人表示:“北约网络专家正在积极调查最近与其利益共同体合作门户网站有关的指控。我们每天都面临恶意网络活动,北约及其盟友正在应对这一问题。” 所谓的数据盗窃并没有影响北约的行动,其“机密网络”也没有受到影响。然而,泄露的敏感信息可能会对受影响的个人产生严重的安全影响。 SiegedSec没有透露它是如何入侵北约的COI门户网站的,但CloudSEK预计它会通过窃取日志获取用户帐户信息。 前中央情报局网络威胁分析师、KnowBe4现任网络运营高级副总裁罗莎·斯莫瑟斯表示:“在过去几个月里,多个北约组织声称泄密,但他们提供的截图看起来是合法的。” SiegedSec不分青红皂白地针对组织 自2022年2月以来,SiegedSec泄露了来自全球30多个组织的文件、电子邮件和数据库,并破坏了100多个域名。2023年2月,SiegedSec声称对Atlassian通过第三方资源协调应用Envoy窃取数据负责,那次行动泄露了悉尼和旧金山办公室的个人信息和平面图。 SiegedSec不分青红皂白地针对没有任何明显地缘政治偏好的组织,并声称最近的北约数据盗窃与俄乌战争无关。斯莫瑟斯指出:“有趣的是,他们将北约作为侵犯人权的目标,但没有迹象表明他们攻击了俄罗斯政府。” 看起来,所谓的北约数据盗窃是一次机会主义的网络攻击,而不是支持人权的有针对性的黑客活动。 转自E安全,原文链接:https://mp.weixin.qq.com/s/yoo82hEhjzT0ZvmS32LeQQ 封面来源于网络,如有侵权请联系删除
北约遭黑客组织袭击,敏感数据泄漏
黑客组织SiegedSec近日攻击了北约组织,声称破坏了其COI门户,随后泄露了近1GB的数据,包括数百份供北约国家和合作伙伴使用的敏感文件。该数据还包含至少70名北约官员的全名、电子邮件地址、电话号码、办公地址和军衔。 SiegedSec在Telegram频道上声称,其对北约的黑客攻击与俄乌战争无关,主要针对的是北约侵犯人权的行为。SiegedSec还表示,针对北约的最新攻击展示了该组织日益增强的攻击性和攻击知名目标的熟练程度。 SiegedSec已成为一种重大网络威胁,其攻击行为由黑客行动主义和个人利益共同驱动,在黑客界号称“特种部队”,利用“匿名者”运动实施攻击,旨在引起人们对其主张的关注。 正如SiegedSec声称的那样,针对北约黑客攻击是对北约国家的报复行为,因为北约涉嫌侵犯人权。 著名网络安全研究公司Cyberint一直在密切关注SiegedSec的活动,该公司认为,称对北约COI门户的攻击标志着SiegedSec攻击目标的升级。过去,SiegeSec的策略是从知名和受欢迎的公司或组织窃取和泄露敏感信息,以吸引注意力并获得免费宣传。这种策略在过去被证明是有效的,从今年早些时候针对Atlassian的高调活动中就可以看出这一点。 尽管北约官员尚未确认数据泄露事件,但据称泄露的文件包含对北约国家和合作伙伴至关重要的信息,引发了人们对潜在安全影响的担忧。 黑客泄漏的北约敏感数据截图 数据来源:Cyberint 这不是北约第一次成为黑客攻击的目标。今年4月初,亲俄黑客组织Killnet声称其实施的网络攻击导致北约40%的电子基础设施“瘫痪”。 KillNet黑客还声称,他们针对北约进行了DDoS攻击,窃取了纯文本登录凭据,并使用它们在基辅和摩尔多瓦的同性恋约会门户网站上创建帐户。 转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/wUnH2DbPd66GfMuxlBaHmQ 封面来源于网络,如有侵权请联系删除
北约成员国接连遭遇大规模网络袭击,何时触发集体军事反击?
网络攻击正日益成为现代战争中的关键部分。但按照北约规定,“对一个成员国的攻击,即代表对全体北约成员国的攻击”,并未涵盖网络攻击这种手段。 第五条款迟迟未在网络领域使用 多个北约成员国在近期遭受了网络攻击,但北约并未发出此类攻击在哪种情况下将触发第五条款的说明。第五条款规定,针对北约任一成员国的战争行为将促使整个联盟作出反击。 战略与国际研究中心战略技术项目高级副总裁兼主任James Lewis表示,“当初起草第五条款时,情况还不像现在这么复杂。”“我们对网络攻击其实不太清楚。” 专家们一直想了解,为什么政府官员们迟迟没有确定什么叫“重大网络攻击”,对网络攻击做出反击的门槛又是什么。 防务网络安全公司Telos战略项目副总裁Paul Capasso表示,“和五年前相比,我们现在对重大网络攻击的定义似乎没有任何进步。” 他还补充道,“没有明确的定义,自然无法确定反击门槛了。” 然而专家们也提到,政府官员可能是故意保持这种模棱两可的界限。毕竟一旦确定并建立起红线,政府方面必须对任何越线事件予以反击,否则敌人就会持续攻击下去,不会顾忌产生任何后果。 Lewis认为,“政府并不想定义‘网络战争’或网络攻击,因为这种方式束缚自己的手脚。” 北约秘书长Jens Stoltenberg也曾提到,尽管针对北约成员国的网络攻击可能触发第五条款规定,但北约不愿公开解释到底会在哪些情况下援引该条。 在今年2月布鲁塞尔召开的新闻发布会上,Stoltenberg告诉记者,“在网络方面,我们已经声明网络攻击可以触发第五条款,但截至目前我们还没给过潜在对手找到触发阈值的机会。” 通过这种开放性约定,北约把确定网络攻击破坏性的权利交给了成员国,允许他们在整个联盟的支持下决定是否启动第五条款。 多个成员国已遭受重大网络攻击,但未启用第五条款 阿尔巴尼亚自2009年起加入北约,该国近期遭遇一系列针对政府网站和执法部门计算机系统的大规模网络攻击。当时阿尔巴尼亚考虑过援引第五条款,但最终还是决定避免不必要的冲突升级。 阿尔巴尼亚总理Edi Rama最近在采访中表示,“对我们来说,要求北约触发第五条款是个艰难的选择,需要考虑太多因素了。” 阿尔巴尼亚将这波攻击归咎于伊朗,并立即断绝了与该中东国家的外交关系。伊朗否认此次攻击与自己有关。 尽管没有任何北约成员国触发过第五条款,但美国财政部仍据此对伊朗情报部门及其最高情报官员实施了制裁。 美国负责恐怖主义与金融情报事务的财政部副部长Brian Nelson表示,“我们不会容忍伊朗继续针对美国或我们的盟国/伙伴,发动日益激进的网络攻击。” 今年以来,受到国家支持黑客攻击的北约成员国并不止阿尔巴尼亚,立陶宛、爱沙尼亚、黑山以及近期的美国也都受到过影响。针对北约成员政府网站及关键基础设施的攻击活动仍在继续。 针对黑山政府,黑客攻击了该国供水系统、交通服务和线上政务设施。黑山官员指出,虽然这次网络攻击很严重,但没有对国家基础设施造成永久性破坏。 本月早些时候,亲俄罗斯黑客团伙Killnet向美国发动攻击,导致州政府及机场网站暂时离线。 该团伙还声称对立陶宛和爱沙尼亚遭受的网络攻击负责。 须造成等同武装攻击的重大损失? 但专家指出,近期针对北约成员国的网络攻击,均未达到让联盟认真考虑触发第五条款的程度。 Lewis提到,“俄罗斯几十年来一直在对北约使用网络行动,但从未达到触发第五条款的程度。” 尽管网络战的门槛一直不明确,但Lewis表示,能够触发第五条款的网络攻击,必须造成了相当于武装攻击的重大损害,包括对关键基础设施的永久性破坏、人员伤亡和生命财产损失。 但也有专家表示,即使达到了这些门槛,也不能保证北约会立即触发第五条款。各成员国仍需要权衡触发该条的风险,并确定是否值得为当前网络攻击发动战争。 约翰霍普金斯大学高级国际研究学院技术与国家安全讲师Melissa Griffith表示,在考虑要不要触发第五条款时,除了确定网络攻击造成的影响是否“达到武装攻击的程度”,还需要考虑到“这对本国意味着什么,又会给本国和整个北约同盟带来怎样的风险”。 Griffith还说,是否触发第五条款,是受攻击成员国及整个北约同盟的政治与战略举措,并不太取决于是否设定有明确的门槛。 Lewis表示,“各国希望保留灵活的开战决策空间。政府想要的不是自动化流程,而是自由裁量权。” 转自 安全内参,原文链接:https://www.secrss.com/articles/48350 封面来源于网络,如有侵权请联系删除
北约所用的云平台 SOA & IdM 被黑客入侵并威胁泄露数据给俄国
北约目前使用SOA & IdM平台来处理北极星(Polaris)计划中的几个基本功能,并且该机构将其列为关键设施并定义为机密级别,作为北约IT现代化计划的一部分,它被创建为提供集中的安全、整合和托管信息管理方案。 黑客声称,他们设法利用后门复制了这个平台上的数据,并试图敲诈安全解决方案商Everis。他们更进一步,半开玩笑说要把偷来的数据发给俄罗斯情报部门。 北极星项目官员保罗·豪兰解释了这个项目的好处。”这个项目有可能成为改变北约未来如何发展和部署其作战服务的游戏规则。它将推动创新和降低成本。通过确保对已部署的能力有更大的重复利用来实现操作”。 攻击背后的黑客说,他们最初并不知道他们可以利用北约平台上的漏洞。之前他们只关注Everis在拉丁美洲的企业数据,直到北约说它准备在发生网络威胁时采取行动。令他们惊讶的是,北约的一个安全平台就在Everis的子公司的掌管之中。 黑客们在分析了Everis公司并发现与无人机和军事防御系统有关的文件后,开始从该公司的网络中窃取更多数据。他们为破坏北极星计划的发展的活动辩护,说这一计划并不是”为了地球和网络世界的和平”。 黑客向Everis索要14500门罗币的赎金,这样他们就不会将其身份与LATAM航空公司的数据黑客联系起来。他们还要求用这笔赎金来换取不泄露北约的任何数据的保证。 (消息及封面来源:cnBeta)
北约合作网络防御卓越中心(CCDCOE)将负责协调北约所有机构网络防御行动训练
据外媒报道,北约合作网络防御卓越中心(CCDCOE)被选定来协调联盟内所有网络防御行动领域的教育和培训解决方案。 CCDCOE 是一家总部位于爱沙尼亚, 由 20 个不同国家组成的知识中心。从技术上讲,这是一个军事组织,它的任务是为盟友提供 360 度的网络防御,并且输送技术、战略、行动和法律方面的专业知识。 除上述功能之外,CCDCOE 还扮演了一个新的角色 —— 作为网络防御作战教育和训练纪律的负责人,这一新角色由北约两个战略指挥部门之一的最高盟军指挥部( SACT )授予,主要职责是与位于美国弗吉尼亚州诺福克的盟军司令部密切合作。 CCDOE 的负责人 Merle Maigre 表示:“ 我们很荣幸在这个新的挑战中发挥作用,投资于培训和教育可能是我们可以做出的最好的承诺。虽然回报是丰厚的,但不能总是以美元或欧元来衡量价值。因为投资培训和教育在技术浪潮的背景下给我们带来了新的机遇,不过需要注意的是技能过时得也更快。” 另外,CCDCOE 也是 “ 塔林手册 2.0 ” 的发源地(该手册是关于国际法如何适用于网络运营的综合指南)、组织了世界上最大最复杂的国际技术性现场网络防御演习。 消息来源:Infosecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
外媒:疑似俄黑客使用间谍无人机入侵北约士兵的智能手机
HackerNews.cc 10 月 5 日消息,安全专家近期发现东欧北约士兵的智能手机与社交媒体账号遭黑客入侵,疑似俄罗斯国家黑客所为。调查显示,黑客利用无人机设备( Stingray-like 设备)收集信息后通过劫持士兵 Facebook 与 iCloud 账户发起网络钓鱼攻击。 报道指出,黑客攻击的目标是驻扎在俄罗斯边境(东欧地区)的约 4 000 名北约部队士兵。《 华尔街日报 》的一篇报道显示,目前至少六名士兵已遭黑客攻击。此外,美国陆军中校 L’Heureux 表示,他们在调查中发现一个俄罗斯 IP 地址试图访问并定位士兵移动设备。因此,安装专家推测此次网络攻击可能由俄罗斯赞助的国家黑客组织进行。 安全专家表示,俄罗斯并非第一次被控在网路空间攻击北约。据悉,德国于 2015 年指责俄罗斯对北约与各国政府进行反恐怖主义运动。近几年来,俄罗斯黑客也陆续针对各国记者、积极活动分子、持不同政见者与评论家展开攻击活动。 稿源:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
勒索软件 Petya 攻击后,北约加强乌克兰网络防御支持
据外媒报道,继乌克兰上月遭受勒索软件 Petya 肆意袭击后,北约加强了对乌克兰网络防御的支持。本周一(7月 10 日),乌克兰总统波罗申科在与北约联合主办的会议上发布声明,指出乌克兰将通过与北约的密切合作深化国防与安全领域的各项改革,加强国家网络安全防御体系。 “ 关键基础设施 ” 是任何一个国家在经济上最为敏感的要素之一。2017 年 6 月,乌克兰遭受勒索软件 Petya 攻击后,导致交通、银行与电力基础设施在补救与恢复工作中造成无法估量的成本代价。乌克兰关键基础设施的维护相比其他国家较为完善,因此如果同样的攻击活动转移目标,后果将不堪设想。 北约秘书长 Jens Stoltenberg 表示,北约将继续帮助乌克兰加快国防与安全领域的改革,并协助乌克兰调查 Petya 攻击活动的幕后黑手。2014 年 12 月,北约就已成立网络防御信托基金会,旨在提供必要支持、发展防御型 CSIRT 技术能力。 鉴于近期网络攻击事件的传闻,Petya 活动被认为与俄罗斯资助的黑客组织有关。因此,俄罗斯与乌克兰之间持续紧张的关系以及俄罗斯针对北约扩张的公然态度,都不可能使该地区的局势平静下来。专家表示,随着网络攻击的复杂化和对乌克兰边界以外的全球影响的明显无视,若其他国家坐视不理,乌克兰试图保护自己的想法也将是不切实际的。 原作者:Steve Biswanger,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
北约表态:未来若爆发网络攻击或遭政府武力干涉
随着 Petya 勒索软件在全球范围内大肆爆发,北约与英国在谈及网络话题时态度转为强硬。政府与军方承诺将针对此类事件给予更强有力的回应。在 6 月 28 日新闻发布会上,北约秘书长斯托尔滕贝格(Jens Stoltenberg)表示,应将针对联盟成员的网络攻击视为军事问题,与传统海陆空及空间、信息战列为同等级别。 斯托尔滕贝格于 Petya 恶意软件在乌克兰境内爆发 24 小时后、蔓延至其他 60 个国家前的黄金时段发表讲话,声称未来此类攻击事件可能触犯《北大西洋公约》第 5 条规定,即一旦成员国受到攻击,其他成员国将立刻作出回应。 上个月 WananCry 的大规模爆发感染了 150 个国家境内 200,000 台主机。斯托尔滕贝格称此类网络攻击行为强调了网络防御的重要性。 “我们正在履行网络防御承诺,确保在加强北约网络防御的同时对北约盟友施与援助。北约成员国之间共享最佳实践与技术、在整合彼此特色功能、加强北约网络防御能力方面取得更加紧密的合作。此外,各成员国还对网络攻击可能触犯第 5 条规定表示一致认同。” 在 Petya 爆发的前几天,英国政府网络由于议会电子邮件系统遭到入侵而处于封锁状态。调查发现,黑客从社交媒体公司窃取的议员账户登录凭据也被纳入在线交易行列。 真要采取军事行动? 6 月 27 日,英国国防部长迈克尔•法伦(Michael Fallon)警告说,“黑客针对英国计算机网络系统的攻击活动或将引发海、陆、空或网络空间任意战场的回应”。但考虑到此类事件的隐晦性,安全情报机构应如何确定打击目标仍有待探讨。 据《镜报》消息,迈克尔•法伦在为查塔姆社下属智库成立致辞时表示:“我们正在建设一支 21 世纪新型网络战队。这支战队将为我们如何在网络空间竞赛中保持领先地位提供建议。”他还在讲话中重申了“第 5 条”可用于大型网络攻击事件的观点,同时强调军方回应必须根据发起者类型加以区分(例如,网络犯罪分子、恐怖主义分子、激进主义黑客、国家政府等)。 “显而易见,在这件事情上必须设定可供判断的明确界限,例如,是否对国家、公民日常生活造成威胁,而这也是我们迫使北约意识到网络攻击的危害与其他类型物理战不相上下的原因所在”。 与此同时,BBC 也展开相应报道。迈克尔•法伦表示,在确认犯罪者身份后应予以稽查扣留。英国安全情报机构已开始建设各方面能力,包括“以其人之道还治其人之身”的网络战等。此外,相关机构应尽快认识到网络进攻是国家武器库必不可少的一部分。“目前,我们已掌握了揭露、追捕、起诉网络犯罪分子的能力,可以在选定时间段内对任何攻击做出回应。” 此类事件并非史无前例。据《卫报》报道,2015 年,21 岁英国青年 Junaid Hussain (昵称 Trick,Team Poison 黑客组织成员 )就曾因涉嫌参与伊斯兰国一系列网络攻击活动而在美军空袭中丧生。 《英国国家网络安全战略( 2016 – 2021 年)》围绕英国网络进攻能力做出以下陈述:“我们致力于检测、理解、调查、摧毁针对我方的一切敌对行动。如果情势需要,我方有办法在网络空间内采取必要进攻。” 原作者:Jason Murdock,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
“锁定盾牌2017”:北约大规模网络防御演习正式落幕
北约大规模网络防御演习 “锁定盾牌 2017” 于上周五正式落幕,今年为期 5 天的网络演习由爱沙尼亚国防军、芬兰国防军、瑞典国防大学、英国联合军队、美国欧洲司令部、空中作战部队和塔林理工大学联合举办,涉及来自 25 个国家约 800 名专家参与。 据外媒报道,此次美国和其他部分国家扮演“蓝队”角色,不仅负责维护虚拟国家网络安全,还需回应媒体和法律问题。据报道,今年演习还包含“假新闻”一项,参与者必须应对来自敌对势力散布的虚假新闻消息。 此次模拟演习中,空中基地对其电网系统、无人机、军事指挥控制系统、关键信息基础设施和其他基础设施进行了广泛的网络攻击。据北约信息技术人员透露,专家们对“蓝队”进行了至少 2500 多次网络攻击,在演习中部署了 3000 多个虚拟化系统。 消息显示,今年的演习还涉及西门子、 Threod 、 Cyber Test Systems 、Clarified Security 、Iptron 、Bytelife 、BHC 实验室、openvpn.net 、GuardTime 等众多行业合作伙伴。 本文由 狐狸酱 翻译整理,消息来源于 securityaffairs.co,封面源自网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接