12月22日，来自美国、德国、荷兰、瑞士、法国的执法机构，以及欧洲刑警组织的欧洲网络犯罪中心（EC3）宣布关闭Safe Inet。这是一种流行的虚拟专用网络（VPN）服务，曾用于协助犯罪活动。 犯罪活动所涉及的三个域名——insorg[.]org、safe inet[.]com和safe inet[.]net被关闭，其基础设施被查封，这是一项名为“Operation Nova”的联合调查的一部分。 欧洲刑警组织称Safe Inet是网络罪犯的“最爱”。 这些域名在协助勒索软件、网页掠夺、鱼叉式钓鱼和账户接管攻击方面发挥了核心作用。 这些服务支持俄语和英语，已经活跃了十多年，它为网站访问者提供“防弹托管服务”，对黑社会来说代价高昂。 截至12月1日，Pro订阅的费用在1.3美元/天到190美元/年之间，可以完全访问其整个服务器名单。 防弹托管（BPH）也被称为抗滥用服务，它不同于常规的web托管，因为它允许内容提供商更加方便地托管在这些服务器上的数据类型，从而更容易逃避执法。 根据网络安全公司Trend Micro今年10月的一项分析，防弹主机利用各种方式维持其翼下的犯罪活动，并能够在全球范围内战略性地分配资源，牢记地区法律和地理特征。众所周知，它们可以最大限度地减少有用的日志文件的数量，并且只能从匿名来源（例如Tor网络）访问系统。 “这种活动可能以借口回应受害者提出的投诉，将其客户数据从一个IP地址、服务器或国家转移到另一个，以帮助他们逃避检测。美国司法部（DoJ）表示没有日志可供执法部门审查。” 司法部补充，“BPH服务故意支持其客户的犯罪活动，并成为这些犯罪计划的共谋者。” 欧洲刑警组织还表示，他们在全球范围内发现了大约250家被犯罪分子监视的公司，攻击者利用安全的Inet基础设施发动潜在的勒索软件攻击。       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

据外媒CNET报道，一场复杂的或由俄罗斯黑客进行的攻击活动的范围继续被披露，该活动已经渗透到美国联邦机构和私营公司。据《纽约时报》周一的报道，黑客设法侵入美国财政部高层官员使用的电子邮件系统等。 据报道，参议员罗恩·怀登(Ron Wyden)在为参议院金融委员会举行的简报会后表示，财政部承认其“从7月份开始遭受了严重的入侵。”他补充说，黑客入侵的 “最大程度”尚不清楚。据《纽约时报》报道，Wyden补充说，该部门从运行其大部分通信软件的微软那里了解到这一漏洞。 务部，以及国家卫生研究院。漏洞始于黑客入侵网络安全公司SolarWinds，该公司销售的软件可以让机构看到其计算机网络上发生的事情。据报道，数十家私营公司–包括微软、思科、英特尔和FireEye–也感染了该恶意软件。 上周，美国国家安全机构发表联合声明，称这次活动是“重大的、持续的黑客活动”。美国国务卿迈克·蓬佩奥和一些网络安全专家将此次黑客活动归咎于俄罗斯。 美国财政部拒绝对《纽约时报》的报道发表评论，但指出美国财政部部长史蒂夫·姆努钦周一在CNBC上发表的关于网络攻击的评论。 姆努钦说：“我们的非机密系统确实有一些访问权限。”他补充说，该部门没有看到任何入侵其机密系统的情况。“我要说的好消息是，没有任何损害，也没有看到任何大量信息被转移。”         （消息及封面来源：cnBeta；）

上周曝出的 IT 管理公司 SolarWinds 遭受黑客入侵事件，又陆续揭示了更多的受害者。据说有俄方背景的黑客组织，对包括美国财政部、商务部、能源部、国土安全部等在内的目标发起了攻击，且据信其中两个可能有邮件失窃。由于 SolarWinds 的客户数量众多，外媒猜测有更多大型科技企业遭到了类似的攻击。 （图 via SeekingAlpha） 《华尔街日报》的最新报道称，包括思科、英特尔、英伟达、贝尔金、VMware 等在内的私企网络，也都被发现感染了同样的恶意软件。 此前 SolarWinds 曾表示，有“少于 18000 家”企业受到了影响。尽管已证实的案例相对较少，但今日的新闻还是让许多知名企业从“可能受影响”变成了“确定受影响”。 尽管目前许多大型科技巨头都表示正在对相关事件展开调查，且认为自身尚未受到影响。但正如 2016 年民主党全国委员会的邮件泄密事件那样，后续的打脸可能会来得特别快。 毕竟想要揭开黑客攻击事件的全面影响，可能要花费相当长的时间。此外美联社的早前报道指出，企业或很难判断是否已彻底将恶意软件从其网络中清除。 更糟糕的是，调查发现另一个技术似乎不那么纯熟的黑客团体也在利用类似的漏洞入侵 SolarWinds 。且被称作“超新星”（Supernova）的早期攻击，只是被称作 Sunburst 的主攻击的一部分。 最后，虽然私企对 SolarWinds 系统攻击事件的反应并不强烈，但美国联邦政府已宣布旗下所有机构都立即放弃 SolarWinds 的 IT 管理系统。         （消息来源：cnBeta；封面来源于网络）

据外媒ZDNet报道，随着SolarWinds供应链攻击事件后的取证证据慢慢被发掘出来，安全研究人员发现了第二个威胁行为体，它利用SolarWinds软件在企业和政府网络上植入恶意软件。关于这第二个威胁行为体的细节仍然很少，但安全研究人员认为这第二个实体与疑似俄罗斯政府支持的入侵SolarWinds的黑客组织没有关系，后者在Orion应用内植入恶意软件。 原始攻击中使用的恶意软件代号为Sunburst（或Solorigate），作为Orion应用的“booby-trapped”（诡雷代码）更新交付给SolarWinds客户。在受感染的网络上，恶意软件会ping其创建者，然后下载名为Teardrop的第二个阶段性后门木马，允许攻击者开始动手操作键盘会话，也就是所谓的人为操作攻击。 但在SolarWinds黑客事件公开披露后的头几天，最初的报告提到了两个第二阶段的有效载荷。来自Guidepoint、赛门铁克和Palo Alto Networks的报告详细介绍了攻击者如何同时植入一个名为Supernova的.NET web shell。 安全研究人员认为攻击者是利用Supernova webshell来下载、编译和执行一个恶意Powershell脚本（有人将其命名为CosmicGale）。 然而，在微软安全团队的后续分析中，现在已经澄清Supernova网页壳并不是原始攻击链的一部分。他们发现Supernova安装在SolarWinds上的公司需要将此次事件作为一个单独的攻击事件来处理。 根据微软安全分析师Nick Carr在GitHub上的一篇文章，Supernova webshell似乎被种植在SolarWinds Orion安装上，这些安装已经暴露在网上，并被利用类似于追踪为CVE-2019-8917的漏洞。 Supernova与Sunburst+Teardrop攻击链有关的困惑来自于，和Sunburst一样，Supernova也被伪装成了猎户座应用的DLL–Sunburst隐藏在SolarWinds.Orion.Core.BusinessLayer.dll文件内，Supernova则隐藏在App_Web_logoimagehandler.ashx.b6031896.dll内。 但在12月18日周五晚些时候发布的分析报告中，微软表示，与Sunburst DLL不同，Supernova DLL并没有使用合法的SolarWinds数字证书进行签名。 Supernova没有被签名这一事实被认为是攻击者极不正常的行为，在此之前，攻击者在操作上表现出了非常高的复杂性和对细节的关注。 这包括花几个月时间在SolarWinds的内部网络中不被发现，提前在Orion应用中添加虚拟缓冲区代码以掩饰日后添加恶意代码，并将他们的恶意代码伪装成SolarWinds开发人员自己编写的样子。 这些似乎都是太明显的错误，最初的攻击者不会这么做，因此，微软认为这个恶意软件与最初的SolarWinds供应链攻击无关。       （消息来源：cnBeta；封面来自网络）

据外媒报道，当地时间周六，特朗普总统在Twitter上回应了针对美国政府部门、机构和私营公司的大规模网络攻击，其称“假新闻媒体(Fake News Media)”夸大了这一网络攻击的程度。此前，特朗普一直对此次攻击保持沉默。 网络安全专家、网络官员和政策制定者一致认为，此次黑客攻击是俄罗斯网络运营商Cozy Bear的一个部门所为，据信该部门得到了俄罗斯总统普京的情报部门的支持。 人们普遍担心，它们仍存在于美国政府和企业的计算机系统中而没有被发现。 据悉，这可能是美国历史上影响最大的黑客攻击事件，它已经促使两党议员呼吁做出坚决回应。 然而特朗普拒绝承认其自己的情报和国家安全专家的这一说法。“假新闻媒体的网络攻击远比实际情况严重。我得到了全面通报，一切都在良好的控制之下。” 在国家安全这个紧急问题上，特朗普和他的国务卿之间的分歧正在不断扩大。蓬佩奥在未来几天将要面临一个选择–继续讲述黑客攻击的真相并开始承认选举的现实。 在特朗普的国家安全官员在收集有关乌兰过攻击证据的同时，其却花费越来越多的时间来跟包括律师Sidney Powell在内的盟友讨论阴谋论。这位现总统的推文就是他广泛捍卫俄罗斯的一种延续。 特朗普在执政期间一直为俄罗斯辩护，包括其干预美国2016年大选以及其付钱给塔利班杀害驻阿富汗美军等。 另外，他还在继续传播虚假的选举声明，即在没有证据的情况下暗示黑客影响了2020年总统大选的结果。 美国网络安全和基础设施安全局表示，此次黑客袭击对联邦政府、州、地方、部落和领土政府以及关键基础设施实体和其他私营部门组织都构成了严重风险。 当选总统拜登则于当地时间周四表示，此次黑客袭击令人高度关注，另外他还承诺要让那些应对此次袭击负责的人付出“巨大代价”。 微软总裁布拉德·史密斯也对此发表了意见，他认为就相当于对美国及其政府和包括安全公司在内的其他关键机构发起了网络攻击。 据悉，黑客攻击的对象了包括了美国防部、国务院、国土安全部、财政部、商务部、能源部、国家核安全局、美国家卫生研究院及多家跨国公司。         （消息及封面来源：cnBeta）

据外媒报道，据美知情官员透露，美能源部(DOE)和国家核安全管理局(NNSA)拥有黑客入侵了他们网络的证据，作为一项大规模间谍活动的一部分，该网络攻击至少影响了六家联邦机构。当地时间周四，在听取了DOE首席信息官Rocky Campione的汇报后，该机构和NNSA的官员开始协调向各自的国会监督机构通报此次事件。 他们发现联邦能源监管委员会(FERC)、新墨西哥州和华盛顿的桑迪亚和洛斯阿拉莫斯国家实验室、国家安全局安全运输办公室和DOE里奇兰驻外办公室的网络存在可疑活动。据披露，黑客对FERC造成的破坏比其他机构都要大，官员已经掌握高度恶意活动的证据，但他们并没有就此给出详细的说明。 这些官员称，一直在协助联邦政府应对大规模黑客攻击的网络安全和基础设施安全局(CISA)本周向联邦监管委员会表示，其机构已不堪负荷，可能无法分配必要的资源进行应对。因此，DOE将为FERC分配额外的资源以帮助调查黑客事件–尽管FERC是一个半自治机构。 美DOE发言人Shaylyn Hynes表示，对此次黑客攻击正在进行的调查发现，作案者并没有进入关键的防御系统。 对DOE的攻击是迄今为止表明黑客能进入美国国家安全机构核心部分的网络的最明确迹象。据信，这些黑客通过破坏软件公司SolarWinds侵入了联邦机构的网络，据悉，该公司向数百个政府和私营部门客户销售IT管理产品。 DOE官员表示，他们计划周四向参众两院的能源委员会、参众两院的能源和水开发小组委员会、参众两院的军事委员会以及新墨西哥州和华盛顿州的代表团通报这一漏洞。 NNSA负责管理美国的核武器，虽然它得到的关注最少，但却占据了能源部预算的绝大部分。同样，桑迪亚国家实验室和洛斯阿拉莫斯国家实验室在进行跟民用核能和核武器有关的原子研究。美国安全运输办公室(Office of Secure Transportation)的任务是运送对维持核储备至关重要的浓缩铀和其他材料。 黑客们将目标对准美国能源部里奇兰驻外办公室可能是将网撒得过大。该办公室的主要职责是监督华盛顿州汉福德核废料场的清理工作。在第二次世界大战和冷战期间，美国2/3的钚都是在那里生产的，但该基地自1971年以来就不再活动了。 对FERC的攻击则可能是为了破坏美国的大型电网。FERC不直接管理任何电力，但它会在电网上存储敏感数据，这些数据可用于识别未来攻击中最具破坏性的位置。         （消息及封面来源：cnBeta）

CNBC 报道称，对于具有官方背景的大规模黑客攻击事件，即将接任美国总统职务的乔·拜登已宣称将对此采取强硬的态度。此前一些针对美国政府机构或企业的黑客攻击报道，曾多次将矛头对向俄方。而拜登政府的最新表态，预示着美国将与盟友一道，让躲在暗处的敌人付出更大的代价。 拜登过渡小组在周四发表的一份声明中称，美方落实的防护措施还远远不够，且必须率先打乱和阻止对手发现的大型网络攻击。 作为应对，美方将在必要的措施之外，让恶意攻击发起者付出显著的代价，其中还包括与盟友开展协调合作。 我们的对手应该知道，美国总统不会对此类具有国家级背景的网络攻击事件袖手旁观。 周三晚间，美国联邦调查局、网络安全和基础设施安全局（CISA）、以及国家情报局局长办公室（ODNI）组成了三个负责调查网络攻击、保护美国免受网络威胁的领导机构。 除了就‘针对美国的重大且持续的网络安全形势’作出响应，联合司令部还在一份声明中指出 —— 形势仍处于发展阶段，但它已经对联邦政府的内部网络产生了影响。与此同时，我们需要继续努力了解事件的全貌。         （消息及封面来源：cnBeta）

网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击，该攻击破坏了机构的数字签名工具包，并在系统上安装了后门。 网络安全公司ESET在本月初发现了这种“ SignSight”攻击，其中涉及修改CA网站（“ ca.gov.vn”）上托管的软件安装程序，插入名为PhantomNet或Smanager的间谍软件工具。 根据ESET的遥测，该网络攻击活动发生在2020年7月23日至8月16日，涉及的两个安装程序：“ gca01-client-v2-x32-8.3.msi”和“ gca01-client-v2-x64-8.3” .msi”（适用于32位和64位Windows系统），已被篡改并安装后门。 在将攻击报告给VGCA之后，该机构确认“他们早已知道此类网络攻击，并通知了下载该木马软件的用户。” ESET的Matthieu Faou说：“对于APT黑客组织来说，认证机构网站的妥协是一个很好的机会，因为访问者对负责签名的国家组织高度信任。” 越南政府密码委员会授权的数字签名工具是电子身份验证计划的一部分，政府部门和私人公司使用该数字签名工具通过存储数字签名的USB令牌（也称为PKI令牌）对文档进行数字签名，通过上述驱动程序进行操作。 用户感染木马病毒的唯一方法是在手动下载并执行了官方网站上托管的受感染软件。病毒软件将启动GCA程序以掩盖该漏洞，伪装成名为“ eToken.exe”的看似无害的文件的PhantomNet后门。后门程序（最近一次编译于4月26日进行）负责收集系统信息，并通过从硬编码的命令和控制服务器（例如“ vgca.homeunix [.] org”和“ office365.blogdns”）检索的插件来部署其他恶意功能。 [.] com”），模仿相关软件的名称。 ESET表示，除越南外，菲律宾也存在受害者，但黑客的交付机制和最终目标仍然未知，对交付后的相关信息也知足甚少。 该事件强有力地说明了为什么供应链攻击正日益成为网络间谍组织中常见的攻击媒介，因为它使黑客可隐秘地同时在多台计算机上部署恶意软件。 ESET在11月披露了在韩国进行的Lazarus攻击活动，该活动使用合法的安全软件和被盗的数字证书在目标系统上分发远程管理工具（RAT）。 在上周，一个被称为Able Desktop的聊天软件被蒙古的430个府机构使用，提供HyperBro后门程序：Korplug RAT和名为Tmanger的木马。 本周发现的针对SolarWinds Orion软件的供应链攻击破坏了美国几家主要的政府机构，包括国土安全部、商务部、财政部和州政府。 Faou总结说：“恶意代码通常隐藏在许多正常代码中，因此供应链攻击通常十分隐蔽且很难被发现。”         消息及封面来源：The Hacker News ；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软总裁布拉德·史密斯(Brad Smith)近日警告说，SolarWinds 的 IT 软件 Orion 产生的大范围黑客攻击事件“仍在发酵”，表明这次攻击的范围、复杂程度和影响情况都是非常深远的。该漏洞主要针对美国政府机构，因此不少人猜测是有俄罗斯政府支持黑客组织实施的。 史密斯将本次黑客攻击定性为“清算的时刻”（a moment of reckoning），并阐述了微软认为这次黑客攻击的规模和危险性。史密斯认为，它 “代表了一种鲁莽的行为，给美国和世界造成了严重的技术漏洞”。 他认为这不仅仅只是对特定目标的攻击，而是对世界关键基础设施的信任和可靠性的攻击，以推动一个国家情报机构的发展。虽然帖子没有明确指责俄罗斯，但暗示的意思非常明显。史密斯称，“未来几周将提供越来越多的，我们相信关于最近这些攻击的来源的无可争议的证据”。 为了说明本次攻击的影响情况，史密斯分享了一张地图，使用 Microsoft Defender 反病毒软件中获取的遥测数据显示已经安装了带有恶意软件的 Orion 版本的设备 。 据史密斯透露，微软本周还一直在努力通知 40 多个客户，攻击者更精确地瞄准了这些客户，并通过额外和复杂的措施进行破坏。这些客户中约有 80% 位于美国，但微软还确认了加拿大、墨西哥、比利时、西班牙、英国、以色列和阿联酋的受害者。史密斯说：“可以肯定的是，受害者的数量和地点会不断增加”。 对此次黑客事件的调查还在进行中。联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和国家情报总监办公室(ODNI)周三发表联合声明称，他们正在协调 “整个政府对这一重大网络事件的反应”。而史密斯警告说，”我们都应该为公共部门和其他企业和组织中更多受害者做好准备”。       （消息及封面来源：cnBeta）

随着5G网络的逐渐推广，许多潜在缺陷可被黑客利用以进行一系列网络攻击活动，包括使用户无法访问网络并拦截数据的DoS攻击等。 这些发现成为了伦敦网络安全公司Positive Technologies于6月发布的“ 2020年LTE和5G网络漏洞报告”中的“ 5G独立核心安全研究”的基础素材。 该公司表示：“网络安全的关键要素包括设备的正确配置以及网络要素的认证和授权。在缺少这些元素的情况下，黑客便很容易利用PFCP中的漏洞进行网络攻击，并在用户不知情的情况下利用用户身份进行网络犯罪。” 5G的安全优势 5G的主要安全优势之一是可防止被监视和加密国际移动用户身份（IMSI）号码，IMSI是SIM卡附带的唯一标识符，用于识别蜂窝网络的用户。 5G核心（5GC）还使用传输控制协议（TCP）代替流控制传输协议（SCTP）来更新IT协议栈，HTTP / 2替代了Diameter协议以实现应用层安全，用于网络功能之间的加密通信。 5G移动网络根据4G演进核心（EPC）技术以独立或非独立模式进行部署，该框架由多达九个网络功能（NF）组成，负责注册用户、管理会话和存储用户数据，并通过基站（gNB）使用户（UE或用户设备）连接到Internet。 研究人员认为，这一系列技术潜在地为用户和运营商网络的攻击打开了大门，使黑客得以进行DoS攻击。 DoS和MitM攻击 系统体系结构的一个问题是通过分组转发控制协议（PFCP）以专用于会话管理的接口（会话管理功能或SMF ）。 黑客可能会选择删除会话或修改PFCP数据包，导致互联网访问中断（CVSS得分6.1）甚至拦截网络流量（CVSS得分8.3）。 安全人员还发现管理网络存储库功能（NRF）的部分5G标准存在问题，该功能允许在控制平面中注册NF，并在存储库中添加现有网络功能，通过控制下的NF访问用户数据（CVSS评分8.2）。通过删除关键组件的相应NF配置文件，滥用NRF中缺少授权的权限，从而导致用户的服务损失。 暗中监视用户的位置 用户身份验证漏洞可公开分配给每个订阅永久标识符（SUPI），并通过欺骗基站泄漏的身份验证信息为最终用户提供服务。 另外，管理用户配置文件数据的用户数据管理（UDM）模块中的设计问题可以允许具有“访问相关接口的对手直接连接到UDM或通过模拟网络服务提取包括位置数据（CVSS评分7.4）的必要信息。” 研究人员说：“访问此类数据将严重危害安全性：它使黑客可在用户不知情的情况下监视用户。” 黑客还可以使用用户标识信息模拟隐形会话，从而模拟负责用户注册（CVSS评分8.2）的计费访问和移动性管理功能（AMF）模块。 评估、监测和保护的需求 毫无疑问，5G在安全方面取得了一定进步，但随着5G网络用户的数量持续增长，相关审查也变得日益重要。 研究人员总结：“操作员在设备配置中的失误对5G安全性影响深远，设备供应商负责所有架构网络保护功能的技术实施，因此其地位十分重要。为防止黑客攻击，运营商必须采取及时的保护措施，如正确配置设备、使用防火墙并进行安全监视等”       消息及封面来源：The Hacker News ；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”