据报道，斯堪的纳维亚航空公司今年第二次被亲俄罗斯的黑客组织 “匿名苏丹 “攻破，导致SAS网站和其航空公司的应用程序瘫痪数小时。 美国东部时间周三早上6:30左右，SAS的客户开始在Twitter上抱怨无法进入该航空公司的网站。 大约在同一时间，匿名苏丹黑客团伙将这条信息置顶在他们加密的Telegram频道。 随后，该组织提出3500美元的赎金来停止攻击。 该组织告诉SAS，他们有一个小时的时间与他们在Telegram上的匿名苏丹机器人进行谈判，否则他们可能会遭到一整天的连环攻击，以及泄露一些用户信息等。 在攻击期间，SAS在推特上对客户说，该航空公司的官方丹麦版网站仍在运行，用户可以登录使用。 令人哭笑不得的是，随后匿名苏丹组织发帖道，“谢谢你给我们你的另一个网站，让我们去破坏”。 根据SAS公司的网站，丹麦、挪威和瑞典的旗舰航空公司通常拥有每天800多个定期航班，飞往世界各地的130多个目的地。 今年2月，匿名苏丹黑客组织声称对该航空公司的攻击是针对瑞典的情人节攻击的一部分，使SAS网站瘫痪了几个小时，并泄露了敏感的乘客数据。 情人节的攻击还包括几个瑞典媒体机构。 该组织声称，攻击瑞典公司是为了报复一位知名的瑞典/丹麦政治家在1月份在斯德哥尔摩举行的支持瑞典加入北约的抗议活动中焚烧古兰经的行为。 最后可以确认，SAS网站和应用程序在整个周三的不同时段都处于离线状态，直到下午晚些时候仍处于离线状态。 匿名苏丹组织将持续存在 这个以苏丹为基地的黑客组织在今年1月首次出现，除了一些民族活动以外，似乎主要以宗教原因为目标。 众所周知，匿名苏丹组织与其他与俄罗斯有关的组织密切合作，如KillNet和一个新兴的黑客组织，被称为UserSec。 这三个团伙通常使用分布式拒绝服务（DDoS）攻击来攻击受害者，这些攻击通常会用流量请求淹没网站的服务器，导致网络过载并关闭。 除了在瑞典的攻击，最近该团伙还加入了针对北约和欧盟成员国的KillNet活动。 上个月，匿名者苏丹组织对以色列的关键基础设施发起了持续攻击。 在短短的一天内，以色列的四十多个组织遭到了网络攻击，包括以色列总理本雅明-内塔尼亚胡的个人网站和以色列臭名昭著的秘密间谍机构摩萨德。       转自 Freebuf，原文链接：https://www.freebuf.com/news/367508.html 封面来源于网络，如有侵权请联系删除

近日，美国、英国和思科警告由俄罗斯政府资助的 APT28 黑客在 Cisco IOS 路由器上部署名为“Jaguar Tooth”的自定义恶意软件，允许未经身份验证的设备访问。 APT28，也称为 Fancy Bear、STRONTIUM、Sednit 和 Sofacy，是一个与俄罗斯总参谋部情报总局 (GRU) 有联系的国家资助的黑客组织。这个黑客组织由于对欧洲和美国利益的广泛攻击，并且以滥用零日漏洞进行网络间谍活动而闻名。 在英国国家网络安全中心 (NCSC)、美国网络安全和基础设施安全局 (CISA)、美国国家安全局和联邦调查局发布的一份联合报告详细介绍了 APT28 黑客如何利用Cisco IOS路由器上的旧SNMP 漏洞部署名为“Jaguar Tooth”的自定义恶意软件。 自定义 Cisco IOS 路由器恶意软件 Jaguar Tooth 是一种恶意软件，直接注入到运行较旧固件版本的 Cisco 路由器的内存中。安装后，恶意软件会从路由器中泄露信息，并提供对设备的未经身份验证的后门访问。 NCSC公告警告说：“Jaguar Tooth是一种非持久性恶意软件，其目标是运行固件的 Cisco IOS 路由器：C5350-ISM，版本 12.3(6)。它包括收集设备信息的功能，通过 TFTP 泄露这些信息，并启用未经身份验证的后门访问。据观察，它是通过利用已修补的 SNMP 漏洞 CVE-2017-6742 进行部署和执行的。” 为了安装恶意软件，威胁参与者使用弱 SNMP 社区字符串（例如常用的“公共”字符串）扫描公共 Cisco 路由器。SNMP 社区字符串就像凭据，允许知道配置字符串的任何人查询设备上的 SNMP 数据。 如果发现有效的 SNMP 社区字符串，威胁参与者就会利用2017年6月修复的CVE-2017-6742 SNMP 漏洞。此漏洞是一个未经身份验证的远程代码执行漏洞，具有公开可用的利用代码。 一旦攻击者访问Cisco路由器，他们就会修补其内存以安装自定义的非持久性Jaguar Tooth恶意软件。 NCSC 恶意软件分析报告解释说：“当通过Telnet或物理会话连接时，这将授予对现有本地帐户的访问权限，而无需检查提供的密码。” 此外，该恶意软件创建了一个名为“Service Policy Lock”的新进程，该进程收集以下命令行界面(CLI)命令的输出并使用TFTP将其泄露： 显示运行配置 显示版本 显示 ip 界面简介 显示arp 显示 cdp 邻居 演出开始 显示 ip 路由 显示闪光 所有思科管理员都应该将他们的路由器升级到最新的固件以减轻这些攻击。 Cisco建议在公共路由器上从 SNMP切换到 NETCONF/RESTCONF 以进行远程管理，因为它提供更强大的安全性和功能。 如果需SNMP，管理员应配置允许和拒绝列表以限制谁可以访问公开路由器上的SNMP 接口，并且社区字符串应更改为足够强的随机字符串。 CISA 还建议在 Cisco 路由器上禁用 SNMP v2 或 Telnet，因为这些协议可能允许从未加密的流量中窃取凭据。 最后，如果怀疑某台设备遭到入侵，CISA 建议使用 Cisco 的建议来验证 IOS 映像的完整性，撤销与该设备关联的所有密钥，不要重复使用旧密钥，并使用直接来自 Cisco 的映像替换映像。 目标的转变 公告强调了国家资助的威胁行为者为网络设备创建自定义恶意软件以进行网络间谍和监视的趋势。 由于边缘网络设备不支持端点检测和响应 (EDR) 解决方案，因此它们正成为威胁参与者的热门目标。 此外，由于它们位于边缘，几乎所有企业网络流量都流经它们，因此它们是监视网络流量和收集凭据以进一步访问网络的有吸引力的目标。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/0SbA7wXgGuDajkAMoOxqZA 封面来源于网络，如有侵权请联系删除  

根据Check Point（全球顶尖Internet 安全解决方案供应商）研究表明，自俄乌冲突爆发以来，网络间谍组织Cloud Atlas加大了针对俄罗斯、白俄罗斯以及乌克兰和摩尔多瓦争议地区的活动。 该组织自2014年以来一直活跃，但自俄乌冲突爆发以来，它主要袭击了俄罗斯、白俄罗斯、德涅斯特河沿岸（摩尔多瓦的一个亲克里姆林宫的分离地区）以及俄罗斯占领的乌克兰领土，包括克里米亚、卢甘斯克和顿涅茨克。 据Positive Technologies（俄罗斯网络安全公司）的研究人员称，该组织的目标是间谍活动和窃取机密信息。目前暂不清楚谁是该组织的幕后黑手。 Check Point称，Cloud Atlas一直坚持其“简单但有效”的方法，这些方法并没有随着时间的推移而改变。该组织使用所谓的模板注入攻击，滥用Microsoft Word中的功能，向受害者发送恶意负载。这些文档通常是为特定目标而制作的，这使得它们几乎无法检测。 有证据表明，该组织在6月份对俄语组织进行了多次成功的入侵，而这些入侵是在攻击者已经完全访问了整个网络（包括域控制器）之后才被发现的。 根据Check Point的说法，在俄乌冲突之前，Cloud Atlas主要针对亚洲和欧洲的部委、外交实体和工业设施。Positive Technologies发现，其目标还包括阿塞拜疆、土耳其和斯洛文尼亚的政府机构。 Cloud Atlas通常使用带有恶意附件的网络钓鱼电子邮件来获得对受害者计算机的初始访问。这些文件精心制作，以模仿政府声明、媒体文章、商业建议或广告。 Positive Technologies称，.DOC格式可能不会被防病毒软件标记为恶意，因为文档本身只包含一个带有漏洞的模板链接。打开文档时，将自动从远程服务器下载此模板。   黑客大多使用Yandex、Mail.ru、Outlook.com等公共电子邮件服务，但有时他们会欺骗受害者可能信任的其他组织的现有域。例如，在最近的一次攻击中，黑客伪装成代表俄罗斯著名新闻媒体Lenta.ru写作。 大多数钓鱼信都与目标国家当前的地缘政治问题有关。例如，今年3月和4月，Cloud Atlas将目标对准了德涅斯特河沿岸地区，因为担心俄罗斯会试图扩大对该地区的控制，从西方袭击乌克兰。 在白俄罗斯，Cloud Atlas主要针对交通和军用无线电电子行业，在俄罗斯，它专注于政府部门和能源设施。 攻击者通过将目标列入白名单来严密控制谁可以访问他们的恶意附件。根据Check Point的说法，为了收集受害者的IP信息，Cloud Atlas首先向他们发送了侦察文件，其中除了对受害者进行指纹识别外，不包含任何恶意文件。 Positive Technologies的研究人员注意到，没有任何关于接受者的公开信息，“这可能表明袭击准备充分。” 研究人员说：“我们预测，该小组将继续运作，因为它再次引起了关注，从而增加了其工具和攻击技术的复杂性。” 转自 E安全，原文链接：https://mp.weixin.qq.com/s/1aXrndqQe2hqQc0slfMwhw 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，LockBit 黑客组织宣布从加州财政部盗取近 76GB 数据。目前，加州网络安全情报中心（Cal-CSIC）已着手调查此次网络攻击事件。 加州相关部门证实财政部数据泄露 据悉，加州州长紧急事务办公室已经证实了财政部遭受了网络攻击，并强调攻击事件发生不久后，通过与联邦安全合作伙伴协调，确定网络威胁后，迅速部署数字安全和在线威胁猎取专家，评估网络入侵的危害程度，以期控制、减轻网络攻击带来的影响。 值得一提的是，截至目前，尚不清楚此次攻击事件造成多大损失，也不清楚攻击者是采用何种技术侵入财政部。 LockBit 声称盗取近 76GB 数据 本周一，LockBit 黑客团伙在其泄密网站上发布消息称其攻破了加利福尼亚州财政部，盗取了数据库、机密数据、财务文件和 IT 文件。为了增加可信度，LockBit 组织还公布几张据称从加州财政部系统中渗出的文件截图。 （资料来源：BleepingComputer） 此外，LockBit 黑客团伙还发布了盗取数据的目录和存储文件数量截图。对话框显示超过 114000 个文件夹中有超过 246000 个文件，总计 75.3GB 的数据。 数据泄露网站上显示，数据“保护器”截止到 12月24 日前，一旦无法获得赎金，LockBit黑客团伙将公布所有被盗数据。 LockBit 黑客组织多次作案 10 月份，一名涉嫌与 LockBit 勒索软件团伙有关的 33 岁俄罗斯公民在加拿大安大略省被捕。据信，他在关键基础设施和大型工业组织上部署了勒索软件。欧洲刑警组织表示，该名男子参与许多高调的勒索软件案件”，共向受害者索要了 500 万至 7000 万欧元。 LockBit 黑客组织资金雄厚，是圈内第一个推出 bug 赏金计划的黑客团伙，为”寻找“漏洞，提供了高达 100 万美元的奖励，是勒索勒索软件领域目前最活跃的勒索软件之一。 此外，从以往案例来看，LockBit 黑客组织通常专注于勒索大公司，仅仅 2022 年，LockBit 受害者名单中就”囊括“了汽车巨头大陆集团（Continental）、安全公司 Entrust 和意大利国税局（L’Agenzia delle Entrate）。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352448.html 封面来源于网络，如有侵权请联系删除

Deep Instinct的威胁研究团队发现了MuddyWater APT(又名SeedWorm、TEMP.Zagros和Static Kitten)进行的一项新活动，目标是亚美尼亚、阿塞拜疆、埃及、伊拉克、以色列、约旦、阿曼、卡塔尔、塔吉克斯坦和阿拉伯联合酋长国。 专家们指出，该运动展示了最新的TTP。 第一次MuddyWater攻击发生在2017年底，目标是中东地区的实体。 多年来，该组织不断发展，不断增加新的攻击技术。而后，该组织还将欧洲和北美国家作为攻击目标。今年1月，美国网络司令部(USCYBERCOM)正式将MuddyWater APT与伊朗情报与安全部(MOIS)联系起来。 Deep Instinct观察到，9月份开始的这次活动与过去的活动不同，它使用了一种名为“Syncro”的新远程管理工具。MuddyWater并不是唯一一个滥用Syncro的威胁者，该工具也被用于BatLoader和Luna Moth活动 APT小组使用HTML附件作为诱饵，并使用其他提供者托管包含远程管理工具安装程序的档案。 HTML附件通常被发送给收件人，而不会被防病毒和电子邮件安全解决方案阻止。 今年7月，威胁参与者被发现使用名为“promotion.msi”的安装程序提供的ScreenConnect远程管理工具。名字是“促销”。Msi也用于当前活动中雇用的安装人员。 此实例正在与另一个MuddyWater MSI安装程序进行通信，该安装程序名为Ertiqa.msi，这是一个以沙特人的名字命名的组织。在当前的浪潮中，MuddyWater使用了相同的名称。Ertiqa.msi，但与Syncro安装程序。”Deep Instinct的分析，“目标地理位置和部门也与MuddyWater之前的目标一致。综合来看，这些指标为我们提供了足够的证据，证实这就是MuddyWater。” Syncro提供了一个21天的试用，提供了一个功能齐全的web GUI来完全控制计算机。 “您选择MSP要使用的子域。”报告继续说道，“在调查MuddyWater使用的一些安装程序时，我们发现每封独特的邮件都使用了一个新的MSI。在大多数情况下，MuddyWater使用单个MSI安装程序的单个子域。” 专家们还分享了最近活动的妥协指标(ioc)。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/Jt5MMngfkam7Xm53DWwB-A 封面来源于网络，如有侵权请联系删除

近期，一个名为8220组织的加密采矿团伙利用Linux和云应用程序漏洞将其僵尸网络扩大至30,000多台受感染的主机。该组织的技术并不高，但经济动机强，他们针对运行Docker、Redis、Confluence和Apache漏洞版本的公开系统，感染AWS、Azure、GCP、Alitun和QCloud等主机。该团伙以前的攻击依赖于公开可用的漏洞利用来破坏 Confluence 服务器。 在获得访问权限后，攻击者使用SSH暴力破解进一步传播并劫持可用的计算资源来运行指向无法追踪的加密矿工。 8220组织至少从2017年开始就活跃起来，起先其并没有获得多大的关注，但在一系列的大量感染案例之后，人们才发现忽视这些级别较低的威胁参与者是多么不明智，并且他们同样能给网络安全带来较大的威胁。 在SentinelLabs研究人员观察和分析的最新活动中， 8220组织在用于扩展其僵尸网络的脚本中添加了新内容，尽管缺乏专门的检测规避机制，但这段代码仍具有足够的隐蔽性。从上月底开始，该组织开始使用专用文件来管理SSH暴力破解步骤，其中包含450个硬编码凭证，对应于广泛的Linux设备和应用程序。另一个更新是在脚本中使用阻止列表来排除特定主机的感染，主要涉及安全研究人员设置的蜜罐。最后，8220组织现在使用其自定义加密矿工PwnRig的新版本，它基于开源门罗矿工XMRig。 在最新版本的PwnRig中，矿工使用伪造的FBI子域，其IP地址指向巴西联邦政府域，以创建伪造的矿池请求并掩盖所产生资金的真实目的地。加密货币价格的下跌迫使加密劫持者扩大其业务规模，以便他们能够保持相同的利润。尤其是门罗币，在过去六个月中已经损失了超过 20% 的价值。预计不断下降的加密货币价格将使加密劫持对威胁参与者的吸引力降低。但是，它将继续成为许多威胁参与者的收入来源。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339622.html 封面来源于网络，如有侵权请联系删除

在多个政府机构遭到Conti勒索组织的网络攻击后，哥斯达黎加总统罗德里戈·查韦斯（Rodrigo Chaves）宣布全国进入紧急状态。该国上一次宣布进入紧急状态，还是在2020年应对新冠肺炎肆虐的时候。 据国外媒体报道，Conti勒索组织已经发布了所窃取的672 GB数据中的绝大部分内容，其中有很多都来自于哥斯达黎加各个政府机构。基于勒索攻击带来的严重影响，2022年5月8日，哥斯达黎加查韦斯签署了该命令，也正是这一天，查韦斯刚刚当选为第49任总统。 查韦斯表示，“哥斯达黎加遭受网络犯罪分子、网络恐怖分子的攻击，被迫宣布国家紧急状态。我们正在签署这项法令，宣布整个公共部门进入国家紧急状态。国家授权我们的社会将这些攻击作为犯罪行为来应对。” 哥斯达黎加社会保障基金 (CCSS) 发言人此前也表示，正在加大力度对Conti勒索软件的进行边界安全审查，防止CSS机构因此遭受勒索攻击。 截至5月9日，Conti勒索组织已经在其网站上泄露了97%的数据，其中有大量从哥斯达黎加政府机构窃取的数据： 在本次勒索攻击中，最先遭受Conti勒索组织攻击的机构是财政部，截止到目前尚未完整评估出此次事件的影响范围，以及纳税人信息、支付信息和海关系统的影响程度。早些时候，Conti勒索组织曾向哥斯达黎加索要1000万美元赎金，但是被政府拒绝了。 受到Conti勒索组织攻击影响的部门包括： 财政部 科学、创新、技术与电信部 劳动与社会保障部 社会发展与家庭津贴基金 国家气象研究所 哥斯达黎加社会保障基金 阿拉胡埃拉市各大学主校 目前有安全专家已经对一小部分泄露数据进行初步分析，结果显示源代码和SQL数据库确实来自政府网站。Conti攻击者“UNC1756”及其附属机构并未将此网络攻击归咎于民族国家黑客，而是单独声称对此负责并威胁要在未来进行“更严重的”攻击。 事实上，自4月18日以来，哥斯达黎加的政府程序、签名和邮票系统就已经被破坏，财政部的数字服务一直无法使用，这影响了整个“生产部门”。 查韦斯总统补充说：“我们签署了该法令，以便更好地保护自己，免受勒索组织攻击带来的伤害，这也是以此对国土的攻击。” 很难想象，一个国家会因为一个勒索组织的攻击就宣布进入紧急状态，同时也从侧面反映出Conti勒索组织是多么的丧心病狂，竟然敢公然挑衅政府部门，并对整个国家都造成了严重的影响。 目前，勒索攻击已经成为全球的威胁，无数国家和经济都有可能因此遭受巨大损失。对于Conti勒索组织的猖獗，美国也发布了高达1500万美元的巨额奖金，奖励那些提供关于Conti勒索组织领导层和运营商关键信息的人。 其中，1000万美元奖励给提供Conti勒索组织的攻击者身份和位置信息的人，另外500万美元则奖励给帮助警方逮捕的个人。 公开信息显示，Conti勒索组织发布了勒索即服务，与讲俄语的 Wizard Spider 网络犯罪组织（也以其他臭名昭著的恶意软件，包括 Ryuk、TrickBot 和 BazarLoader 等）存在关联性。 这已经不是该组织第一次入侵政府部门，此前他们还曾入侵爱尔兰卫生部 (DoH)，并索要2000万美元的赎金。2021年5月，FBI发出警告，Conti勒索组织正试图破坏美国十几个医疗保健和急救组织。 2021年8月，Conti勒索组织内部人员反水，泄露了其核心的培训材料、运营商的信息、部署各种恶意工具的手册等。但是经过几个月的时间，Conti勒索组织勒似乎并未因此元气大伤，而是继续发起各种网络攻击。 随着全球勒索攻击形势进一步加剧，我们也应该思考，如何建设好网络防护体系，并做好遭受勒索攻击之后的应急响应措施，以免因此而蒙受损失。 转自 Freebuf，原文链接：https://www.freebuf.com/news/332661.html 封面来源于网络，如有侵权请联系删除

俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司，并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户，然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前，曾在 Telegram 上发起投票，询问它应该针对哪家公司，而可口可乐公司获得了最多的选票。据 CISO Advisor 报道，被盗文件中包括金融数据、密码和商业账户。 Stormous 是黑客世界中的一个相对新成员，但在今年年初获得了关注。他们说他们从Epic Games 窃取了 200GB 的数据，后来当它宣布支持俄罗斯入侵乌克兰时成为头条。目前仍不清楚该组织的总部在哪里，The Record 报道说它的大部分信息都是用阿拉伯语。   转自cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1263867.htm 封面来源于网络，如有侵权请联系删除

据TechCrunch报道，美国政府通过悬赏1000万美元来寻找能够识别或定位黑客组织Sandworm成员的信息，从而加大了对六名俄罗斯情报官员的追捕力度。黑客组织Sandworm的成员为俄罗斯军事情报部门GRU的一个部门工作–以对关键基础设施，包括食品供应和能源部门发起破坏性和毁灭性的网络攻击而闻名。 Sandworm可能因2017年的NotPetya勒索软件攻击而闻名，该攻击主要打击了乌克兰的计算机系统，破坏了该国的电网，导致数十万居民在深冬时节无电可用。2020年，美国检察官起诉了同样的六名 Sandworm黑客（据信他们仍在俄罗斯），罪名是NotPetya攻击，以及针对2018年韩国平昌冬奥会的其他几起攻击，以及为诋毁法国当时的总统竞选人马克龙而进行的黑客和泄密行动。 美国国务院在本周的一份声明中说，NotPetya攻击波及到乌克兰以外的更广泛的互联网，给美国私营部门，包括医疗设施和医院，造成了近10亿美元的损失。 赏金的时机正值美国官员警告称，包括 Sandworm 在内的俄罗斯支持的黑客可能正在准备针对俄罗斯入侵乌克兰后针对美国企业和组织的破坏性网络攻击。 自2月入侵开始以来，安全研究人员已经将几起网络攻击归咎于 Sandworm，包括使用“wiper”恶意软件削弱乌克兰军队严重依赖的Viasat卫星网络。乌克兰政府本月早些时候表示，它已经挫败了另一个Sandworm企图，即利用它在2016年对乌克兰发动的网络攻击中重新使用的恶意软件，将一家乌克兰能源供应商作为攻击目标。 美国联邦调查局本月还表示，它开展了一项行动，通过锁定 Sandworm黑客约一半的僵尸网络指挥和控制服务器，瓦解了一个感染了数千台受损路由器的大规模僵尸网络，其中包括许多位于美国的僵尸网络。 根据微软的新研究， Sandworm还被指责与乌克兰的其他几起破坏性网络攻击有关，作为该组织通过削弱乌克兰的经济来支持俄罗斯军事目标的努力的一部分。 微软表示，作为其命名网络对手的金属主题公约的一部分，它称之为“Iridium”的 Sandworm 还对乌克兰西部的一家运输和物流提供商的网络发起了破坏性攻击，该公司称这可能是为了阻碍乌克兰向该国东部冲突地区提供进入该国的大部分军事装备和人道主义援助的努力。 这家技术巨头还警告说， Sandworm–以及另一个被称为Fancy Bear的GRU黑客组织–继续攻击支持通信部门的公司和一个未命名的”主要”互联网供应商。微软没有说是哪家互联网供应商，但警告说，最近在本月就发现了这种活动。乌克兰政府上个月说，它已经”化解”了针对该国最大互联网供应商Ukrtelecom的IT基础设施的网络攻击。 微软的消费者安全主管Tom Burt 说，该公司已经观察到近40次直接针对关键基础设施的破坏性攻击，其中约40%的攻击 “针对关键基础设施部门的组织，可能对乌克兰政府、军队、经济和民众产生负面的二级影响”。 并非所有的攻击都是成功的。在一个案例中，微软表示，它发现有证据表明，Sandworm正在为一个农业公司的文件加密攻击创造条件，可能会破坏其粮食生产供应，而乌克兰是一个主要的全球出口国。 Burt说，Sandworm和 Fancy Bear 是六个独立的俄罗斯国营黑客组织中的两个，它们自乌克兰入侵前就开始针对乌克兰进行237次攻击。 Burt表示：“这些攻击不仅削弱了乌克兰机构的系统，而且还试图破坏人们获得可靠信息和关键生活服务的机会，并试图动摇对该国领导人的信心。我们还观察到涉及北约其他成员国的有限的间谍攻击活动，以及一些虚假信息活动。”   转自cnBeta，原文链接：https://www.cnbeta.com/articles/science/1263323.htm 封面来源于网络，如有侵权请联系删除

根据Meta（Facebook的母公司）的一份新的安全报告，一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户，并从黑客账户发布视频，谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”，是由一个名为UNC1151的组织实施的，该组织在Mandiant进行的研究中与白俄罗斯政府有关。 Meta公司在2月份的安全更新中标出了Ghostwriter行动的活动，但自那次更新以来，该公司表示，该组织还试图入侵”几十个”账户，尽管它只在少数情况下成功。 在成功的情况下，Ghostwriter背后的黑客还通过视频形式发送误导内容，但Meta公司表示，它已经阻止了这些视频的进一步分享。传播虚假的投降信息已经成为黑客的一种策略，他们入侵了乌克兰的电视网络，并在直播新闻中植入了乌克兰投降的虚假报道。尽管这类声明可以很快被推翻，但专家们认为其目的是为了削弱乌克兰人对媒体的整体信任。 该组织还试图破坏”几十个”账户” 最新的Ghostwriter黑客攻击的细节发表在Meta的季度对抗性威胁报告的第一部分，这建立在2021年12月的类似报告之上，该报告详细介绍了该年全年面临的威胁。虽然Meta公司之前已经发布了关于平台上协调的不真实行为的定期报告，但新的威胁报告的范围更广，包括间谍行动和其他新兴威胁，如大规模虚假内容散播活动。 除了针对军事人员的黑客攻击，最新报告还详细介绍了亲俄罗斯的威胁行为者进行的一系列其他行动，包括针对各种乌克兰目标的秘密影响活动。在报告中的一个案例中，Meta公司称，一个与白俄罗斯克格勃有关的团体试图在华沙组织一个反对波兰政府的抗议活动，尽管该活动和创建该活动的账户很快被下线。 “虽然近年来公众的大部分注意力都集中在外国干涉上，但在全球范围内，国内威胁也在增加。” 虽然像这样的外国影响行动构成了报告中一些最引人注目的细节，但Meta公司表示，它也看到了专制政府在国内针对本国公民开展的影响活动的上升趋势。在周三与记者的电话会议上，Facebook负责全球事务的总裁尼克-克莱格说，对互联网自由的攻击已经急剧加强了。 克莱格说：”虽然近年来公众的大部分注意力都集中在外国干涉上，但在全球范围内，国内威胁也在增加。就像2021年一样，今年前三个月我们破坏的行动有一半以上是针对本国人民的，包括通过黑客攻击人们的账户、开展欺骗性活动和向Facebook虚假报告内容以压制批评者。” 克莱格说，专制政权通常希望通过两种方式控制信息的获取：首先是通过国营媒体和影响力活动进行宣传，其次是试图阻断可信的替代信息来源的流动。 根据Meta的报告，后一种方法也被用来限制有关乌克兰冲突的信息，该公司删除了一个由大约200个俄罗斯运营的账户组成的网络，这些账户参与了对其他用户虚构的违规行为的协调报告，包括仇恨言论、欺凌和虚假消息。 克莱格赞同取自Meta公司游说工作的一个论点，他说，报告中概述的威胁表明，”为什么我们需要保护开放的互联网，不仅要防止专制政权带来的误导和破坏，还要防止因缺乏明确规则而造成的分裂”。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255727.htm 封面来源于网络，如有侵权请联系删除