一些世界领先的天文台报告称，它们受到了网络攻击，导致观测工作暂时停止。美国国家科学基金会的国家光学-红外天文研究实验室（NOIRLab）报告说，8月1日发生的网络安全事件促使该实验室暂时停止了夏威夷双子座北望远镜和智利双子座南望远镜的运行。位于智利Cerro Tololo的其他小型望远镜也受到了影响。双子座北站位于夏威夷的茂纳凯亚岛上。双子座北站是国际双子座天文台的一部分，是美国国家科学基金会 NOIRLab 计划的一部分。(图片来源：国际双子座天文台/NOIRLab/NSF/AURA/P. Horálek (奥帕瓦物理研究所)) 8月24日，NOIRLab在其网站上发表的一份声明中写道：”我们的员工正在与网络安全专家合作，以尽快恢复所有受影响的望远镜和我们的网站。” 目前尚不清楚这些网络攻击的确切性质或来源。NOIRLab指出，由于调查仍在进行中，该组织将谨慎对待有关入侵的信息共享。 更新补充说：”我们计划在我们能够提供更多信息时，向社会提供更多信息，这与我们对透明度的承诺以及我们对基础设施安全的承诺是一致的。” 就在NOIRLab设施遭受网络攻击的前几天，美国国家反间谍与安全中心（NCSC）发布了一份公告，提醒美国太空公司和研究机构注意网络攻击和间谍活动的威胁。 公告称，外国间谍和黑客”认识到商业航天产业对美国经济和国家安全的重要性，包括关键基础设施对天基资产日益增长的依赖性”。”他们将美国与太空相关的创新和资产视为潜在威胁，同时也是获取重要技术和专业知识的宝贵机会。” 这已经不是天文观测台第一次成为网络攻击的目标了。2022年10月，黑客破坏了智利阿塔卡马大毫米波/亚毫米波阵列（ALMA）的运行，而美国国家航空航天局多年来一直是网络攻击的受害者。2021 年，该机构受到了全球 SolarWinds 入侵事件的影响，NASA 领导层称这次事件为网络安全敲响了”警钟”。     转自cnBeta，原文链接:https://www.toutiao.com/article/7273461428563247635/?log_from=67ce899b4d62c_1693548601554 封面来源于网络，如有侵权请联系删除

拥有百年历史的蒙特利尔市电力服务委员会遭到LockBit勒索软件攻击，官方拒绝支付赎金，选择重建IT基础设施。 LockBit勒索软件团伙持续占据头条新闻，他们对关键组织、政府和企业发动了一系列攻击，引发了网络安全专家的担忧。 周三（30日），该团伙声称对加拿大蒙特利尔市电力服务委员会（CSEM）发动了攻击。这是一家拥有百年历史的市政组织，负责管理蒙特利尔市的电力基础设施。 CSEM在周二确认了攻击事件，并在一份声明中写道，他们于8月3日遭受勒索软件攻击，但拒绝支付赎金。他们正在努力恢复系统，并联系了加拿大国家当局和魁北克省执法部门，并已重建信息技术基础设施。 CSEM表示：“今天，制造此案件的犯罪团伙公开了一些被窃数据。我们谴责这种非法行为，同时指出被披露的数据对公众安全和CSEM运营带来的安全风险都很低。” “需要指出，CSEM所有项目都有公开文件可查。也就是说，人们可以从魁北克省官方流程办公室获取所有工程、施工、管理计划。” LockBit在周三威胁要泄露数据，这正是他们宣布对攻击负责的同一天。 LockBit团伙动作频频，内部或发生变化 过去一周，LockBit团伙颇为高调，发起了很多攻击事件，反复登上新闻。CSEM事件为这一周画上了句号。该团伙发动的攻击数量远远超过其他所有勒索软件团伙。 上周五，西班牙国家警察警告称，LockBit攻击团伙正在向建筑公司发送一系列高度复杂的网络钓鱼邮件。 这些电子邮件自称来自一家摄影公司，要求为建筑物拍照制定预算。在邮件往来后，假公司会发送一份照片拍摄计划文档。一经下载，受害者设备将遭到加密。 这只是LockBit对欧洲目标发动的多样化攻击行动的一小部分。其他攻击目标有法国法兰西岛自然区域管理机构以及意大利国立卡波迪蒙特博物馆。 该团伙的攻击速度十分惊人。但是，网络安全厂商Analyst1首席安全专家Jon DiMaggio发布研究报告，对这个网络犯罪团伙的运作能力产生疑问。 Analyst1针对LockBit团伙进行了一系列研究，DiMaggio表示，LockBit领导层在8月的前两周内消失了，一度失联，直到8月13日才重新出现。 DiMaggio表示，由于后端基础设施和可用带宽出现问题，该团伙在发布攻击期间窃取的数据时遇到了困难。他说，LockBit的惯用手段是，利用他们是目前攻击频率最高的勒索软件团伙这一恶名，迫使受害者支付赎金。 DiMaggio报告发布后，卡巴斯基在本周也发布了一份报告，表示LockBit 3.0勒索软件生成器流出后，黑客滥用这一工具生成新变种。卡巴斯基发现了396个基于LockBit代码的不同样本。     转自安全内参，原文链接:https://www.secrss.com/articles/58380 封面来源于网络，如有侵权请联系删除

GhostSec报告了FANAP Behnama软件的成功入侵，他们将其描述为“伊朗政权自己的隐私入侵软件”。此漏洞导致大约 20GB 的受感染软件暴露。该组织声称，伊朗政府使用该软件进行公民监视，这代表了该国监视能力的重大进步。 作为证据，该组织分享了该软件的部分源代码，展示了其独特的面部识别功能，增强了其监控效果。在过去的两个月里，该组织声称已经逐个文件仔细分析了大约20GB的压缩数据。Ghostsec的目标是确保这些信息可以随时访问，帮助隐私受到损害的伊朗公民，并坚持全面隐私保护的必要性。 作为其活动的进一步举措，该组织建立了一个名为“IRAN EXPOSED”的专用Telegram频道。通过该平台，他们打算分享有关此次泄露的信息，并已经分享了部分受损软件数据，并附有有关其发现和结果的解释，以及他们的行为背后的理由。 除了分享屏幕截图和提供对软件功能的全面见解之外，GhostSec还主动开始将Behnama代码片段上传到其专用的Telegram频道。此上传包括配置文件和API数据等各种组件。该小组目前正在积极参与这一过程，并承诺在上传程序结束后提供深入的解释。 GhostSec接着揭示了FANAP软件公司内部的各种发展。其中包括基于面部识别的视频监控工具（在Pasargad Bank汽车GPS和跟踪系统中实施），车牌识别系统（可能对头巾警报产生影响）以及用于身份证打印的面部识别系统。这种集成汇编了公民生活的复杂方面，不仅可以确定服务的访问权限，还可以构建用于面部识别的虚拟配置文件。这种评估植根于软件代码，证实了软件功能和部署的无可争辩的证据。 GhostSec声称这些工具被伊朗政府、执法机构和军事人员积极使用。关于此次违规行为和随后曝光的动机的官方声明符合GhostSec在争取隐私权方面促进平等的目标。此次曝光旨在让伊朗民众在对政府监控的认识不断增强后要求获得隐私权。 值得注意的是，作为此次披露活动的一部分，GhostSec积极监控了FANAP对违规行为的响应。最初，GhostSec声称对 fanap-infra.com网站的关闭负责，这是他们对该公司报复活动的一部分。随后，该组织透露，与FANAP软件公司相关的另一个网站只能在伊朗境内访问，并且该公司的主要GitHub存储库已设为私有，可能是由于已经发生的泄露事件。     转自E安全，原文链接:https://mp.weixin.qq.com/s/EMO_RQrEqmN-APHlWn_LyQ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个基于.NET的开源信息窃取恶意软件SapphireStealer，已被多个实体用来增强其能力并产生自己的定制变体。 思科Talos研究员Edmund Brumaghin在与The Hacker News分享的一份报告中表示:“像SapphireStealer这样窃取信息的恶意软件可以用来获取敏感信息，包括公司凭据。这些信息经常被转售给其他威胁行为者，他们利用这些访问权进行额外的攻击，包括与间谍活动或勒索软件/勒索有关的行动。” 随着时间的推移，一个允许经济动机和国家行为者使用恶意软件提供商提供的服务来实施各种攻击的完整生态系统已经发展起来了。 从这个角度来看，这种恶意软件不仅代表了网络犯罪即服务(CaaS)模式的演变，而且还为其他威胁行为者提供了将被盗数据货币化的机会。这让他们能够分发勒索软件，进行数据盗窃和其他恶意网络活动。 SapphireStealer与暗网上越来越多的其他窃取恶意软件很像，它具备收集主机信息、浏览器数据、文件、截图的功能，并通过简单邮件传输协议(SMTP)以ZIP文件的形式泄露数据。 它的源代码在2022年12月下旬免费发布，这使得不法分子能够试验恶意软件，并使其隐蔽。这包括使用Discord webhook或Telegram API达到数据泄露的目的。 Brumaghin说:“这种威胁的多种变体已经在野外存在，且随着时间的推移，攻击者将提高其效率和有效性。” 恶意软件作者还公开了一个.NET恶意软件下载程序，代号为fd – loader，这使得从攻击者控制的分发服务器检索额外的二进制有效负载成为可能。 Talos表示，它检测到恶意软件下载程序被用于提供远程管理工具，如DCRat、jnrat、DarkComet和Agent Tesla。 一个多星期前，Zscaler分享了另一个名为Agniane Stealer的窃取恶意软件的细节，该恶意软件能够从浏览器、Telegram、Discord和文件传输工具中窃取凭证、系统信息、会话细节，以及来自70多个加密货币扩展和10个钱包的数据。 它在几个暗网论坛和Telegram频道上以每月50美元的价格出售(没有终身许可证)。 安全研究员Mallikarjun Piddannavar说:“开发Agniane Stealer的黑客利用包装程序来维护和定期更新恶意软件的各种功能。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

新的研究结果表明，攻击者可以利用一种隐匿的恶意软件检测规避技术，并通过操纵 Windows 容器隔离框架来绕过端点安全的解决方案。 Deep Instinct安全研究员丹尼尔-阿维诺姆（Daniel Avinoam）在本月初举行的DEF CON安全大会上公布了这一发现。 Microsoft的容器体系结构（以及扩展的 Windows 沙盒）使用所谓的动态生成的映像将文件系统从每个容器分离到主机，同时避免重复系统文件。 Avinoam一份报告中说：它只不过是一个“操作系统映像，其中包含可以更改的文件的干净副本，但链接到主机上已存在的Windows映像中无法更改的文件”，从而降低了完整操作系统的整体大小。结果就是包含’幽灵文件’的图像，它们不存储实际数据，但指向系统上的不同目录。 正因为如此，我突然想到，如果我们可以使用这种重定向机制来混淆我们的文件系统操作并混淆安全产品，那会怎样？ 这就提到了 Windows 容器隔离 FS （wcifs.sys） 过滤器驱动程序的作用。该驱动程序的主要目的就是处理 Windows 容器与其主机之间的文件系统隔离。 换句话说，我们的想法是让当前进程在一个人造容器内运行，并利用迷你过滤器驱动程序来处理 I/O 请求，这样它就可以在文件系统上创建、读取、写入和删除文件，而不会向安全软件发出警报。 值得一提是，在此阶段，迷你过滤器通过向过滤器管理器注册它选择过滤的 I/O 操作，间接地连接到文件系统栈。每个迷你过滤器都会根据过滤器要求和负载顺序组分配一个微软指定的 “整数 “高度值。 wcifs 驱动程序的高度范围为 180000-189999（特别是 189900），而反病毒过滤器（包括第三方的反病毒过滤器）的高度范围为 320000-329999。因此，可以在不触发回调的情况下执行各种文件操作。 Avinoam解释说：因为我们可以使用IO_REPARSE_TAG_WCI_1重新解析标签覆盖文件，而无需检测防病毒驱动程序，所以它们的检测算法不会接收整个图片，因此不会触发。 尽管如此，实施这种攻击需要有管理权限才能与 wcifs 驱动程序通信，而且不能用它来覆盖主机系统上的文件。 在披露这一消息的同时，网络安全公司还展示了一种名为 “NoFilter “的隐蔽技术，该技术可滥用 Windows 过滤平台（WFP）将用户权限提升至 SYSTEM，并可能执行恶意代码。 这些攻击允许使用 WFP 复制另一个进程的访问令牌，触发 IPSec 连接，利用打印线轴服务将 SYSTEM 令牌插入表中，并有可能获得登录到被入侵系统的另一个用户的令牌，以进行横向移动。     转自Freebuf，原文链接:https://www.freebuf.com/news/376704.html 封面来源于网络，如有侵权请联系删除

上周晚些时候，动漫游戏《原神》的中国服务器曝出严重漏洞，允许黑客利用外挂从其他玩家的联机世界中删除游戏物品和要素。 同时，《原神》的许多玩家在论坛报告称在游戏内遭遇黑客（外挂）攻击，游戏难以正常进行，因为该外挂可通过四星游戏角色Kaveh删除在组团模式中取得游戏进度至关重要的元素，例如玩家需要与之交互的谜题或NPC（甚至包括Boss）。 还有玩家报告说，他们的探索点被外挂操纵逆转。 本周二，在沉默数日后，《原神》的开发商米哈游公司在推特（X）上发布声明称给大量玩家造成困扰的“Kaveh外挂攻击”已经基本得到控制，”少数帐户中的某些项目可能尚未恢复。这不会影响玩家的正常游戏体验。此问题将在未来的更新中完全解决，我们将通过游戏内邮件通知受影响的旅行者。受影响的帐户将通过游戏内消息单独收到通知。” 米哈游还在玩家社区就游戏内黑客事件做出了回应，声称已经封禁使用Kaveh外挂的账户，并警告将对责任者采取法律行动。 “目前，我们已确认该插件的开发者和用户正在社区或视频网站上发布内容，伪装成受害者，迷惑公众，煽动恐慌。”米哈游在推文中说道。 《原神》是一款广受欢迎的动漫风格开放世界探索游戏，支持包括Android、iOS、PS4和Windows在内的多个平台，拥有超过6000万活跃玩家。2022年10月，据GamesRadar报道，《原神》的开发商米哈游（海外公司名HoYoverse）曾遭遇大规模数据泄露，多名米哈游QA测试人员的数据泄露并被在网络上分享，泄露信息包括《原神》3.3到3.8版本的新角色、任务和事件的细节。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/VvW2yaehmkB1SDBQCIM-CA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 据IT安全公司ReliaQuest的威胁研究人员研究，QakBot、SocGholish和Raspberry Robin这三种恶意软件加载程序在80%的攻击事件中造成了严重破坏。 恶意软件加载程序被用作交付和执行其他形式的恶意软件的载体，例如勒索软件、病毒、特洛伊木马或蠕虫。它们是攻击者在初始网络攻击阶段投放有效载荷（payloads）的最常见工具之一。 ReliaQuest的研究人员观察了消费者环境中最常见的变种，发现自今年年初以来，仅三个恶意软件加载程序就占了大部分事件的份额。 恶意软件加载器对网络安全团队来说很棘手，因为即使加载的恶意软件相同，对一个加载器的防御可能对另一个加载器不起作用。 “仅检测到恶意软件加载程序，并不意味着目标网络受到了损害。我们观察到的大多数情况下，恶意软件加载程序在杀伤链的早期都会被检测到并停止，但加载器引起的任何系统瘫痪威胁都不容忽视，尤其是三种最受欢迎的加载器。”研究人员写道。然而，我们对主要罪犯QakBot (QBot, QuackBot, Pinkslipbot)、SocGholish和Raspberry Robin真的了解吗? QakBot瞬息万变 QakBot与Black Basta勒索软件组织有关，最初是作为银行木马设计的，升级了新的功能后便成为了一种通用的恶意软件。 QakBot不仅用于对目标网络的初始访问，还提供远程访问有效载荷、窃取敏感数据，并帮助黑客进行横向移动和远程代码执行。 通常，QakBot是通过网络钓鱼电子邮件发送的。这些电子邮件为收件人提供量身定制的诱饵，如工作订单、紧急请求、发票、文件附件、超链接等。有效载荷以PDF、HTML或OneNote文件的形式下载。 研究人员解释说:“QakBot会使用WSF、JavaScript、Batch、HTA或LNK文件，通过此类文件在执行计划任务或注册表运行键从而建立持久性。” QakBot的经营者足智多谋，能够迅速做出反应或改变他们的部署策略。这种恶意软件是一种不断发展和持续的威胁，可以灵活的针对任何行业或地区。 通过SocGholish，一个用户得以影响整个系统 SocGholish，也被称为FakeUpdates，是一种伪装成合法的软件更新的程序。这个JavaScript恶意软件加载程序的目标是基于微软Windows环境的系统，并通过驱动式妥协(下载无需用户交互)交付。 ReliaQuest写道:“访问受感染网站的访问者被诱骗下载‘更新’，他们通常是通过过时浏览器的提示或其他针对Microsoft Teams和Adobe Flash的诱饵看到更新提示的。” SocGholish与总部位于俄罗斯、以经济驱动的网络犯罪集团“Evil Corp”有关。他们典型的主要目标是位于美国的住宿和食品服务商、零售贸易和法律服务行业。 该软件还与初始访问代理公司Exotic Lily有联系。Exotic Lily公司通过高度复杂的网络钓鱼活动获得初始访问权限，并将权限出售给勒索软件组织或其他攻击者。 SocGholish运营商会使用令人信服的社会工程策略，让人们放下戒备心。 “它庞大的恶意软件分发网络会运行在受感染的网站和社会工程上，”研究人员警告说:“仅仅四次用户点击就能在几天内影响整个领域或计算机系统网络。” Raspberry Robin是个多面手 树莓罗宾(Raspberry Robin)是一种非常难以捉摸的蠕虫加载程序，针对微软Windows环境，与各种能力很强的恶意组织(包括Evil Corp和Silence (Whisper Spider))有联系。 它的传播能力异常强大，恶意USB设备完成初始感染后，cmd.exe便会在受感染的USB上运行并执行LNK文件。LNK文件包含触发本地Windows进程的命令，例如msiexec.exe，以启动一个出站连接来下载Raspberry Robin DLL。 除了Cobalt Strike工具外，Raspberry Robin还被用于传递多种勒索软件和其他恶意软件变体，如“Cl0p”“LockBit”“TrueBot”和“Flawed Grace”。 2023年，Raspberry Robin运营商的目标是金融机构、电信、政府和制造组织。 研究人员解释说:“Raspberry Robin是黑客武器库中非常有用的补充，有助于开辟一个初始网络立足点，并提供多种形式的有效载荷。” 如何防御恶意软件加载程序? 有几个步骤可以帮助最小化来自恶意软件加载程序的威胁。以下是ReliaQuest的建议: 配置GPO(组策略对象)以将JS文件的默认执行引擎从Wscript更改为Notepad，以及您认为合适的任何其他脚本文件。这将阻止这些文件在主机上执行。 阻止具有通常用于恶意软件传递的文件扩展名的入站电子邮件。 通过防火墙或代理配置，限制公司资产与互联网的任意连接，以最大限度地减少恶意软件和C2活动。 限制远程访问软件的使用（除非个人工作绝对需要）或者加强监控以发现误用。网络犯罪分子—尤其是IAB和勒索软件运营商——喜欢使用这种软件来获取和维持对网络的访问权限。 禁用ISO挂载。ISO是一种越来越可靠的绕过防病毒或端点检测工具的方式。 实现USB访问控制和 GPO，以防止自动运行命令执行。如果业务条件允许，请考虑禁用任何可移动媒体访问。 培训员工识别网络上使用的社会工程策略，并为他们提供适当的渠道来报告可疑的电子邮件或其他活动。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络安全研究人员发现了一个与Microsoft Entra ID(以前的Azure Active Directory)应用程序相关的特权升级案例，该应用程序利用了一个废弃的回复URL。 Secureworks反威胁小组(CTU)在上周发布的一份技术报告中表示:“攻击者可以利用这个废弃的URL将授权码重定向到自己，将非法获得的授权码交换为访问令牌。然后，攻击者可以通过中间层服务调用Power Platform API，并获得更高的权限。” 在2023年4月5日负责任的披露之后，微软通过一天后发布的更新解决了这个问题。Secureworks还提供了一个开源工具，其他组织可以使用它来扫描废弃的回复URL。 回复URL，也称为重定向URI，指的是一旦应用程序被成功授权并授予授权码或访问令牌后，授权服务器发送给用户的位置。 微软在其文档中指出:“授权服务器将代码或令牌发送到重定向URI，因此在应用程序注册过程中注册正确的位置非常重要。” Secureworks CTU表示，他们发现了一个废弃的Dynamics Data Integration应用程序回复URL，该URL与Azure Traffic Manager配置文件相关联，这使得通过中间层服务调用Power Platform API并篡改环境配置成为可能。 在假设的攻击场景中，黑客可能获取现有服务主体的系统管理员角色，并发送删除环境的请求，以及滥用Azure AD Graph API来收集有关目标的信息，以便进行后续活动。 然而，这是基于受害者点击恶意链接的可能性，该行为会导向Microsoft Entra ID在登录时发出的授权代码被传递给攻击者劫持的重定向URL。 Kroll透露，以docusign为主题的网络钓鱼活动正在增加，这些活动利用开放的重定向，使攻击者能够传播特制的URL，当点击这些URL时，将潜在的受害者重定向到恶意网站。 该公司的乔治·格拉斯说:“通过伪造一个值得信赖的网站URL，攻击者可以更容易地操纵用户点击链接，并欺骗/绕过扫描链接以查找恶意内容的网络技术。这会导致受害者被重定向到一个恶意网站，该网站旨在窃取敏感信息，如登录凭据、信用卡详细信息或个人数据。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

美国多个联邦机构近日向该国航天工业发出警告，要求警惕外国警报机构的间谍活动。 美国国家情报总监办公室下属的国家反情报与安全中心（NCSC）称，全球太空经济投入将从 2021 年的 4690 亿美元增长到 2030 年的超过 1 万亿美元，而美国是这一增长的主要驱动力，并且对能源、金融、电信、交通、农业等多行业起到重要作用。NCSC认为外国情报机构已经认识到商业航天工业对美国经济和国家安全的重要性，包括关键基础设施对其产生的依赖性。 NCSC例举了针对美国航天工业进行间谍活动的可能形式，包括利用网络攻击、空壳公司或老式间谍手段收集有关美国太空能力或创新技术的敏感信息，也可能使用卫星干扰或黑客攻击等反空间系统来破坏或削弱美国卫星系统。 2021 年，NASA 成为SolarWinds 漏洞攻击的九个目标机构之一，这次大规模网络攻击被机构领导层称为“警钟”，旨在保护其赖以存储和传播敏感技术数据的网络安全。 在2022年爆发的俄乌战争中，被指与俄罗斯政府有联系的黑客对美国通信公司Viasat、SpaceX 星链系统进行了网络攻击。马斯克于2022年3月在推特上表示，攻击使冲突地区附近的一些星链终端曾一度堵塞数小时。 而在今年举行的美国黑帽技术大会（Black Hat USA）上，安全研究专家的一项研究议题也表示，黑客想要针对卫星进行攻击也非难事。根据对17 种不同卫星型号的 19 名工程师和开发人员的调查，有3名工程师承认他们没有采取任何措施来防止第三方入侵，有9名工程师虽然表示采取了防御措施，但其中只有5名实施了任何类型的访问控制。     转自Freebuf，原文链接:https://hackernews.cc/archives/45320 封面来源于网络，如有侵权请联系删除

近日，波兰国内安全局（ABW）和国家警察已就针对波兰铁路网络的黑客攻击展开调查。据波兰新闻社报道，此次攻击对当地交通造成了较大影响。 特勤局副协调员Stanisław Zaryn表示：波兰当局正在调查一起未经授权使用铁路交通控制系统的事件。几个月来，俄罗斯联邦与白俄罗斯联合在一起企图破坏波兰国家的稳定。 事实上，自2014年俄乌之间爆发的数次黑客事件中，俄罗斯黑客就经常会使用一些复杂的黑客技术来破坏乌克兰网络，扰乱该国的卫星通信，甚至引发大面积停电。而在北约试图加强乌克兰防御俄罗斯之际，波兰的铁路系统一直是西方武器和其他援助流入乌克兰的主要来源。因此，这次袭击其实也是俄罗斯想要破坏支援行动的一环。 Zaryn说：俄罗斯联邦与白俄罗斯经常合作发起攻击，所以我们从现在起会重视所有向波兰铁路局发出的恶意信号。 黑客向目标列车发出 “无线电停止 “命令 据悉，威胁分子在周六（8月26日）发送了一个信号，触发了紧急状态，导致什切青市附近的列车停运。据媒体报道，这次袭击造成至少 20 辆列车停运，交通瘫痪长达数小时。据《连线》报道，破坏者通过无线电频率向目标列车发出 “无线电停止 “命令。由于波兰铁路系统使用的无线电系统缺乏加密或认证，因此很容易欺骗无线电停止命令。 网络安全专家 Lukasz Olejnik 表示：不管是谁，只要拥有 30 美元的现成无线电设备，就可以向波兰的列车以 150.100 兆赫兹的频率发送一连串三个声波，并触发列车的紧急停车功能。一旦无线电设备接收到连续发送的三个音调信息，机车就会停止。 Olejnik说：多年来，波兰的无线电和火车论坛以及YouTube上一直有人在介绍如何发送该命令。而无线电设备本身价格很低，频率、音调也都是已知的情况下，所以即使是青少年也能轻易做到。 不过致使火车瘫痪的无线电攻击有一个限制条件，就是破坏者必须距离目标火车相对较近——从数百英尺到数英里不等，具体取决于他们所使用的无线电设备的功率。 波兰国家运输机构已表示将在 2025 年之前全面升级波兰的铁路系统，但在此之前，它将继续使用相对不受保护的 VHF 150 MHz 系统。 波兰铁路局表示，这次攻击事件仅导致列车运行受阻，并未造成人员伤亡或财产损失。 黑客对此次波兰铁路系统的攻击并未使用任何勒索软件，甚至不需要渗透数字网络。但Olejnik警告称，这种攻击虽然很简单但绝不能低估，因为其可能会造成更加深远的影响。     转自Freebuf，原文链接:https://www.freebuf.com/news/376324.html 封面来源于网络，如有侵权请联系删除