HackerNews 编译，转载请注明出处： 据最新报告显示，一个鲜为人知的黑客组织已成为俄罗斯国家机构和关键行业的重大威胁，其攻击旨在制造最大程度的破坏并谋取经济利益。 俄罗斯网络安全公司卡巴斯基的研究人员表示，Black Owl（亦称黑猫头鹰）组织自2024年初开始活跃，似乎独立运作且拥有专属工具库和攻击策略。该组织最具破坏性的行动之一是上月的网络攻击，据称摧毁了俄罗斯约三分之一的国家电子法院档案系统。乌克兰军事情报局（HUR）此前声明曾与BO组织合作开展多项行动，包括入侵俄罗斯联邦数字签名机构及其下属科研中心。 该组织通常通过携带高迷惑性恶意附件的钓鱼邮件获取受害者系统的初始访问权限。入侵成功后，BO组织可能潜伏数周甚至数月才行动——这种延迟在通常追求快速破坏或窃取数据的黑客行动主义者中极为罕见。其持续升级的工具包包含DarkGate、BrockenDoor和Remcos等后门程序。 研究人员指出，攻陷网络后，该组织会使用微软SDelete等工具删除备份及虚拟基础设施，并在部分案例中部署Babuk勒索软件加密数据索要赎金。黑客常将恶意软件伪装成合法的Windows程序。 BO组织专门针对俄罗斯实体，包括国有企业和科技、电信及制造业机构。他们频繁在Telegram上宣扬攻击成果，既为恐吓受害者，也为吸引媒体关注。 卡巴斯基强调：“BO组织因非常规的网络攻击手段，对俄罗斯机构构成严重威胁。” 研究人员补充称，与其他亲乌克兰黑客组织不同，该组织几乎未表现出协作、合作或工具共享迹象——这在俄罗斯当前的黑客行动生态中尤为特殊。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

安全内参11月21日消息，就在俄军进入乌克兰领土的几周之后，美国知名安全公司曼迪安特（Mandiant）的一名代表拨通了乌克兰最大国有石油及天然气公司Naftogaz的高管电话，提出一个不同寻常的建议：Naftogaz是否愿意让曼迪安特帮助他们检查网络当中存在的安全隐患？ 多年以来，俄罗斯黑客针对Naftogaz系统的入侵尝试从未停歇，因此在听说曼迪安特愿意免费部署搜索团队、检测网络中是否潜伏安全隐患时，这家能源公司表示十分乐意。 这项提议是西方科技企业的广泛努力之一，希望帮助乌克兰在战时保护自己免受俄方网络攻击影响。从曼迪安特到微软，来自美国网络安全、威胁情报及科技领域的数十家公司联合组建了一支网络志愿团队，放弃中立态度，直接介入俄乌冲突。 他们自称为网络防御援助协作组织（CDAC），这个创意由摩根大通前首席信息安全官Greg Rattray最早提出。几个月来，他一直努力建立公私合作关系，希望对抗破坏性网络攻击。本文是他第一次公开深入讨论此项倡议。 多年来，美国官员一直希望通过公私合作伙伴关系来打击破坏性网络攻击。这个思路背后的逻辑是：美国国安局和网络司令部经常在网络攻击发生之前或期间，掌握关于攻击活动的情报，美国网络安全企业则拥有阻止攻击的专业知识。如果能够成功协同合作，有望更好地抵御破坏性网络攻击。 而CDAC倡议的与众不同之处，在于其合作伙伴并非华盛顿，而是基辅。这也成为公私合作的难得测试场景，可以检验构想中的联合，最终能不能在美国本土发挥作用。 Rattray在接受采访时表示，“俄乌冲突在周四（2月24日）正式爆发，我从周一起就开始四处沟通。”很快就有二十多家美国企业迅速签署了协议，愿意提供许可证、人员和专业知识，帮助乌克兰捍卫自己的网络空间。 Rattray解释称，“在我看来，俄罗斯方面的粗暴进军成为团结各家企业、签署合作协议的最大助力。大家都愿意以乌克兰为实验场，看看自己到底能够为网络安全做点什么。” 黑客的天然目标 Naftogaz公司拥有庞大的供应商、子公司和在线计费系统网络，众多设施环节使其成为俄罗斯黑客们的天然攻击目标。而一旦有攻击者成功突入防线，Naftogaz的内部设施就可能被搅成一团乱麻，阻碍乌克兰天然气输送系统的正常运行、甚至将能源系统彻底关停。 早在2015年，俄罗斯就曾经在电网身上动过类似的手脚。当时俄方黑客侵入了乌克兰电网，导致基辅周边近25万居民陷入黑暗长达六个小时。人们普遍认为，如果俄罗斯能让乌克兰停电一次，那在双方开战期间就绝对能让乌克兰停电第二次、第三次。 正是这样的压力，促使曼迪安特首席技术官Ron Bushar致电Naftogaz，询问对方是否愿意让曼迪安特的独家软件程序扫描其运营网络。Bushar解释称，行业普遍怀疑Naftogaz网络当中已经潜伏有俄方黑客，迫切需要一场大“扫荡”、大“搜捕”。 网上的搜捕队就如同循着犯案线索努力跟进的警察：他们查找电子“指纹”、清点盗窃行为，并认真观察入侵者可能留下的一切痕迹——比如恶意代码。 Bushar表示，“我们以极快的速度对成千上万的系统进行了扫描。一旦有所发现，我们就会继续深挖，对该系统展开进一步研究。” 但问题是，他们并没有太多发现：确实找到了能擦除硬盘信息的恶意代码，也扫描出了黑客“埋设”在此以待日后激活的预置恶意软件，可并不存在能造成大规模系统中断的“暴雷”。 Bushar回忆道，“我们没有检测到明显的攻击性活动，只发现恶意黑客已经获得了访问权限，并正在内部环境中移动的证据。” 于是，他们排查到了入侵的缺口并将恶意黑客拒之门外。 俄乌战争爆发初期，俄罗斯黑客在全乌范围内发动了一系列缓慢推进的低级别攻击，并未特别针对Naftogaz。他们擦除了硬盘数据并瘫痪掉身份验证系统，导致员工们无法登录。 但在Naftogaz保护并强化了自身网络边界之后，擦除类恶意软件仍在以某种方式不断出现在系统当中，密码和登录信息盗窃也一刻未停。研究人员们能意识到出了问题，但却无法解释原因。突然之间，Bushar他们顿悟般想通了一切：必须用军事思维审视问题。 内部威胁 事实证明，战争期间的网络安全保护工作有其特殊性。Busahr和他的团队意识到，需要保护的边界一直处于变化之中。如今占领乌克兰小块领土的俄罗斯军队已经夺取到了部分天然气设施，并试图通过终端侵入其运营系统。 Bushar指出，“在乌克兰东部地区，俄军已经占据了部分领土和相应的关键基础设施。”其中就包括Naftogaz公司的数据中心和当地电信及行政办公室。“整理敌占区各点位上的系统和IP地址，证明这些就是我们所看到攻击的确切来源。” 事实上，有时候攻击看起来像是源自Naftogaz内部。他们发现这并不是因为俄方突破了安全边界，而是“他们已经占据了Naftogaz的数据中心及相关系统，这样就能正常访问系统并攻击设施内的其他部分……整个过程类似于应对内部威胁。” 于是援助人员们调整了防御策略，开始切断俄占区内的业务系统。“我们提出建议，如果乌方决定从某省撤退，Naftogaz就应该在系统落入敌军手中之前，主动将这些系统从网络中断离开来。” 建议最终转化成了实践。Naftogaz开始指示员工在城镇被俄军攻占时联系主管，切断当地的网络访问。而在逃离敌占城市时，员工们还会向Naftogaz总部呼叫确认。这套新策略贯彻下去之后，Naftogaz就能及时调整防御姿态以反映各地战况。Bashar表示，神秘的内部威胁也就此消散无踪。 技术实力 在CDAC创始人Rattray着手为合作倡议物色志愿者时，他的第一个电话就打给了RSA Security前CEO Art Coviello。RSA Security是网络安全与加密领域的先驱之一。如今的Coviello则经营着一家风险投资基金，专门为网络安全企业提供资金支持。 他表示，“乌克兰人有这个技术实力。不少公司都在乌克兰设有软件开发分部，这本身就说明那里的技术储备和教育水平都比较到位。他们只是没有机会，或者没有像美国本土这样的金融资源来建设自己的网安防御体系。” 而CDAC的参与，应该有助于弥合这个缺口。 Coviello提到，这项努力并不单纯是为了响应战争。乌克兰以外的人们也应当保持警惕，毕竟俄罗斯对乌克兰使用的网络武器，也可能被用于攻击其他目标。“我绝对不会低估俄罗斯人的能力。” Coviello强调，“人们可能没有意识到，美国人民其实生活在世界上最大的数字玻璃屋内。我们受到的影响最大、承担的损失最重，因为我们之间的联系非常紧密、对技术的依赖性极高。我们的一切关键基础设施和业务构成都受到了这种技术转型的影响。” Rattray则提到，乌克兰用行动震惊了全世界——这种成就不仅来自正面战场，也来自网络空间。乌克兰方面极为敏捷，能够快速将系统迁移至云端，而云数据不会受到本土轰炸和一般黑客攻击的影响。乌克兰人的技术专长让他们能够在受到攻击时迅速转向，并充分运用来自科技界的巨大助力。 Rattray总结道，“俄罗斯人并不像我们想象中那么擅长网络作战。他们在数字空间中的行动跟我们的预期基本相符，比如信息战竞争、用传统方式通过网络空间收集监控情报之类。但我们预想中的破坏性攻击并没有出现。” 转自 安全内参，原文链接：https://www.secrss.com/articles/49226 封面来源于网络，如有侵权请联系删除

安全内参11月15日消息，欧盟行政及外交部门在上周四（11月10日）提出欧盟网络防御政策，旨在应对俄乌战争压力下导致的地缘政治局势持续紧张。 这项网络防御政策是一份战略文件，意在加强欧洲安全网络能力、促进军民合作、填补潜在安全漏洞、减少战略依赖并发展网络技能。 “没有网络防御，就没有欧洲防务。”欧盟数字事务主管玛格丽特·维斯塔格在发布会上指出，“美国的网络防御政策加强了我们保护自身军事及民用资产免受网络攻击的能力。” 能力建设 需要进一步加大投资，以拓展欧盟和各成员国层面的网络防御。目前已经有多个欧洲计划可提供有益参考，包括永久结构性合作（Permanent Structured Cooperation）、欧洲防务基金、地平线欧洲及数字欧洲等。 然而，由于通货膨胀加剧、RepowerEU能源计划（强调摆脱对俄能源依赖）匆匆上马，以及芯片法案等举措未被列入预算范畴等问题的影响，欧盟深感财力不足，安全投入也受到影响。 网络防御政策针对最关键漏洞的战略评估，制定了网络技术路线图，希望支持各成员国的长期战略投资，而且有望得到即将成立的欧洲主权基金的支持。 欧盟各成员国将参与讨论，探讨关于扩大国家网络防御能力的自愿性承诺。新政策还将建立网络防御培训计划，特别是以欧盟网络技术学院的形式服务包括国防从业者在内的多个专业群体。 广泛合作 这项欧盟新政还致力于在国家和欧盟各网络防御行为体之间、军事和民用网络社区之间、以及私营部门与公共部门之间，建立起行之有效的协调机制。 欧洲漏洞平台YesWeHack副总裁Danilo D’Elia在采访中表示，“随着非欧洲技术平台的普遍应用，网络防御领域的公私合作正变得越来越复杂。欧洲应当制定清晰流畅的程序，以便更快、更高效地与值得信赖的网络安全中小企业开展合作。” 在现有架构上，欧盟政策制定者们还希望建立起网络防御协调中心，以支持防务社区增强态势感知能力，并为军事计算机应急响应小组（CERT）建立运营网络。 政策还提出建立新的框架项目CyDef-X，用以支持欧盟网络防御演习。不过考虑到存在大量民间安全运营中心，所以欧盟决策者应当把发展重心放在态势感知与响应能力方面。 准备与响应 欧盟筹备安全运营中心网络以建立“网络护盾”（Cyber Shield）的思路，可以追溯至2020年的网络安全战略。 在接下来几周内，数字欧洲计划将呼吁建设一系列安全运营中心。由于这些运营中心大多各自面向特定领域，因此会在国家层面进行分组。 值得注意的是，这些安全运营中心并非单纯依赖公共资金，同时也将为“客户”组织监控网络安全事件并做出响应。此次政策文件提到，现有运营中心一直很少对外界共享信息，原因就是其大多花费公共预算、并无经济动力对外负责。 因此，委员会设想在欧盟网络团结倡议（EU Cyber Solidarity Initiative）的基础上建立起先进的欧洲检测基础设施，实时向各成员国通报威胁形势。 此外，该倡议还要求建立网络应急基金，为受到攻击的成员国提供必要的能力与资源支持。这些紧急响应将得到欧盟可信服务提供商的网络储备支持。 即将实施的这项倡议还将实施欧盟理事会最近提出的，对关键基础设施开展压力测试的建议。 两用技术 如今，欧洲国防部门正面临着日益严峻的挑战——即使是一台笔记本电脑上的操作系统遭到入侵，亦有可能导致一国军事力量被削弱。因此，民用与军用技术在网络安全要求方面的界线正愈发模糊。 欧盟在这方面制定的方案是制定风险情景，并通过渗透测试等多种形式评估关键基础设施对于军事通信及机动性的重要意义。此外，欧盟还希望能通过军民合作为两用技术产品制定统一标准。 与此同时，数字欧洲贸易协会总干事塞西莉亚·博内费尔德-达尔（Cecilia Bonefeld-Dahl）呼吁为欧洲中小企业创造更好条件，鼓励他们积极开发军民两用技术。 国际合作 欧盟准备在网络防御领域与志同道合的国家建立有针对性的伙伴关系，并设想与北约联合组织训练和演习。 这份网络防御政策的实施和进展情况将每年报告一次。 转自 安全内参，原文链接：https://www.secrss.com/articles/48998 封面来源于网络，如有侵权请联系删除