安全快讯Top News

Morphisec 发现了信息窃取软件 Jupyter infostealer 新版本

网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据,包括主要的浏览器(基于Chrome的浏览器,Firefox和Chrome),还能够在受感染的系统上建立后门。 “Jupyter是一个主要针对Chromium、Firefox和Chrome浏览器数据的信息收集器。然而,它的攻击链、传递链和加载程序充分说明它具备了建立完整后门功能的功能。”Morphisec发表的分析写道。它的行为包括: 一个C2的客户端 下载并执行恶意软件 PowerShell脚本和命令的执行 将shellcode置入到合法的Windows配置应用程序中。 专家们在10月份的一次例行事件反应过程中发现了Jupyter infostealer,但根据取证数据,早在5月份该软件的早期版本就出现了。 该恶意软件不断更新,以逃避检测,并增加新的信息窃取功能,最新版本是在11月初创建的。 在发现它的时候,Jupyter正要下载一个ZIP归档文件,其中包含伪装成合法软件(即Docx2Rtf)的安装程序(innosetup可执行程序)。 2021年9月8日,研究人员观察到一个新的传递链,通过使用执行Nitro Pro 13合法安装二进制文件的MSI有效负载,该链能够避免检测。 MSI安装程序负载超过100MB,绕过在线AV扫描仪,并使用第三方的“一体化”应用程序打包工具,混淆视听。 在执行MSI有效负载时,一个嵌入在Nitro Pro 13合法二进制文件中的PowerShell加载程序将被执行。 “这个加载程序与以前的Jupyter加载程序非常相似,因为它在VirusTotal上持有一个躲避检测的文件,可使检测率低至0,这对于完整的PowerShell加载程序(带有嵌入式负载的加载程序代码)是很少见的。专家们发表的分析写道。“我们在各个博客中广泛讨论了Jupyter infostealer,发现新的变体使用的是相同的代码模式。 在研究人员分析的两种变体中,有一种是签发给一家名为“TACHOPARTS SP Z O O”的波兰企业的有效证书。专家分析的另一种变体带有一份名为“OOO Sistema”的已失效证书。 “自我们在2020年首次发现Jupyter infostealer/后门以来,它的进化证明了威胁者总是在创新手段。他们的攻击可以轻易通过VirusTotal的检测,这进一步表明威胁者利用各种手段逃避检测方案。”专家们总结道,“显然,我们需要一种新的方法来预防威胁。”   消息来源:SecurityAffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Firefox 插件“Safepal 钱包”窃取加密货币

一个名为“ Safepal Wallet”的恶意Firefox插件,欺骗用户,窃取钱包余额,并在Mozilla插件网站上存在了7个月才被发现。 尽管恶意的浏览器插件已经被关闭,BleepingComputer 发现威胁者建立的钓鱼网站仍在运行。 一位名为Cali的Mozilla插件用户解释说:“今天我浏览了Mozilla Firefox的插件列表,我正在搜索 Safepal 钱包扩展,以便在web浏览器中我也可以使用加密货币钱包。” 在使用 Safepal 证书安装并登录该插件数小时后,Cali发现自己的钱包余额清空了。 “我深深地震惊了……我看到了我最后的交易记录,发现我的4000美元资金被转移到了另一个钱包。我不敢相信这是一个在Mozilla Firefox插件列表中的插件,”他在Mozilla的论坛中说道。 BleepingComputer 从“ Safepal 钱包”的附加页面发现,该插件至少从2021年2月16日起就开始使用了。 页面上,这个235kb的插件吹嘘自己是一个 Safepal 应用程序,可以安全地“在本地保存私钥”,还有令人信服的产品图片和营销材料。 为了在Mozilla网站上发布插件,开发者必须遵循提交流程,即提交的插件“随时接受Mozilla的审查”。但是,目前还不清楚提交的文件的安全程度。 Cali本月公开报道此事不到五天,Mozilla的发言人回应说,他们正在进行调查。该插件的介绍页面已被Mozilla删除。 虽然 Safepal在苹果应用商店和谷歌Play上都有官方智能手机应用,但我们并不知道是否有官方的“ Safepal ”浏览器扩展。 幸运的是,在Mozilla插件网站上,一些用户发布了一星评论,警告其他人不要下载“ Safepal Wallet”。 但是,对于Cali来说,一切为时已晚,收回资金的机会很渺茫。 “我已经和警察谈过了,他们对此无能为力。他们告诉我无法追踪到黑客。”Cali说。 BleepingComputer 联系Mozilla了解更多关于这个问题的信息: Mozilla的一位发言人告诉 BleepingComputer :“扩展安全对Mozilla来说很重要,我们的生态系统持续对千变万化的威胁做出回应。” “我们目前的重点是减少恶意扩展可能造成的损害,引导用户使用我们审查和监控的推荐扩展,帮助用户了解安装扩展带来的风险,让用户更容易地向我们反馈潜在的恶意扩展。” “根据我们的插件政策,当我们发现到插件会对安全和隐私造成威胁时,我们会采取措施阻止它们在Firefox中运行。关于这个插件,我们采取行动阻止其运行并从Firefox插件商店中删除了它。” 在调查恶意的火狐插件时,BleepingComputer 发现了插件使用的钓鱼域。如下所示的这个网页,在假插件的主页也被列为“支持网站”: https://safeuslife.com/tool/ WHOIS 记录显示,该钓鱼网站是在今年1月通过 Namecheap 注册的。在写这篇文章的时候,这个网页仍然在运营,它指示受害者输入他们的“12个单词的备份短语,用于匹配 SafePal 钱包。” 但是,一旦输入了备份短语并提交了表单,页面就会刷新,但没有任何明显的响应,备份短语却已悄无声息地发送给攻击者。 加密货币钱包和许多在线服务一样,如果用户忘记密码,由12个随机生成的单词组成的备份短语便可以用来恢复用户的私钥和钱包。但是,备份短语十分重要且私密,只能在特殊情况下使用,而且只能在服务提供商可信的应用程序或网站上使用。 备份短语如果被盗,攻击者可以控制你的钱包,以及访问和转移资金。 最近,加密货币诈骗正在增多,威胁者正在寻找更新的、难以检测的方法来欺骗用户。就在上周,有人入侵了Bitcoin.org官方网站,成功地骗走了1.7万美元。[详细请点击] 在之前的攻击中,包括npm、PyPI和GitHub在内的开源库被滥用,用以传播加密窃取和加密挖掘恶意软件。 随着网络平台上威胁者的日益增多,用户在提供安全密码或在线转移加密货币时应谨慎。 BleepingComputer 已经联系了 Mozilla 和 Safepal 寻求进一步的回应,同时向 Namecheap 报告了钓鱼域名。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

Censinet 报告:医疗机构称网络攻击增加死亡率并延误病人治疗

根据网络安全公司Censinet赞助的一份新报告,在过去两年中遭受勒索软件攻击的医疗机构中,几乎有四分之一的机构表示,在网络攻击后他们机构的病人死亡率有所增加。这一发现增加了越来越多的数据,表明网络攻击不仅造成财务或后勤问题–它们也可能是重大的健康风险。 Censinet首席执行官兼创始人Ed Gaudet说:“勒索软件对病人护理的影响已经足够大,这是不可否认的。我们不应该害怕看这些数据,并继续推动这个问题的解决。” 由一家名为Ponemon研究所的研究机构进行的分析,收集了全美近600家医疗机构的调查回复,范围从区域医疗系统到医疗设备制造商。超过40%的机构说,他们在过去两年中受到了勒索软件的攻击–网络攻击锁定了计算机系统,并要求付款以解锁它们。这些攻击扰乱了设施照顾病人的能力。大约70%面临勒索软件攻击的机构表示,这些破坏导致病人住院时间延长,并延误了检测或手术。此外,36%的机构说他们看到了更多医疗手术的并发症,22%的机构说他们的死亡率增加了。 这些数字有一些重要的注意事项:它们来自一个相对较小的医疗机构子集,而且没有对这些机构报告的内容进行双重检查。该调查没有问各机构为什么或如何得出这些结论–例如,他们没有说他们如何衡量死亡率的变化。Gaudet说,如果没有关于这些方法的更多细节,谨慎地解释这些发现是很重要的。现在就自信地说勒索软件直接导致了这些频率的不良后果可能还为时过早。他说:“作为一个行业,我们必须注意不要反应过度。但这仍然是行业应该关注和关心的事情。即使只是百分之一或百分之五十,我们也应该关心这个数据。” 总的来说,超过一半的医疗集团在回复调查时表示,他们没有信心他们的组织能够处理勒索软件攻击的风险。 在医疗保健领域工作的人历来不愿意说勒索软件伤害了病人。很少有人对网络攻击和病人健康之间的关系进行量化,而且医院往往不愿意分享很多关于他们的经验的信息,因为这对医院的声誉有潜在影响。“我认为作为一个行业,这是一个我们几乎不想知道答案的问题,”Gaudet说。“因为如果它是真的,那么,我们真的有我们的工作要做了。” 在过去的一年里,针对医疗机构的网络攻击有所增加,这给这个问题带来了新的紧迫性。而且,最近一直在推动密切关注这个问题:例如,美国网络安全和基础设施安全局(CISA)的一项新分析显示,在COVID-19大流行期间,佛蒙特州受勒索软件攻击影响的医院开始比没有处理网络攻击的医院更快地出现过量死亡。 “我认为这已经达到了一个关键程度,正在引起CEO和董事会的注意,”Gaudet说。“像这样的数据将开始成为人们思考重点和投资领域的因素。如果勒索软件真的成为一个病人安全问题,他们将不得不解决这个问题。”   (消息及封面来源:cnBeta)

伦敦警察部队正在购买大量的面部识别技术

英国最大的警察部队将在今年年底前大幅扩大其面部识别能力。新技术将使伦敦大都会警察局能够处理来自闭路电视、社交媒体和其他来源的历史图像,以追踪嫌疑人。但批评者警告说,这项技术有令人瞠目结舌的滥用可能性,并可能巩固歧视性的警务工作。 在8月底做出一个鲜为人知的决定中,伦敦市长办公室批准了一项允许伦敦警察局提高其监控技术的提案。该提案称,在未来几个月内,伦敦警察局将开始使用追溯性面部识别(RFR),作为与日本科技公司NEC公司达成的300万英镑、为期四年协议的一部分。该系统先检查警方获得的人脸图像,然后与警方的内部图像数据库进行比较,试图找到一个匹配的人。 欧洲数字权利组织的政策顾问Ella Jakubowska表示:”部署该系统的人实际上可以让时间倒流许多个月甚至几年,看到你是谁,你去了哪里,你做了什么,和谁在一起。这种技术可以压制人们的自由表达、集会和无忧无虑的生活能力”。 批评者认为,RFR的使用侵犯了人们的隐私,不可靠,并可能加剧种族歧视。在美国,我们已经看到有人因为RFR而被错误地监禁。在考虑这种极端技术之前,更广泛的公众对话和严格的保障措施至关重要。 伦敦市长的一位发言人为这项技术的使用辩护,说它将缩短识别嫌疑人的时间,并帮助减少首都的犯罪。同时,伦敦市长办公室设立了警务道德小组,其任务是对伦敦警察局使用RFR的情况进行审查并提出建议。在英国,对使用面部识别的政治支持仍然存在争议,来自工党、自由民主党和绿党的议员都呼吁对该技术的使用进行监管。   (消息及封面来源:cnBeta)

新型恶意软件 Tangle Bot 窃取用户手机信息,安卓用户为主要目标

网络安全公司Proofpoint/Cloudmark最近发现了一种新的威胁,可以通过短信控制受害者的手机。美国和加拿大也发现了这种威胁,根据报告,Android用户是这种恶意软件的主要目标。 这种安全威胁被命名为Tangle Bot,因为它能够接管一些设备的功能,包括联系人列表、电话记录、摄像头和麦克风以及互联网接入。 这种恶意软件的工作原理与至今存在于英国和欧洲的流感机器人威胁一样。就像名字Tangle一样,这个恶意软件可以误导目标通过伪造的Covid-19警报,安装篡改过的软件。该警报包括关于Covid-19疫苗可用的加强剂的信息以及新的监管政策。 在疫情已经造成恐慌的情况下,这类信息极具煽动性,很可能欺骗目标,因为信息附加一些链接,而目标很可能相信该链接里宣称提供更多疫情期间帮助的信息。 在点击链接之后,跳转网页将显示“Adobe Flash Player需要更新”,如果用户同意更新并点击了更新安装按钮, TangleBot将植入手机,开始接管包括控制电话簿,记录屏幕等功能,攻击者也可以随时打开设备摄像头和麦克风。根据Proofpoint的说法,TangleBot甚至可以通过覆盖屏幕的方法访问在线金融应用程序。随后,受害者的设备还会被用来转发伪造的的Covid-19警报。 如果目标发现设备被恶意软件入侵并将其卸载,黑客暂时不会使用窃取的信息,让用户相信什么都没有被窃取,但信息早已泄露。 所以,保护设备不受攻击的最好方法是避免从未知渠道打开链接,应用程序应该只从可信的来源安装。   消息来源:DigitalInformationWorld,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

思科已修补 IOS XE 软件的三个关键漏洞

IOS XE软件被用于各种核心路由器和交换机,思科已经修复了该软件的三个关键安全漏洞。 这三个严重的警告是思科发布的32个安全警告的一部分,包括防火墙、SD-WAN和无线访问漏洞。 最严重的安全漏洞发现于Cisco Catalyst 9000系列无线控制器的Cisco IOS XE软件,它在通用漏洞评分系统(CVSS)上被评为10分(满分10分)。 该漏洞有概率允许未经身份验证的远程攻击者使用管理权限执行任意代码,或在易受攻击的设备上触发DoS拒绝服务攻击。攻击者可以通过向受影响的设备发送一个精心制作的CAPWAP数据包来利用这个漏洞。CAPWAP是一种网络协议,允许用户集中管理无线接入点。 思科表示,攻击成功的话,攻击者便使用管理权限执行任意代码,或导致受影响的设备崩溃和重新加载,从而导致DoS攻击。 第二个关键漏洞——具有9.8 CVSS评级——对思科IOS XE SD-WAN软件造成了影响,并可能让攻击者在SD-WAN设备上触发缓冲区溢出。 思科表示:“这个漏洞是由于受影响设备处理流量时边界检查不足造成的。”“攻击者可以通过向设备发送特制流量来利用这个漏洞。设备手攻击可能会导致缓冲区溢出,并可能使用根权限执行任意命令,或导致设备重新加载,从而导致DOS攻击。” 第三个关键漏洞也有9.8 CVSS评级,这个漏洞与思科IOS XE软件的身份验证、授权、和记账功能(AAA)有关,该漏洞允许攻击者绕过NETCONF或RESTCONF认证,安装、操作或删除受影响的配置设备,造成内存泄露,导致DoS攻击。 Cisco表示:“漏洞利用如果成功,攻击者便可使用NETCONF或RESTCONF安装、操纵或删除网络设备的配置,或损坏设备上的内存,从而导致DoS攻击。” 思科表示,有一个解决这一漏洞的办法:删除启用密码,并配置启用密码。还有一种降低漏洞攻击伤害的方法:限制该漏洞的攻击面,确保为NETCONF和RESTCONF配置了访问控制列表,以防止来自不受信任子网的访问尝试。 思科已发布免费软件更新,用以解决关键漏洞。   消息来源:ARNNet,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

NETSCOUT 系统公司2021《威胁情报报告》发布:DDoS 攻击亟需关注

NETSCOUT系统公司每两年发布一次的《威胁情报报告》的结果已经公布,报告强调了网络攻击对全球私营和公共组织以及政府造成的巨大影响。根据威胁情报报告,在2021年上半年,网络犯罪分子发动了大约540万次DDoS攻击,比2020年上半年增加了11%。此外,NETSCOUT的主动级别威胁分析系统安全工程和响应团队(ASERT)的数据预测指出,2021年将是另一个创纪录的一年,全球DDoS攻击将超过1100万次。 ASERT预计,攻击者层出不穷的攻击手段的长尾效应将持续下去,日益加剧网络安全危机,并将继续影响公共和私人组织。 在经历了Colonial Pipeline、JBS、Harris Federation、澳大利亚广播公司第九频道、CNA Financial以及其他几次备受瞩目的攻击之后,DDoS和其他网络安全攻击的影响已经在全球范围内显现。因此,各国政府正在引入新的项目和政策来防范攻击,而警备机构正以前所未有的合作努力来应对危机。 2021年上半年,网络犯罪分子武器化并利用了新的反射/放大DDoS攻击载体,使组织面临更大的风险。这种攻击向量暴增刺激了多向量DDoS攻击的增长,针对一个组织的一次攻击中部署了创纪录的31个攻击向量。 NETSCOUT 1H2021威胁情报报告的其他关键发现包括: 新的自适应DDoS攻击技术规避了传统的防御。通过改变他们的策略,网络犯罪分子的攻击可以绕过基于云计算和内部的静态DDoS防御,攻击商业银行和信用卡处理器。 连通性供应链受到越来越多攻击。攻击者希望造成最大附带损害,他们在重要的互联网组件上集中发力,包括DNS服务器、VPN集中器、服务和互联网交换,从而破坏了重要的网关。 网络犯罪分子将DDoS添加到他们的工具包中,以发起三重勒索活动。勒索软件能带来巨大利益,勒索者将DDoS加入他们的攻击方案,以加大对受害者和安全团队的压力。“三重勒索”将文件加密、数据盗窃、DDoS攻击结合在一起,使网络犯罪分子收到款项的几率增加。 DDoS攻击的最快速度同比增长16.17%。一名巴西互联网用户发起了攻击,采用DNS反射/放大、TCP ACK flood、TCP RST flood、TCP SYN/ACK反射/放大矢量技术,速度为675mpps。 最大规模的DDoS攻击为1.5 Tbps,同比增长169%。ASERT数据识别出该攻击针对一家德国ISP,部署了DNS反射/放大向量。与2020年上半年记录的任何一次攻击相比,此次攻击规模显著增加。 僵尸网络参与了大多的DDoS攻击。通过对全球范围内僵尸网络集群和高密度攻击源区域的跟踪,我们可以看到恶意攻击者如何利用这些僵尸网络参与了280多万次DDoS攻击。此外,知名的物联网僵尸网络Gafgyt和Mirai依然构成严重威胁,占DDoS攻击总数的一半以上。 NETSCOUT威胁情报主管理查德•哈梅尔表示:“网络犯罪分子利用疫情情况下的工作远程化,破坏连接供应链的重要组成部分,发起了数量空前的DDoS攻击,引起重度关注。”勒索软件团伙还使用了三重DDoS勒索战术。与此同时,Fancy Lazarus DDoS勒索活动日益猖狂,威胁多个行业组织,他们重点关注互联网服务提供商,特别是权威的DNS服务器。”   消息来源:TheFintechTimes,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

欧洲主要呼叫中心提供商之一的 GSS 遭受了勒索软件攻击

Covisian的西班牙和拉丁美洲子公司GSS受到了一场严重的勒索软件攻击,该公司的大部分IT系统被冻结,其西班牙语客户群的呼叫中心也受到了干扰。 本周,位于西班牙和拉丁美洲的联系中心和为公司和政府机构提供的自助客户帮助电话服务失联。 据知情人士透露,受到影响的机构包括沃达丰西班牙、MasMovil互联网服务商、电视台、马德里供水供应商以及几家私营企业。 GSS高管在一封致受影响客户的信中称,他们已经关闭了所有受此次攻击影响的内部系统,目前正在使用基于谷歌的系统作为备份。 该公司当时表示,“在事故解决之前,所有应用程序都无法工作。”同时,恢复时间尚未公布。 在信的开头一句话,GSS言明这次勒索软件的攻击“不可避免”。据Covisian的一位女发言人说,Conti团伙于9月18日星期六实施了这次袭击。 尽管Conti团伙窃取目标网络数据的恶举人尽皆知,但Covisian声称“没有任何个人数据泄露”,而且该事件对其客户没有影响。 虽然Covisian在其他欧洲国家也提供客户服务,但此次攻击仅限于GSS的网络。 INCIBE西班牙国家网络安全研究所没有就GSS事件发表评论。   消息来源:TheDigitalHacker,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客入侵 Bitcoin.org,实施“钱翻倍”骗局,卷走1.7万美元

本周,威胁分子攻击了比特币基金会的官方网站Bitcoin.org,并利用官网宣传加密码货币赠送骗局,不幸的是,有些用户上当了。虽然黑客入侵持续了不到一天,但黑客们已经窃取了1.7万多美元。 如下图所示,9月23日,bitcoin.org主页声明: “比特币基金会正在回馈社区!我们希望回馈多年来帮助我们的用户,”鼓励用户向攻击者显示的钱包地址发送比特币。“把比特币发送到这个地址,我们会返还双倍的金额!” 此外,为了增加这种说法的吸引力,骗子们写道,这项服务仅限于前1万名用户。 攻击者鼓励用户将资金发送到的钱包地址是: 1 ngofwgsfz19rrcuhtmmulpmdek45nrd5n 黑客入侵发生后不久,Bitcoin.org网站运营商Cøbra也就该事件发布了公开警告: 尽管比特币被认为是由匿名者“中本聪”(Satoshi Nakamoto)创造的,但人们最近看到一个较新的身份“Cøbra”正管理着Bitcoin.org网站、社交媒体和社区渠道。 在Cøbra的声明之后,Bitcoin.org的域名注册商Namecheap也立即关闭了该域名。 然而,不幸的是,一些加密货币爱好者可能上当了,从攻击者的钱包余额中便可看出。交易记录显示攻击者的钱包里有多个不同比特币地址的存款。 钱包的最新更新余额为0.40571238 BTC,约为1.7万美元。 Bitcoin.org现在已经恢复,但是,网站被劫持的根本原因仍未得到证实,有人怀疑这是DNS劫持[1,2]。 无偿赠送骗局已经成为加密货币领域的一个常见主题,设置这些诱饵的攻击者很少空手而归的。就在几天前,BleepingComputer报道了通过电子邮件传播的“埃隆·马斯克互助”骗局。尽管大众认为没有人会轻易相信这些骗局,但类似的加密骗局证实是非常有效的,并在过去达成了数十万美元的交易。 例如,Twitter在2021年1月遭受了一次大规模攻击,加密诈骗者在一周内骗取了58万美元,然后在2月另一个诈骗者偷走了14.5万美元。 因此,用户应该对加密货币诈骗和电子邮件保持警惕。   消息来源:BleepingComputer,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

欧盟就德国大选前的 “Ghostwriter” 黑客行为向俄罗斯发出警告

据外媒TechCrunch报道,欧盟警告说,其可能就俄罗斯参与针对几个欧盟成员国的“恶意网络活动”采取行动。根据欧洲理事会周五的一份新闻稿,“Ghostwriter”活动针对的是“欧盟的许多议会成员、政府官员、政治家以及新闻界和民间社会的成员”,并且是通过“访问计算机系统和个人账户以及窃取数据”来进行的。 根据声明,欧盟正在考虑“采取进一步措施”,但没有详细说明将采取什么行动。 欧洲理事会发言人Nabila Massrali告诉TechCrunch:“今天的声明是关于强烈谴责恶意的网络活动的,这些活动被指定为Ghostwriter,一些成员国已经观察到并与俄罗斯国家有关。这些活动是不可接受的,所有参与者必须立即停止这些活动。这种活动试图威胁我们的完整和安全、民主价值和原则,并试图破坏我们的民主机构和进程。我们敦促俄罗斯联邦在网络空间遵守负责任的国家行为准则。” 新闻稿中没有提到具体事件。但该发言人补充说,这一警告是鉴于即将于9月26日举行的德国选举。 本月早些时候,德国政府表示,与俄罗斯有关的 “Ghostwriter”活动一直在“将常规网络攻击与虚假信息和影响行动相结合”,试图在即将举行的选举前传播虚假信息。当时,德国政府表示,它有 “可靠的信息”,可证实最近的网络攻击(涉及黑客使用钓鱼邮件,试图掌握立法者的个人登录信息)可归因于俄罗斯的行为者,”特别是俄罗斯军事情报机构GRU”。 根据FireEye公司2020年的一份报告,“Ghostwriter”活动自2017年以来一直在进行,并参与了整个欧洲的反北约假情报活动、网络间谍活动和具有政治破坏性的黑客和泄密行动。在今年4月发布的一份后续报告中,FireEye将“Ghostwriter”活动与UNC1151联系起来,UNC1151是一个被认为得到克里姆林宫支持的威胁行为者。 此后,专门从事入侵监测和网络对手情报的网络安全初创公司Prevailion发现,与UNC1151有关的基础设施比以前记录的要大三倍,其恶意网络活动比原来怀疑的更广泛和更有侵略性。 Prevailion公司的首席执行官Karim Hijazi本月早些时候说,UNC1151“被定位为更广泛的行动,包括在欧洲和潜在的其他地区”。   (消息及封面来源:cnBeta)