-
-
[推荐]【每日资讯】 | 用Go语言编写的跨平台恶意软件Chaos正在全球范围内传播 | 2022年9月30日 星期五
-
发表于: 2022-9-1 10:40
-
2022年9月30日 星期五
今日资讯速览:
1、用Go语言编写的跨平台恶意软件Chaos正在全球范围内传播
2、前所未见的APT组织Metador已攻击电信、ISP和大学约2年
3、两名前eBay高管因参与网络跟踪活动而被判入狱
1、用Go语言编写的跨平台恶意软件Chaos正在全球范围内传播
用Go编程语言编写的跨平台多用途恶意软件Chaos正在全球范围内传播。安全公司Lumen旗下黑莲花实验室威胁情报总监Mark Dehus说:"我们观察到一种复杂的恶意软件,影响规模在短短两个月内规模翻了两番,而且它有条件继续加速发展。"
Chaos被设计成可在几种架构上工作,包括ARM、英特尔(i386)、MIPS和PowerPC。它同时为Windows、Linux和各种消费设备、小型办公室/家庭办公室(SOHO)路由器和企业服务器量身开发。
该恶意软件利用了已知的漏洞,使行为人能够:
扫描目标系统,为未来的命令提供资料
通过SecureShell(SSH)自动启动横向移动和传播,使用盗窃的或用暴力穷举手段获得的私钥
发起DDoS攻击,并启动密码挖掘程序
植入恶意软件
黑莲花实验室分析师Dehus指出,由于Go语言的灵活性、低反病毒检测率和逆向工程的难度,近年来,用Go语言编写的恶意软件的流行程度急剧上升。
Chaos恶意软件之所以强大,是因为它可以在各种架构上工作,目标是那些没有作为企业安全模式的一部分被常规监控的设备和系统(如SOHO路由器和FreeBDS操作系统),并通过已知的漏洞和SSH密钥进行传播,这些密钥要么是偷来的,要么是通过暴力穷举手段获得。
从6月开始,分析家们发现了几个独特的网络攻击集群。这些集群利用了集中的指挥和控制(C2)基础设施,在8月和9月迅速增长。
Chaos恶意软件的感染主要分布在欧洲(意大利、法国、西班牙、德国)、美国和中国。
该行为人至少入侵了一台GitLab服务器,并对游戏、金融服务和技术、媒体/娱乐、加密货币甚至DDoS-as-a-Service行业的组织发动了大量DDoS攻击。这些目标跨越了欧洲、中东和非洲、亚太和北美地区的组织。
Chaos恶意软件针对的是已知的漏洞,"Dehus补充说,"我们建议网络管理员实行严格的补丁管理,并使用我们报告中列出的IoCs(破坏指标)来监测感染或与可疑基础设施的连接情况。消费者和远程工作者应启用自动软件更新,并定期更新密码和重新启动硬件"。
黑莲花实验室认为这种恶意软件与2021年发现的Chaos勒索软件构建者没有关系;相反,重叠的代码和功能表明它很可能是2020年发现的DDoS恶意软件Kaiji的演变。
了解更多:
https://ir.lumen.com/news/news-details/2022/Lumen-Black-Lotus-Labs-discovers-an-expanding-multipurpose-botnet-called-Chaos/default.aspx
2、前所未见的APT组织Metador已攻击电信、ISP和大学约2年
SentinelLabs 研究人员发现了一个从未被发现的黑客组织,被追踪为Metador,主要针对中东和非洲几个国家的电信、互联网服务提供商和大学。
专家指出,黑客使用的攻击链旨在绕过本地安全解决方案,同时将恶意软件平台直接部署到内存中。攻击者高度了解操作安全性,他们能够管理每个受害者仔细分割的基础设施,并观察到在安全解决方案存在的情况下快速部署复杂的对策。
专家报告称,Metador 针对的一家电信公司已经被来自伊朗等国在内的近10个黑客组织入侵,其中包括Moshen Dragon和MuddyWater。
SentinelLabs 发现了两个 Windows 恶意软件平台,称为“metaMain”和“Mafalda”,以及存在额外 Linux 植入的证据。黑客使用 Windows 调试工具“cdb.exe”在内存中解密和加载这两个恶意软件。
Mafalda 是一个灵活的植入程序,最多支持 67 个命令,它被威胁参与者不断升级,并且威胁的新变种被高度混淆。
以下是 SentinelLabs 详细介绍的一些命令:
命令 55 – 将文件或目录从攻击者提供的源文件系统位置复制到攻击者提供的目标文件系统位置。
命令 60 – 读取 %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Local State 的内容,并将内容发送到 C2,名称前缀为
loot\
命令 63 - 进行网络和系统配置侦察
命令 67 - 从驻留在受害者网络中的另一个植入程序中检索数据并将数据发送到 C2
研究人员表示,当启用 TCP KNOCK 通信方法时,metaMain 和 Mafalda 植入程序可以通过另一个内部称为“Cryshell”的植入程序与 C2 服务器建立间接连接。这两种恶意软件都通过端口敲门和握手过程向 Cryshell 进行身份验证。
“Mafalda 向 Cryshell 进行身份验证 Mafalda 向 Cryshell 进行身份验证 Mafalda 还支持使用另一个植入程序从 Linux 机器检索数据,该植入程序将数据作为名称前缀为 loot_linux 的数据包的一部分发送到 C2。尽管这个未命名的 Linux 植入程序和 Cryshell 可能是相同的,但 Mafalda 通过不同的端口敲门和握手程序对 Linux 植入程序进行身份验证。” 阅读研究人员发表的分析。
对 C2 基础设施的分析表明,Metador 对每个受害网络使用单个外部 IP 地址,用于通过 HTTP(metaMain、Mafalda)或原始 TCP(Mafalda)进行命令和控制。在所有已确认的入侵中,C2 服务器都托管在荷兰托管服务提供商 LITESERVER 上。
“除了 HTTP,外部 Mafalda C2 服务器还支持通过端口 29029 的原始 TCP 连接。我们还观察到 Metador 的一些基础设施在一个不寻常的端口上托管了一个 SSH 服务器。虽然 SSH 通常用于远程访问 *nix 系统,但我们很难相信成熟的威胁行为者会以这种方式暴露他们的基础设施。相反,它们很可能被用来通过 Mafalda 的内部 portfwd 命令传输流量。” 继续分析。
谁是 Metador 的幕后黑手?
目前,专家们无法将该活动归因于已知的 APT 组织,但研究人员认为,其背后可能与“高端承包商安排”有关。“遇到 Metador 是一个令人生畏的提醒,不同类别的威胁行为者继续在阴影中活动而不受惩罚。”
3、两名前eBay高管因参与网络跟踪活动而被判入狱
北京时间9月30日早间消息,两名前eBay高管在美国当地时间周四被判入狱,原因是两人参与了一项网络跟踪计划,该计划的跟踪对象是一对夫妇,这对夫妇运作的一个电子商务博客被认为对该公司提出了批评。
eBay前高级安全与安保总监詹姆斯·鲍格(James Baugh)被判处近5年监禁,而eBay前全球复原力总监大卫·哈维尔(David Harville)被判入狱两年。两人都对此案中的指控认罪。
鲍格、哈维尔和其他一些eBay高管在2019年策划了一场骚扰电商博客eCommercebytes的编辑和发行人艾娜·施泰纳(Ina Steiner)与大卫·施泰纳(David Steiner)夫妇的活动,该博客是一个颇受在线卖家密切关注的网站。检方指称,eBay前首席执行官德文·维尼格(Devin Wenig)和公司内部的其他领导人对这对夫妇对该公司的报道感到愤怒,并敦促上述高管追查这对夫妇。
检方发表声明称,eBay当时展开了一场离奇而错综复杂的“分成三部分的骚扰活动”,目的是“恐吓”施泰纳夫妇,并影响他们对该公司的报道。
受到指控的eBay高管曾多次在Twitter上向这对夫妇发送骚扰和威胁信息,而根据检方的指控,随后这场活动进一步升级:施泰纳夫妇开始在他们位于波士顿郊外的家中收到“令人不安的快递”,其中包括一本关于在配偶去世后该如何度日的书、一个血淋淋的猪脸面具、一头胎猪、一个葬礼花圈和活的昆虫等。此外,分类广告网站Craigslist上还出现了一些帖子,邀请陌生人到这两位受害者的家中体验性行为。
鲍格、哈维尔和其他eBay高管还曾从加利福尼亚州前往施泰纳夫妇的家,对其进行监视。据检方指称,他们原本希望在这对夫妇的汽车上安装GPS追踪器,但车库被锁住了,所以哈维尔就购买了工具破门而入。
其他五名eBay员工也已承认在此案中犯有共谋罪。
美国检察官瑞切尔·罗林斯(Rachael Rollins)发表声明称“被告在网上和现实世界中进行的有害骚扰、威胁和跟踪是无耻的、残忍的,没有任何借口可以用作解释——尤其是因为这些人是经验丰富的高薪安全管理人员,并得到了一家财富500强公司的资源支持。他们的行为应该受到谴责。”
eBay发言人和施泰纳夫妇均尚未对相关置评请求作出回应。
维尼格于2019年辞去eBay首席执行官一职,本案中没有提到他的名字。施泰纳夫妇已经单独对eBay、维尼格和eBay前高级副总裁史蒂夫·韦默(Steve Wymer)提起诉讼,这起案件目前仍在审理中。
艾娜·施泰纳周三发表博文称:“我们认为,每个参与了此事的人都应该被追究责任。”
2022年9月29日 星期四
今日资讯速览:
1、中央网信办深入开展网络辟谣标签工作
2、剑指“霸屏广告”等乱象,《互联网弹窗信息推送服务管理规定》明日起施行
3、网络攻击扰乱酒店供应链!洲际酒店集团加盟商损失惨重
1、中央网信办深入开展网络辟谣标签工作
IT之家 9 月 29 日消息,据“网信中国”微信公众号,当前,各类网络谣言时有传播,混淆视听、误导公众,破坏网络生态,扰乱公共秩序。“某学生丢失录取通知书”消费爱心、不当牟利;“粉丝由塑料制成”恶意抹黑、扰乱市场;“某地出现恶意扎针传染艾滋病事件”危言耸听、制造恐慌;更有甚者编造“不吃饭可以饿死癌细胞”、“频繁做核酸引发咽喉癌鼻咽癌剧增”等,危害人民群众生命安全和身体健康,广大网民反映强烈、深恶痛绝。
今年 8 月以来,按照“清朗・打击网络谣言和虚假信息”专项行动统一安排,中央网信办举报中心会同网络综合治理局,聚焦关乎人民群众切身利益的社会民生领域,以举报中心主办的中国互联网联合辟谣平台为依托,组织微博、抖音、百度、腾讯、快手、小红书、哔哩哔哩、360、知乎、豆瓣、UC 浏览器、凤凰网等 12 家网站平台,开展网络辟谣标签工作,对存量谣言进行全面梳理标记,对被标记的典型网络谣言样本及时通报曝光,最大限度挤压网络谣言生存空间,让网络谣言无处遁形。
专项工作期间,重点网站平台积极参与,对近年来平台数据进行深入摸排,全面梳理存量谣言样本 3342 个,涉及卫生健康、食品安全、教育就业、自然灾害等重点社会民生领域。经权威查证,中国互联网联合辟谣平台集中标记辟谣标签,予以公开曝光和警示。微博、抖音、百度、腾讯等网站平台依据权威发布开展全平台自查,对 8 万余条存量谣言标记辟谣标签。重点网站平台均开设辟谣专栏或专门辟谣账号,及时发布权威辟谣信息,对接触过谣言的用户,精准推送相关辟谣内容。
中央网信办相关单位负责人介绍,标记辟谣标签是网络辟谣工作的积极探索,是深入整治网络谣言乱象的重要举措。中央网信办将持续开展网络辟谣标签工作,不断健全联动工作机制,组织重点网站平台加大对网络谣言的辟除、曝光力度。广大网民可通过中国互联网联合辟谣平台(https://www.piyao.org.cn)提供谣言线索、查证网络谣言。中央网信办将会同有关部门和地方主动回应群众关切,及时查证谣言线索,精准标记辟谣标签,让真相跑赢谣言,让人民群众在清朗网络空间中享有更多获得感、幸福感和安全感。
2、剑指“霸屏广告”等乱象,《互联网弹窗信息推送服务管理规定》明日起施行
IT之家 9 月 29 日消息,明日起,由国家互联网信息办公室、工业和信息化部、国家市场监督管理总局联合发布的《互联网弹窗信息推送服务管理规定》(以下简称《规定》)将施行。
《规定》紧盯弹窗新闻信息推送、弹窗信息内容导向、弹窗广告等重点环节,着力解决利用弹窗违规推送新闻信息、弹窗广告标识不明显、广告无法一键关闭、恶意炒作娱乐八卦、推送频次过多过滥、推送信息内容比例不合理、诱导用户点击实施流量造假等问题。
IT之家了解到,互联网弹窗信息推送服务,是指通过操作系统、应用软件、网站等,以弹出消息窗口形式向互联网用户提供的信息推送服务;互联网弹窗信息推送服务提供者,是指提供互联网弹窗信息推送服务的组织或者个人。
《规定》强调,互联网弹窗信息推送服务提供者应当遵守优化推送内容生态、强化互联网信息服务资质管理、规范新闻信息推送、科学设定推送内容占比、健全推送内容审核流程、强化用户权益保障、合理算法设置、规范广告推送、杜绝恶意引流等九个方面具体要求。
其中包括,提供互联网弹窗信息推送服务的,不得推送《网络信息内容生态治理规定》规定的违法和不良信息,特别是恶意炒作娱乐八卦、绯闻隐私、奢靡炫富、审丑扮丑等违背公序良俗内容,不得以恶意翻炒为目的,关联某一话题集中推送相关旧闻;不得以弹窗信息推送方式呈现恶意引流跳转的第三方链接、二维码等信息,不得通过弹窗信息推送服务诱导用户点击,实施流量造假、流量劫持。
附《互联网弹窗信息推送服务管理规定》全文:
第一条 为了规范互联网弹窗信息推送服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,促进行业健康有序发展,根据《中华人民共和国网络安全法》、《中华人民共和国未成年人保护法》、《中华人民共和国广告法》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《网络信息内容生态治理规定》等法律法规,制定本规定。
第二条 在中华人民共和国境内提供互联网弹窗信息推送服务,适用本规定。
本规定所称互联网弹窗信息推送服务,是指通过操作系统、应用软件、网站等,以弹出消息窗口形式向互联网用户提供的信息推送服务。
本规定所称互联网弹窗信息推送服务提供者,是指提供互联网弹窗信息推送服务的组织或者个人。
第三条 提供互联网弹窗信息推送服务,应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,维护清朗网络空间。
第四条 互联网弹窗信息推送服务提供者应当落实信息内容管理主体责任,建立健全信息内容审核、生态治理、数据安全和个人信息保护、未成年人保护等管理制度。
第五条 提供互联网弹窗信息推送服务的,应当遵守下列要求:
(一)不得推送《网络信息内容生态治理规定》规定的违法和不良信息,特别是恶意炒作娱乐八卦、绯闻隐私、奢靡炫富、审丑扮丑等违背公序良俗内容,不得以恶意翻炒为目的,关联某一话题集中推送相关旧闻;
(二)未取得互联网新闻信息服务许可的,不得弹窗推送新闻信息,弹窗推送信息涉及其他互联网信息服务,依法应当经有关主管部门审核同意或者取得相关许可的,应当经有关主管部门审核同意或者取得相关许可;
(三)弹窗推送新闻信息的,应当严格依据国家互联网信息办公室发布的《互联网新闻信息稿源单位名单》,不得超范围转载,不得歪曲、篡改标题原意和新闻信息内容,保证新闻信息来源可追溯;
(四)提升弹窗推送信息多样性,科学设定新闻信息和垂直领域内容占比,体现积极健康向上的主流价值观,不得集中推送、炒作社会热点敏感事件、恶性案件、灾难事故等,引发社会恐慌;
(五)健全弹窗信息推送内容管理规范,完善信息筛选、编辑、推送等工作流程,配备与服务规模相适应的审核力量,加强弹窗信息内容审核;
(六)保障用户权益,以服务协议等明确告知用户弹窗信息推送服务的具体形式、内容频次、取消渠道等,充分考虑用户体验,科学规划推送频次,不得对普通用户和会员用户进行不合理地差别推送,不得以任何形式干扰或者影响用户关闭弹窗,弹窗信息应当显著标明弹窗信息推送服务提供者身份;
(七)不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型;不得利用算法实施恶意屏蔽信息、过度推荐等行为;不得利用算法针对未成年人用户进行画像,向其推送可能影响其身心健康的信息;
(八)弹窗推送广告信息的,应当具有可识别性,显著标明“广告”和关闭标志,确保弹窗广告一键关闭;
(九)不得以弹窗信息推送方式呈现恶意引流跳转的第三方链接、二维码等信息,不得通过弹窗信息推送服务诱导用户点击,实施流量造假、流量劫持。
第六条 互联网弹窗信息推送服务提供者应当自觉接受社会监督,设置便捷投诉举报入口,及时处理关于弹窗信息推送服务的公众投诉举报。
第七条 鼓励和指导互联网行业组织建立健全互联网弹窗信息推送服务行业准则,引导行业健康有序发展。
第八条 网信部门会同电信主管部门、市场监管部门等有关部门建立健全协作监管等工作机制,监督指导互联网弹窗信息推送服务提供者依法依规提供服务。
第九条 互联网弹窗信息推送服务提供者违反本规定的,由网信部门、电信主管部门、市场监管部门等有关部门在职责范围内依照相关法律法规规定处理。
第十条 本规定自 2022 年 9 月 30 日起施行。
3、网络攻击扰乱酒店供应链!洲际酒店集团加盟商损失惨重
安全内参9月27日消息,近期针对洲际酒店集团的网络攻击影响到了各特许加盟商的业务,导致愤怒的客户、收入损失乃至集体诉讼隐患正持续发酵。
网络攻击导致预约系统严重中断
9月6日,洲际酒店集团表示,检测到技术系统中存在未授权活动,导致预订及其他系统出现严重中断。
酒店业主们(注:即洲际酒店集团旗下酒店的房产拥有者)收到了一封来自洲际酒店集团高管的电子邮件,解释称此次攻击将导致线上预订系统关闭。由于洲际集团并未分享黑客攻击引发数据泄露的任何细节,作为其特许经营合作伙伴,酒店业主们根本无力应对客户爆发出的愤怒与沮丧。
代表全美约20000名酒店业主的亚裔美国酒店业主协会总裁兼CEO Laura Lee Blake表示,“他们至少应该分享一点信息,否则酒店业主只能连续几天身陷黑暗之中,根本不清楚自己维持生计的经营系统出了什么问题。”
此次网络攻击可能影响到了洲际集团的供应链、客户及众多特许加盟商。洲际酒店集团官网显示,该集团在全球拥有17个酒店品牌、6000家酒店。就在去年,针对美国软件公司Kaseya的勒索软件攻击同样蔓延到多个国家的客户身上。
洲际酒店及度假酒店一位发言人表示,“我们尚未发现客人数据遭到未授权访问的证据。我们始终专注于支持我们的酒店和业主,也将在事件期间定期向业主和酒店管理团队传达最新信息。”洲际酒店集团旗下的知名酒店品牌包括假日酒店、驻桥套房酒店和洲际酒店。
酒店业主损失惨重,已发起集体诉讼索赔
酒店业主们指出,众多因网络攻击而预订失败的愤怒客户已经令他们疲于招架。Blake女士还透露,亚裔美国酒店业主协会的成员们对这次攻击事件的调查作出回应。根据近几周的预订量、去年同期预订量以及竞争对手预订量等指标,这些各自拥有两到五家酒店的业主估计,攻击造成的平均损失在30000到75000美元之间。好在目前技术系统已经重新恢复运行。
Blake称,“酒店业主希望就此事获得赔偿,毕竟网络攻击不是他们的错。”
美国路易斯安那州一家假日酒店的业主QHotels Management公司总裁兼CEO Vimal Patel反映,他们遇到了一位情绪激动的顾客,要求酒店说明如何处理住客的信用卡。
9月15日,Patel及其他多位酒店业主在亚特兰大地方法院对洲际酒店集团提起集体诉讼。
Patel表示,“当我们没有受到黑客攻击时,也需要随时担心自己的财务稳定性。”
诉讼称,洲际酒店集团的各特许加盟商一直在按月支付费用,以使用集团提供的预订技术方案。
除了要求对加盟商补偿外,Patel还希望洲际集团能解释,网络攻击暴露了哪些数据、为何会发生此次事故。他认为,洲际集团的高管们应该为糟糕的网络安全状况负起责任。
信息多且价值高,连锁酒店是网络攻击热门目标
连锁酒店是恶意黑客的热门攻击目标,这里蕴藏着大量客户个人及财务信息。近年来,万豪酒店先后遭遇了多起违规事件。2016年,洲际酒店集团因网络攻击导致客户信用卡数据外泄,并在2020年的相关集体诉讼中同意支付超150万美元赔偿金。
研究机构Forrester的高级分析师Allie Mellen表示,除了直接技术问题以外,各特许加盟商后续还可能面临网络攻击引发的其他影响。例如在申购网络保险时,服务商向他们开出的保费会更高。不少司法管辖区的法律也有适用条款,要求遭黑客入侵的企业在发现个人数据泄露时,必须向监管机构和受影响个人发布通报。
但Blake女士坦言,大多数企业往往不愿透露网络攻击的细节,特别是在原有安全措施不够完善的情况下。但隐瞒重要细节同样会损害客户信任,“这对企业方来说是非常有害的。”
她最后总结道,“总有人在掩耳盗铃,认为只要不主动担责,别人就不知道事态有多糟糕。”
2022年9月28日 星期三
今日资讯速览:
1、俄罗斯宣布:将对乌克兰及其盟国的关键基础设施进行大规模网络攻击
2、苹果新闻用户收到冒犯性通知,一杂志疑似被黑客攻击
3、研究人员发现 3 个支持俄罗斯利益的黑客组织
1、俄罗斯宣布:将对乌克兰及其盟国的关键基础设施进行大规模网络攻击
Hackernews 编译,转载请注明出处:
乌克兰国防部情报总局(HUR MO)警告称,俄罗斯正计划升级针对乌克兰和西方国家关键基础设施的网络攻击。
据乌克兰军事情报局称,这些攻击旨在破坏关键基础设施的运营,包括电网和能源行业的设施。
Facebook上发布的报告中写道:“克里姆林宫正计划对乌克兰企业的关键基础设施和其盟国的关键基础设施机构进行大规模网络攻击。攻击将针对能源部门的企业。2015年和2016年对乌克兰能源系统的网络攻击经验将被用于开展行动。”
报告还指出,网络攻击的目的是干扰乌克兰军队的能力,支持俄罗斯军队的军事进攻。
克里姆林宫还计划对乌克兰盟友(如波兰和波罗的海国家)的关键基础设施进行更强大的DDoS攻击。
HUR MO发布的警报称:“敌人将试图增加导弹攻击对电力供应设施的影响,主要是在乌克兰东部和南部地区。占领军司令部确信,这将减缓乌克兰国防军的进攻行动。”
美国总统拜登在2021年7月警告说,网络攻击导致严重的安全漏洞可能引发“真正的枪战”。一个月后北约发布声明,称网络攻击可以与“武装攻击”(在某些情况下)相提并论。
2、苹果新闻用户收到冒犯性通知,一杂志疑似被黑客攻击
IT之家 9 月 28 日消息,苹果新闻似乎被黑客攻击了,因为有大量用户反映收到了商业杂志《Fast Company》发送的苹果新闻通知,其中包含淫秽信息,他们还在该媒体的网站上发布了类似的内容,表明其内容管理系统或其上的一个账户已被攻击。
IT之家了解到,苹果公司和《Fast Company》还没有对这一事件发表评论,也不清楚到底有多少人收到了这个通知信息,但在社交媒体上大体搜索一下,就会发现有不少用户收到了这个通知。另外据没有订阅《Fast Company》的 Vox Media 工作人员说,他们的手机上也出现了这个通知。
苹果新闻被攻击的可能性非常小,鉴于这是一个出版商的单一事件,更有可能是该出版商的 Apple ID 在未经许可的情况下被访问。然而,苹果新闻显然应该在通知发布到 iPhone 之前对某些词语进行过滤,从而避免此类事件发生。
3、研究人员发现 3 个支持俄罗斯利益的黑客组织
Hackernews 编译,转载请注明出处:
据Mandiant称,至少有三个支持俄罗斯利益的黑客组织可能与国家支持的网络黑客合作。
谷歌旗下的威胁情报和事件响应公司表示:“据称,黑客活动Telegram频道‘XakNet Team’、‘Infoccentr’和‘CyberArmyofRussia_Reborn’的发布者正在与俄罗斯主要情报局(GRU)资助的网络黑客协调其业务。”
Mandiant的评估基于以下证据:从乌克兰组织窃取的数据泄漏发生在被追踪为APT28(又名Fancy Bear、Sofacy或Strontium)的俄罗斯民族国家组织实施的恶意雨刷事件的24小时内。
为此,来自这些组织的16次数据泄露中,有4次与APT28发起的磁盘擦除恶意软件攻击同时发生,该恶意软件使用了一种名为CaddyWiper的病毒。
APT28从2009年开始活跃,与俄罗斯军事情报局、总参谋部主要情报局(GRU)有关联,并在2016年因在美国总统选举前违反民主党全国委员会(DNC)而引起公众关注。
虽然所谓的黑客组织已经针对乌克兰进行了分布式拒绝服务(DDoS)攻击和网站破坏,但有迹象表明,这些虚假角色是信息操作和破坏性网络活动的幌子。
也就是说,这种关系的确切性质以及与俄罗斯国家的关联程度仍然未知,尽管它表明,要么是GRU官员本人直接参与,要么是通过运营Telegram频道的管理员参与。
XakNet泄露了APT28用于入侵乌克兰网络的“独特”技术工件,以及CyberArmyofRussia_Reborn的数据发布之前是APT28入侵操作的事实,从而证实了这一推理。
这家网络安全公司指出,它还发现了XakNet团队和Infoccentr以及亲俄罗斯组织KillNet之间的某种程度的协调。
Mandiant说:“乌克兰战争也为了解俄罗斯网络计划的整体性、协调性和有效性提供了新的机会,包括黑客对社交媒体平台的使用情况。”
2022年9月27日 星期二
今日资讯速览:
1、以色列国防巨头埃尔比特系统的美国分公司遭黑客攻击
2、印度一医疗公司毫无责任心:新冠抗原检测数据公网暴露无人处理
3、澳大利亚在发生大规模数据泄露后将全面修订隐私法
1、以色列国防巨头埃尔比特系统的美国分公司遭黑客攻击
以色列国防承包商埃尔比特系统公司的美国分公司表示,其网络在6月初遭到黑客攻击,员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中说,有369名员工受到数据泄露的影响,其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。
在通知中,这家位于得克萨斯州的公司几乎没有分享任何细节,只是说“有人试图干扰美国埃尔比特公司的网络运营”,而且其调查正在进行。
埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府,也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。
总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头,为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。
埃尔比特公司在监控软件市场也有涉猎。2015年,埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门,并将其分拆为一个名为Cyberbit的子公司。两年后,互联网监督机构Citizen Lab的研究人员发现,由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说,这些间谍软件冒充假的浏览器插件,旨在从受害者的电脑中提取私人用户数据,包括电子邮件、密码和屏幕截图。
Citizen Lab说,埃塞俄比亚政府可能下令进行监视。
埃尔比特公司在2020年出售了其在Cyberbit的股份,在美国私募股权公司Charlesbank Capital Partners投资7000万美元后,成为少数股东。
Cyberbit是设在以色列的几个已知的间谍软件制造商之一,包括NSO集团、Cytrox和Candiru。
2、印度一医疗公司毫无责任心:新冠抗原检测数据公网暴露无人处理
安全内参9月26日消息,印度一家医疗软件提供商的Elasticsearch服务器被发现暴露在互联网上,其中存储了过去几年来往返于印度各地的众多印度及外国人的COVID抗原检测结果。
值得注意的是,这些测试结果来自Covi-Catch快速抗原试剂盒。Covi-Catch是印度医学研究委员会(ICMR)批准上市的COVID-19自我检测试剂盒。
知名独立安全研究员Anurag Sen发现了此次事件。糟糕的是,目前该服务器仍然保持公开,无需任何安全身份验证或密码即可直接访问。据悉,该服务器的最初暴露时间是2022年7月2日。
Anurag当时正在搜索网站Shodan上检索错误配置的数据库,并注意到有一台公开暴露的服务器,正向公众敞开23 GB数据。Anurag表示,该服务器属于一家位于印度哈里亚纳邦古尔冈的企业,但由于目前暴露问题仍未解决,所以本文暂不公开其具体名称。
暴露了哪些数据?
Anurag对服务器的分析结果显示,暴露的记录实际是COVID抗原检测结果,而且事件受害者人数超过170万。其中不仅包括个人记录,还有往来人士的医疗记录,具体涉及:
性别
全名
国籍
出生日期
完整地址
电话号码
投票ID编号
COVID测试结果
Aadhaar医保编号
护照编号
基础疾病情况
疫苗详细情况(疫苗类型、是否接种)
还有更多……
截图显示,暴露的记录涉及美国、加拿大和印度公民
该公司未做任何回应处理
Anurag已经通过网站上的电子邮件地址联系了相关公司,但一个多星期过去,对方未做任何回应。截至目前,该服务器仍持续暴露在外。
将用户敏感数据暴露给网络犯罪分子当然离谱,毫不理会研究人员提醒、坐视混乱事态则进一步凸显出该公司不负责任的态度。
事件将造成哪些影响?
目前还不清楚是否有恶意第三方已经访问到该数据库,例如勒索软件团伙或其他恶意黑客。如果已经访问,受害者及作为该服务器所有方的医疗保健公司将面临毁灭性的威胁。
此外,考虑到暴露数据的范围和性质,此次事件还可能产生深远影响。例如不法分子可能会下载数据,借以实施网络钓鱼欺诈或其他涉及身份盗窃的诈骗活动。
如果要求未能得到满足,恶意黑客可以操控该服务器或数据以索取赎金,并将信息泄露至网络犯罪论坛。一旦事态恶化到这一步,将个人信息放心交给印度当局的出行人士将沦为受害者。
3、澳大利亚在发生大规模数据泄露后将全面修订隐私法
继澳大利亚历史上最大的数据泄露事件之一之后,澳大利亚政府正在计划对网络攻击的披露要求展开更严格的审查。当地时间周一,该国总理安东尼·阿尔巴尼斯告诉澳大利亚广播电台4BC,政府打算全面修订隐私法,以要求任何遭受数据泄露的公司跟银行分享可能受到影响的客户的详细信息从而来减少欺诈。
根据目前的澳大利亚隐私立法,公司不得跟第三方分享有关其客户的这些细节。
该政策则是在上周发生巨大的数据泄露事件后宣布的,据悉,该事件影响了澳大利亚第二大电信公司Optus。黑客们设法获取了多达980万Optus客户的大量潜在敏感信息--接近澳大利亚人口的40%。泄露的数据包括姓名、出生日期、地址、联系信息及在某些情况下驾驶执照或护照的身份证号码。
ABC News Australia的报道显示,此次泄露可能是由于Optus开发的API安全不当。据悉,Potus此举则是为了符合为用户提供多因素认证选项的规定。
一个自称是Optus黑客的人在跟安全记者Jeremy Kirk的交谈中似乎证实了这一数据泄露的说法。根据这位被认为是黑客的人向Kirk提供的细节,下载数据的方法是按顺序查询API中标有“contactid”字段的每个值并逐一记录每个用户的信息,直到汇集成数百万条记录的数据集。
同一个人在一个流行的黑客论坛上发了一个帖子,其称以15万美元的价格出售用户数据,另外还列出了100万美元的勒索价格以保持数据的私密性--以Monero加密货币支付。该黑客还发布了一些免费的“样本文件”,他们说称这些文件包含1万名Optus用户的完整地址信息。
随着事态的发展,许多Optus客户在社交媒体上对黑客的处理方式表示不满,特别是在通知受影响的用户他们的数据面临风险方面。
2022年9月26日 星期一
今日资讯速览:
1、继普京宣布部分动员后,超300,000 名俄罗斯预备役军人信息遭到泄露
2、连你家电器的算力都不放过 新发现Linux恶意软件用IoT设备挖矿
3、揭秘!美军秘密采购大规模监控工具,可窥探任意公民网络数据
1、继普京宣布部分动员后,超300,000 名俄罗斯预备役军人信息遭到泄露
黑客组织 Anonymous 声称已经泄露了超过 300,000 人的个人数据,这些人可能被俄罗斯政府动员起来作为预备役军人。在2022年9月23日星期五,该组织的一个 Twitter 账户上发布的消息表示,“入侵了俄罗斯国防部的网站并泄露了 305,925 人的数据,这些人可能在三波动员中的第一波中被调动起来。”
一张图片声称显示了这些人的个人信息。
Anonymous的说法是在俄罗斯总统普京两天前,即9月21日发表全国讲话后宣布的,其中宣布动员 300,000 名预备役人员进行部分军事动员,以应对目前俄罗斯所面对的威胁。
如果 Anonymous 的最新说法被证实属实,这可能会使预备役人员受到攻击,并可能被乌克兰方联系。此前,黑客组织 Anonymous 在乌俄冲突期间对俄罗斯发起了多次网络攻击,以支持乌克兰。在 2022年2月24日入侵开始后,它立即宣布对普京政府发动“网络战” 。
3月,该组织声称已经破坏了负责监管通信、信息技术和大众媒体的俄罗斯联邦机构的数据库,在此过程中泄露了超过36万份文件。同月,该组织还入侵了俄罗斯的流媒体服务和电视新闻频道,以播放乌克兰战争的镜头。
网络在俄罗斯与乌克兰的战争中发挥了重要作用。
此外,Recorded Future 旗下Insikt Group 的全球问题团队 Craig Terron在最近发表的一篇关于乌克兰战争网络方面的信息安全杂志文章中评论说:“我们没有看到这些大规模攻击的部分原因是乌克兰的网络防御一直很强大在西方和北约的一些支持下。”
除乌克兰外,西方政府已警告国内企业通过网络攻击来加强其网络防御,这些网络攻击预计将被用作俄罗斯在面临严厉制裁时的报复策略。
2、连你家电器的算力都不放过 新发现Linux恶意软件用IoT设备挖矿
继电脑和手机后,挖矿病毒也盯上了IoT设备。
无论是智能冰箱、彩电还是洗衣机,但凡有点算力的(物联网和端侧)设备都可能被这种病毒感染,用于挖掘加密货币等。
AT&T Alien Labs新发现的Linux恶意软件Shikitega就是一例。
相比之前的一些IoT设备,Shikitega更加隐蔽,总共只有376字节,其中代码占了300字节。
那么,这个新型恶意软件究竟是如何感染设备的?
利用加壳技术“隐身”
具体来说,Shikitega核心是一个很小的ELF文件(Linux系统可执行文件格式)。
这个ELF文件加了动态壳,以规避一些安全防护软件的查杀。
加壳,指利用特殊算法压缩可执行文件中的资源,但压缩后的文件可以独立运行,且解压过程完全隐蔽,全部在内存中完成。
动态壳则是加壳里面更加强力的一种手段。
从整体过程来看,Shikitega会对端侧和IoT设备实施多阶段感染,控制系统并执行其他恶意活动,包括加密货币的挖掘(这里Shikitega的目标是门罗币):
通过漏洞利用框架Metasploit中最流行的编码器Shikata Ga Nai(SGN),Shikitega会运行多个解码循环,每一个循环解码下一层。
最终,Shikitega中的有效载荷(恶意软件的核心部分,如执行恶意行为的蠕虫或病毒、删除数据、发送垃圾邮件等的代码)会被完全解码并执行。
这个恶意软件利用的是CVE-2021-4034和CVE-2021-3493两个Linux漏洞,虽然目前已经有修复补丁,但如果IoT设备上的旧版Linux系统没更新,就可能被感染。
事实上,像Shikitega这样感染IoT设备的恶意软件已经很常见了。
例如在今年三月,AT&T Alien Labs同样发现了一个用Go编写的恶意软件BotenaGo,用于创建在各种设备上运行的僵尸网络(Botnets)。
对此有不少网友吐槽,IoT设备的安全性堪忧:
也有网友认为,IoT设备应该搞WiFi隔离,不然就会给病毒“可乘之机”:
而除了IoT设备,更多人的关注点则放在了Linux系统的安全上。
Linux恶意软件数量飙升650%
这几年来,Linux恶意软件的多样性和数量都上升了。
根据AV-ATLAS团队提供的数据,新的Linux恶意软件的数量在2022年上半年达到了历史新高,发现了近170万个。
与去年同期(226324个恶意软件)相比,新的Linux恶意软件数量飙升了近650%。
除了Shikitega,近来发现的流行Linux恶意软件也变得更加多样,已知的包括BPFDoor、Symbiote、Syslogk、OrBit和Lightning Framework等。
△图源AV-ATLAS
对此有网友提出疑惑,正因为Linux开源,它似乎无论如何都会面临病毒和恶意软件的泛滥?
有网友回应称,一方面,虽然旧的Linux系统可能充满漏洞、成为病毒的“温床”,但它在经过升级、打了补丁之后就会变好。
另一方面,开发恶意软件本身也不是“有手就能做”的事情。
毕竟安全研究人员会不断修复并堵上所有漏洞,而恶意软件开发者必须在他们修复前找到漏洞、开发出恶意软件,还得让它们“大流行”,最终实现自己的目的。
要是你家还有在用老旧Linux系统的设备,要注意及时升级or做好网络隔离等安全措施~
3、揭秘!美军秘密采购大规模监控工具,可窥探任意公民网络数据
安全内参9月23日消息,美国参议员罗恩·怀登在周三的一封信中称,有多个军事情报办公室向数据经纪机构付费访问互联网流量日志,这可能会暴露美国公民的在线浏览历史。该消息援引了一位主动联络其办公室的匿名举报人的说法。
包括陆军和海军在内,美国国防部内部至少有四个机构,花费了至少350万美元使用一款鲜为人知的数据监控工具。据报道,该工具能够提供海量电子邮件数据及网络浏览活动的访问权限。作为工具开发方,佛罗里达州安全公司Team Cymru声称,其产品能为客户提供“互联网上的绝大多数活动”,对超过90%的互联网流量提供“可见性”。
外媒Vice报道称,怀登参议员与美国公民自由联盟敲响警钟,矛头直指这项不为人知的政府采购。对于美国国防部具体如何使用该工具,目前仍无法确定。怀登写道,“该工具能够展示民众的个人身份,以及人们在网上的阅读内容等极其敏感的信息。”虽然尚无证据,但此次采购至少代表政府机构可能绕过宪法保护,从见不得光的数据经纪机构和其他私营企业那边获取数据。
怀登周三致信国防部、司法部和国土安全部的监察长,敦促他们对各自机构购买数据的行为开展调查,并称他已确认“有多个政府机构在未经司法授权的情况下,购买美国公民数据”。
内部人士举报美军采购公民网络数据,可穿透VPN追踪个人
怀登表示,一名军方的举报人来到他的办公室,针对“整个指挥系统上下”提出了一系列正式指控。从指控内容来看,似乎是暗示海军刑事调查局(NCIS)在未拿到搜查令的情况下,以交易方式购买了网络流量数据(netflow)。
作为美国参议院财政主席兼特别情报委员会长期成员,怀登说,“根据举报人的说法,NCIS是从Team Cymru公司购买到的数据访问权,其中包括网络流量记录和部分通信内容。Team Cymru是一家数据经纪机构,我之前曾经调查过他们的数据销售情况。”
网络流量记录(netflow)包含用户接入过哪些服务器,一般足以推断出他们在访问哪些特定网站。日志还可能包含发送或接收的数据量,以及用户访问网站的时间。
外媒Vice曾在2021年8月报道称,威胁情报厂商Team Cymru正与互联网运营商合作,获取对网络流量记录的访问权限。Team Cymur当时还曾通知过参议员办公室,表示从第三方处获得了“网络流量数据,用以提取威胁情报”。
Vice当时援引某匿名消息人士的说法,称Team Cymru的客户可以访问一个数据集。通过该数据集,他们可以“对几乎任何IP执行查询,选择一个时间段拉取目标IP的网络流量。”
据报道,Team Cymru甚至能够穿透虚拟专用网络(VPN)实现流量跟踪,许多用户使用VPN来保护上网隐私。
根据怀登的说法,公开合同记录证实,军方使用了一种名为Augury的工具。该工具“从全球500多个收集点”汇聚了“PB级别”的网络数据。其每天至少会收集“1000亿条新记录”,包括电子邮件和网络浏览数据。
怀登表示,该工具由外包商Argonne Ridge Group提供,而这家公司跟Team Cymur有着“相同的公司地址”和“相同的公司高管”。他还补充称,Argonne已经跟美国网络司令部、陆军、FBI及特勤局签订了服务合同。
信中还提到了国防情报局、国防反情报与安全局以及美国海关与边境保护局(CBP)等机构。怀登正在对这项政府采购案开展持续调查。
公民自由联盟表示担忧,要求提高采购使用透明度
这一事件引发了美国公民自由联盟等主要权利组织的担忧。该联盟在采访中指出,有必要以更高的透明度关注政府机构如何使用这些信息。
美国公民自由联盟国家安全项目副主任帕特里克·图米(Patrick Toomey)在采访邮件中提到,“网络浏览记录能揭示出我们的身份、在网上阅读了哪些内容等高度敏感的信息。我们需要更透明的了解军事和执法机构如何使用这些未经授权获得的私人信息。”
Team Cymru公司一位发言人表示,关于该公司签订合同的报道“并不属实而且具有误导性”,对其软件功能的“指控”也“毫无根据”。(但他们没有具体解释哪些说法有误,也没有提供更进一步的更正细节。)
海关与边境保护局和FBI的发言人没有立即回应置评请求。军方一位发言人则将所有问题移交给国防部监察长办公室,据称稍后会做出回复。
多位议员要求公布采购细节,以确定是否侵犯公民隐私
此次事件之际,已经有多位联邦议员努力调查美国政府在未授权情况下获取数据的行为。上个月,美国众议院两位民主党人杰罗德·纳德勒(Jerrold Nadler)和本尼·汤普森(Bennie Thompson)要求FBI和国土安全部公布涉嫌购买数据的细节,据称这些细节足以揭示用户的网络浏览活动和精确位置。
虽然2018年最高法院已经裁定,政府不得在没有搜查令的情况下获取敏感位置数据,但部分政府机构仍故意收窄该裁定的适用范围,力图将商业购买的数据剔除在“获取”的范畴之外。换句话说,美国政府其实一直在围绕宪法第四修正案想办法钻空子。
想要摆脱束缚的还不只是联邦政府机构。上周五,众议员安娜·艾舒(Anna Eshoo)要求联邦贸易委员会调查新近发现的Fog Reveal警察软件。这款软件能帮助执法机构描绘出美国民众“之前几个月”的活动轨迹。该服务并不依赖于网络流量数据,而是从数百款消费级应用程序处收集据称用于广告目的的位置数据。
艾舒强调,“消费者自己并没意识到,当他们在手机上下载并使用这些免费应用时,很可能也同时丧失了宪法第四修正案赋予他们的权利。如果明确提出这种选择,大多数消费者恐怕都不会愿意接受。但从功能上讲,现实情况就是人们已经广泛接受了这一切。”
2022年9月23日 星期五
今日资讯速览:
1、美国FCC将中国联通、太平洋网络列入国家安全威胁名单
2、韩国战争纪念馆遭黑客网络攻击,官方称未泄露军事资料
3、澳大利亚Optus遭受重大网络攻击,多达900万用户受影响
1、美国FCC将中国联通、太平洋网络列入国家安全威胁名单
美国联邦通信委员会 (FCC) 周二表示,将中国太平网络公司、其全资子公司 ComNet (USA) 和中国联通 (Americas) 列为对美国国家安全的威胁。这些指定是根据旨在保护美国通信网络的 2019 年法律。
据悉,2021年3月FCC最初将五家中国公司列入其所谓的“名单”,其中包括华为、中兴、海能达、海康威视和大华股份,今年3月中国电信和中国移动也被列入其中。
今年早些时候,美国监管机构以国家安全问题为由,投票撤销了中国联通在美国的子公司、太平洋网络和 ComNet 在美国运营的授权。FCC 主席 Jessica Rosenworcel 表示,此举对于保护美国通信网络免受外国国家安全威胁至关重要。
“我们正在采取额外的行动来关闭这些公司的大门。”
3 月,FCC将俄罗斯的AO卡巴斯基实验室、中国电信(美洲)和中国移动国际美国公司加入了涵盖名单。
2021年10月,FCC 还撤销了美国对中国电信(美洲)的授权,并于 2019 年以国家安全风险为由,拒绝了中国移动提供美国电信服务的投标。
列入名单意味着来自FCC的80亿美元(120 亿澳元)普遍服务基金的资金不得用于购买或维护这些公司的产品。该基金支持农村地区、低收入消费者和学校、图书馆和医院等设施。
今年早些时候,中国驻华盛顿大使馆表示,美国联邦通信委员会“在没有事实根据的情况下,再次滥用国家权力,恶意攻击中国电信运营商,美方应立即停止对中国企业的无理打压”。
中国商务部也早就指出,美方此举泛化国家安全概念,滥用国家力量,在缺乏事实依据的情况下恶意打压中国企业,违背市场原则,破坏双方合作氛围,中方对此表示严重关切。
2、韩国战争纪念馆遭黑客网络攻击,官方称未泄露军事资料
【环球网报道 记者 付嘉骏】据韩国纽西斯通讯社21日报道,韩国军方当日称,韩国国防部下设的战争纪念馆近期遭到身份不明的黑客网络攻击,但没有因此泄露军方的军事资料。
据报道,21日,韩国军方表示,韩国国防部下设的战争纪念馆本月初遭到黑客的网络攻击,导致网络瘫痪一周之久。韩国军方网络作战司令部在发现该情况后采取了相应应对措施,于本月14日恢复了网络系统。
报道称,韩国军方表示,本次黑客攻击导致战争纪念馆服务器相关数据和部分个人信息被盗。但因黑客攻击的是战争纪念馆外网,所以并没有因此泄露军方的军事资料。
据报道,目前黑客的身份尚未得到确认。
3、澳大利亚Optus遭受重大网络攻击,多达900万用户受影响
Optus透露,它受到了一次网络攻击,导致当前和以前客户的信息被非法获取,包括姓名、出生日期、机密身份证件和电子邮箱地址。在一份声明中,这家新加坡电信的澳大利亚子公司解释说,它已立即制止了侵犯行为,并与澳大利亚网络安全中心合作以减轻客户面临的任何风险。
它还通知了警方和主要监管机构。
可能泄露的信息包括电话号码等个人详细信息,而部分客户的地址和身份证件号码也被泄露。
该运营商表示,支付细节和账户密码并未泄露,其移动和互联网服务仍正常运行。
Optus首席执行官凯利·拜耳·罗斯马林(Kelly Bayer Rosmarin)表示,该公司受到此次攻击的“重创”,并立即采取行动阻止和展开调查。
“虽然不是每个人都可能受到影响,我们的调查也尚未完成,但我们希望所有客户尽快了解发生的事情,以便提高警惕。”
受到影响的客户据称多达900万。
2022年9月22日 星期四
今日资讯速览:
1、万代最新回应7月黑客入侵进展 不排除模玩部数据流失可能
2、与国为敌!一黑客兜售印尼13亿手机卡用户数据,公开嘲讽多名高官
3、美国航空公司披露了一起数据泄露事件
1、万代最新回应7月黑客入侵进展 不排除模玩部数据流失可能
9月20日,万代南梦宫发布了关于7月黑客入侵事件的调查进展情况,首先可以确定的是不排除日本地区以外的亚洲区域模玩部顾客等数据流失可能,其他泄密损失依然在调查中。
•今年7月时,一个勒索软件集团ALPHV称他们已经勒索了万代,暗示获得了机密文件。万代稍后发表声明称, 2022年7月3日,万代南梦宫控股公司确认被第三方未经授权访问了万代亚洲地区(除了日本)多个公司的内部系统。在我们确认此事后,我们已经采取了措施,比如阻止访问服务器阻止伤害蔓延。
•今天万代南梦宫发布最新声明,公布了事件的最新调查进展,除了模玩部顾客等资料数据极有可能已经泄露外,其他泄密资料情况依然还在调查中,目前无法确认。
2、与国为敌!一黑客兜售印尼13亿手机卡用户数据,公开嘲讽多名高官
安全内参9月20日消息,印度尼西亚近期成立的数据保护工作组正在追捕一名黑客。此人据称涉嫌窃取了13亿注册手机用户与1.05亿选民数据,甚至掌握了总统通信日志。
公开兜售印尼海量公民数据,涉及总统与众多高官
这位化名Bjorka、声称居住在波兰华沙的黑客,过去几周来一直在黑客论坛BreachForums上兜售被盗数据,受害者包括印尼多家国有企业、手机运营商及大选委员会。
Bjorka还掌握一份机密文件日志,其中记录着印尼总统佐科·维多多(Joko Widodo)与国家情报局之间的往来信息。
这位黑客也拿到多位公众人物的个人数据,包括印尼海洋与投资统筹部长卢胡特·班查伊丹(Luhut Pandjaitan)及信息与通讯部长约翰尼·G·布拉特(Johnny G. Plate)。泄露的细节包括电话号码、身份证号以及疫苗接种编码。
在9月5日的新闻发布会上,一名信息部高级官员呼吁Bjorka停止泄露印尼民众的个人数据。但一天之后,此黑客在BreachForums的新帖中大放狂言,提醒政府“别再白日做梦了”。
Bjorka在9月10号的一条推文中表示,他的意图是展示“在糟糕的数据保护政策之下,黑客渗透、特别是针对政府部门的渗透,是多么易如反掌。”
在推特上,Bjorka还表示那些负责黑客调查的人员根本不知道该从何入手,同时对公众人物大加嘲弄,包括奉劝国有企业部长艾瑞克·托希尔(Erick Thohir)断了竞选总统的念想。
目前,Bjorka至少有三个推特账户已被冻结。
印尼高官回应称,没有任何关键系统被黑
印尼政治、法律和安全事务统筹部长马福德(Mahfud MD)在上周三呼吁公众保持冷静,称没有任何关键系统遭到黑客入侵,也未出现国家机密泄露事件。
他解释道,此次泄密“只涉及总统的一般通信数据,而且截至目前,对方还没有公开通信内容。”
他补充道,当局已经根据“全面的追踪工具”确定了Bjorka的身份及其所在位置。
据印尼当地知名杂志《Tempo》报道,就在上周三成立数据保护工作组后不久,警方就在东爪哇省茉莉芬县审讯了一名23岁的男子,他的姓名首字母为MAH。他的日常工作,是在当地集市上出售饮料。
警方尚未确认他是否就是Bjorka,专案组正对近期事件开展调查。
印尼网络安全形势严峻,曾出现更严重违规事件
尽管国内数字经济蓬勃发展,但自2019年以来,印尼先后遭遇多起针对政府机关和私营企业的大规模数据泄露事件。
去年5月,医疗保健与社会保障局数据库中超过2亿公民的社保详细信息(包括身份证和家庭卡)被泄露,事件严重性令人震惊。
有专家认为,这可以说是“最最顶格的”安全违规事件,同时批评印尼政府对以往的违规事态缺乏足够的反应。
数字取证专家Ruby Alamsyah在接受新加坡《海峡时报》采访时称,“Bjorka泄露的数据在质量和数量上其实都不及之前的事件。但在此人的行动之下,人们终于开始对个人数据泄露给予重视。”
他还指出,在BreachForums之前,Bjorka曾经在RedForum出售过来自其他国家的泄露数据。作为暗网内规模最大的被盗数据集散地之一,RedForum已经在今年4月被美国司法部关闭。
总部位于雅加达的Digital Forensic Indonesia公司CEO Ruby认为,工作组不应只关注新近发生的数据泄露事件,还应调查2019年以来的同类案件,至少要“从过往案例中吸取教训”、避免后续类似问题的再次发生。
IT安全专家Alfons Tanujaya也认为,“工作组最好能改进数据管理。过去几年来,相关机构一直在否认发生了数据泄露,根本没有加强数据保护,因此导致数据泄露时有发生。”
“如果Bjorka被捕,但数据泄露仍在继续,那么未来三到六个月内一定会出现更多步Bjorka后尘的仿效者。”
政法安统筹部长马德福博士则表示,印尼议会预计将在一个月内通过《个人数据保护法案》。
Ruby和Alfons都认为,如果这项法案能顺利通过,那么政府机关和私营企业将被迫加强自身网安水平,否则任何数据泄露都会招致经济处罚、甚至刑事制裁。
Ruby总结道,“从逻辑上讲,罚款与制裁的潜在压力将引导各方做好充分准备,保证自己的网络安全比过去更好,同时尽可能避免出现数据泄露。一旦发生泄露,根据新的法律条款,公众也可以依法要求追究责任、索取赔偿。”
3、美国航空公司披露了一起数据泄露事件
Hackernews 编译,转载请注明出处:
美国航空公司披露了一起数据泄露事件,黑客可以访问员工电子邮件账户。
入侵者可以访问帐户中包含的敏感个人信息,但该公司的数据泄露通知指出,它不知道任何滥用公开数据的情况。
安全漏洞于7月5日被发现,该航空公司立即采取措施缓解事件并保护受影响的电子邮件帐户。随后,美国航空公司在一家领先的网络安全取证公司的帮助下展开了调查。
发送给受影响客户的数据泄露通知(来源 Bleeping Computer)指出:“2022年7月,我们发现一名未经授权的黑客入侵了美国航空公司团队成员的电子邮件账户。在发现事件后,我们对相关电子邮件帐户采取了保护措施,并聘请了第三方网络安全取证公司进行取证调查,以确定事件的性质和范围。调查确定,这些电子邮件账户中有某些个人信息。我们进行了全面的eDiscovery练习,并确定您的一些个人信息可能已包含在访问的电子邮件帐户中。我们没有证据表明您的个人信息被滥用。然而,出于谨慎考虑,我们希望向您提供有关事件的信息以及您可以采取的保护措施。”
泄露的数据包括姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾照号码、护照号码和/或受影响个人提供的某些医疗信息。
该公司宣布,正在实施额外的技术保障措施,以防止今后发生类似事件。美国航空公司免费提供Experian IdentityWorksSM两年会员资格,以保护受影响用户的身份。
BleepingComputer报道称,美国航空公司员工的账户在一次网络钓鱼活动中被泄露。
2022年9月21日 星期三
今日资讯速览:
1、微软 Win11/10 Outlook 邮箱软件被曝存在“千年虫”类问题,用户穿越回 1930 年
2、安全公司Bitdefender无偿放出LockerGoga勒索软件解密器
3、调查:三分之一的企业未加密云端敏感数据
1、微软 Win11/10 Outlook 邮箱软件被曝存在“千年虫”类问题,用户穿越回 1930 年
IT之家 9 月 18 日消息,微软 Windows 11 和 Windows 10 的 Outlook 邮箱软件日益完善,但也不能避免出现错误 Bug 等,如果用户寻找 2029 年 12 月 31 日之后的日期,他们就会“穿越” 回到 20 世纪。这有点像是“千年虫”问题。
“千年虫”软件设计问题,导致两位数的日期字段无法适应 1999 年底以后的新世纪。IT之家获悉,早期的编码人员使用了该快捷方式,从没想过软件将使用如此之久。
微软的 Outlook 故障 Bug 没有像此前“千年虫”问题那样严重,但也需要大家注意,并等待微软解决它。
一位目光敏锐的信息安全专家发现了这个问题,并在 LinkedIn 帖子中公布了详情。
简而言之, Outlook 应用程序不会让用户使用日期字段 [Ctrl + G] 并缩写年份来导航到 2029 年 12 月 31 日之后的日期。如果他们输入 01/01/30,Outlook 会将用户送回到 1930 年 1 月 1 日。
用户可以通过控件进行测试:键入 31/12/29,他们将在未来正常登录。如果完整地输入日期,他们似乎将进入正确的区域。可以在 2030 年之后正常使用 GUI 并单击条目。
与人类面临的生存挑战相比,微软 Outlook 日期故障 Bug 似乎是一件小事,但也需要微软来进行修复。
2、安全公司Bitdefender无偿放出LockerGoga勒索软件解密器
响应 NoMoreRansom Initiative 活动号召,罗马尼亚网络安全公司 Bitdefender 放出了全新的解密器,LockerGoga 勒索软件的受害者现在可以免费恢复被锁的文件。 LockerGoga 勒索软件家族于 2019 年首次出现,以攻击工业组织而闻名。
LockerGoga 于 2019 年 3 月攻击了 Norsk Hydro,导致这家挪威铝制造商停产近一周,损失超过 5000 万美元。该勒索软件还被用于攻击法国工程咨询公司 Altran Technologies 以及美国化工公司 Hexion 和 Momentive。
据与欧洲刑警组织一起参与解密器开发的苏黎世检察官办公室称,LockerGoga 的运营者参与了针对 71 个国家/地区的 1,800 多个个人和机构的勒索软件攻击,造成超过 1 亿美元的损失。
LockerGoga 勒索软件背后的组织自 2021 年 10 月以来一直处于不活跃状态,当时美国和欧洲执法机构逮捕了 12 名涉嫌成员。苏黎世检察官办公室表示,逮捕后,警方花了几个月的时间检查突袭期间收集的数据,并发现了该组织的加密密钥,以解锁 LockerGoga 勒索软件攻击的数据。
Bitdefender 威胁研究和报告主管 Bogdan Botezatu 表示:“当我们发现勒索软件代码中的漏洞或单个解密密钥可用时,通常可以解密数据。这个解密器依赖于 2021 年逮捕行动中查获的密钥,根据我们与相关执法部门的合作,这些密钥已私下与我们共享”。
3、调查:三分之一的企业未加密云端敏感数据
Orca最新公共云安全报告指出,大多数企业虽将云安全列为自身IT首要工作重点,却一直忽视了云端数据的基本安全措施。报告揭示,36%的企业在其云端资产中混有未加密的敏感数据,如公司秘密和个人身份信息等。
全球新冠肺炎疫情加快了迈向云计算的转变,因为突然大规模转为远程办公迫使公司保证员工能从任何地点访问业务系统。
Gartner预测,今年花在全球公共云计算服务上的支出会增长20.4%,达到4947亿美元,并预计2023年将达到近6000亿美元。
在匆忙将IT资源挪到云端的过程中,企业难以跟上不断扩大的云攻击面和日渐增加的多云复杂性。Orca报告指出,目前网络安全熟手短缺的状况又进一步恶化了企业的这种窘境。
在Orca Security的联合创始人兼首席执行官Avi Shua看来,云端风险并不比本地环境中的风险大,只不过,这两种风险不一样。
“在本地环境中,企业可以更好地控制其基础设施。”Shua称,“然而,这未必是好事。相比很多企业,云服务提供商用来确保基础设施安全的专用资源通常要丰富得多。共享责任模式下,企业仍然对其在云端运行的应用程序和服务负责,所面临的风险与本地环境类似。云安全不同于本地环境安全的地方在于文化转变:云端任何事务都比本地快得多,而且存在更多托管服务,带来了异于本地环境的安全威胁。
越来越难以修复所有漏洞
企业难以跟上每天曝出的诸多漏洞。很多企业在修复新发现漏洞方面都力不从心,而且有些企业连很早之前发现的漏洞都还没修复。
报告揭示,许多企业甚至存在十几年前就披露了的漏洞;并指出,严重漏洞构成了78%的初始攻击途径,应尽快修复。
“一些企业仍然存在此类老漏洞,是因为常留有不支持更新操作系统的过时应用程序,无法轻松修复。”Shua表示。
Shua建议,如果是这种情况,企业应尝试将这些系统与其他资产隔离开来,防止接触环境中其他部分。
“另一个原因是有时候团队职责不明确,问题分配不当,导致漏洞长时间未得到修复。”Shua补充道。她表示,修复所有漏洞几乎是不可能的,企业应当认清这一点;团队必须了解哪些漏洞可对公司最敏感、最有价值的信息构成最大风险,从而进行战略性修复。
Log4Shell漏洞问题依然存在
2021年12月,Apache Log4j曝出严重零日漏洞。这个名为“Log4Shell”的漏洞非常便于利用,可致未经身份验证的远程代码执行,并且刚披露之时尚未推出可用的补丁。开源开发人员匆忙发布的几个补丁反而又引入了新的漏洞,一直到第四个补丁发布,问题才终于得到解决。
然而,报告称,企业仍然受到此漏洞的影响。近5%的工作负载资产仍然存在至少一个Log4j漏洞,其中10.5%是面向互联网的。2021年12月至2022年1月间发现的Log4j漏洞中,有30%仍未解决,其中6.2%可能会暴露个人身份信息。
容器和容器镜像中也存在相当多的Log4j漏洞。报告指出,镜像的问题尤其严重,因为每次使用镜像时都会重现这些漏洞。
被忽视的资产成了攻击者的入口
攻击者常利用被忽视的资产进入企业环境。其中一种被忽视的资产是使用CentOS 6、32位Linux、Windows Server 2012等不受支持的操作系统,或超过180天仍未修复的云资产。
报告称:“一些企业仍然存在遭忽视的资产,是因为他们仍留有不支持更新操作系统的老旧应用程序。”
Orca指出,平均而言,企业资产中11%处于安全遭忽视的状态,且10%的企业有超过30%的工作负载处于安全遭忽视的状态;19%的已知攻击路径将被忽视的资产作为初始访问攻击途径;而所有遭忽视的资产中,绝大多数是容器,近半数运行的是不受支持的Alpine操作系统版本。
漏洞源于密钥错误配置
Gartner预测,到2025年,超过99%的云数据泄露源自可预防的最终用户错误配置或错误操作。
管理员可以使用AWS Key Management Service(KMS:密钥管理服务)创建、删除和管理用于加密AWS数据库和各种产品中所存数据的密钥。8%的企业采用公共访问策略配置KMS密钥。报告指出:“这么做尤其危险,因为给恶意方铺设了相当便捷的攻击途径。”
此外,99%的企业使用至少一个默认KMS密钥。
79%的企业持有至少一个使用时长超过90天的密钥。报告称,最佳做法是设置密钥只要使用时长超过90天就必须轮换,从而限制被盗IAM(身份与访问管理)访问密钥提供AWS账户访问权限的时长。
大约51%的企业没有为其Google Storage存储桶配置统一的存储桶级访问权限。报告指出,“如果没有统一设置权限级别,攻击者就可以横向移动并获得更高的权限级别,通过创建或更新其有权访问的角色的内联策略,还可以提升其特权。”
公司需保护其最有价值的数据资产
公司最有价值的资产包括个人身份信息、客户及潜在客户数据库、员工和人力资源信息、企业财务信息、知识产权,以及生产服务器。公司需采用最高安全标准保护此类资产,并在决定哪些风险需首先缓解时将之排在最高优先级。
大约36%的企业在文件、存储桶、容器和无服务器环境中存放有秘密和个人身份信息等敏感数据。
报告称:“加密可大大降低敏感数据遭无意暴露的可能性,而且只要不被破解,就能消除数据泄露的影响。”
此外,35%的企业有至少一项面向互联网的工作负载在Git存储库中存有敏感信息。Orca报告中写道:“网络罪犯可以轻易提取这些信息,并使用这些信息来入侵你的系统。”
2022年9月20日 星期二
今日资讯速览:
1、谷歌Meta未经同意跨平台收集信息,韩国开一千亿最大罚单
2、安全公司发警告:不要激活Edge、Chrome的增强拼写检查功能
3、Revolut遭遇黑客入侵 少量用户数据被暴露
1、谷歌Meta未经同意跨平台收集信息,韩国开一千亿最大罚单
9月14日,韩国个人信息保护委员会召开会议,对谷歌和Meta未经用户同意收集个人信息、用于个性化推荐广告的违法行为进行审议,并对谷歌处以692亿韩元(约合人民币3.46亿元)、对Meta 308亿韩元(约合人民币1.54亿元)的罚款。委员会要求,平台若要收集、利用第三方行为信息,必须提前通知用户并取得同意,让用户容易、明确地了解情况,并自由行使其决定权。
据悉,这是韩国首次就个性化推荐广告平台收集个人信息行为进行罚款,也是对企业违反韩国《个人信息保护法》开出的最大罚单。
根据韩国《个人信息保护法》第39条第15款,对此类违法行为,可以处以违法行为所得销售额百分之一以下金额的罚款。韩国个人信息保护委员会用谷歌和Meta提交的年度销售额乘以韩国用户比例,取2019-2021年3年的平均值为基础,考虑违法行为的严重性、持续时间等,最终共处以1000亿4千7百万韩元(约合人民币5亿元)的罚款。
据韩国中央日报,谷歌在一份声明中对此“深表遗憾”,并称将继续与韩国个人资料保护委员会沟通协商。Meta 则表示“无法就韩国个人信息保护委员的决定达成一致”,并称有可能提起上诉。对此,韩国个人信息保护委员会回应称“两家公司的违法行为十分确凿”,并表示已做好应对诉讼的准备。
根据韩国个人信息保护委员会发布的公告,自2021年2月起,委员会开始调查韩国国内外主要线上定向广告平台的行为信息收集和利用情况。调查持续了1年多的时间,重点为平台在收集第三方行为信息时是否得到了用户同意。
调查发现,谷歌在至少6年的时间内,在注册服务时没有明确告知用户第三方行为信息收集和使用事实细则,使用了“更多选项”隐藏部分设置,以及将隐私相关选项默认为“同意”。
具体来说,韩国和欧洲用户在注册谷歌账号时看到的界面不一样。对于个人信息权限的设置,谷歌在注册时提供了“快速定制”和“手动定制”的选择,在“手动定制”情况下,共分5个阶段显示浏览行为收集,保留时间、定向广告、个人信息保护等内容,用户可以分别选择同意或者不同意。委员会发现,欧洲用户界面上的显示更详细,而对韩国用户,“Web和APP活动”、“YouTube记录”、“广告个人优化”等被屏蔽在“更多选项”下,默认值设置为同意。
注册谷歌账户时同一阶段的界面,左图是韩国用户,右图是欧洲用户。图自韩国个人信息保护委员会公告文件
Meta则在约4年的时间内,将注册时需要告知用户的内容以不容易看懂的形式放在数据政策全文中。例如在创建Facebook账户时,共694行的协议显示在一次只能看到5行的滚动屏幕上。
创建Facebook账户时的协议显示界面。图自韩国个人信息保护委员会公告文件
今年5月,Meta试图将对韩国用户的隐私政策改为用户不同意收集信息便无法使用部分服务,但遭到用户强烈反对后于7月取消该计划。对此,韩国个人信息保护委员会正在调查Meta收集的第三方行为信息等是否为提供服务所必需的信息。
为什么平台在收集第三方行为信息时,要明确告知用户具体内容并得到同意?委员会公告指出,第三方行为信息是在用户访问其他网站或应用程序时自动收集的,因此用户很难预测自己在“哪些网站中的哪些行为信息”会被收集。特别地,在用户账号登录的所有设备上,平台都能监控在线活动,日积月累,可能收集或生成包括用户的“思想、信仰、政治见解、健康状况、生理数据、行为特征等”敏感信息。
韩国个人信息保护委员会的调查显示,大多数韩国用户的设置为允许平台收集第三方行为信息。其中,设置为允许的有82%以上的谷歌用户、98%以上的Meta用户,信息主体权利受到侵害的可能性和风险很大。
对此,韩国个人信息委员会委员长尹钟仁表示:“希望通过此次处分,纠正平台以提供免费服务为名,在用户不知情的情况下擅自收集、利用用户信息的行为。让这次处分成为一个契机,保障用户自主决定个人信息收集与利用的情况。……希望今后大型在线广告平台在收集和利用个人信息的过程中,能够显著提高透明度,尽到社会责任。”
韩国以外,其他国家也有类似案例,对谷歌和Meta第三方行为信息收集和定制广告的违法行为进行处罚。2019年1月,法国个人信息监管机构(CNIL)裁定谷歌在个性化广告方面“缺乏透明度,信息提供不充分,且未获得用户的有效同意”,对谷歌处以高达5000万欧元的罚款,是当时监管机构依据欧盟《一般数据保护条例》(GDPR)开出的最高金额罚单。2019年2月,德国反垄断监管机构(FCO)认为,Facebook在未经用户同意的情况下收集和利用了第三方行为信息,命其停止在德国境内的数据收集行为。
2、安全公司发警告:不要激活Edge、Chrome的增强拼写检查功能
如果你正在使用Edge和Chrome的增强拼写检查功能,那么现在是时候放弃它们了,因为一份新报告显示,该功能实际上可以将你的表格数据发送到拥有上述浏览器的科技巨头那里。
据名为otto-js的JavaScript安全公司披露称,当Chrome的增强拼写检查功能和Edge的微软编辑器拼写和语法检查器(Microsoft Editor Spelling & Grammar Checker)浏览器插件被用户手动激活时就会发生这种情况。尽管如此,值得注意的是,这两种浏览器都有自己的基本拼写检查器默认启用,但它们不会构成安全风险,因为它们的行为与增强功能不同。
当激活后,这些功能可以向微软和Google发送数据。传送的信息取决于你在特定网站上填写的表格,这意味着你分享的信息越多填写的表格字段越多,在激活增强拼写检查功能时可能会向这些公司发送的数据越多。如你正在访问的网站可能要求你提供个人身份信息(PII)像你的全名、家庭住址、电子邮件地址、社会安全号、护照号码、驾驶执照号码、信用卡号码、出生日期等。更糟糕的是,你的密码也可能被传送到微软和Google,根据otto-js研究小组的说法,称这个过程为“拼写劫持”。
“如果启用‘显示密码’,那么该功能甚至会将你的密码发送到他们的第三方服务器上,”otto JavaScript Security的联合创始人兼首席技术官Josh Summitt在测试该公司的脚本行为检测时分享了这一发现,“在研究不同浏览器的数据泄漏时,我们发现了一个功能组合,一旦启用将不必要地将敏感数据暴露给第三方如Google和微软。令人担忧的是,这些功能很容易启用,而且大多数用户会启用这些功能而没有真正意识到在后台发生了什么。”
只要使用的是Edge和Chrome并且有它们的增强拼写检查功能,拼写劫持就可能发生在所有网站上。为了证明这一点,otto-js分享了当他们使用员工凭证(特别是密码)登录公司的阿里巴巴云账户时是如何发生的,这些凭证后来被发送到了Google。此外,otto-js还分享了一个视频演示以展示拼写劫持如何暴露公司的云基础设施--包括服务器、数据库、公司电子邮件账户和密码管理器。
“该视频使用工作场所的一个常见场景来显示启用浏览器增强的拼写检查功能是一件多么容易的事情以及员工如何在不知不觉中暴露公司的情况,”otto-js补充道,“大多数CISO在得知他们公司的管理证书在不知情的情况下被明文共享给第三方,甚至是他们普遍信任的第三方时会感到非常震惊。”
这家JavaScript安全公司还进一步强调了可能受到该问题影响的公司和服务的名称。它包括阿里巴巴--云服务、Office 365和Google云--Secret Manager。AWS - Secrets Manager和LastPass一开始虽然也被列入名单,但otto-js表示,这两家公司已经完全缓解了这个问题。
除了保持Chrome的增强拼写检查功能和Edge的微软编辑器拼写和语法检查器浏览器插件不被触动和停用之外,otto-js称公司还可以通过增加“spellcheck=false”来防止拼写劫持问题。
Otto-js建议道:“公司可以减轻分享客户PII的风险--通过在所有输入字段中添加'spellcheck=false',尽管这可能给用户带来问题。或者你可以只把它添加到有敏感数据的表单字段。公司也可以删除‘显示密码’的功能。这不会防止拼写劫持,但它能防止用户密码被发送。公司还可以使用像otto-js这样的客户端安全软件来监控和控制第三方脚本。”
这家安全公司表示,目前还不知道传输给微软和Google的数据是否被储存,也不知道它们是如何被管理的。微软仍没有对此发表任何评论,但Google发言人告诉BleepingComputer--“Google不会将其附加到任何用户身份上,只是在服务器上临时处理。”
3、Revolut遭遇黑客入侵 少量用户数据被暴露
线上金融与支付公司Revolut最近成为网络攻击的目标,该公司在发给客户的电子邮件中确认,实际上有少数用户的账户已经被暴露。不过这次漏洞并没有导致任何资金被盗,。然而,该公司没有透露哪些信息已经暴露,但它说它现在正在联系每一个用户,告知有关该漏洞以及其可能带来的影响。
"不同客户的数据不同。如果有必要,我们会单独联系他们,"Revolut说。另一方面,Revolut解释说,目前没有任何银行卡的细节、PIN码或密码被访问。
该公司声称只有0.16%的客户受到影响,且在这一点上,用户方面不需要采取行动来进一步保护账户。
"我们最近收到了来自一个未经授权的第三方的高度针对性的网络攻击,可能在短时间内获得了你的一些信息。你不需要采取任何行动,然而我们想让你知道,并为这一事件真诚地道歉。我们立即检测并隔离了这一网络攻击。"Revolut在发给受影响客户的电子邮件中说:"由于你是受影响客户中非常小的一部分,我们想向你保证,你的数据现在是安全的,我们理解你可能对这次事件有疑问。"
"我们强调,没有接触到资金被盗的情况。你的钱是安全的,像往常一样。你可以正常使用你的虚拟卡/实体卡和账户。作为预防措施,我们已经建立了一个专门的团队来监控你的账户,保证你的钱和账户的安全。虽然你的钱是安全的,但你可能会面临更多的欺诈风险。我们建议你对任何可疑的活动保持特别警惕,包括可疑的电子邮件、电话或信息"。
2022年9月19日 星期一
今日资讯速览:
1、洲际酒店遭遇黑客破坏性攻击 目的竟是“为了好玩”
2、Akamai成功挫败一起大规模DDoS攻击 峰值达704.8Mpps
3、LastPass表示在检测并驱逐前 黑客访问内部系统已有4天
1、洲际酒店遭遇黑客破坏性攻击 目的竟是“为了好玩”
有黑客告诉BBC,他们对假日酒店(Holiday Inn)的所有者洲际酒店集团(IHG)进行了一次破坏性的网络攻击,目的则是“为了好玩”。他们自称来自越南,一开始他们尝试了勒索软件攻击,然后在被挫败后删除了大量的数据。
资料图
他们通过一个容易找到的弱密码Qwerty1234进入这家FTSE 100指数公司的数据库。
一位专家称,该案件突出了犯罪黑客的报复性一面。
总部位于英国的IHG在全球经营着6000家酒店,包括假日酒店、皇冠假日酒店和丽晶酒店等品牌。
上周一,客户报告了预订和入住方面的广泛问题。
IHG在事件发生后24小时内对社交媒体上的投诉作出回应,称公司正在进行系统维护。
然后在周二下午,它告诉投资者,它被黑客攻击了。
它在提交给伦敦证券交易所的一份正式通知中说道:“自昨天以来,预订渠道和其他应用程序已被严重破坏。”
自称TeaPea的黑客团伙在加密信息应用Telegram上跟BBC取得了联系,他们提供了截图以作为他们实施黑客攻击的证据。
IHG已经确认这些图片是真实的。据悉,这些图片显示了黑客获得对该公司内部Outlook电子邮件、Microsoft Teams聊天和服务器目录的访问。
“我们的攻击原本计划是一个勒索软件,但公司的IT团队在我们有机会部署它之前一直在隔离服务器,所以我们想来点有趣的,”其中一名黑客说道,“我们做了一个雨刷攻击(wiper attack)。”
雨刷攻击是一种网络攻击形式,其会不可逆地破坏数据、文件和文档。
网络安全专家、Forescout公司安全副总裁Rik Ferguson指出,这一事件是一个警示故事,因为尽管该公司的IT团队最初找到了抵御他们的方法,但黑客仍能找到造成破坏的方法。
“黑客们改变策略似乎是出于报复性的挫折感。他们赚不到钱,所以他们大打出手,这绝对暴露了一个事实,即我们在这里谈论的不是‘专业’网络犯罪分子,”Ferguson说道。
IHG表示,面向客户的系统正在恢复正常,但服务仍可能存在断断续续的情况。
黑客们对他们给公司及其客户造成的干扰没有表现出任何悔意。
“我们并不感到内疚,真的。我们更希望在越南有一份合法的工作,但工资是每月平均300美元。我相信我们的黑客攻击不会对公司造成很大的伤害,”他们说道。
黑客们说没有客户数据被盗,但他们确实有一些公司数据--包括电子邮件记录。
TeaPea称,他们通过诱骗一名员工通过诱杀的电子邮件附件下载了一个恶意软件进入了IHG的内部IT网络。另外,他们还必须绕过作为双因素认证系统的一部分而发送到工人设备的额外安全提示信息。
犯罪分子称,在找到公司内部密码库的登录信息后,他们进入了IHG计算机系统的最敏感部分。
“保险库的用户名和密码向所有员工开放,因此20万名员工可以看到,”他们告诉BBC,“密码非常弱。”
令人惊讶的是,这个密码是Qwerty1234,而它经常会出现在全球最常用的密码名单上。
Ferguson在看到截图后说道:“敏感数据应该只提供给需要访问该数据以完成其工作的员工,而且他们应该拥有使用该数据所需的最低级别的访问权限。即使是高度复杂的密码,如果它被暴露,也和简单的密码一样不安全。”
IHG的一位女发言人对密码库细节不安全的说法提出异议,她指出,攻击者必须避开“多层安全”,不过她不愿透露有关额外安全的细节。此外,她还补充道:“IHG采用了深入防御的信息安全策略,进而可以利用许多现代安全解决方案。”
2、Akamai成功挫败一起大规模DDoS攻击 峰值达704.8Mpps
Akamai Technologies, Inc. 是一家美国内容交付网络、网络安全和云服务公司,提供网络和互联网安全服务。近日,该公司为其客户成功挫败了一起破纪录的 DDoS 网络攻击。在过去几个月时间里,由于网络犯罪分子选择了一种更加分散的方法来尝试破坏目标基础设施,因此该客户持续受到乱码流量的侵扰。
Akamai 表示本次攻击是欧洲历史上最严重的一次攻击,不仅峰值攻击流量达到了 704.8 Mpps,而且攻击范围也远超以往。
分布式拒绝服务攻击 (DDoS) 通常使用多个“僵尸”或机器人系统,利用多个唯一 IP 地址或机器(通常来自感染恶意软件的数千台主机)。来攻击目标系统的带宽或资源。Akamai 说,新的攻击似乎来自同一威胁参与者,它“无情地轰炸”了同一家东欧公司,该公司在 7 月遭受了 659.6 Mpps 的攻击。
新的乱码互联网流量比之前的记录保持攻击高出 7%。攻击者针对位于欧洲和北美的六个不同的数据中心。在 201 次不同的累积攻击中,用作机器人的唯一 IP 数量也从 512 个增加到 1,813 个。
Akamai 表示“攻击者的指挥和控制系统在激活多目的地攻击方面没有任何延迟”,在短短 60 秒内,每分钟活动的 IP 从 100 个增加到 1,813 个。此次袭击的主要目标地点是中国香港、伦敦和东京。
3、LastPass表示在检测并驱逐前 黑客访问内部系统已有4天
LastPass 表示发生于今年 8 月的安全事件里,在公司检测并驱逐之前黑客访问公司多个系统的时间已有 4 天。在上个月发布的安全事件通知的更新中,Lastpass 的首席执行官 Karim Toubba 还表示,该公司的调查(与网络安全公司 Mandiant 合作进行)没有发现威胁行为者访问客户数据或加密密码库的证据。
Toubba 表示:“尽管威胁行为者能够访问开发环境,但我们的系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库”。
虽然攻击者能够通过该方法破坏 Lastpass 开发人员的端点以访问开发环境,但调查发现,攻击者在“使用多因素身份验证成功进行身份验证”后能够冒充开发人员。在分析源代码和生产版本后,该公司也没有发现攻击者试图注入恶意代码的证据。
这很可能是因为只有 Build Release 团队才能将代码从 Development 推送到 Production,即便如此,Toubba 表示该过程还涉及代码审查、测试和验证阶段。此外,他补充说,LastPass 开发环境与 LastPass 的生产环境“物理分离,并且没有直接连接”。
事件发生后,Lastpass 在开发和生产环境中部署了包括额外的端点安全控制和监控在内的增强安全控制,以及额外的威胁情报功能和增强的检测和预防技术。
2022年9月16日 星期五
今日资讯速览:
1、俄罗斯主要电视台又一次播放“反战信息”:遭亲乌黑客劫持
2、伊朗勒索软件组织攻击美国企业,遭美政府溯源真实身份并制裁
3、CISA 在其已知漏洞目录中又增加了 2 个安全漏洞
1、俄罗斯主要电视台又一次播放“反战信息”:遭亲乌黑客劫持
安全内参9月14日消息,上周日(9月11日),亲乌克兰的恶意黑客入侵了俄罗斯电视频道并播放反战信息,还将俄罗斯对乌克兰的攻击与美国纽约遭遇9/11恐怖袭击相提并论。
亲乌黑客团伙“hdr0”的一名成员在Telegram上表示,Channel One Russia、Russia-24及Russia-1等多个俄罗斯电视频道均已受到攻击影响。该团伙没有披露攻击实施细节,也未提及具体有多少观众看到了他们发布的反战信息。
这不是黑客活动分子首次将矛头指向俄罗斯电视频道。今年5月,曾有黑客用反战信息替换了普京总统在莫斯科胜利日阅兵式(纪念二战纳粹德国的战败)上的广播,内容为“你的手上,沾满了成千上万乌克兰人与众多死难儿童的鲜血。”
圣彼得堡的电视节目遭到黑客入侵。所有数字频道开始播放以9/11纽约恐怖袭击开篇的剪辑片段,然后巧妙切换至普京部队在乌克兰各地的可怕攻击镜头。非常震撼。
@igorsushko
周末被黑的电视节目播放了俄罗斯攻击乌克兰城市的镜头,还播放了乌克兰总统泽连斯基及其他全球领导人对于俄对乌开战暴行的谴责。
“世界看到了恐怖主义的面貌,却没有认出它真正的主人。全世界在阿富汗和伊拉克寻找恐怖主义……但恐怖分子的源头却在莫斯科。”
“他们(俄罗斯人)终于看到了真相,无论是否喜欢。”
广电媒体成俄乌冲突期间攻击重点
上周,该团伙还声称入侵了克里米亚一家俄罗斯电视台,并播放了泽连斯基的公开讲话。他们还呼吁当地民众采取行动,为乌克兰军方控制该地区做好准备。
今年8月,克里米亚的俄罗斯电视台同样遭遇类似袭击:黑客开篇提出“克里米亚是乌克兰领土”,随后播放了泽连斯基的演讲。
在对抗的另一端,亲俄派黑客也有类似的动作。今年7月,乌克兰最大广播公司的多个广播电台遭黑客入侵,开始放送泽连斯基住院并生命垂危的假消息。
6月,黑客攻击了乌克兰流媒体服务Oll.tv,用俄罗斯的宣传内容替换掉了乌克兰对威尔士的足球比赛转播。据乌克兰国家公共广播公司总制片人Dmytro Khorkin介绍,今年2月,该公司还遭遇过一次分布式拒绝服务(DDoS)攻击。
他在事后接受采访时表示,“自俄乌战争爆发以来,俄罗斯就一直在攻击我们。”
2、伊朗勒索软件组织攻击美国企业,遭美政府溯源真实身份并制裁
安全内参9月15日消息,美国财政部海外资产控制办公室(OFAC)昨天宣布,对隶属于伊朗伊斯兰革命卫队(IRGC)的10名个人和两家实体实施制裁,理由是他们参与了勒索软件攻击。
美国财政部声称,过去两年以来,这些个人涉嫌参与多起勒索软件攻击,并入侵了美国和全球其他地区组织的网络。
这些恶意活动,还与多家网络厂商分别跟踪的国家资助黑客活动存在交集,具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。
美国财政部表示,“已经有多家网络安全公司发现,这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击,包括勒索软件和网络间谍活动。”
“该团伙针对全球各组织及官员发起广泛攻击,重点针对美国及中东地区的国防、外交和政府工作人员,同时也将矛头指向媒体、能源、商业服务和电信等私营行业。”
三名成员信息被悬赏3000万美元
作为伊朗伊斯兰革命卫队的附属组织,该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC(简称Najee Technology)和Afkar System Yazd公司(简称Afkar System)员工,其中包括:
Mansour Ahmadi:Najee Technology公司法人、董事总经理兼董事会主席
Ahmad Khatibi Aghda:Afkar System公司董事总经理兼董事会成员
其他雇员及同事:Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo"in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh
美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员,理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部(MOIS)开展合作。
一年之后,美国财政部又制裁了Rana Intelligence Computing公司及部分员工,称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。
在此次制裁公告中,美国国务院提供3000万美元,征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击,面临美国司法部的指控。
图:悬赏海报(美国国务院)
美国安全公司提供溯源证据链
昨天,美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告,描述了该威胁团伙的恶意活动并披露了技术细节。
安全公司Secureworks也紧跟发布一份报告,证实了美国财政部的信息。
Secureworks公司表示,由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误,该公司成功将Nemesis Kitten(也称Cobalt Mirage)团伙同伊朗的Najee Technology、Afkar System两家公司,以及名为Secnerd的另一家实体联系了起来。
Secureworks公司反威胁部门(CTU)在今年5月的报告中,也曾提到涉及Nemesis Kitten的类似恶意攻击(与Phosphorus APT团伙存在交集)。
上周,微软表示,Nemesis Kitten(也称DEV-0270)团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙(又名Charming Kitten和APT35)的子部门,为个人或公司获取非法收入。”
微软将该团伙与多家伊朗企业联系了起来,其中包括Najee Technology、Secnerd和Lifeweb。
微软解释道,“该团伙的攻击目标有很大的随机性:他们会首先扫描互联网以查找易受攻击的服务器和设备,因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”
3、CISA 在其已知漏洞目录中又增加了 2 个安全漏洞
Hackernews 编译,转载请注明出处:
美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中添加了2个新漏洞,一个Windows权限提升漏洞,跟踪为CVE-2022-37969,以及一个任意代码执行漏洞,跟踪为CVE-2022-32917,影响iPhone和Mac。
根据具有约束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中漏洞的攻击。
专家还建议私人组织审查目录并解决其基础设施中的漏洞。
CVE-2022-37969漏洞已在微软周二发布的补丁安全更新中得到解决,它是一个Windows通用日志文件系统驱动程序权限提升漏洞。
微软将报告此漏洞归功于DBAPPSecurity的Quan Jin、Mandiant的Genwei Jiang、FLARE OTF、CrowdStrike和Zscaler ThreatLabz。
该公司没有透露利用该漏洞进行攻击的详细信息。
CISA目录中添加的第二个漏洞是一个任意代码执行漏洞,跟踪为CVE-2022-32917。该漏洞是苹果公司今年解决的第八个被积极利用的零日漏洞。
苹果针对该漏洞发布的公告中写道:“应用程序可能能够以内核权限执行任意代码,这个问题已通过改进边界检查得到解决。”
该漏洞影响iPhone 6s及以上版本、iPad Pro(所有型号)、iPad Air 2及以上版本、iPad第5代及以上版本、iPad mini 4及以上版本、iPod touch(第7代、运行macOS Big Sur 11.7和macOS Monterey 12.6的mac)。
黑客可以通过创建特制的应用程序来利用此漏洞,以内核权限执行任意代码。该漏洞由一位匿名研究人员报告,苹果公司证实它知道该漏洞“可能已被积极利用”。
CISA 命令联邦机构在2022年10月5日之前修复这些漏洞。
2022年9月15日 星期四
今日资讯速览:
1、突发!乌方:网络攻击致2400多个俄罗斯网站瘫痪,含俄最大银行、俄媒体…
2、近6年黑客企图入侵韩国政府网络近56万次
3、趋势科技修复已被积极利用的 Apex One 零日漏洞
1、突发!乌方:网络攻击致2400多个俄罗斯网站瘫痪,含俄最大银行、俄媒体…
乌克兰国家通讯社12日报道,乌克兰数字化转型部当天宣布,8月29日至9月11日,乌克兰方面通过网络攻击致使2400多个俄罗斯网站瘫痪,其中包括俄罗斯媒体、俄罗斯最大银行和俄罗斯最大的汽车和零部件在线销售平台等。
目前,俄罗斯方面尚未对相关说法作出回应。
2、近6年黑客企图入侵韩国政府网络近56万次
韩联社首尔9月13日电 韩国国会行政安全委员会所属共同民主党籍议员李海植13日公开的一份资料显示,近6年来黑客企图入侵韩国政府网络系统近56万次。
这份来自行政安全部的统计资料显示,近5年零7个月(2017年到2022年7月)期间,黑客共55.8674万次企图入侵政府网络系统。按年度看,2017年为6.2532万次,2018年为9.498万次,2019年为12.4754万次,2020年为10.881万次,2021年为10.1123万次,整体呈逐年递增趋势。今年1月至7月共6.6475万次。
追踪网络层协议(IP)地址的结果显示,来自中国的攻击试图最多,共有12.7908万次(22.9%),其次是来自美国的11.3086万次(20.2%),韩国的4.7725万次(8.5%),俄罗斯的2.6261万次(4.7%),德国的1.5539万次(2.8%),巴西的1.3591万次(2.4%)等。按攻击类型来看,泄露信息(40.9%)最多,其次是收集信息(16.5%)、篡改网页(15.7%)、获取系统权限(14.2%)等。
李海植表示,试图攻击政府网络的黑客逐年增加意味着国家安全和国民的个人信息受到威胁,有必要从政府层面制定全面的网络安全防范对策。
3、趋势科技修复已被积极利用的 Apex One 零日漏洞
Hackernews 编译,转载请注明出处:
趋势科技(Trend Micro)本周宣布发布安全补丁,以解决其Apex One端点安全产品中的多个漏洞,包括一个零日漏洞,跟踪为CVE-2022-40139(CVSS 3.0评分7.2),该漏洞正在被积极利用。
CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题,代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。
趋势科技发布的公告表示:“我们已经确认,用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞。这可能会允许代理下载未经验证的回滚组件并执行任意代码。攻击者需要能够登录到产品的管理控制台才能利用此漏洞。由于攻击者之前肯定已经窃取了产品管理控制台的身份验证信息,因此仅使用此漏洞是不可能渗透到目标网络的。趋势科技知道使用此漏洞的攻击(CVE-2022-40139)。我们建议尽快更新到最新版本。”
该公司指出,只有有权访问身份验证数据的攻击者才能利用该漏洞。
趋势科技没有分享利用此漏洞进行攻击的详细信息。
以下是安全公司解决的漏洞列表:
| 适用漏洞 | 产品/组件/工具 | CVSS3.0 | 严重性 |
| 评分 | |||
| CVE-2022-40139 | Apex One | 7.2 | 高 |
| CVE-2022-40140 | 5.5 | 中 | |
| CVE-2022-40141 | Apex One SaaS | 5.6 | 中 |
| CVE-2022-40142 | 7.8 | 高 | |
| CVE-2022-40143 | 7.3 | 高 | |
| CVE-2022-40144 | 8.2 | 高 |
2022年9月14日 星期三
今日资讯速览:
1、黑客袭击频发 澳大利亚网络安全保险费飙升80%
2、加州极端高温使Twitter失去了一个关键数据中心
3、苹果发布 iOS 和 macOS 更新以修复积极利用的零日漏洞
1、黑客袭击频发 澳大利亚网络安全保险费飙升80%
据《澳大利亚金融评论报》网站12日报道,在过去的一年里,由于黑客袭击增多和索赔激增,澳大利亚的网络安全保费出现大幅上涨。据全球保险经纪公司达信保险经纪有限公司说,过去3年来,平均每年用于网络安全的保费翻了一番。另一家经纪公司霍南集团指出,保费在过去12个月里上涨了80%,而前两年每年的涨幅均为20%。
报道称,保费涨价的主要原因是:与勒索软件相关的索赔数量和金额有所增加。犯罪分子利用恶意软件禁止人们访问某个组织的计算机系统,直到对方支付赎金。
报道指出,过去几年,澳大利亚的网络攻击数量也急剧增加。
澳大利亚网络安全中心去年收到了逾67500份网络犯罪报告,同比增加约13%。据信网络攻击的真实数量还要多得多。在这其中,约有一半被归为重大事故。
报道称,考虑到公司声誉问题,企业通常不愿公开承认其支付赎金以重新拿回网络控制权。但一项调查发现,80%的受访企业领袖说,如果遭到后果极其严重的网络攻击,他们愿意支付赎金。(编译/杨雪蕾)
2、加州极端高温使Twitter失去了一个关键数据中心
一位公司高管在CNN获得的一份内部备忘录中警告说,加州极端高温使Twitter失去了一个关键数据中心,,其他地方的另一次故障可能导致部分用户服务进入黑暗。
Twitte和所有主要的社交媒体平台一样,依赖于数据中心,这些中心基本上是装满计算机的巨大仓库,包括服务器和存储系统。控制这些中心的温度对于确保计算机不会过热和发生故障至关重要。为了节省冷却成本,一些科技公司越来越多地将其数据中心放在气候较冷的地方;例如,Google于2011年在芬兰开设了一个数据中心,而美达公司自2013年起在瑞典北部有一个数据中心。
9月5日,由于极端天气,Twitter经历了其萨克拉门托(SMF)数据中心区域的损失。这一前所未有的事件导致SMF的物理设备完全关闭。大型科技公司通常有多个数据中心,部分原因是为了确保在一个中心发生故障时他们的服务可以保持在线,这被称为冗余。
根据费尔南德斯周五的备忘录,由于萨克拉门托的故障,Twitter正处于"非冗余状态"。她解释说,Twitter在亚特兰大和波特兰的数据中心仍在运行,但Twitter警告说如果失去了这些剩余的数据中心之一,Twitter可能无法为Twitter的所有用户提供流量。
该备忘录继续禁止对Twitter的产品进行非关键性的更新,直到该公司能够完全恢复其萨克拉门托数据中心服务。所有的生产变更,包括移动平台的部署和发布,都被阻止了,但解决服务连续性或其他紧急运营需求所需的变更除外。
这些限制凸显了Twitter一些最基本系统的明显脆弱性,Twitter前安全主管Peiter Zatko在7月发给立法者和政府机构的一份披露中提出了这个问题。在CNN和《华盛顿邮报》首次报道的他的举报信息中,Zatko警告说,Twitter的数据中心冗余不足,引发了短暂服务中断的风险,甚至是Twitter永远离线的情况。
根据扎特科的举报披露,即使是少数数据中发生临时但重叠的故障,也可能导致服务在数周、数月或永久关闭。Twitter批评了Zatko,并对这些指控进行了辩护,称她对该公司进行了错误描述。
3、苹果发布 iOS 和 macOS 更新以修复积极利用的零日漏洞
Hackernews 编译,转载请注明出处:
苹果发布了新一轮安全更新,以解决iOS和macOS中的多个漏洞,其中包括一个新的零日漏洞,该漏洞曾在野外攻击中使用。
该漏洞被追踪为CVE-2022-32917,根源于内核组件,可能使恶意应用程序能够以内核权限执行任意代码。
“苹果知道有报告称,该漏洞可能被积极利用。”这家iPhone制造商在一份简短声明中承认,并补充说,它通过改进绑定检查解决了该漏洞。
一位匿名研究人员报告了这一漏洞。值得注意的是,CVE-2022-32917也是苹果在不到一个月的时间内修复的第二个与内核相关的零日漏洞。
补丁适用于iOS 15.7、iPadOS 15.7、iOS 16、macOS Big Sur 11.7和macOS Monterey 12.6版本。iOS和iPadOS更新包括iPhone 6s及以上、iPad Pro(所有型号)、iPad Air 2及以上、iPad第5代及以上、iPad mini 4及以上和iPod touch(第 7 代)。
自今年年初以来,苹果已经解决了7个积极利用的零日漏洞和一个公开的零日漏洞:
- CVE-2022-22587 (IOMobileFrameBuffer)- 恶意应用程序可能能够以内核权限执行任意代码
- CVE-2022-22594(WebKit存储)- 网站可能能够跟踪敏感的用户信息(公开但未被积极利用)
- CVE-2022-22620(WebKit)- 处理恶意制作的网页内容可能导致任意代码执行
- CVE-2022-22674(英特尔显卡驱动程序)- 应用程序可能能够读取内核内存
- CVE-2022-22675(AppleAVD)- 应用程序可能能够以内核权限执行任意代码
- CVE-2022-32893(WebKit)- 处理恶意制作的网页内容可能导致任意代码执行
- CVE-2022-32894(内核)- 应用程序可能能够以内核权限执行任意代码
除了CVE-2022-32917之外,苹果还修复了iOS 16中的10个安全漏洞,包括联系人、内核地图、MediaLibrary、Safari和WebKit。iOS 16更新还加入了一种新的锁定模式,旨在使零点击攻击更加困难。
iOS还引入了一种称为快速安全响应的功能,使用户可以在iOS设备上自动安装安全补丁,而无需完整的操作系统更新。
苹果在周一发布的修订支持文件中表示:“在它们成为未来软件更新中其他改进的一部分之前,快速安全响应可以更快地提供重要的安全改进。”
最后,iOS 16还支持Safari网页浏览器中的密钥,这是一种无密码登录机制,允许用户通过Touch ID或Face ID进行身份验证来登录网站和服务。
2022年9月9日 星期五
今日资讯速览:
1、《Minecraft》是黑客用于诱饵最多的一款游戏
2、当你看 iPhone 14 发布会时,数万人正在 YouTube 上被假苹果直播间骗钱
3、谷歌TAG安全团队发现UAC-0098黑客组织吸纳了Conti勒索软件团伙前成员
1、《Minecraft》是黑客用于诱饵最多的一款游戏
根据 Statista 发布的预估报告,全球游戏市场在 2025 年预估会达到 2688 亿美元。这也让游戏行业成为黑客重点攻击的目标,让数十亿玩家处于他们的阴影中。作为最畅销的视频游戏之一,Minecraft 自然成为了不少恶意黑客执行攻击的诱饵。
根据端点安全供应商和消费者 IT 安全软件公司卡巴斯基的一份新报告,Mojang Studios 开发的热门沙盒游戏《我的世界》(Minecraft)在黑客使用最多的游戏。
《我的世界》经常被黑客用来向全球不同用户投放恶意软件。具体来说,该公司表示,从 2021 年 7 月到 2022 年 6 月,共计发现了存在恶意诱饵的 23239 个游戏文件,影响了 131005 名用户。卡巴斯基指出,虽然在手游领域使用《我的世界》作为诱饵的恶意文件数量有所下降,但它仍然排在首位,分发了 2406 个。
卡巴斯基在 Minecraft 之后列出了另外 9 款游戏,这些游戏在分发的相关恶意文件数量方面:FIFA (10,776), Roblox (8,903), Far Cry (8,736), Call of Duty (8,319), Need for Speed (7,569), Grand Theft Auto (7,125), Valorant (5,426), The Sims (5,005)以及CS:GO (4,790).
根据卡巴斯基安全解决方案,根据他们从这些游戏中观察到的文件,下载程序是分发的第一大恶意软件和不需要的软件,在研究期间占案例的 88.56%。这确实是一个巨大的数字,尽管安全公司表示“这种类型的未经请求的软件本身可能并不危险……它可用于将其他威胁加载到设备上”。
使用热门游戏传播的其他类型威胁包括非病毒:AdWare (4.19%)、Trojan (2.99%)、DangerousObject (0.86%)、Trojan-SMS (0.49%)、Trojan-Downloader (0.48%) , not-a-virus:WebToolbar (0.47%), not-a-virus:RiskTool (0.45%), Exploit (0.34%) 和 Trojan-Spy (0.29%)。尽管这类威胁的比例很小,但对于受影响的人来说,捕捉它们可能是一个巨大的问题。例如,特洛伊木马威胁可能会破坏、窃取或对个人数据或网络造成其他有害行为。
2、当你看 iPhone 14 发布会时,数万人正在 YouTube 上被假苹果直播间骗钱
IT之家 9 月 8 日消息,今日凌晨,苹果 iPhone 14 / Pro 及多款配件在新品发布会上亮相。正当数码爱好者们的目光集中到苹果的直播间时,却有数万人被其他假的苹果直播间忽悠了过去。
据 The Verge 报道,今日凌晨,YouTube 上有人在直播对苹果 CEO 蒂姆・库克的旧采访,该采访似乎被用来吸引人们参与加密货币骗局。
IT之家了解到,报道称,这些直播通过在标题和描述中使用一系列苹果关键字来引起关注,比如“苹果发布会直播,库克:2022 年的苹果和元宇宙”。但是当你真正打开它时,直播间却充满了奇怪的信息,并链接到一个看起来很阴暗的加密货币网站。
在直播间中,骗子用发布会等字样覆盖了 CNN 采访视频的标志,把它伪装成了一个实时画面。也就是说,当我们正在看库克介绍 iPhone 14 时,可能另一个人正在假直播间看库克的早年采访。
The Verge 报道称,YouTube 目前已经删除了这些直播间。
3、谷歌TAG安全团队发现UAC-0098黑客组织吸纳了Conti勒索软件团伙前成员
谷歌威胁分析小组(TAG)在周三的一篇文章中提到 —— 某个吸纳了前 Conti 勒索软件团伙的网络犯罪组织,正针对乌克兰政府和欧洲非政府组织发起攻击。明面上,俄乌冲突已经持续了半年多。但在幕后,包括黑客攻击和电子战在内的网络活动,也一直在暗中展开较量。
文件分享网站上的 UAC-0098 有效载荷(图自:Google TAG)
最新消息是,TAG 的 Pierre-Marc Bureau 指出 —— 追求利润的网络犯罪组织,也在该领域变得愈加活跃。
2022 年 4-8 月,TAG 一直在追踪涉乌网络行动。有线索表明它们与得到俄方支持的攻击者密切相关。
其中之一,已被乌克兰国家计算机紧急响应小组(CERT)指定为 UAC-0098 。
托管的被盗线索
与此同时,TAG 又将之与肆虐全球的 Conti 勒索软件团伙联系了起来 —— 今年 5 月,该组织曾攻击瘫痪了哥斯达黎加的政府机构。
基于多项分析评估指标,TAG 认定 UAC-0098 的部分团伙、也是 Conti 网络犯罪组织的前成员,理由是他们将类似的技术运用到了针对乌克兰的目标上。
此前该组织有使用名为 IcedID 的网银木马来开展勒索软件攻击。但 Google 安全研究人员称,其现又转向了“既有政治动机、也受利益趋势”的攻击活动。
钓鱼邮件示例(翻译自乌克兰语)
TAG 分析,该组织成员正利用其专业知识来充当初始访问代理 —— 黑客先是破坏了计算机系统,然后将访问权限出售给对特定目标感兴趣的其它攻击参与者。
在最近的一轮活动中,UAC-0098 向乌克兰酒店业的一些组织发去了网络钓鱼电子邮件,并且假借了网警的身份。
在另一个案例中,该组织还通过一家被黑的印度酒店的邮件地址,向意大利的一个人道主义非政府组织发起了钓鱼攻击。
其它活动还涉嫌冒充星链互联网卫星服务的代表,以引诱受害者安装所谓的必要联网软件。
PowerShell 脚本示例
最后,这家与 Conti 有染的黑客组织,还曾于 5 月下旬的首次公开后不久,就利用了 Windows 操作系统中的 Follina 漏洞。
不过 TAG 表示,在本次和其它攻击活动中,他们尚不清楚 UAC-0098 在初始攻击得逞后还采取了哪些行动。
当然,此类黑客攻击也并不总是能笑到最后。比如在俄乌冲突爆发初期,高调宣布挺俄的该组织,就被某匿名个人泄露了它们内部一年多的聊天记录。
2022年9月8日 星期四
今日资讯速览:
1、日媒:黑客组织KillNet攻击日政府网站第二天,东京和大阪地铁网站也瘫了
2、IHG酒店集团承认遭网络攻击 预订等系统出现中断
3、国际刑警组织在亚洲捣毁性勒索团伙
1、日媒:黑客组织KillNet攻击日政府网站第二天,东京和大阪地铁网站也瘫了
在日媒发现“亲俄罗斯”的黑客组织KillNet 6日宣布对日本政府网站实施网络攻击后,共同社最新消息称,东京地铁公司和大阪地铁公司的网站也于当地时间7日晚无法访问,“这似乎是日本遭受网络攻击的第二天”。
共同社报道截图
共同社称,黑客组织Killnet7日18时30分左右在即时通讯应用Telegram上写道,它已经向日本“反俄运动”宣战,还上传了一段视频;大约在当天19时过后不久,该组织再次发帖称将瘫痪东京的地铁网络。为此报道称,这些攻击可能正是由Killnet发起的。
报道还称,最近的一次中断似乎是由另一次DDoS攻击引起的,在此次攻击中,黑客在短时间内从多个来源发送大量数据,使网络不堪重负。
此前一天,日本广播协会(NHK)等日媒7日报道称,黑客组织KillNet6日下午在社交媒体上宣布,对日本政府网站实施网络攻击,并称该组织“走在与日本军国主义对抗的道路上”。随后,由日本数字厅管理的行政信息网站“e-Gov”等多个网站陷入不稳定状态。对于KillNet声称发起网络攻击,日本内阁官房长官松野博一7日表示,日本政府部门网站的网络“中断的原因,包括它(与Killnet)的联系,正在确认过程中”,此外,他还表示,这些网站已恢复正常运行,有关数据泄露问题暂无法证实。
2、IHG酒店集团承认遭网络攻击 预订等系统出现中断
Holiday Inn 所有者洲际酒店集团 (IHG) 已确认该公司受到网络攻击。拥有全球最大连锁酒店的 IHG 在近日发布的声明中,承认正在调查一些技术系统的“未经授权的访问”。
这家总部位于英国的集团表示自周一以来,其“预订渠道和其他应用程序”已被中断。该集团旗下的 Holiday Inn、Crowne Plaza 和 Regent hotels 均使用这些系统。IHG 表示该公司正在努力尽快完全恢复所有系统,
IHG 确认正在评估事件的性质、程度和影响,并已实施其应对计划,包括任命外部专家调查违规行为。IHG 也已经向监管机构报告了本次攻击。
在声明中,IHG 集团表示:“作为应对持续服务中断的一部分,我们将支持酒店业主和运营商。集团旗下酒店仍然能够运营并直接接受预订”。IHG 在声明中并未提及是否有消费者数据被窃。
3、国际刑警组织在亚洲捣毁性勒索团伙
Hackernews 编译,转载请注明出处:
国际刑警组织宣布逮捕了12名涉嫌是跨国性勒索团伙核心成员的人。由于国际刑警组织网络犯罪部门与新加坡和香港警方进行了联合调查,逮捕行动于7月和8月进行。
“在#YouMayBeNext的旗帜下,在75个国际刑警组织成员国和21个公共或私人实体的支持下,这场运动特别关注性勒索、勒索软件和分布式拒绝服务(DDoS)攻击。”国际刑警发布的声明写道。“在国际刑警组织的支持下,国际警察行动发现并捣毁了一个跨国性勒索团伙,该团伙设法从受害者身上榨取了至少47000美元。到目前为止,调查已追踪发现34起案件,并追溯到该犯罪集团。”
性勒索是一种犯罪行为,是一种性剥削形式,涉及通过威胁或操纵胁迫个人制作色情材料并通过互联网发送。
嫌疑人通过在线性爱和约会平台联系潜在受害者,然后诱骗他们下载恶意移动应用程序进行“裸聊”。
勒索团伙使用该应用程序窃取受害者的电话联系列表,然后通过威胁与亲友分享他们的裸体视频来勒索受害者。
这个性勒索团伙的受害者大多居住在香港和新加坡。
国际刑警组织还警告说,近年来性勒索报告急剧增加,而新冠肺炎疫情加剧了这种增长。
该机构强调了这种犯罪的风险,只需点击未经验证的链接或向某人发送私密照片或视频,就可能使个人面临性勒索威胁。
2021年9月,FBI互联网犯罪投诉中心 (IC3)警告称, 自2021年初以来,性勒索投诉显着增加 。
据当局称,截至2021年7月末,这些攻击造成了800多万美元的经济损失。
截至2021年7月31日,FBI收到16000多起性勒索投诉,大多数受害者的年龄在20至39岁之间。
以下是FBI发布的避免勒索企图的提示列表:
- 永远不要向任何人发送自己的裸露图片,无论他们是谁。
- 不要打开不认识的人的附件。链接可以使用恶意软件秘密入侵你的电子设备,以访问你的私人数据、照片和联系人,或者在你不知情的情况下控制网络摄像头和麦克风。
- 不使用时关闭电子设备和网络摄像头。
2022年9月7日 星期三
今日资讯速览:
1、洛杉矶联合学区遭勒索软件攻击 多项服务出现中断
2、开源密码管理器Bitwarden融资1亿美元
3、伊朗当局计划使用面部识别技术来打击妇女着装问题
1、洛杉矶联合学区遭勒索软件攻击 多项服务出现中断
洛杉矶联合学区 (LAUSD) 承认遭到勒索软件攻击,导致持续的技术中断。LAUSD 是仅次于纽约市教育部的美国第二大学区。LAUSD 为 1000 多所学校的 60 多万名从幼儿园到 12 年级的学生提供服务,并雇用了超过 26000 名教师。
本周一,该学区承认在上周末遭到网络攻击,随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”,不过该学区表示正着手恢复受影响的服务。LAUSD 表示,预计技术问题不会影响交通、食品或课后活动,但指出“业务运营可能会延迟或修改”。
该学区警告说,持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内 Northridge Academy High 学校的一篇帖子证实,教师和学生可能无法访问 Google Drive 和 Schoology,这是一个 K- 12 学习管理系统,直至另行通知。
LAUSD 表示,根据对关键业务系统的初步分析,“员工医疗保健和工资单没有受到影响,网络事件也没有影响学校的安全和应急机制”。然而,目前尚不清楚攻击期间是否有任何数据被盗,LAUSD 尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件,旨在进一步勒索受害者,威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。
2、开源密码管理器Bitwarden融资1亿美元
面向企业和消费者的开源密码管理器Bitwarden在一轮融资中筹集了1亿美元,该轮融资由PSG牵头,Battery Ventures跟投。总部位于加州圣巴巴拉的Bitwarden最初成立于2015年,这一领域的其他成员包括许多令人耳熟能详的现有公司,包括1Password(最近在6.2亿美元的融资后达到68亿美元的估值)和Lastpass(最近在落入私募股权公司手中两年后再次作为独立公司被剥离出来)。
简而言之,Bitwarden及其同类产品使人们更容易自动生成安全密码,并将其所有独特的密码和敏感信息(如信用卡数据)存储在一个安全的数字保险库中,使他们不必在其所有在线账户中重复使用同一个不安全的密码。
当然,Bitwarden最大的区别在于它是建立在一个开源的代码库之上,这对具有安全意识的个人和企业来说是件好事--他们可以完全检查平台的内部工作。此外,人们可以对代码库做出贡献,加快新功能的开发。
在基本的免费服务之上,Bitwarden还提供了一系列付费的高级功能和服务,包括单点登录(SSO)集成和身份管理等高级企业功能。
值得注意的是,今天的"少数人增长投资"代表了Bitwarden在其七年历史上的第一次实质性外部融资,它在2019年筹集了一个未披露的小型A轮融资。其最新的现金注入表明,在这几年中,世界已经发生了变化。远程工作的兴起,人们越来越多地将个人和工作账户连接在同一设备上,这意味着同一密码被用于不同的服务。而这种糟糕的密码和凭证卫生使企业面临巨大风险。
此外,管理领域日益激烈的竞争和投资意味着Bitwarden不能安于现状--它需要扩张,而这正是它的资金将被用于此。事实上,Bitwarden已经确认计划将其产品扩展到几个统一的安全和隐私垂直领域,包括私密信息管理--这是1Password去年通过收购SecretHub扩展到的。
Bitwarden首席执行官Michael CranDELL在一份新闻稿中指出:"这项投资的时机非常理想,因为我们正在向开发者秘密、无密码技术和认证领域拓展。最重要的是,我们的目标是继续为所有Bitwarden用户提供长期的服务。"
3、伊朗当局计划使用面部识别技术来打击妇女着装问题
伊朗政府正计划在公共交通工具上使用面部识别技术,以识别那些不遵守严格戴头巾新法律的妇女,因为该政权继续对妇女的着装偏好进行越来越严厉的打击。伊朗促进美德和防止罪恶总部的秘书穆罕默德-萨利赫-哈希米-戈尔帕耶加尼在最近的一次采访中宣布,在该国强硬派总统易卜拉欣-拉伊西签署关于限制妇女着装的新法令后,政府正计划在公共场所使用监控技术对付妇女。
该法令于8月15日签署,在7月12日全国"头巾和贞洁日"之后一个月,该节日引发了全国范围内的抗议,妇女们在社交媒体上发布了她们在街头、公共汽车和火车上露头的视频。最近几周,伊朗当局以一连串的逮捕、拘留和在电视上强迫招供作为回应。
头巾是穆斯林妇女戴的一种头饰,在1979年伊朗革命后成为强制性规定。然而,在此后的几十年里,妇女们已经突破了规定的着装准则的限制。一些因违反新法令而被捕的妇女在网上发布了她们因没有正确佩戴头巾而在公共交通工具上受到骚扰的视频。其中一名28岁的Sepideh Rashno在社交媒体上流传了一段视频,她因"着装不当"而被一名同伴责骂,然后被代表Rashno的旁观者逼下了车,她因此被捕。据人权组织Hrana称,拉什诺被捕后遭到殴打,随后被迫在电视上向骚扰她的乘客道歉。
拉什诺不是第一个因在互联网上走红而遭受暴力镇压的人。2014年,六名伊朗人三男三女被判处一年监禁和91下鞭刑,因为他们在德黑兰随着法瑞尔-威廉姆斯的歌曲《Happy》跳舞的视频有超过15万次观看。自2015年以来,伊朗政府一直在逐步推行生物识别身份证,其中包括一个存储虹膜扫描、指纹和面部图像等数据的芯片。研究人员担心,这些信息现在将与面部识别技术一起用于识别违反规定着装的人,包括在街头和网络空间。
2022年9月6日 星期二
今日资讯速览:
1、西北工业大学遭美国NSA网络攻击事件调查报告(之一)
2、美国警方被曝利用Fog Reveal收集的应用数据展开大规模监视
3、谷歌发布紧急 Chrome 更新以修复新的零日漏洞
1、西北工业大学遭美国NSA网络攻击事件调查报告(之一)
2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马样本,西安警方已对此正式立案调查。
国家计算机病毒应急处理中心和360公司联合组成技术团队(以下简称“技术团队”),全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,后文简称TAO)。
一、攻击事件概貌
本次调查发现,在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大网络攻击和范围。经技术分析与溯源,技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术,还原了攻击过程和被窃取的文件,掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。
二、攻击事件分析
在针对西北工业大学的网络攻击中,TAO使用了40余种不同的NSA专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。通过取证分析,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件以及其他与攻击活动相关的主要细节。具体分析情况如下:
(一)相关网络攻击基础设施
为掩护其攻击行动,TAO在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN木马程序(详见有关研究报告),控制了大批跳板机。
TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。
这些跳板机的功能仅限于指令中转,即:将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境(美国国内电信运营商)控制跳板机的四个IP地址,分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时,为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了美国Register公司的匿名保护服务,对相关域名、证书以及注册人等可溯源信息进行匿名化处理,无法通过公开渠道进行查询。
技术团队通过威胁情报数据关联分析,发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批服务器。这两家公司分别为杰克•史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。同时,技术团队还发现,TAO基础设施技术处(MIT)工作人员使用“阿曼达•拉米雷斯(Amanda Ramirez)”的名字匿名购买域名和一份通用的SSL证书(ID:e42d3bea0a16111e67ef79f9cc2*****)。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”(Foxacid)上,对中国的大量网络目标开展攻击。特别是,TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。
(二)相关网络攻击武器
TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。例如,对西北工业大学实施网络攻击中使用的网络武器中,仅后门工具“狡诈异端犯”(NSA命名)就有14个不同版本。技术团队将此次攻击活动中TAO所使用工具类别分为四大类,具体包括:
1、漏洞攻击突破类武器
TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。此类武器共有3种:
①“剃须刀”
此武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击,攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码,直接获取对目标主机的完整控制权。此武器用于对日本、韩国等国家跳板机的攻击,所控制跳板机被用于对西北工业大学的网络攻击。
②“孤岛”
此武器同样可针对开放了指定RPC服务的Solaris系统实施远程溢出攻击,直接获取对目标主机的完整控制权。与“剃须刀”的不同之处在于此工具不具备自主探测目标服务开放情况的能力,需由使用者手动配置目标及相关参数。NSA使用此武器攻击控制了西北工业大学的边界服务器。
③“酸狐狸”武器平台
此武器平台部署在哥伦比亚,可结合“二次约会”中间人攻击武器使用,可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击,获取目标系统的控制权(详见:国家计算机病毒应急处理中心《美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告》)。TAO主要使用该武器平台对西北工业大学办公内网主机进行入侵。
2、持久化控制类武器
TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有6种:
①“二次约会”
此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。TAO在西北工业大学边界设备上安置该武器,劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。
②“NOPEN”
此武器是一种支持多种操作系统和不同体系架构的远控木马,可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力(详见:国家计算机病毒应急处理中心《“NOPEN”远控木马分析报告》)。TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。
③“怒火喷射”
此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马,可根据目标系统环境定制化生成不同类型的木马服务端,服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。
④“狡诈异端犯”
此武器是一款轻量级的后门植入工具,运行后即自删除,具备权限提升能力,持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留,以便在合适时机建立加密管道上传NOPEN木马,保障对西北工业大学信息网络的长期控制。
⑤“坚忍外科医生”
此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程,避免其被监控发现。技术分析发现,TAO在对西北工业大学的网络攻击中,累计使用了该武器的12个不同版本。
3、嗅探窃密类武器
TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种:
①“饮茶”
此武器可长期驻留在32位或64位的Solaris系统中,通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等,压缩加密存储后供NOPEN木马下载。
②“敌后行动”系列武器
此系列武器是专门针对电信运营商特定业务系统使用的工具,根据被控业务设备的不同类型,“敌后行动”会与不同的解析工具配合使用。TAO在对西北工业大学的网络攻击中使用了“魔法学校”、“小丑食物”和“诅咒之火”等3类针对电信运营商的攻击窃密工具。
4、隐蔽消痕类武器
TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。现已发现1种此类武器:
“吐司面包” ,此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件,隐藏其恶意行为。TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。
三、攻击溯源
技术团队结合上述技术分析结果和溯源调查情况,初步判断对西北工业大学实施网络攻击行动的是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是:
1、美国马里兰州米德堡的NSA总部;
2、美国夏威夷瓦胡岛的NSA夏威夷密码中心(NSAH);
3、美国佐治亚州戈登堡的NSA佐治亚密码中心(NSAG);
4、美国德克萨斯州圣安东尼奥的NSA德克萨斯密码中心(NSAT);
5、美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心(NSAC);
6、德国达姆施塔特美军基地的NSA欧洲密码中心(NSAE)。
TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,其内设机构包括:
第一处:远程操作中心(ROC,代号S321),主要负责操作武器平台和工具进入并控制目标系统或网络。
第二处:先进/接入网络技术处(ANT,代号S322),负责研究相关硬件技术,为TAO网络攻击行动提供硬件相关技术和武器装备支持。
第三处:数据网络技术处(DNT,代号S323),负责研发复杂的计算机软件工具,为TAO操作人员执行网络攻击任务提供支撑。
第四处:电信网络技术处(TNT,代号S324),负责研究电信相关技术,为TAO操作人员隐蔽渗透电信网络提供支撑。
第五处:任务基础设施技术处(MIT,代号S325),负责开发与建立网络基础设施和安全监控平台,用于构建攻击行动网络环境与匿名网络。
第六处:接入行动处(ATO,代号S326),负责通过供应链,对拟送达目标的产品进行后门安装。
第七处:需求与定位处(R&T,代号S327),接收各相关单位的任务,确定侦察目标,分析评估情报价值。
S32P:项目计划整合处(PPI,代号S32P),负责总体规划与项目管理。
NWT:网络战小组(NWT),负责与网络作战小队联络。
美国国家安全局(NSA)针对西北工业大学的攻击行动代号为“阻击XXXX”(shotXXXX)。该行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用攻击资源;由R&T(S327)负责确定攻击行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑;由ROC(S321)负责组织开展攻击侦察行动。由此可见,直接参与指挥与行动的主要包括TAO负责人,S321和S325单位。
NSA对西北工业大学攻击窃密期间的TAO负责人是罗伯特•乔伊斯(Robert Edward Joyce)。此人于1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰斯•霍普金斯大学,获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任美国白宫国务安全顾问,后回到NSA担任美国国家安全局局长网络安全战略高级顾问,现担任NSA网络安全主管。
四、总结
本次报告基于国家计算机病毒应急处理中心与360公司联合技术团队的分析成果,揭露了美国NSA长期以来针对包括西北工业大学在内的中国信息网络用户和重要单位开展网络间谍活动的真相。后续技术团队还将陆续公布相关事件调查的更多技术细节。
2、美国警方被曝利用Fog Reveal收集的应用数据展开大规模监视
Apple Insider 报道称:全美各地的警察,一直在使用从数千款应用程序中挑选出来的数据对嫌疑人展开监视,且通常未事先取得搜查令。据悉,这款名叫“Fog Reveal”的工具,汇集了来自星巴克和 Waze 等应用程序的广告识别码。它由 Fog Data Science LLC 出售,可根据个人的地理位置信息和兴趣爱好而投放有针对性的广告。
(via Apple Insider)
然而作为一款允许警方使用应用程序数据展开大规模监视的应用程序,法庭记录中却鲜有提及美国各级政府执法机构一直在使用 Fog Reveal 。
辩护律师称,这使得他们在涉及该工具的案件审理过程中,难以为当事人提供充分且合理的辩护。
【背景资料】
Fog Data Science 由美国前总统乔治·W·布什领导下国土安全部的两位前高级官员组成。它购买了来自成千上万款应用程序的原始地理位置数据,涉及大约 2.5 亿台设备。
然后该公司将收集来的数据聚合到了一个包含数十亿数据点的可搜索数据库中,并以每年 7500 美元的订阅形式,向执法机构提供对该数据库的访问权限。
即便如此,该公司还是声称这些数据是匿名的、且无法回溯到特定的设备或持有者。
然而 Fog Data Science 经常与数据经纪方 Cenntel, Inc. 合作,同时为执法机构提供服务。
结合双方掌握的资料,其数据库能够进一步揭示人们的生活线索,比如家庭住址和其它有助于追溯到个人身份的蛛丝马迹。
对于警方来说,他们可以利用这些数据,调查特定时段和区域的地理围栏、甚至检索特定设备的广告身份码。
官方宣称调查人员可将位置输入到 Fog Reveal 工具中,以查看在犯罪现场附近发现了哪些设备 ID、并可往前追溯 180 天。
然而被曝光的 Fog 代表的电子邮件显示,该工具其实能够一路追溯到 2017 年 6 月的数据。
在犯罪现场调查之外,Fog 还在营销材料中吹嘘其能够为警方提供“预测分析”—— 声称可预测未来潜在的犯罪热点区域。
更让人感到不寒而栗的是,该公司声称能够通过可追踪的智能手机数据,提供有关人们日常活动的实时数据。
电子前沿基金会(EFF)对这种行为发起了炮轰,谴责这种大规模监视违反了美国宪法第四修正案。
在 Carpenter v. United States 案中,美国最高法院基于第四修正案裁定 —— 在从电话公司获取历史位置数据之前,执法机构必须先取得搜查令。
追溯至此,Fog 还是辩称其工具使用了人们‘自愿放弃’的数据 —— 即使应用程序经常会在未经用户同意的情况下展开数据收集,且应用追踪透明度等政策也被粗鲁地视作广告同意。
争议焦点还涉及几经转手的数据,不仅用户本人、甚至某些应用程序开发商,都不知道他们的数据被卖给了执法部门。
星巴克发言人 Megan Adams 表示,该公司并不知晓其广告数据竟被以这种方式使用。
星巴克未批准 Fog Data Science LLC 以这种方式使用我们的应用程序生成的广告 ID 数据。在迄今为止的审查中,我们与这家公司没有任何往来。
Waze 发言人的表述,也与星巴克大致相同 ——“我们从未以任何身份与 Fog Data Science 建立过合作关系和共享信息”。
最后,对于 iPhone 用户来说,可尝试通过广告拦截器、并在“设置 → 隐私与安全 → 追踪”中关掉位置信息服务,但最终还得寄希望于各级政府和立法机构制定明确的隐私保护政策。
3、谷歌发布紧急 Chrome 更新以修复新的零日漏洞
Hackernews 编译,转载请注明出处:
9月2日,谷歌发布了紧急补丁,以修复Chrome浏览器中的一个安全漏洞,据称该漏洞正在被广泛利用。
该漏洞被跟踪为CVE-2022-3075,涉及Mojo中数据验证不足的情况,Mojo指的是为进程间通信 (IPC) 提供与平台无关机制的运行库的集合。
这家互联网巨头表示:“谷歌知道有报道称CVE-2022-3075在野外存在漏洞,但没有深入研究有关攻击性质的更多细节,以防止其他黑客利用该漏洞。”
这是自今年年初以来谷歌解决的第6个Chrome零日漏洞:
- CVE-2022-0609 – 动画中的Use-after-free漏洞
- CVE-2022-1096 – V8中的类型混淆
- CVE-2022-1364 – V8中的类型混淆
- CVE-2022-2294 – WebRTC中的堆缓冲区溢出
- CVE-2022-2856 – Intents中不受信任的输入验证不足
建议用户升级到适用于Windows、macOS和Linux的版本105.0.5195.102,以缓解潜在威胁。还建议基于Chrome浏览器(如Microsoft Edge、Brave、Opera和Vivaldi)的用户在修复应用程序时利用该补丁。
2022年9月5日 星期一
今日资讯速览:
1、全文来了!《中华人民共和国反电信网络诈骗法》
2、新发现的浏览器漏洞允许覆盖剪贴板内容 可能严重影响加密货币安全
3、俄罗斯叫车服务Yandex Taxi遭恶意下单 导致交通严重拥堵
1、全文来了!《中华人民共和国反电信网络诈骗法》
2、新发现的浏览器漏洞允许覆盖剪贴板内容 可能严重影响加密货币安全
3、俄罗斯叫车服务Yandex Taxi遭恶意下单 导致交通严重拥堵
2022年9月2日 星期五
今日资讯速览:
1、国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》
2、黑客入侵意大利石油公司 ENI 的网络
3、恶意应用伪装成桌面端Google Translate来挖矿
1、国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》
为了指导和帮助数据处理者规范、有序申报数据出境安全评估,国家互联网信息办公室编制了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。
数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》规定,按照申报指南申报数据出境安全评估。
2、黑客入侵意大利石油公司 ENI 的网络
Hackernews 编译,转载请注明出处:
意大利石油巨头埃尼公司(Eni)披露了一个安全漏洞,黑客获得了访问其网络的权限,但据该公司称,入侵造成的后果很小,因为它很快就被发现了。
该公司向意大利当局报告了这一事件,意大利当局展开调查,以确定攻击的范围。
Bloomberg News周三首次报道了此次攻击的消息,推测埃尼集团似乎遭到勒索软件的攻击。
“埃尼集团证实,内部保护系统最近几天检测到对公司网络未经授权的访问。”公司发言人在回应Bloomberg News的询问时表示。
如果没有有关攻击的技术细节,目前无法确定攻击者是如何入侵公司的和他们的动机是什么,并将入侵归因于特定的黑客。
知情人士称,埃尼似乎受到了勒索软件攻击。勒索软件是一种恶意软件,它会锁定计算机并阻止对文件的访问以代替付款。目前尚不清楚谁会对这次违规行为负责。
意大利能源部门似乎受到攻击,上周末,意大利能源机构Gestore dei Servizi Energetici SpA遭到网络攻击。GSE是经营意大利电力市场的政府机构。
GSE的网站仍处于关闭状态,知情人士告诉Bloomberg News,该公司的基础设施遭到破坏,影响了该机构的运营。
破坏公用事业和其他关键基础设施运营商的一个主要风险是,他们的IT系统遭到黑客攻击可能会导致向终端用户提供电力、水和其他服务的操作系统中断,即使黑客从未真正接触过这些敏感设备。去年,总部位于乔治亚州的Alpharetta Colonial Pipeline Co.,在勒索软件攻击使其IT系统瘫痪后,关闭了美国最大的燃料管道。今年2月,总部位于德国汉堡的石油贸易商Mabanaft表示,它是网络攻击的受害者,该攻击中断了德国各地的燃油供应。
3、恶意应用伪装成桌面端Google Translate来挖矿
尽管 Google Translate 从未推出过桌面端版本,但是用户搜索就可能会在结果页面看到一些免费软件网站提供下载。伪装成 Google Translate 和其他 Google 服务的应用程序往往在很大程度上存在恶意,其中最广泛的是用于加密挖矿。
本周,IT 安全组织 Checkpoint Research (CRP) 发布了一份报告,称其发现了隐藏在看起来合法的应用程序(包括Google翻译)背后的加密挖掘恶意软件活动。这些程序在执行其广告功能的同时下载恶意软件以获得用户的信任。
研究人员在 Softpedia 和 Uptodown 等流行的软件下载网站上发现了来自土耳其开发商 Nitrokod 的恶意软件,这表明它是安全的。欺诈程序包括桌面版本的Google翻译、Yandex 翻译、微软翻译、YouTube Music、mp3 下载器和自动关闭应用程序。
下载任何这些程序的用户应尽快卸载它们,并改用官方的基于 Web 或移动版本的版本。这些服务都没有合法的桌面应用程序,这使得 Nitrokod 的版本似乎是唯一在搜索结果中排名靠前的版本。
Nitrokod 将恶意软件设计为在安装后看起来是合法的。例如,该组织的Google翻译应用程序的外观和工作方式与官方网页相似。那是因为 Nitrokod 通过 Chromium Embedded Framework 转换 Google 的页面来构建它。此外,这些应用程序不会立即开始出现可疑行为。相反,他们会等到用户在四天内至少重置系统四次,这可能需要数周时间,具体取决于用户。 Checkpoint 表示这有助于他们避免沙箱检测。
之后,恶意软件会删除其安装痕迹,使用户更难确定可疑活动的来源。 Nitrokod 的软件还会检查是否存在安全软件。如果它检测到它在虚拟机上运行的迹象,它也不会启动挖掘程序——这是对恶意软件的一种预防措施。在所有这些步骤之后,恶意软件开始使用受害者的计算机来挖掘加密货币。
2022年9月1日 星期四
今日资讯速览:
1、俄罗斯流媒体巨头遭恶意攻击,210万中国用户数据泄露
2、因未告知消费者出售其个人信息,丝芙兰被罚120万美元
3、全球著名图书馆服务公司 Baker & Taylor 遭勒索软件攻击
1、俄罗斯流媒体巨头遭恶意攻击,210万中国用户数据泄露
安全内参8月30日消息,俄罗斯流媒体巨头START 在上周日表示,其客户的个人信息在一次网络攻击中被泄露。
该公司没有透露具体有多少用户受到此次事件的影响,但根据俄罗斯Telegram频道“Information Leaks”的信息(该频道率先公布了此次事件,并附上一张据称为泄露信息的截图),泄露数据库总计72 GB大小,包含4400万客户的数据(据后续分析,该数据内包含745万个唯一电子邮箱,这可能更接近受影响用户的真实数量)。
此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期,以及最后一次登录记录。
START共在超过174个国家销售电影和电视节目,此次事件也让其成为俄乌冲突爆发后,遭受数据泄露和黑客攻击影响的众多俄罗斯企业之一。
据称,这起数据泄露事件已经影响到全球观众,包括俄罗斯本土的2460万用户、哈萨克斯坦的230万用户、中国的210万用户及乌克兰的170万用户。
恶意黑客宣称,这些数据来自一个暴露在互联网上的MongoDB数据库,其中包含去年9月22日之前在START网站上注册用户的详细信息。
START公司表示,已经修复了漏洞并设置了数据库访问权限,事件声明中写道,“泄露的数据对恶意黑客而言意义不大,其中最重要的内容也只有用户的电子邮件和电话号码。”
据START介绍,该数据库中不存在信用卡号等重要的财务信息。由于密码已经加密,该公司也未要求用户更改原有密码。
START公司数据科学主管Ilya Braslavskiy表示,只有少部分用户(不到2%)在网站注册时填写了真实姓名。他在Telegram上写道,“本人姓名并非必填字段,所以大多数用户没必要提交。”
目前尚不清楚此次攻击的幕后黑手和行为动机,也没有黑客团伙宣称对这起事件负责。
广电媒体成俄乌冲突期间攻击重点
今年7月初,来自乌克兰IT军的恶意黑客利用分布式拒绝服务(DDoS)攻击影响了约80家俄罗斯在线电影网站,泛滥的垃圾流量导致这些线上观影平台无法正常访问。
今年3月,匿名恶意黑客还曾入侵俄罗斯流媒体服务Wink和Ivi,并播放了俄乌战场上拍摄的真实画面。
俄乌战争期间,乌克兰方面的流媒体服务也同样饱受俄方网络攻击的摧残。今年6月,亲俄派黑客就攻击了乌克兰流媒体服务Oll.tv,并把足球赛转播替换成了俄文宣传影像。
Megogo、Sweet.tv等其他重要流媒体服务商也大多表示受到DDoS攻击,但并未受到重大影响。
2、因未告知消费者出售其个人信息,丝芙兰被罚120万美元
近日,美国加利福尼亚州(下称“加州”)总检察长罗伯·邦塔(Rob Bonta)在发布会上表示,著名化妆品品牌丝芙兰(SEPHORA)就其侵犯消费者隐私一事与加州居民达成和解协议,决定支付120万美元的罚款,并在隐私政策中披露其向第三方出售消费者个人信息的事实,为消费者提供个人信息出售的退出机制。
公开资料显示,丝芙兰是1969年创立于法国里摩日的个人护理和美容产品跨国零售商,旗下拥有近340个品牌,在全球开设超过1000家门店,途径遍布巴黎、纽约、莫斯科等超过28个国家的国际化都市。
据了解,去年6月,邦塔所在部门针对各大在线零售商开展执法检查,其后发现丝芙兰存在多项违规问题。首先,丝芙兰未能在隐私政策中向消费者披露其向第三方出售个人信息的事实,允许不具备“服务提供商”资格的第三方广告和分析提供商通过cookies和其他追踪技术追踪丝芙兰官网和应用程序上的消费者行为。
其次,丝芙兰未能向消费者提供退出个人信息出售的相关渠道,未以显著的方式提供“不要出售我的个人信息”的选项。此外,Mozilla去年推出的全球隐私控制(Global Privacy Control,GPC)功能一旦启用,浏览器将通知每个网站不要出售或共享用户个人信息——但丝芙兰对收到的这类信号视而不见,拒绝回应用户不愿出售个人信息的诉求。
诉状显示,邦塔部门在去年6月通知丝芙兰其可能违反了《加州消费者隐私法案》(CCPA)的相关条款,要求其在30天内采取补救措施。然而,丝芙兰并未采取任何行动,邦塔及所在部门以加州居民的名义将丝芙兰告上加州高级法院。
近日,邦塔在一场新闻发布会上披露了该事件的最新进展。丝芙兰同意以支付120万美元的罚款为代价与加州居民达成和解协议,并作出四项承诺:
在隐私政策中向消费者披露其向第三方出售个人信息的事实;为消费者提供包括GPC功能在内的退出个人信息出售的有效渠道;与丝芙兰合作的服务提供商需符合法律的相关要求;向司法部长提供有关其出售个人信息、其与服务提供商的关系状态以及其遵守GPC要求等情况的报告。
“你生活中一些最私密的细节正在被收集。一家公司掌握的关于你的数据越多,他们对你的影响力就越大,他们就越有可能让你购买他们的商品和服务。”邦塔表示,“我希望这份和解协议能向未遵守CCPA的企业发出一个强烈的信号——我的办公室在看着,我们会让你负责。”
CCPA要求,如果在发起针对企业的诉讼前,消费者提前30天向企业提供了书面通知,表明消费者指控的企业正在或已经违反法律,消费者可提起诉讼;如企业在30天内实际纠正了被通知的违规行为,并向消费者提供书面声明且不会再发生违规行为,则不得发起诉讼。
据报道,邦塔还向众多企业发出警告,指控其未能处理消费者通过启用GPC等功能提出的退出请求。该功能在消费者访问每个网站时,浏览器都会自动发送拒绝出售个人信息的信号,不必每进入一个网站都点击选择一次。他强调,目前收到警告的企业有30天的时间来纠正涉嫌违规行为,否则将面临司法部的强制措施。
3、全球著名图书馆服务公司 Baker & Taylor 遭勒索软件攻击
Hackernews 编译,转载请注明出处:
Baker&Taylor是全球最大的图书经销商之一,于8月23日遭到勒索软件攻击。该事件影响了公司的电话系统、办公室和服务中心。
8月24日,该公司宣布,此次攻击导致其关键业务系统中断,其技术人员正在努力恢复受影响的服务器。
Baker&Taylor在8月29日发布的最新消息中表示:“从上周勒索软件攻击中恢复过来的这段时间里,再次感谢您的耐心和合作。我们的团队一直在夜以继日地工作,以恢复正常运营。首要任务是修复系统并确保它们被清理干净。完成这项工作后,我们会逐步上线系统,并分阶段恢复运营。预计本周将继续中断,但我们会为各个系统和应用程序提供时间表。感谢您的理解。”
目前,该公司没有透露感染其系统的勒索软件家族的名称,也没有透露黑客是否窃取了其数据。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
