文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
在遭到勒索软件攻击之后,南非司法部正努力恢复计算机网络的正常运行,攻击导致内外电子服务全部瘫痪。南非司法和宪法发展部称,在系统恢复上线前儿童抚养费将暂停支付。攻击发生在 9 月 6 日,司法部随后启动了应急计划,以确保部分司法功能仍然能进行,如法庭改用了手动记录听证会,使用手动程序发布法律文件。司法部还无法确认何时能恢复正常,攻击者的身份目前也不清楚。勒索软件黑帮通常在加密系统会窃取数据,然后通过威胁公开数据来进行二次勒索。但在攻击之后,还没有一个组织声称对此负责或威胁公开数据。
面对黑客极富创造力的入侵以及用户立即更新手机和电脑的迫切需求,紧急软件补丁正变得愈发普遍。研究人员本周一就重大安全事件发出警报:以色列间谍软件公司 NSO Group 向多国政府出售能远程接管用户智能手机与计算机的程序,通过 iMessage 发送精心设计的 GIF动图即可成功入侵几乎所有苹果设备。唯一的防范之道就是安装苹果紧急发布的软件更新。这类紧急漏洞被称为零日漏洞,代表的是软件当中突然曝出漏洞、软件工程师只有“零天”时间为其编写补丁。一旦零日漏洞被黑客所把握,消费者除了等待软件更新或者暂时停用设备以外,再无其他应对之道。
以往只由政府精英黑客持有的高价值网络武器如今正流入犯罪市场,导致公开披露的零日漏洞开始急剧增加。Project Zero 是由 Google 组建的零日漏洞专项识别与编目团队,他们单在今年年内就记录下 4 4个零日漏洞,而黑客掌握这些漏洞的时间可能还更早。这一数字远高于 2020 年的 25 个。自 2018 年以来,曝光的零日漏洞数量可谓逐年递增。Luta Security 公司(主要业务是将网络安全研究厂商与具体漏洞联系起来)创始人兼 CEO Katie Moussoris 表示,零日漏洞的快速增长主要归结于当前软件编程的特定方式,也就是将安全性视为事后总结的基本思路。她强调,“在这样的思路之下,安全漏洞根本无法避免。只要不从头开始建立安全体系,我们就永远不可能彻底解决引发漏洞的根本原因。”但颇为讽刺的是,零日漏洞数量的增加映射出了一个真实但却荒谬的网络世界——攻击门槛降低导致某些高价值对象更易受到攻击,但大多数低价值人群反而不再受到黑客活动的影响。
以往只由政府精英黑客持有的高价值网络武器如今正流入犯罪市场,导致公开披露的零日漏洞开始急剧增加。Project Zero 是由 Google 组建的零日漏洞专项识别与编目团队,他们单在今年年内就记录下 4 4个零日漏洞,而黑客掌握这些漏洞的时间可能还更早。这一数字远高于 2020 年的 25 个。自 2018 年以来,曝光的零日漏洞数量可谓逐年递增。Luta Security 公司(主要业务是将网络安全研究厂商与具体漏洞联系起来)创始人兼 CEO Katie Moussoris 表示,零日漏洞的快速增长主要归结于当前软件编程的特定方式,也就是将安全性视为事后总结的基本思路。她强调,“在这样的思路之下,安全漏洞根本无法避免。只要不从头开始建立安全体系,我们就永远不可能彻底解决引发漏洞的根本原因。”但颇为讽刺的是,零日漏洞数量的增加映射出了一个真实但却荒谬的网络世界——攻击门槛降低导致某些高价值对象更易受到攻击,但大多数低价值人群反而不再受到黑客活动的影响。
匿名黑客组织 Anonymous 泄露了数百 GB 的 Epik 数据。Epik 是一家受争议的域名注册和 Web 服务托管商,托管了多家知名的极右翼网站如 Gab、Parler 和 8chan。Anonymous 泄露的数据就包括了来自 Texas GOP、Gab、Parler 和 8chan 等右翼网站的域名购买、域名转移、WHOIS 历史、DNS 变更、邮件转发、支付历史、账号凭证、私钥、Git 库、一核心系统的 /home/ 和 /root/ 目录,以及一名雇员的邮箱其中包含了来自 Epik CEO Rob Monster 的邮件等等,容量高达 180 GB。Anonymous 称,这些数据集能用于跟踪到极右翼网站的实际所有者。Anonymous 还恶搞了 Epik 的网页,称“They claim we get hacked,Q says they're lying. ”
Travis CI 的一个漏洞可能导致数千开源项目的秘密如签名密钥、访问证书和 API 令牌漏出。Travis CI 是一个流行的软件测试工具,它提供了与源码托管平台如 GitHub 和 Bitbucket 的无缝整合,能直接克隆用户在 GitHub 中的代码库然后在虚拟环境中进行构建和测试。它被 90 万开源项目使用,有 60 万用户。研究员 Felix Lange 发现一个安全漏洞会导致 Travis CI 包含使用它测试的公开开源库的安全环境变量,环境变量含有通常敏感的信息如签名密钥、访问证书和 API 令牌。如果这些变量暴露,攻击者可借此进入组织的网络。编号为 CVE-2021-41077 的漏洞存在了大约 8 天,安全研究人员建议所有使用 Travis CI 的项目更换相关的密钥和令牌。而 Travis CI 处理这个问题的做法引发了广泛批评,它的安全公告对此问题的严重性轻轻带过。
这个网站简单但却醒目。白色背景之下,一个巨大的蓝色按钮邀请访问者上传一张人脸照片。按饼干下方,则是 4 个由 AI 生成、供用户测试的面部选项。网站上的标语大胆宣告:通过 deepfake 技术把人脸添加进成人视频,每个人都可以是色情明星。没错,只需要上传图片、按下按钮,定制化小黄片就此完成。MIT Technology Review 对该网站表示无语,我们则将其代称为Y。这里就不放具体内容或者截屏了,免得继续给该网站引流。这个网站是由 deepfake 研究员 Henry Ajder 所发现并上报的,他一直在跟踪在线合成媒体的演变与兴起趋势。
目前 Y 网站的名气还不是很大,只有小部分用户在积极通过线上论坛为创作者提供反馈。但研究人员担心这类应用的出现会打破早已脆弱不堪的道德底线。从一开始,deepfake(或者叫AI生成式合成媒体)的主要用途就是创建女性色情视频,但当事人往往会因此受到毁灭性的心理伤害。最初推广这项技术的 Reddit 创作者会将女性名人的面孔转换进色情视频。时至今日,研究公司 Sensity AI 估计网上的所有 Deepfake 视频中有 90% 到 95% 属于未经同意的色情内容,其中又有约九成以女性为主角。
目前 Y 网站的名气还不是很大,只有小部分用户在积极通过线上论坛为创作者提供反馈。但研究人员担心这类应用的出现会打破早已脆弱不堪的道德底线。从一开始,deepfake(或者叫AI生成式合成媒体)的主要用途就是创建女性色情视频,但当事人往往会因此受到毁灭性的心理伤害。最初推广这项技术的 Reddit 创作者会将女性名人的面孔转换进色情视频。时至今日,研究公司 Sensity AI 估计网上的所有 Deepfake 视频中有 90% 到 95% 属于未经同意的色情内容,其中又有约九成以女性为主角。
苹果释出了一个安全更新,修复了被以色列间谍软件公司 NSO Group 利用的一个 0day 漏洞,该漏洞存在于 iMessage 的图像渲染库,无需用户点击就能入侵 iPhone、iWatch 或 Mac 设备。加拿大多伦大学公民实验室的安全研究人员将该漏洞命名为 FORCEDENTRY,认为它至少存在了六个月。漏洞影响 iOS v14.8、OSX Big Sur 11.6 和 watchOS 7.6.2 之前的所有版本。过去,受害者只有在收到发送到他们手机或电子邮件的可疑链接后,才知道自己的设备已被间谍软件感染。但是 NSO 间谍软件 Pegasus 的零点击功能不会给受害者这样的提示,就可以完全接触一个人的数字生活。这些功能可以在黑客工具的地下市场上赚取数百万美元。苹果发言人证实了公民实验室的评估,并表示该公司计划在今年晚些时候推出的下一次 iOS 15 软件更新中增加间谍软件屏障。
多年来“零信任(zero trust)”概念一直是网络安全领域的流行口号,甚至向来迟钝的美国联邦政府 IT 部门也加入了进来。但要想推进这种下一代安全模型,首先需要破除目前人们对于“零信任”术语的广泛误解与混淆。面对持续升温的网络钓鱼、勒索软件攻击与商业电邮欺诈等恶意活动,相信这种转变很快就会发生。
从本质上讲,零信任的定义与组织为自身网络及 IT 基础设施制定的转变构想有关。在传统模式下,办公楼内的一切计算机、服务器及其他设备都位于同一套内网之下,因此相互之间保持信任。我们的工作计算机可以直接接入所在楼层的打印机,或者在共享服务器上查找团队文档。防火墙和反病毒软件等工具只负责阻挡外面的访问请求;网络之内的各项元素则不需要经过太多审查。
不过相信大家已经感受到,移动设备、云服务与远程办公的爆炸式增长正从根本上颠覆着以上假设。组织无法实际控制员工所使用的具体设备。即使可以,传统模式的灵活性与掌控能力也被大大削弱。一旦攻击者突破了外围防御,以远程或物理方式渗透到组织之内,网络也会立即赋予他们巨大的信任与自由空间。如今的安全保护再也不能遵循“外面的坏、里面的好”这种简单粗暴的理念。
Google 信息安全高级主管 Heather Adkins 表示,“大约 11 年前,我们遭遇过一场大规模、高复杂度网络攻击。”当时政府支持黑客闯入 Google 内网,尝试建立后门并不断提取数据和代码,确保在被 Google 将其驱逐出去后还有再次回归的机会。“我们意识到,以往大家所熟悉的网络构建方法已经没有任何意义。于是我们回归蓝图设计阶段,重新构思网安保护的本质。如今大家走进 Google 大楼就像走进了星巴克一样。即使有人能够访问某台 Google 设备,也没法再继续深入。我们改变了战场,所以攻击者就更难得手了。”
从本质上讲,零信任的定义与组织为自身网络及 IT 基础设施制定的转变构想有关。在传统模式下,办公楼内的一切计算机、服务器及其他设备都位于同一套内网之下,因此相互之间保持信任。我们的工作计算机可以直接接入所在楼层的打印机,或者在共享服务器上查找团队文档。防火墙和反病毒软件等工具只负责阻挡外面的访问请求;网络之内的各项元素则不需要经过太多审查。
不过相信大家已经感受到,移动设备、云服务与远程办公的爆炸式增长正从根本上颠覆着以上假设。组织无法实际控制员工所使用的具体设备。即使可以,传统模式的灵活性与掌控能力也被大大削弱。一旦攻击者突破了外围防御,以远程或物理方式渗透到组织之内,网络也会立即赋予他们巨大的信任与自由空间。如今的安全保护再也不能遵循“外面的坏、里面的好”这种简单粗暴的理念。
Google 信息安全高级主管 Heather Adkins 表示,“大约 11 年前,我们遭遇过一场大规模、高复杂度网络攻击。”当时政府支持黑客闯入 Google 内网,尝试建立后门并不断提取数据和代码,确保在被 Google 将其驱逐出去后还有再次回归的机会。“我们意识到,以往大家所熟悉的网络构建方法已经没有任何意义。于是我们回归蓝图设计阶段,重新构思网安保护的本质。如今大家走进 Google 大楼就像走进了星巴克一样。即使有人能够访问某台 Google 设备,也没法再继续深入。我们改变了战场,所以攻击者就更难得手了。”
《卫报》报道了一个在全球黑社会中发生的病毒式营销故事。以高安全性为卖点的 An0m 手机发起了“草根营销”,根据美国一份起诉书所言,让众多黑社会中有影响力的人物——即掌握巨大权力及影响力的知名罪犯——为它背书。这款手机无法直接通过商店或网站购买,买家得先认识引荐人,再支付一笔“天文数字”——手机售价达 1700 美元,外加每年 1250 美元的年费。这对一部打不了电话也无法浏览网页的手机来说,实在是有些夸张。但全球仍有近 10000 名用户愿意为它买单。打开手机上的计算器,用户可以输入一条数字口令以启动一个秘密消息收发应用。手机卖家宣称,An0m 拥有世界上最安全的消息收发服务——不单每条消息都经过了加密、让窃听者无法读取,而且内容只能由另一位 An0m 用户接收,这就形成了一个与大部分文本消息传播渠道完全脱离的闭环系统。此外,An0m 无法从任何常见的应用程序商店处下载,唯一的获取方法就是购买预装此软件的手机……
用户可以设置一个选项,即如果设备在指定时长内持续脱机,则自动擦除设备上的数据。用户还可以将特别敏感信息设置为阅后即焚,也可以录制并发送语音备忘录、由手机自动对说话者的声音做混淆处理。从营销与销售策略来看,与其说 An0m 面向的是高安全意识群体,不如说它是专供安全偏执狂使用…… An0m 手机应用事实上名不副实。自 2018 年推出以来,该应用上发送的总计 1937 万条消息全部被收集起来,其中大部分已被澳大利亚联邦警察(AFP)所掌握,这款设备从构思、制造、营销及销售,整个流程都是澳大利亚警方与联邦调查局(FBI)所精心策划。2021 年 6 月 7 日,警方终于收网,全球 800 多名用户落网……执法机构明显是把 An0m 作为一种针对无法破解的加密技术的创造性解决方案。“如果能以“保密”为噱头吸引到犯罪分子自投罗网,我们干嘛还要通过成本高昂的法律诉讼跟科技巨打隐私权官司?”
用户可以设置一个选项,即如果设备在指定时长内持续脱机,则自动擦除设备上的数据。用户还可以将特别敏感信息设置为阅后即焚,也可以录制并发送语音备忘录、由手机自动对说话者的声音做混淆处理。从营销与销售策略来看,与其说 An0m 面向的是高安全意识群体,不如说它是专供安全偏执狂使用…… An0m 手机应用事实上名不副实。自 2018 年推出以来,该应用上发送的总计 1937 万条消息全部被收集起来,其中大部分已被澳大利亚联邦警察(AFP)所掌握,这款设备从构思、制造、营销及销售,整个流程都是澳大利亚警方与联邦调查局(FBI)所精心策划。2021 年 6 月 7 日,警方终于收网,全球 800 多名用户落网……执法机构明显是把 An0m 作为一种针对无法破解的加密技术的创造性解决方案。“如果能以“保密”为噱头吸引到犯罪分子自投罗网,我们干嘛还要通过成本高昂的法律诉讼跟科技巨打隐私权官司?”
微软警告攻击者正在利用一个 Windows 10 和 Windows Server 中的 0day 漏洞控制计算机。微软目前还没有补丁释出,但给出了缓解问题的方法。编号为 CVE-2021-40444 的漏洞影响 Windows 10 和多个版本 Windows Server 中的 IE 组件 MSHTML,微软正逐渐用 Edge 替代 IE,但相同的组件也被 Microsoft Office 用于渲染基于 Web 的内容。攻击者可通过诱骗用户打开恶意 Microsoft Office 文档或恶意网站利用该漏洞。微软称,漏洞正被用于发动针对性攻击。补丁预计将在 9 月释出的例行安全更新中修正。
在创造手机监视工具的内部尝试失败之后,德国联邦刑事警察局(BKA)在 2019 年购买了以色列间谍软件公司 NSO Group 的 Pegasus 间谍软件使用权。Pegasus 利用 0day 漏洞入侵 iOS 和 Android 平台。而在这一消息披露前德国联邦议会 Digital Agenda 委员会主席 Manual Hoferlin 抨击了苹果的儿童色情材料的扫描计划,称其破坏了保密通信。德国联邦政府是在周二的闭门会议上透露与 NSO 的协议。BKA 何时开始使用并不清楚。德国法律规定,政府只有在特定情况下才能入侵嫌疑人的手机和电脑。为了遵守德国严格的隐私法律,BKA 官员强调只激活了 Pegasus 的部分功能。
ProPublica 发表了一篇文章,研究了 WhatsApp 平台的隐私声明。WhatsApp 以端到端加密机制著称,大多数用户认为其母公司 Facebook 既无法读取消息内容、也无法将其转发给执法部门。但这种认知明显与一个简单的事实相矛盾—— Facebook 雇用了约 1000 名 WhatsApp 内容审核人员,他们的工作内容就是审查被标记的 WhatsApp 信息。WhatsApp 端到端加密机制中的漏洞很简单:任何 WhatsApp 消息接收者都可以对内容进行标记。标记之后,消息内容会被复制到收件人的设备上,再以独立消息的形式被发送到 Facebook 手中以供审核。与 Faecbook 平台的标准一样,WhatsApp 上的内容同样需要根据反欺诈、垃圾邮件、儿童色情及其他非法活动的标准接受审查。当消息接收者将 WhatsApp 信息做出标记时,当前内容将与同一线程中的最近四条先前消息一同接受处理,再以工单附件的形式被发送至审核系统。尽管还没有任何迹象表明 Facebook 会在未经收件人手动标记的情况下收集用户消息,但需要强调的是,这里面其实并没有什么技术障碍。“端到端加密”的安全性取决于端点本身——对于移动消息应用,也就是应用程序及其用户。例如,“端到端”加密消息传递平台可以选择对设备上的全部消息执行基于 AI 的自动内容扫描,之后将自动标记的消息转发至云端以采取进一步处理。如此一来,用户的隐私保障仍然只能由政策条款和对平台的信任来保证。
霍华德大学周一宣布遭受勒索软件攻击,校方因此被迫于周二停课。校方表示,他们的技术团队成员在 9 月 3 日注意到学校网络上的“异常活动”并尝试关闭系统以调查问题。事后证明这是一次勒索软件攻击,但校方并没有说明攻击背后的组织者。 霍华德大学在一份声明中提到,“情况仍在调查当中,考虑到我们的电子邮件经常在公共领域共享,此次我们也将通过邮件以尽可能安全的方式向大家披露更多更新消息。教育考试中心(ETS)及其合作伙伴已经在努力工作以全面解决此次事件并恢复系统运营;但这类事件的事后补救是个漫长的过程,不存在任何能一蹴而就的解决方案。”校方已经联系了执法部门,而且正在与取证专家合作开展调查。他们宣称“没有证据表明有个人信息遭到访问或外泄”,但同时强调调查仍在进行当中。为了恢复系统,学校被迫取消了周二的所有课程,校园也只对重要员工开放。目前甚至园区的 Wi-Fi 都已经中断,只有部分云应用仍可供学生正常访问。校方会坚持在每天下午两点向学生及教职员工发布更新消息。
校方补充道,“现在是我们校园 IT 最严密的防范阶段。我们一直清楚需要在访问与安全之间取得平衡;但在此次事件的冲击下,我们将更多强调安全方面。保护一切敏感的个人、研究与临床数据已经成为我们的首要任务。面对不断变化的现实挑战,我们正在与FBI及华盛顿特区政府保持联系,并部署额外的安全措施以进一步保护学校及任何个人免受恶意加密活动的影响。在接下来的一段时间内,我们将持续发布来自教育考试中心的更多消息,特别是此次网络钓鱼攻击的企图以及如何在霍华德大学校区之外保护您的在线数据。”
校方补充道,“现在是我们校园 IT 最严密的防范阶段。我们一直清楚需要在访问与安全之间取得平衡;但在此次事件的冲击下,我们将更多强调安全方面。保护一切敏感的个人、研究与临床数据已经成为我们的首要任务。面对不断变化的现实挑战,我们正在与FBI及华盛顿特区政府保持联系,并部署额外的安全措施以进一步保护学校及任何个人免受恶意加密活动的影响。在接下来的一段时间内,我们将持续发布来自教育考试中心的更多消息,特别是此次网络钓鱼攻击的企图以及如何在霍华德大学校区之外保护您的在线数据。”
HardenedVault 写道 "
自从1996年Aleph One在Phrack Issue 49上发表了 Smashing The Stack For Fun And Profit的论文后,开启了长期的争夺内存核心控制权的战争,攻击者在之后的10年里大多把目标放在用户空间,但随着用户空间mitigation的普及更多的攻击者开始把核心转移到了内核,2015年,PaX/GRsecurity作者接受华盛顿邮报采访并揭露了Linux内核安全问题后由Google, RedHat, ARM, Intel豪华阵容组成Linux内核自防护计划。可惜此计划进行了6年后的今天已经接近流产,但Linux则进入了更多重要基础设施的领域,比如电力,能源,车联网,工业控制等,遗憾的是,Linux内核安全的问题依旧没有解决。为了帮助行业客户解决以上问题,HardenedVault开发的Linux内核0day漏洞防护方案VED的威胁模型,首先,VED作为一个以LKM加载的方案,基本实现框架基于hook,兼容现有Linux内核安全防护的hook方案(比如AKO或者LKRG):VED会尽量在更早阶段针对漏洞利用平面进行阻断,失败后再进行后期的检测类阻断: 谁去守护守护者是一个安全哲学问题,VED是一款重要安全产品,因为它是防护企业生产环境的重要防线(突破内核后就是虚拟化,固件和硬件层了,所以可以说是最后一道有意义的防线),所以VED必须具备自防护特性,这也算VED的最大亮点之一,因为迄今为止除了PaX/GRsecurity以外的以LKM(内核模块)形式的内核防护方案从未考虑过自身的安全性。另外,HardenedVault也介绍了针对AUTOSAR的AP平台在车联网场景下防护车端(ARMv8.2)和基于Kubernetes云端(x86_64)中VED的威胁模型以及如何协同Falco以及SIEM/ELK达到纵深防御的目的。"
作为对抗 GPS 欺诈的一种权宜方法,FAA 悄悄资助了一项研究,测试在轻型飞机驾驶舱内使用手机。测试使用了能连接到标准 4G 和 5G 网络的商业智能手机,利用数据计算信号塔到手机的大致距离,检查是否与 GPS 的定位一致。GPS 信号容易受到欺骗攻击,在美国对 GPS 信号的最大干扰来自于军方。轻型和私人飞机相比商务客机缺乏备份导航系统,因此更容易受到影响。飞行高度越高手机信号越弱,这是显而易见的,专家指出 GPS 欺诈攻击主要发生在接近机场的情况下,因而这不是什么问题。
HardenedVault 写道 "HardenedVault近期发布了白皮书《赛博堡垒锻造之路》,在当前的业务环境中,云和物联网网关无处不在,他们的共同点都是拥有完整的硬件和固件体系并且运行着Linux操作系统。2015年时,PaX/GRsecurity作者接受华盛顿邮报采访并揭露了Linux内核安全问题后由Google, RedHat, ARM, Intel组成的豪华阵容发起了Linux内核自防护计划,可惜在6年后的今天此项目已经名存实亡,行业用户的生产环境依然每天都要面对来自Linux内核极大的安全挑战,即使如此,跟内核以下层面的威胁相比内核安全还不算是最核心的问题,Ring -1的虚拟化和Ring -2的UEFI/SMM的情况依旧不乐观,针对Ring -2的漏洞利用和持久化可让任何用户空间和内核层的检测手段失效,从防御的角度出发,芯片安全特性的开箱过程高度依赖于Ring -2和被称为”来自Ring -3世界的恶魔“的CSME,非x86体系虽然会简单一点,但只是简单那么一点点而已。这种多元化生态所带来的是复杂性的提升,在错综复杂的关系中如果我们不能跳出当前的层面探究这些工程问题的本质,这场猫鼠游戏的结局必然是消耗了巨大的人力和财力并且最终难以达到行业对安全的预期,HardenedVault尝试借助计算机科学的力量去解决当前行业面临的安全问题,通过重新梳理从芯片,固件,操作系统到密码学中所涉及安全攻防对抗的部分形成更为有效的纵深防御体系,希望这些业界长期无法解决的尴尬问题可以通过量身打造赛博堡垒得到缓解。"
纽约一家信用联盟前雇员 Juliana Barile 承认,她在未经授权的情况下访问了该金融机构的计算机系统,在被解雇后销毁了超过 21 GB数据作为报复。根据法庭文件,被告身为该信用联盟的远程兼职员工,于 2021 年 5 月 19 日被解雇。尽管其他员工要求银行的 IT 支持服务商禁用 Barile 的远程访问凭证,但 IT 并没有及时进行删除。两天后即 5 月 21 日,Barile登录并持续接入约 40 分钟。在此期间,被告删除了 20000 多个文件和大约 3500 个目录,销毁了存储在银行共享驱动器上的约 21.3 GB 数据。被删除的文件包含与客户抵押贷款申请及金融机构反勒索保护软件相关的信息。
除了删除客户及公司数据文件之外,Barile 还打开了多个机密 Word 文件,包括信用合作社董事会会议记录文件。五天后即 5 月 26 日,她还通过短信把销毁前雇主服务器上数据的情况告知一位朋友。她说,“他们没撤销我的访问权限,所以我就一通乱删。现在他们共享网络上的文件都没了。”虽然纽约信用合作社对这部分被删数据进行了部分备份,但 Barile 这一未授权入侵仍带来了超过 1 万美元的数据恢复开支。
除了删除客户及公司数据文件之外,Barile 还打开了多个机密 Word 文件,包括信用合作社董事会会议记录文件。五天后即 5 月 26 日,她还通过短信把销毁前雇主服务器上数据的情况告知一位朋友。她说,“他们没撤销我的访问权限,所以我就一通乱删。现在他们共享网络上的文件都没了。”虽然纽约信用合作社对这部分被删数据进行了部分备份,但 Barile 这一未授权入侵仍带来了超过 1 万美元的数据恢复开支。
这根线看似 Lightning 线、用起来也正如 Lightning 线,可以用它把键盘跟 Mac 设备连接起来。但它实际上是一根“恶意线缆”,能记录下用户输入过的所有内容,包括密码,并将数据无线发送至身处远端的黑客。它是安全研究员 MG 开发的一系列渗透测试工具的最新版本。MG 之前就曾在2019 年 DEF CON 黑客大会上演示过早期版本。不久之后,MG表示已经成功实现了量产,并由网络安全供应商 Hak5 负责销售这款产品。最佳 MG 的线缆完成升级,提供从苹果 Lightning 到常规 USB-C 端口的更多选择,同时向其中添加了更多灵活的黑客功能。
MG 在接受采访时表示,“有人认为 Type-C 这类细小的线缆因为体积小巧而不存在安全隐患,我当然得用实际行动证明这一粗暴的判断并不准确。”MG 所开发的 OMG 线缆自身能够创建 Wi-Fi 热点,黑客接入该热点即可查看到类似于常规网络浏览器的界面并记录监控目标的按键内容。MG 表示,其中的植入部分约占塑料外壳长度的一半。新款线缆现在还获得了开关机制,攻击者可以根据线缆所处的物理位置允许或阻断数据截取。MG 解释道,“如果 OMG 线缆离开了您的所在范围,而且您又不想让输入内容泄露或者意外作用于其他非监控范围内的计算机上,完全可以关闭传输功能。我们在奥克兰市中心进行了测试,这根线能够顺利接收约 1 英里半径内的触发指令。”MG 还提到,Type-C 线缆能够对智能手机和平板电脑发动同类攻击。新一代产品的其他改进还包括能够更改键盘映射、能够伪造特定 USB 设备身份——例如通过伪装利用目标系统上的特定漏洞。
MG 在接受采访时表示,“有人认为 Type-C 这类细小的线缆因为体积小巧而不存在安全隐患,我当然得用实际行动证明这一粗暴的判断并不准确。”MG 所开发的 OMG 线缆自身能够创建 Wi-Fi 热点,黑客接入该热点即可查看到类似于常规网络浏览器的界面并记录监控目标的按键内容。MG 表示,其中的植入部分约占塑料外壳长度的一半。新款线缆现在还获得了开关机制,攻击者可以根据线缆所处的物理位置允许或阻断数据截取。MG 解释道,“如果 OMG 线缆离开了您的所在范围,而且您又不想让输入内容泄露或者意外作用于其他非监控范围内的计算机上,完全可以关闭传输功能。我们在奥克兰市中心进行了测试,这根线能够顺利接收约 1 英里半径内的触发指令。”MG 还提到,Type-C 线缆能够对智能手机和平板电脑发动同类攻击。新一代产品的其他改进还包括能够更改键盘映射、能够伪造特定 USB 设备身份——例如通过伪装利用目标系统上的特定漏洞。
黑客希望入侵有良好盈利能力的企业,通过勒索软件获得上百万美元收益。如今一家企业中一位心怀不满的员工也试图干类似的勾当。此人主动与黑客团伙联系,要求他们在雇主网络内释放恶意软件,并表示事成之后自己也要分取一定比例的赎金。很遗憾,他联系的对象是 Abnormla Security 威胁情报总监 Crane Hassold,于是这个故事也以截屏的形式被披露了出来。Hassold 给出的条件非常诱人,对方只要配合在雇主网络中启动恶意软件,就向他支付 100 万美元赎金中的 40%。但这家伙相当健谈,短短五天里,Hassold 的通讯员就被迫改变了部署能在 GitHub 上免费获得的 DemonWare 勒索软件的想法。
Hassold 写道,“根据对方的说法,他最初是打算向公司的所有高层人员发送钓鱼邮件以实现账户入侵。但因为没有成功,他只能转向申请勒索软件“外援”这条出路。”Abnormal Security 方面将邮件与尼日利亚的一个年轻人联系了起来,对方承认自己想用这笔钱开发自己的全新社交网络 Sociogram。在通过LinkedIn与 Sociogram 创始人 Oluwaseun Medayedupin 取得联系之后,对方要求将自己和公司的名称从报道当中隐去,但他没有明确回应 Hassold 的报告中是否存在不准确之处。Medayedupin 恳求道,“请不要损害 Sociogram 的声誉。我是个前途光明的年轻人,请给我留条生路。”
这位攻击者的手段虽然业余,但他背后体现的其实是西非地区网络犯罪分子对勒索软件攻击的高度关注。虽然近年来,涉案金额高达数百万美元的勒索软件攻击总能登上新闻头条,但每年最大的网络犯罪经济损失仍主要来自商业电子邮件欺诈(BEC)或 CEO 诈骗。目前,来自非洲和东南亚的欺诈分子会伪造身份与目标公司高管搭线,引导对方发起未经授权的跨国电汇。
Hassold 写道,“根据对方的说法,他最初是打算向公司的所有高层人员发送钓鱼邮件以实现账户入侵。但因为没有成功,他只能转向申请勒索软件“外援”这条出路。”Abnormal Security 方面将邮件与尼日利亚的一个年轻人联系了起来,对方承认自己想用这笔钱开发自己的全新社交网络 Sociogram。在通过LinkedIn与 Sociogram 创始人 Oluwaseun Medayedupin 取得联系之后,对方要求将自己和公司的名称从报道当中隐去,但他没有明确回应 Hassold 的报告中是否存在不准确之处。Medayedupin 恳求道,“请不要损害 Sociogram 的声誉。我是个前途光明的年轻人,请给我留条生路。”
这位攻击者的手段虽然业余,但他背后体现的其实是西非地区网络犯罪分子对勒索软件攻击的高度关注。虽然近年来,涉案金额高达数百万美元的勒索软件攻击总能登上新闻头条,但每年最大的网络犯罪经济损失仍主要来自商业电子邮件欺诈(BEC)或 CEO 诈骗。目前,来自非洲和东南亚的欺诈分子会伪造身份与目标公司高管搭线,引导对方发起未经授权的跨国电汇。
又一个勒索软件组织终止了运作。Ragnarok aka Asnarok 在其网站上宣布了关闭的声明,并公开解密工具允许受害者解锁和恢复加密的文件。最近几个月有多个勒索软件组织终止运作。对于它公开的解密工具,安全研究人员确认有效。研究人员计划在分析之后发布一个干净版本供受害者安全使用。Ragnarok 从 2019 年底开始活跃,最近攻击了意大利男装品牌 Boggi Milano。