APT

21 文章

“奥运毁灭者”的攻击目标扩大

我们的专家最近发现了与”奥运毁灭者”相似的活动痕迹,但这次它们瞄准的是俄罗斯的各家金融组织以及荷兰、德国、法国、瑞士和乌克兰的生物化学威胁防御实验室。

Sofacy APT的目标转向亚洲

我们从2011年开始一直密切关注Sofacy,对该威胁攻击组织采用的手段和策略十分熟悉。2017年,该组织的主要变化是攻击范围扩大,年初鱼叉式网络钓鱼攻击地主要是北约诸国,到第二季度已经扩大到中东和亚洲国家,甚至更远的国家。

《安全周报》第37期: bugzilla的 bug信息外泄、Carbanak”卷土重来”以及利用С&C实施网络钓鱼

在我们爆炸性的热门新闻系列”Infosec news”的新一期中,我们将为您带来以下内容: Bugzilla遭黑客攻破给我们敲响了警钟:完全有必要设置高强度和唯一密码。 导致网络攻击者从各大金融组织窃取数百万美元的Carbanak黑客活动在欧洲和美国”卷土重来”。 卡巴斯基实验室研究发现了一种增强网络间谍C&C服务器隐秘级别的方法,可从”非常难以追踪”级别提高至”根本无法追踪”级别。 再次重申我们《安全周报》的编辑原则:每周Threatpost团队都会精心摘选三条当周要闻,并加上本人的辛辣评论。 Bugzilla的bug数据库遭黑客攻破 新闻。有关这一网络攻击的常见问题。 在上一期的《安全周报》中,我提出了所谓“负责任的信息披露”的问题,同时还列举了网络公司对披露所发现bug相关信息的不同意愿。有关Mozilla的bug追踪器遭黑客攻破的新闻可谓是这方面的完美范例:有时候隐藏存在漏洞的信息未尝不是好事。 显然这一问题并未得解决。在8月份,Mozilla发布了针对Firefox的补丁,并成功修复了存在于内置PDF查看器的bug。一名遭受漏洞利用的受害用户发现了这一bug并随即报告了该漏洞。这一网络攻击的切入点是特别设计的横幅广告,使得网络犯罪分子能窃取用户的个人数据。 我始终认为在开发人员编写补丁时,他们就已经意识到了bug。Bugzilla也含有关于该bug的信息,但却保存在系统的私用部分。上周所发生的状况证实了人们对非法访问的怀疑。事实上,Bugzilla并未被”黑客攻破’:只是网络攻击者发现了特权用户并在另一个受感染数据库找到了他的密码–而这各密码恰巧就是访问Bugzilla的密码。 结果是,网络攻击者早在2013年9月就成功访问了隐秘的bug数据库。在该网络攻击的常见问题中详细记载了在这一期间,黑客总共访问了185个bug的相关信息,其中53个bug极度危险。在网络犯罪分子非法访问数据库后,在被盗的bug清单中总共有43个漏洞打上了补丁。 在剩下信息遭泄露的bug中,其中有两个bug的信息在泄露一周内可能被打上了安全补丁;从理论上说,其中5个bug可能已被实施漏洞利用,因为在信息外泄后的一周到一个月内才发布了相关补丁。剩下的漏洞在过了335天后才发布了有针对性的补丁,在这期间总共被漏洞利用了131,157次。这是有关黑客攻击最可怕的新闻;然而,Mozilla开发者并没有’证据表明这些漏洞都已遭到漏洞利用。’在50多个bug中,只有一个曾遭到漏洞利用。 其中的道理很简单,我真的非常想登上高台大声疾呼:”朋友们!兄弟们,姐妹们!女士们,先生们!请务必对每个单独网络服务使用唯一密码!”然而,这并没有表面看上去的那么简单:此类方法肯定还要用到密码管理器。尽管可能你已经有了密码管理器,但你依然需要静下心来准确并彻底更改所有你使用频率较高的网络资源的密码,如果是全部网络资源的话当然更好。而来自我们的统计数据显示只有7%的人使用密码管理器。 全新Carbanak版本”卷土重来”,再次对美国和欧洲实施网络攻击 新闻。卡巴斯基实验室的2月份研究。CSIS更新研究。 我们将引用我们在2月份对’史上最严重数据盗窃’所发表的声明: “网络攻击者有能力将窃取的资金转移到他们自己的银行账户并立即篡改余额报表,这样可以防止该攻击被许多强大的安全系统发现。这一操作的成功是建立在网络犯罪分子对银行内部系统完全掌控的情况下。这也是为什么在成功攻破银行系统后,网络分子使用了大量情报技术以收集有关银行基础设施工作方式(包括:视频捕捉)的必要信息。” 在与执法机构的共同努力下,发现了多家银行因受到复杂且多层的Carbanak攻击而遭受资金损失,总金额达到10亿美元,且总共有超过100多家大型金融机构不幸成为受害者。但上述网络攻击发生在2月份,而在8月末的时候丹麦CSIS研究人员再次发现了Carbanak的全新改进版本。 新旧版本之间的区别并不大:只是将域名替换成了静态IP地址。至于数据盗窃所用的插件,与2月份使用的并无差异。 据CSIS称,新版本的Crabanak将攻击目标锁定为欧洲和美国的大型公司。 Turla APT攻击:如何借助卫星网络隐藏C&C服务器 新闻。另一篇新闻。研究。 包括卡巴斯基实验室研究专家在内的众多infosec研究人员长期对Turla APT网络间谍活动进行研究。去年,我们公布了针对黑客攻破受害人计算机、收集数据并发送至C&C服务器方法的极其详细的研究。 这一复杂的网络间谍活动每个阶段都需要用到许多工具,包括:借助零日漏洞利用受感染文档的’鱼叉式网络钓鱼’;病毒感染网站;根据攻击目标的复杂程度和数据临界性的各种数据挖掘模块(手动挑选);以及相当高级的C&C服务器网络。结果是,截止8月份,该网络间谍活动声称已在45个国家(欧洲和中东地区占了大部分)致使数百名用户不幸成为受害人。 就在本周,卡巴斯基研究人员https://twitter.com/stefant公布了该网络攻击最后一阶段的数据,也就是将盗窃数据发送至C&C服务器的时候。为了能进行数据挖掘,Turla像之前的许多APT黑客小组一样,使用了各种不同方法–比如,滥用防托管。而一旦将盗取数据发送到在特定服务器上托管的特定C&C,那无论网络犯罪分子设置何种代理,都极大可能会遭到执法机构逮捕或被服务提供商阻止。 而这时候就需要用到卫星网络。使用卫星网络的优势在于只要在卫星覆盖范围内,就可以在任何地点建立或移除服务器。但这里还有个问题:租用容量够用的双向卫星信道不仅租金昂贵,而且一旦踪迹被发现将很容易暴露服务器的位置。我们研究专家发现的攻击方法并未使用到租赁模式。 只需对卫星通信终端的软件稍加修改就能进行”卫星钓鱼”,不仅不会拒绝不属于任何特定用户的数据包,同时也会进行收集。结果是,”卫星钓鱼者”可能会收集到其他人的网页、文件和数据。这一方法只有在一种情况下有效:卫星信道并未加密。

俄罗斯网络间谍对卫星实施漏洞利用

Turla APT黑客小组(又称”Snake”和”Uroboros”)被誉为全球最高级的网络威胁者。在8年多的时间里,这一网络间谍小组在互联网上兴风作浪、为所欲为,但直到我们去年出版《Epic Turla research》之后,其黑客活动才为普通大众所知晓。 我们在研究中尤其发现了一些语言痕迹的案例,表明Turla小组的一部分成员来自俄罗斯。这些人采用常用于补充斯拉夫字符的1251代码页,里面像’Zagruzchik’这个词在俄语中表示”引导装在程序”的意思。 Turla黑客小组之所以特别危险且难以抓到的原因不仅仅是因为使用了复杂的黑客工具,而是在最后攻击阶段实施了精密的基于卫星的命令与控制(C&C)机制。 命令与控制服务器是高级网络攻击的基础。同时,这也是恶意基础设施中最薄弱的一环,因此往往会成为数字调查者和执法机构的首要打击目标。 主要有两个原因。首先,这些服务器被用来控制所有的操作。一旦成功将其关闭,就能扰乱甚至完全破坏网络间谍活动。其次,C&C服务器可以用来追踪网络攻击者的实际所在位置。 这也是为什么这些网络威胁者总是不遗余力将自己C&C服务器隐藏得尽可能深。Turla黑客小组也找到了颇为有效的隐藏方法:在空中取消服务器IP。 使用最广泛且最廉价的基于卫星的网络连接类型之一就是只使用下行连接。在这里,来自用户电脑的数据通过常规线路—宽带线或蜂窝网络传送—而所有输入流量则来自卫星。 然而,这一技术也有缺陷性:所有从卫星发送到电脑的下行流量均未加密。简而言之,任何人都可以拦截这些流量。Turla小组利用这一漏洞想出了一个有趣方法:隐藏他们自己的C&C流量。 具体操作步骤如下: 他们监听来自卫星的下行流量以发现活跃的IP地址,而这些地址必须属于此刻在线的基于卫星的网络用户。 随后他们选择一定数量当前活跃的IP地址,在合法用户不知道的情况下隐藏C&C服务器。 被Turla用病毒感染的机器将会按照指令向被挑选的IP地址发送所有数据。数据通过常规线路发送至卫星,并最终从卫星传送到IP被挑选到的用户。 这些数据会被合法用户的电脑当做垃圾清除,而这些网络威胁者则从下行卫星连接获取这些数据。 由于卫星下行覆盖区域极大,因此根本无法准确追踪到这些网络威胁者接收器的实际位置。此外,Turla黑客小组还倾向于对位于中东和非洲国家(例如:刚果、黎巴嫩、利比亚、尼日尔、尼日利亚、索马里或阿联酋)的卫星网络提供商实施漏洞利用,因此要想抓到他们更是难上加难。 由于这些国家运营商所用的卫星通讯信号束无法覆盖欧洲和北美地区,这对大多数安全研究专家研究此类攻击造成极大的困难。 Turla黑客小组实施的一系列网络攻击至今已感染了超过45个国家(包括:哈萨克斯坦、俄罗斯、中国、越南和美国)的数百台计算机。Turla黑客小组无论是对政府机构和大使馆还是军事、教育和研究机构以及制药公司均十分感兴趣。 坏消息就说到这里。对我们用户而言,好消息是卡巴斯基实验室产品成功检测并阻止了Turla网络威胁者所使用的恶意软件。  

CozyDuke里根本没有猴子

作为’Dukes family’系列的另一种APT(高级持续性威胁),CozyDuke专门攻击机要机构和公司,其中就包括美国政府办公室。CozyDuke(同时还被称为CozyBear、CozyCar或”Office Monkeys”(办公室猴子))以一段有趣的视频作为诱饵,诱使受害人点击。

Desert Falcons:中东顶尖的APT黑客小组

墨西哥坎昆—卡巴斯基实验室研究人员发现了有史以来第一个以阿拉伯语编写高级持续性威胁(APT)的黑客小组。该黑客小组被冠以”Desert Falcons”(沙漠猎鹰)的称号,总共由30名左右的成员组成—其中有一些赫赫有名—在巴勒斯坦、埃及和土耳其经营业务,并据说通过对中东市场的拓展独家经营众多商品。但对于”Desert Falcons”背后是否有政府的资金支持目前仍然无法确定。 他们的”攻击武器”种类繁多,包括:自制恶意软件工具、社交工程以及旨在对传统和移动操作系统实施和隐蔽活动的其它黑客技术。Desert Falcons的恶意软件专门用来从受害人身上窃取敏感信息,随后被用于进一步的犯罪活动,甚至用来对受影响目标进行敲诈勒索。 据卡巴斯基实验室全球研究和分析小组表示,该APT黑客小组之所以将这些受害人选定为攻击目标,目的是窃取他们所掌握的与其在政府或重要组织内职位有关的机密或情报资料。 这些受害人总共被窃取了超过100万份文件。 “这些受害人总共被窃取了超过100万份文件。”反恶意软件公司说道。”被盗文件包括:大使馆的外交文书、军事计划和文件、财政文档以及VIP和媒体联系人清单和文件。” Desert Falcons攻击致使大约3000人受到影响,范围遍及50多个国家。大多数受害人位于巴勒斯坦、埃及、以色列和约旦境内,但在沙特阿拉伯、阿联酋、美国、韩国、摩洛哥和卡塔尔等国也有所发现。 受害人有些来自军事和政府组织;有些任职于卫生组织以及反洗钱、经济和金融机构;还有些是领导媒体实体、研究和教育机构以及能源和公用事业供应商的员工;当然还包括一些社会活动家和政治领袖、实体安全公司以及拥有重要地缘政治信息访问权的其他目标人。 Desert Falcons实施攻击所用工具还包括了植入传统计算机的后门,即攻击者通过安装能够记录击键、截屏甚至远程录制音频的恶意软件得以实现。此外,他们还采用了可暗中监视短信和通话记录的安卓版移动组件。 有趣的是,研究人员在卡巴斯基实验室安全分析专家峰会上介绍Desert Falcons时透露,该黑客小组的APT攻击首次在有针对性的攻击中采用Facebook聊天,即通过常规Facebook页面与攻击目标取得联系,在获取受害人信任后即通过隐藏为照片的聊天向他们发送木马病毒文件。 该黑客小组早在2011年就开始构建其工具,并于2013年首次成功感染,而在2014年末和2015年初的时候Desert Falcons的黑客活动才真正开始活跃起来。似乎该黑客小组目前的活跃程度远胜于以往任何时候。 卡巴斯基实验室表示其产品能够有效检测出并阻止被用于这一黑客活动的各种恶意软件。

世纪最大劫案: 黑客盗用十亿美元

高级持续性威胁(APT)是信息安全专家常常挂在嘴边的话题,这种攻击通常利用最最尖端复杂的黑客工具。但对于普通大众来说,这种威胁似乎与己无关。 对于公众来说,最广为人知的一些攻击类似于间谍小说中的情节。直到最近,APT还不是人们关注的话题,因为绝大多数APT针对的是政府机构,其中所有调查细节高度保密,并且实际造成的经济影响难以估计,原因显而易见。 然而,今时不同往日:APT已将触角伸入商业领域,更准确的说是银行业。结果可想而知:以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 攻击套路 为了渗透到银行内网,黑客利用定向钓鱼邮件来诱导用户打开邮件,借机使用恶意软件感染电脑。一旦成功,黑客就会在用户电脑上安装一扇后门,后门基于Carberp银行恶意软件源码,此项行动也由此得名为Carbanak。 以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 获得对电脑的控制权后,黑客会以此电脑作为入口点,探测银行内网并感染其他电脑,目的是找出能用于访问关键金融系统的电脑。 找到这样的电脑后,黑客将研究银行使用的金融工具,并利用键盘记录软件和隐蔽的截屏功能来查看和记录银行职员屏幕上的一切信息。 随后,为了完成行动,黑客会根据具体情况定义最为便利的方法来盗取资金,他们或者使用电汇转帐,或者建立一个假的银行账户,利用钱骡直接取现,或向ATM机发送远程指令吐钱。 这种银行网络盗窃行为的持续周期平均为两到四个月,从感染电脑的第一天开始算,一直到最终取现为止。 估计损失 黑客以某种方式从入侵的每家银行盗取250万美元到1000万美元,即便分别来看,此金额也相当惊人。假设有数十家,甚至上百家金融机构因APT攻击导致资金被盗,累计总损失很有可能达到10亿美元,令人瞠目结舌。 被ATP攻击导致持续严重损失的国家包括俄罗斯、美国、德国、中国和乌克兰。目前,Carbanak蔓延范围不断扩大,目前马来西亚、尼泊尔、科威特和若干非洲国家都已发现APT攻击。 据卡巴斯基实验室发布的信息,Carbanak所利用恶意软件的首批样本早在2013年8月创建。第一例感染发生在2013年12月。第一次有记录的成功盗取发生在2014年2月到4月间,攻击高峰时间是2014年6月。 很明显,除非被捕,否则黑客绝不会就此罢手。目前,众多国家网络防御中心和多家国际机构,包括欧洲刑警组织(Europol)和国际刑警组织在内(Interpol)都展开了调查行动。卡巴斯基全球研究分析小组(GReAT)也在其中贡献了自己的一份力量。 如何防御这种威胁? 下面要告诉卡巴斯基用户一些好消息: 卡巴斯基实验室的所有企业级产品和解决方案都能检测到已知的Carbanak恶意软件样本:Backdoor.Win32.Carbanak和Backdoor.Win32.CarbanakCmd。 为了确保您的防御等级保持在高水平,我们建议您启用主动防御模块,卡巴斯基的所有产品版本中都含有此模块。 此外,还有一些小贴士,可保护您不受这种及其他安全威胁: 绝不打开任何可疑电子邮件,尤其是带附件的邮件。 定期更新使用的软件。例如,这次攻击行动利用的并不是零日漏洞,而是供应商之前打过补丁的已知漏洞。 启用反病毒软件中的启发式检测:此功能将提高极早检测到恶意软件样本的几率。 若要了解Carbanak行动的更多信息以及卡巴斯基GReAT小组调查的详细信息,请查看Securelist上的相关博文。

从勒索软件到匿名浏览:2014年十大高技术趋势

如果说12月份对安全世界意味着预测来年的话,同时也是对即将结束的一年进行回顾的时候。卡巴斯基实验室全球研究与分析团队为此而特别制作了一份有关《2014年互联网安全行业十大新兴趋势》的清单。 一系列高级持续威胁 2014年,众多APT攻击小组依然没有”停战”的意思。卡巴斯基实验室研究人员公布了至少6个网络攻击小组的研究分析。 “Careto”(西班牙中”面具”的意思)间谍行动于2月份重现互联网,之前已活跃了长达7年之久。Careto依靠易于修改的跨平台恶意软件工具,旨在从全球31个国家的政府机构、大使馆、能源公司、研究机构、私人股权公司以及活动家窃取敏感信息。 而多阶段的Epic Turla网络间谍攻击行动出现在1个月左右后的三月份,通过利用一系列存在于Adobe Acrobat、Windows XP以及Microsoft server 2003的零日漏洞对受害人进行有针对性的攻击,同时还采用了许多水坑式攻击,将存在于Java、Adobe Flash和Internet Explorer的漏洞作为攻击目标。 而到了6月,另一个黑客小组在短短一周的时间内即窃取了50万欧元,作为”Luuuk”木马攻击行动的一部分,他们对一家大型欧洲银行的客户进行了针对性攻击。遗憾的是,卡巴斯基实验室并没有获得该攻击行动中的任何恶意软件样本,但他们猜测该黑客小组通过窃取用户名、密码以及一次性密码,从而查看受害人账户余额并自动执行交易。 在6月末,互联网出现了”MiniDuke”黑客行动的新版本-被称为”CosmicDuke”,将政府、外交机构、能源公司、军事集团以及电信运营商作为攻击目标。奇怪的是,这一黑客行动竟然还攻击了那些参与违禁药品(例如:类固醇和生长激素)交易的犯罪团伙。 #Kaspersky launches a project that chronicles all of the #ATPs the company has investigated https://t.co/9gj6AiRVoo pic.twitter.com/HHbRUDVC0o

11月安全新闻综述

11月份,卡巴斯基实验室为您带来了众多具有深刻见解的行业文章以及突发性的安全新闻事件。从”Darkhotel高级持续威胁攻击”到如何提高你iPhone手机的电池续航能力”,我们始终为您带来安全行业的最新热点。如果您错过了我们11月份博客的任何内容,无需任何担心,今天我们将为您带来其中精华的内容! DarkHotel:发生在亚洲豪华酒店内的网络间谍活动 11月,卡巴斯基实验室详细介绍一种被冠以”Darkhotel”(黑店)称号的间谍网络,竟然在许多亚洲酒店的网络内存在了长达7年的时间。此类攻击运行原理如下:Darkhotel威胁通过感染某几家高档酒店,对正在入住其中的大型公司高管进行攻击。受害高管在办理完酒店入住手续后,通常会连接Wi-Fi网络(只需输入姓氏和房间号即可联网)。网络攻击者则会利用这一机会迅速向受害人提供合法软件的更新,当然同时还会偷偷安装后门。最后,一旦网络攻击者成功”进入”受害人设备,即可使用一整套工具来收集数据、找出密码并盗取登录凭证。 阅读我们11月份最热门#安全新闻#博客的精华部分。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel给出了可能最好的解释,他这样说道:”在过去的几年中,一款被称为’Darkhotel’的强大间谍软件针对众多名人成功实施一系列的网络攻击,所运用的手段和技术水平远非常规的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力,而所具有的其他优势足以随意利用受信任的商业网络,并将特定受害人类别作为攻击目标,其背后有着极强的商业策略目的。 #Darkhotel: a spy campaign in luxury Asian hotels – https://t.co/RVxkUg1B2K via @kaspersky #security — Kaspersky Lab (@kaspersky) November 11, 2014 他的这一番介绍是否吊起了你的胃口?我们建议您读一下该篇博文的剩余内容,了解更多有关卡巴斯基实验室产品是如何查杀此类恶意程序及其用于”Darkhotel工具包”的变异体。 从信用卡遭黑客入侵所学到的五个教训 网络骗子尤其擅长绕过我们所部属的安全措施,甚至还能感染ATM机及大型零售商系统。 你是否曾收到过来自银行或信用卡发卡公司的通知,告知您一笔事实上你从未消费过的交易?这的确是一件可怕的事情,但你根本无需感到无助。以下是通过我的个人真实经历所学到的5个教训:

Regin APT攻击-有史以来技术最为成熟的网络攻击活动

近期,几乎所有从事跟踪高级持续性威胁活动的安全机构都无一例外地在谈论一种全新的高成熟度网络攻击平台-“Regin”(读音:reɪ*ɡən –与美国前总统里根名字的读音相似)。尽管我们无法将矛头直接指向某个特定国家并对次大加指责,但毫无疑问”Regin”被普遍认为是一个拥有雄厚财力的民族国家的”黑客工具”。 就在上周末赛门铁克发布了首个版本的有关该网络攻击活动的研究报告后,其它公司的大量相关报告接踵而来,在最初的研究结果基础上加入了更多的新内容,这似乎表明许多个人和相关机构将开始对”Regin”进行建档研究。不止一家安全公司和一名以上的研究人员–包括卡巴斯基实验室的全球研究和分析团队–将它称为是有史以来技术最为成熟的网络攻击活动。 Highly-complex malware has secretly spied on computers for years, say researchers http://t.co/ip7hkaDBEg pic.twitter.com/TnHhxZS0C4 — The Verge (@verge) November 23, 2014 据卡巴斯基实验室研究报告显示,Regin APT攻击活动将电信运营商、政府机构、多国政治团体、金融研究机构以及从事高级数学和密码破解工作的个人作为其攻击目标。这些网络攻击者似乎对收集情报进而进行其他类型的攻击最为感兴趣。尽管大量所收集的情报包括了对电子邮件和文档的暗中监视,但该网络攻击小组似乎还将目标不断锁定在电信运营商以及GSM(全球移动通信系统)提供商,将前者成为攻击目标并无不寻常之处,但将后者作为攻击目标就有些让人感到奇怪了。 GSM全名为”全球移动通信系统”。是移动手机之间蜂窝通信的标准。如果我告诉你GSM是第二代(2G)移动通信技术(3G和4G网络的前一代产品)的话,你们一定会恍然大悟。然而据报道,GSM是大多数电信运营商所用移动网络的默认标准,供占全球移动通信市场90%份额的219个国家和地区使用。 这些网络攻击者通过访问哪些电话是由哪一部特定手机拨出的信息,从而将这些电话重新传入其它的手机、激活临近手机以及实施其它攻击活动。 “该网络攻击小组具有渗透和监控GSM网络的能力或许是这一系列网络攻击活动中最不寻常和最有趣的部分。”卡巴斯基实验室全球研究和分析团队在昨日所发布的报告中说到。”在当今世界,我们太过依赖于移动手机网络所采用的陈旧通信协议,同时针对终端用户几乎没有任何安全防范措施。尽管所有GSM网络都拥有自己的嵌入机制,允许执法机构追踪犯罪嫌疑人,这也同时也导致这一功能为不法分子获得并滥用于实施针对移动用户的其它类型攻击。” 卡巴斯基实验室表示,这些网络攻击者通过从内部GSM基站控制器窃取属于某一家大型电信运营商的登录凭证,从而能够在该特定网络访问GSM手机。我来自于Threatpost的同事Mike Mimoso注意到当这些网络攻击者沿着移动网络移动、分配资源以及移动数据传输时,就能通过基站控制器对电话进行管理。

DarkHotel:亚洲豪华酒店内的网络间谍活动

“网络间谍”是21世纪出现的又一种”网络攻击武器”。甚至任何一款看似毫无危害的移动应用都能够通过粗心大意的用户不经意间地泄漏数据,盗取相当数量的个人隐私信息。这些全方位的监测活动通常将大型企业和政府机关作为特定攻击目标。 就在今年秋天,卡巴斯基实验室最新发现了一种被冠以”Darkhotel”称号的间谍网络,竟然在许多亚洲酒店的网络内存在了长达7年的时间。此外,一些聪明的专业网络间谍门早已开发出了一款包含了各种用来入侵受害者计算机方法的全面”工具包”,以入侵受害者的计算机。 美国联邦调查局(FBI)在2012年最先提到了将酒店内住客作为攻击目标的网络犯罪行为。然而,其实早在2007年的时候,被用于Darkhotel间谍活动的恶意软件(即,Tapaoux)就已经在亚洲各大酒店出现了。通过对用来掌控该网络间谍活动的C&C服务器日志研究后,安全研究人员发现其中的连接最早可以追溯到2009年1月1日。综上所述,我们可以得出这样的结论:此类网络间谍活动已存在了相当长的一段时间。 # Darkhotel# 间谍活动似乎已存在了数年之久。 入侵受害者个人电脑的主要手段是通过在许多亚洲豪华酒店的Wi-Fi网络。这些网络犯罪分子主要利用存在于Adobe Flash和知名供应商的其它流行产品中的零日漏洞实施攻击。此类漏洞难以察觉,且事实证明这些间谍活动背后有着雄厚的资金支持,如此才能买得起如此昂贵的”网络攻击武器”,或者也有可能参与这些网络间谍活动的代理人拥有极其深厚的专业背景。也有可能两种情况同时存在。 上述所介绍的植入间谍软件方法是使用最频繁的一种,但并不是唯一,从这些网络犯罪分子的攻击手段来看,他们很可能由酒店本身所雇佣。此外,还可选择通过torrent客户端散播木马病毒,比如嵌入到中文版的成人漫画中。 因此,这些网络间谍还会利用有针对性的网络钓鱼,以及向政府雇员和非营利组织发送受感染的电邮等方式展开攻击。 网络犯罪分子采用精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 除了利用零日漏洞以外,许多事实证明这些网络犯罪分子拥有高深莫测的洞察能力。他们甚至能够成功伪造安全凭证用于他们的恶意软件中。为了暗中监视受害者的通信渠道,网络犯罪分子采用了精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 令人惊讶的是,这些犯罪分子行事极其小心,并设计了许多方法以防范其恶意软件被侦测出来。首先,他们确保植入的病毒有相当长的一段’潜伏期’:木马病毒在入侵系统前,需要在C&C服务器内潜伏长达180天的时间。其次,一旦系统的语言改为韩语后,间谍程序即会自动销毁。 这些网络犯罪分子主要活动于日本、中国及台湾地区。卡巴斯基实验室能够侦测到在其它国家实施的网络攻击,就算犯罪分子离受害者所在国家距离遥远也能被侦测出。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel评论道:”在过去的几年中,一款被称为”Darkhotel”的强大间谍软件针对众多名人成功实施一系列的网络攻击,所使用手段和技术水平不是一般的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力,而所具有的其他优势足以随意利用受信任的商业网络,并将特定受害者类别作为攻击目标,其背后有着极强的商业策略目的。 The #Darkhotel espionage campaign: A story of unusual hospitality https://t.co/iXQykGmjwE — Eugene Kaspersky (@e_kaspersky)

卡巴斯基新闻播客:2014年8月

本月新闻综述:8月,全球顶级安全会议Black Hat和DEF CON大会在万众瞩目下隆重开幕;更加高级的持续性威胁在中国和世界其他地方出现;恶意软件正在利用webmail通信;索尼PS游戏机网络发生令人诡异的短暂中断事件。来自Threatpost和Brian Donohue和Chris Brook将在2014年8月版的卡巴斯基每日播客上与我们一道回顾本月所发生的精彩新闻事件。 补充阅读材料 随着Black Hat安全大会逐渐从仅针对企业层面的会议转变为与消费者息息相关的会议,因此您能在卡巴斯基每日新闻中读到更多与此有关的内容。如需了解相关背景,可阅读新闻事件回顾。Threatpost的编辑Dennis Fisher和Mike Mimoso以及我本人也记录了一些有关Black Hat安全大会前两日播客新闻的主要内容,将带您一同更深入了解本年度”安全夏令营”的详细情况。 在”斯诺登棱镜门事件”发生后,这几个月甚至一整年似乎正在形成一种趋势:那就是越来越多的互联网得到了加密。就在本月,这一趋势再次应验,雅虎承诺将在今年年底对所有邮件端对端进行加密的同时,Google也宣布将给予那些使用安全SSL连接的网站优先搜索权。本月放出了大量补丁,但其中最引人关注的要数微软修补fiasco的补丁。微软本次所发布的标准”周二补丁”对大量用户机器造成了破坏,不得不最终在本周早些时候又发布了一份最新通知。正如我在播客中提到但并未详细说明,Google发布了针对Chrome浏览器的两项更新,你可以在这里和这里读到。此外,苹果在本月也同样发布了一些补丁。 您可以在Threatpost更深入地了解本月有关APT(高级持续威胁)的调查结果,其中包括Turla间谍软件以及非法入侵Community Health Systems的中国黑客小组。除了有关Community Health Systems黑客入侵的文章以外,我们还在卡巴斯基每日新闻上对其破坏性以及这一事件对我们的影响进行了分析。 在恶意软件最前沿,你可以读到所有关于新恶意软件如何利用雅虎邮箱作为通信中心以及一种全新的主要基于网页的流氓反病恶意软件的新闻。您可查看Chris Brook有关Verizon坚信可使用二维码作为身份认证机制的报道,此外还为您带来了有关上周因DDoS攻击造成PS游戏机网络短暂中断事件背后的真相。 播客:@TheBrianDonohue和@BrokenFuses对2014年8月的安全与隐私新闻进行了回顾

Community Health Systems数据外泄事件启示

最近针对Community Health Systems的一起数据外泄事件充分暴露了联网医疗设备所面临的实实在在的现实风险,事件据称是中国黑客所为,造成约450万病人的敏感医疗信息被窃。 还记得Heartbleed漏洞吗? Heartbleed的漏洞存在于OpenSSL,出现于今年早些时候。这一漏洞曾一度对超过60%的互联网造成影响,并在理论上能让网络攻击者在客户端到服务器连接过程中窃取一定数量的信息。这可能是第一起发生在现实生活中并造成广泛影响的互联网事件:网络犯罪分子或国家行为者几乎利用了整个网络资源来谋取私利。尤其需要指出的,网络攻击者还开发出了一种漏洞利用程序,能让他们使用Heartbleed漏洞来窃取Community Health Systems网站的登录凭证。 哪些人因此而受到影响?这一切又是如何发生的? 这一事件中的450万名受害者都在过去5年里接受了Community Health Systems医生的医疗服务,不幸中的万幸,他们的医疗和支付信息并未因此而泄露;但最让人担心的是,他们的社会安全号(SSN)全部遭到泄露。除了社会安全号以外,一起被盗的还有病人的姓名、地址和出生日期,甚至还有受害人的雇主或担保人以及电话号码。 由于本次事件中的攻击者很可能是一些高级持续性威胁行为者,因此人们还抱有一丝侥幸。他们的目标很有可能并不是消费者的社会安全号。事实上,来自Crowdstrike和其他安全公司的专家们都表示这些攻击者可能只是在寻找与医疗系统相关的知识产权,使中国能够将其运用在对本国老龄化人口的照料上。 在本次 “APT 18″黑客小组(也叫做”Dynamite Panda”)的攻击行动中,最终以失败而告终。因为要处理数量如此庞大的敏感信息并不是一件容易的事情。 更大的问题 近年来医疗保健数据外泄情况时有发生,但有关方面依然没有尽快改进的打算。原因如下: 每当谈到医疗设备的安全问题时,人们总会异想天开,甚至有一些可怕的想法:比如,使用笔记本电脑入侵胰岛素泵和心脏起搏器,以达到伤害和谋杀病人的目的。但幸运的是,就近期我从Black Hat大会了解到的情况来说,所有患病需嵌入式和/或联网医疗设备治疗的病人被人用笔记本电脑杀害的可能性微乎其微。事实上,Rapid7医疗设备安全专家Jay Radcliffe表示所有联网医疗设备对于病人的疗效巨大,且几乎不会造成什么损伤。 似乎眼下这个问题对病人的影响更加全方位,且数量上呈现上升趋势。这些问题更多地与医生和医院,甚至医疗设备的存放、共享以及访问权限有关。Radcliffe在与我们的一次讨论会中指出,如果说联网医疗设备会对病人安全造成影响的话,那最大的可能是由于黑客入侵或意外事件导致医疗记录遭到篡改或更改,从而使病人得到错误的治疗。 近年来医疗保健数据外泄时有发生,但有关方面依然没有尽快改进的打算。 在本周早些时候,心脏病专家兼作家Sandeep Jauhar博士在NPR(美国国家公共广播)的《Fresh Air》节目中接受了Terry Gross的访谈,他表示美国医疗保健体系之所以落后于其他国家,大部分原因在于美国缺乏信息共享机制。因此,要改进美国医疗保健系统并同时遵守《平价医疗法》的话,还有很多工作需要做:将更多的医疗设备进行联网;医疗保健服务提供商之间进行更多沟通;更多远程访问数据;以及较有可能实现的,更多地共享敏感医疗信息。从他的话中透出了这样的意思:采用更加先进医疗保健体系的国家已经开始进行此类的数据共享,只是数据泄露问题依然存在。 这并不是说美国医疗保健体系毫无希望。《健康保险流通与责任法案》(HIPAA)的颁布旨在部分保护消费者医疗保健信息的安全与隐私。但问题是医院和医疗设备制造商都需遵守各自的相关规定,以符合《健康保险流通与责任法案》要求。尽管如此,数据外泄情况依然不可避免,因为没有一个安全计划是完美的。每个人-无论如何努力-都最终无法避免个人数据被窃的结果。 如果受到影响会有什么后果,怎样才知道自己是否受到了影响? Community

一周要闻:Black Hat与DEF CON大会预览

全球黑客和安全领域两个最重量级的会议:Black Hat和DEF CON大会将于下周在内达华州的拉斯维加斯举行。在本周新闻综述,我们将展望这两个会议的同时,对本周发生的新闻进行一番回顾。 黑客大会抢先预览 Black Hat与DEF CON安全大会将于下周召开,我们将首先展望这两个会议来开始我们的本周新闻综述: 卡巴斯基实验室安全专家Vitaly Kamluk的演讲是我们最为期待的,他将在大会上再次提及Absolute Computrace漏洞问题,在之前2月份举办的安全分析师峰会期间我们曾有写到过。 此外,安全研究员Joshua Drake也将展示他所建造的工具,这一工具足以彻底颠覆目前全球对安卓系统安全性的研究。从本质上说,这一工具集中了所有他能找到的各种安卓设备,且各自适合的操作系统稍有不同。他们认为只有通过这样的方式,安全研究员们才能对目前众多的安卓操作系统有一个更加全面的了解。来自Bluebox Security的Jeff Forristal将作另一场有关安卓系统的有趣演讲,他的研究显示数百万台的安卓设备内存在一种关键漏洞,可使恶意应用伪装成受信任的应用,让攻击者能够将恶意代码植入合法应用,甚至直接控制受感染的设备。 而在今年的DEF CON大会上,主办方将举办一场以黑客入侵路由器为主题的比赛。选手们需要入侵SOHO Wi-Fi路由器,比赛规则公布在SOHOpelessly遭到入侵的网站上。参赛选手必须在DEF CON大会举办期间说明并展示他们如何利用零日漏洞来入侵路由器的。届时将向获胜选手颁发奖品,具体奖品类型尚不得知。 全球最大社交网络遭遇麻烦 接下来,我们将一一回顾本周已发生的新闻事件:本周有关Facebook的新闻可以说是喜忧参半。 首先是本周一,来自欧美的一个隐私倡导团体要求Facebook推迟实施全新针对性广告政策。此前,Facebook的广告几乎全部基于用户所钟意的页面。就在上个月,这家社交网络公司发布了一条令人不解的声明,表示他们将赋予用户更多对所见广告的控制权,同时还将开始收集用户更广泛的网络冲浪行为信息。 众多用户团体向美国联邦贸易委员会提出抗议,希望延迟或者完全阻止Facebook进一步采集用户在Facebook域名以外的上网信息。这些团体表示Facebook的这一计划直接反驳了与此前所做出的有关隐私和用户跟踪方面的声明。就在上个月,Facebook还表示”用户将能自主控制网页上所看到的广告”,此前的声明明显欺骗了用户。 破坏性巨大的攻击迫使组织重建整个系统。 据Threatpost报道,在周二,Facebook修复了其安卓应用内的漏洞,这一漏洞能够让攻击者在受害人设备上造成拒绝服务的情况,或通过在设备上传输大量数据导致受害人手机账单飙升。因此,如果你在安卓系统运行Facebook的话,确保安装了最新的更新补丁。 另外,Facebook颇为流行的照片共享服务Instagram的移动版本并未部署完全加密。因此,用户不得不面临暴露浏览行为及会话cookie被窃的风险,这可能最终导致安卓和iOS系统的账户同时被盗。Facebook和Instagram都意识到了这一问题,并表示将修复这一漏洞,但修复的具体时间尚未给出。访问Threatpost和Kaspersky Daily,阅读更多内容。 高级持续性威胁 本周还曝出了中国高级持续威胁(APT)黑客入侵的事件,入侵对象则是曾参与以色列臭名昭著的”铁穹”导弹防御系统开发的国防承包商。据报道,在2011年至2012年期间,他们先后从以色列的三家国防承包商手中盗窃了一种特定型号反弹道导弹的详细原理图、火箭相关信息以及成页成页的其他机械文件。 据报道,另一个中国APT小组也入侵了加拿大一家主要的技术研究组织,最终迫使他们脱机下线。Threatpost的Chris Brook在其文章中写到此次攻击破坏性巨大,最终迫使该组织重建其整个系统。加拿大方面并未表示攻击发生的时间以及被盗资料的信息。

一周要闻:NoIP事件以及Miniduke重现江湖

在本周报道的新闻中,微软对NoIP采取了法律行动。据其申诉, NoIP是一家主机托管公司,通过允许网络犯罪分子使用其服务进行恶意攻击而获利。此外,Miniduke高级持续威胁攻击在本周又重现江湖。 NoIP NoIP是一家动态域名服务(DNS)供应商,所提供服务与其他DNS供应商相差无几,即通过向用户出售网站域名而盈利。但区别在于,简单地说,就是允许管理员更容易地更新域名和IP地址。但这一功能却成为了网络犯罪分子牟利工具,他们借此来躲避反病毒引擎检测,因为这会对恶意软件寄生网站的IP地址进行阻止,并且还能充当控制僵尸网络的服务器。不幸的是,本次事件还对使用动态DNS和NoIP的大量非恶意公司造成影响。 微软指责No-IP的基础设施被网络犯罪分子频繁地利用,通过使用Bladabindi(NJrat)和Jenxcus(NJw0rm)系列恶意软件感染无辜受害者。 微软”指责No-IP的基础设施被网络犯罪分子频繁地利用,通过使用Bladabindi(NJrat)和Jenxcus(NJw0rm)系列恶意病毒感染无辜受害者。”NoIP则反诉微软支持了恶意软件的运行。 作为打击恶意软件运行的手段之一,微软从有关当局获得临时禁令,被授权扣押在恶意运行中使用的域名和”沉洞”域名,从而使流向微软控制域名的流量改道。我们之前曾在这里讨论过”沉洞”,它是一种用于打击僵尸网络运行和其他恶意软件公司的广泛认可的方法,且使用方法多样。 据Threatpost网站报道,研究者今后将经常性地与主机托管供应商合作,将来自恶意域名的流量转至由研究者或执法机构控制的域名,这将有助于中断这些恶意域名的正常运行。问题是,NoPI宣称在整个事件过程中微软从未它有过接触。 这一决定在安全社区内引起了不小的骚动。其中一个争论的理由相当有代表性:是谁(不是执法机构,而是有关当局)赋予了微软这样一家私人公司权力,仅仅凭借自己的一套客观价值,就能对另一家个人公司或集团执行强制措施。其实,像微软这样IT巨头完全是为了自己的一己私利而在互联网上任意妄为。不走运的是,本次事件激起了千层浪,抱怨之声不绝于耳,起因是微软在执行扣押No-IP域名过程中,不小心将一些合法的网站一并关闭。 你可以从这里阅读卡巴斯基实验室全球研究和分析团队主管Costin Raiu对本次事件的分析。 Miniduke重现江湖 Miniduke高级持续威胁(APT)活动重现江湖。卡巴斯基实验室的研究人员于去年2月份首先发现了这一恶意软件间谍活动。当时,主要被部署用于对欧洲的一些政府机构进行间谍活动。Miniduke在首次被发现时,即察觉到其与众不同之处。原因很多,比如使用推特对恶意软件进行部分的通讯,以及发送用于升级恶意软件的可执行文件到受感染设备,并隐藏于.gif文件中。 第二波攻击-查看星期四的安全清单文章-显示这一攻击行动经过一整年的中断后,无论从影响范围还是复杂程度而言都有所提高。此外,该攻击行动将目标对准了政府、军队以及能源组织,还从网上毒贩(尤其是出售荷尔蒙制剂和类固醇)那儿窃取资料。此外,一旦此次攻击行动部署的恶意软件成功从目标处窃取信息,随即将这些信息分成各个小部分后进行散播,使研究者想弄清这一攻击行动的难度加大。 作为Miniduke的升级版,Cosmicduke拥有了全新的工具,能够更加有效地窃取更多的信息。你可以阅读来自于Threatpost网站的完整新闻报道。 在#本周的安全新闻中,@微软继续对#NoIP的域名进行扣押以及#Miniduke #APT重现江湖: