俄罗斯政府分享了一份包含 17,576 个 IP 地址的列表,据称这些 IP 地址用于针对俄罗斯组织及其网络发起分布式拒绝服务 (DDoS) 攻击。
该列表由俄罗斯联邦安全局 (FSB) 创建的组织国家计算机事件协调中心 (NKTsKI) 共享,同时提供防御攻击的指南和包含攻击者引用域信息的第二个列表。
俄罗斯政府机构在一份通知中说: “在对俄罗斯信息资源进行大规模计算机攻击的情况下,国家计算机事件协调中心 (NCCC) 建议采取措施应对信息安全威胁。”
虽然 IP 列表没有提供有关攻击者身份的信息,但域列表指向欧盟和美国组织,包括 FBI 和 CIA 的站点(尽管可以欺骗引荐来源标头信息)。
另一个域指向 Google Docs 文档,其中包含有关如何在 Windows、macOS、iOS 和 Android 设备上使用开源低轨道离子炮 (LOIC) DDoS 攻击工具在联合 DDOS 攻击中针对俄罗斯资源的说明。
从 BleepingComputer 对 NKTsKI 的 IP 地址列表的审查来看,许多 IP 对应于住宅互联网用户,如果他们的政府决定不对他们的网络活动视而不见,他们可能会面临法律指控。
NKTsKI 共享的 DDoS 防御建议包括:
虽然俄罗斯政府机构没有提供证据来支持其说法,但该警告与乌克兰副总理米哈伊洛·费多罗夫(Mykhailo Fedorov )宣布成立“IT军队”一致以支持该国“网络战线”的说法一致。
IT 军队是在乌克兰国防部开始 招募乌克兰的地下黑客社区 以帮助应对针对俄罗斯的网络攻击之后创建的。
自组装以来,IT 陆军成员已经使用 Telegram 频道协调了他们的工作,他们还可以访问俄罗斯目标列表。
该名单包括 30 多个目标,例如俄罗斯政府机构、IP 地址、存储设备和邮件服务器,以及国有银行、支持俄罗斯关键基础设施的大公司,以及 Yandex 俄罗斯搜索等知名俄罗斯科技巨头引擎和电子邮件门户。
乌克兰 IT 军队的成立是由乌克兰安全局 (SSU) 所称的“大规模混合战争浪潮”推动的。
这一波攻击包括 针对乌克兰政府机构和国有银行的DDoS 攻击、 破坏性恶意软件攻击 [1、2 ]以及 针对乌克兰军方的网络钓鱼活动。
在看到俄罗斯军队入侵乌克兰并参与针对俄罗斯组织的网络攻击之后,您可能很想加入乌克兰的 IT 军队。
但是,重要的是要了解 您可能会使事情变得更糟并记住法律后果,因为无论您选择什么目标, 拒绝服务攻击、破坏网络和破坏网站 在大多数国家都是非法的。
威胁参与者正在使用被盗的 NVIDIA 代码签名证书对恶意软件进行签名,使其看起来值得信赖,并允许在 Windows 中加载恶意驱动程序。
本周,NVIDIA 证实他们遭受了网络攻击,威胁参与者可以窃取员工凭证和专有数据。
名为 Lapsus$ 的勒索组织表示,他们在攻击期间窃取了 1TB 的数据,并在 NVIDIA 拒绝与他们谈判后开始在线泄露数据。
泄露的内容包括两个被盗的代码签名证书,NVIDIA 开发人员使用它们来签署他们的驱动程序和可执行文件。
代码签名证书允许开发人员对可执行文件和驱动程序进行数字签名,以便 Windows 和最终用户可以验证文件的所有者以及它们是否被第三方篡改。
为了提高 Windows 的安全性,微软还要求在操作系统加载内核模式驱动程序之前对其进行代码签名。
在 Lapsus$ 泄露 NVIDIA 的代码签名证书后, 安全研究人员很快发现 这些证书被用于签署恶意软件和威胁参与者使用的其他工具。
根据上传到 VirusTotal 恶意软件扫描服务的样本,被盗证书被用于签署各种恶意软件和黑客工具,例如 Cobalt Strike 信标、Mimikatz、后门和远程访问木马。
例如,一个威胁参与者使用该证书对 Quasar 远程访问木马进行签名,而其他人使用该证书对 Windows 驱动程序进行签名。
安全研究人员 Kevin Beaumont 和 Will Dormann 表示,被盗证书使用以下序列号:
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518其中一些文件可能由安全研究人员上传到 VirusTotal,但其他文件似乎被威胁参与者用于恶意软件活动 [ 1、2 ]。
虽然两个被盗的 NVIDIA 证书都已过期,但 Windows 仍允许将使用证书签名的驱动程序加载到操作系统中。
因此,使用这些被盗的证书,威胁参与者获得了使他们的程序看起来像合法的 NVIDIA 程序并允许 Windows 加载恶意驱动程序的优势。
为了防止在 Windows 中加载已知的易受攻击的驱动程序,微软企业和操作系统安全总监 David Weston 在推特上表示,管理员可以配置 Windows Defender 应用程序控制策略 来控制可以加载哪些 NVIDIA 驱动程序。
但是,使用 WDAC 并不是一件容易的事,尤其是对于非 IT 的 Windows 用户。
由于存在滥用的可能性,希望以后将被盗的证书添加到微软的证书吊销列表中,以防止恶意驱动程序加载到 Windows 中。
但是,这样做也会导致合法的 NVIDIA 驱动程序被阻止,因此我们可能不会很快看到这种情况发生。
Adafruit 披露了由于可公开查看的 GitHub 存储库而发生的数据泄漏。
该公司怀疑这可能允许在 2019 年或之前“未经授权访问”有关某些用户的信息。
Adafruit 总部位于纽约市,自 2005 年以来一直是开源硬件组件的生产商。该公司设计、制造和销售电子产品、工具和配件。
3 月 4 日星期五,Adafruit 宣布一个可公开访问的 GitHub 存储库包含一个数据集,其中包含一些用户帐户的信息。这些信息包括:
据 Adafruit 称,该数据集不包含任何用户密码或信用卡等财务信息。但是,垃圾邮件发送者和网络钓鱼攻击者可能会利用真实用户数据(包括订单详细信息)的曝光来瞄准 Adafruit 的客户。
有趣的是,数据泄露并非来自 Adafruit 的 GitHub 存储库,而是来自一名前员工。似乎一名前员工在其 GitHub 存储库中使用真实的客户信息进行培训和数据分析操作。
“在收到有关无意披露的通知后 15 分钟内,Adafruit 与前员工合作,删除了相关的 GitHub 存储库,并且 Adafruit 团队开始了取证过程,以确定哪些以及是否有任何访问权限以及涉及什么类型的数据,”公司解释道。
目前,Adafruit 并不知道暴露的信息被对手滥用,并声称它正在“为了透明度和问责制”而披露这一事件。
但是,该公司已决定不向每个用户发送有关此事件的电子邮件。 更新:本报告发布后,Adafruit 已修改其立场,现在表示它确实会向用户发送电子邮件。
“我们感谢社区和客户的反馈,并将通过电子邮件向用户发送作为本披露的一部分。对于没有在 2022 年 3 月 4 日星期五发布/披露的同时这样做,我们深表歉意,”该公司表示.
Adafruit 解释说,尽管所有安全披露都发布在公司的博客和安全页面上,但用户无需执行任何操作,因为数据分析集中没有暴露密码或支付卡信息。
“我们评估了风险并咨询了我们的隐私律师和法律专家,并采取了我们认为适当缓解任何问题的方法,同时保持公开和透明,并且不认为直接发送电子邮件在这种情况下有帮助,”Adafruit 的董事总经理 Phillip Torrone,而创始人 Limor “Ladyada” Fried 此前曾表示。
但是,并不是所有的 Adafruit 客户都相信,我们会就该事件发送一些要求很高的电子邮件通知:
俄罗斯当局正在起草一套措施,以支持该国经济抵御外国制裁的压力,而在软件许可方面,该提案为一种盗版行为开了绿灯。
更具体地说,建议的计划是建立一个“单边”软件许可机制,无需版权或专利所有者的同意就可以更新过期的许可。
此特殊程序适用于版权所有者来自支持对俄罗斯实施制裁的国家且仅适用于没有可用俄罗斯替代品的产品的情况。
此举是为了应对众多软件供应商退出俄罗斯市场并暂停新的许可证销售,其中最著名的是微软、思科、甲骨文、英伟达、IBM、英特尔和 AMD。
俄罗斯联邦民法典第 1360 条允许政府“在未经专利权人同意的情况下使用发明、实用新型或工业设计”,只要通知专利权人并支付合理费用即可.
“为了国家安全,俄罗斯联邦政府有权在未经专利权人同意的情况下允许使用发明、实用新型或工业品外观设计,但须尽快通知他并支付他获得了合理的报酬,”俄罗斯联邦民法典解释道。
在对俄罗斯民法典的多项拟议修正案中,俄罗斯数字化转型部希望绕过对受到制裁限制的许可证持有人的补偿,以便他们可以继续使用该软件。
“修订俄罗斯联邦民法典第 1360 条关于使用许可和其他类型的 RIA 权利以及取消对来自已加入联邦制裁法的州的外国公司的补偿,”翻译的内容如下 提出的修正。
俄罗斯数字化转型部希望,尽管严厉制裁打击了俄罗斯经济,但这一紧急措施将有助于维持当地经济的惯性。
当然,依赖云服务或在线验证的软件产品将停止工作,因为在这些情况下单方面签名无法帮助超越限制。
从本质上讲,该提案只是为了减轻在俄罗斯使用盗版软件的法律影响,否则该国将非常严格地执行该措施,甚至被滥用为网站屏蔽的借口。
侵犯版权和相关权利是俄罗斯刑法的一部分,最高可判处六年监禁和最高 500,000 卢布的罚款,或违反者三年的工资。
然而,俄罗斯国家并未将此措施称为盗版助长,并警告说侵犯版权仍是非法的并受到起诉,该规定不应被视为对使用盗版软件的责任的豁免。
尽管俄罗斯互联网监管机构一直试图通过对西方媒体采取前所未有的措施来审查信息,但似乎将整个国家与“免费”网络断开是唯一最终的解决方案。
所谓的“runet”,即俄罗斯的主权互联网,已经酝酿多年,据报道,去年夏天与该国所有大型互联网提供商合作,成功测试了实际部署。
今天,据称来自俄罗斯联邦数字营销和大众传播部副部长的泄露信件出现在推特上,其中包含对所有组织如何准备连接到 runet 的说明。
另一个关键问题是处理器,或者至少很快就会出现,因为俄罗斯很快就会面临短缺和过时的问题。
有鉴于此,国家试图将国产处理器推向公共部门的各个关键领域,甚至内政部也对此表示不满,并公开批评这些产品性能低下且容易过热。
最著名的例子是 MCST 制造的 Elbrus-8C,它是一款八核 1.3 GHz、70W TDP 处理器,采用过时的 28 纳米工艺制造,最高支持 DDR3-1600 内存。
2021 年 12 月,工贸部批准了一项 71 亿卢布的基金(当时为 9200 万美元),以帮助 MCST 加快开发新的更好的处理器。
三星电子周一证实,其网络遭到入侵,黑客窃取了机密信息,包括 Galaxy 智能手机中的源代码。
正如 BleepingComputer 首次报道的那样,数据勒索组织 Lapsus$ 于上周末泄露了声称从三星电子窃取的近 190GB 档案。
不到一周前,同一组织发布了来自 Nvidia 的 20GB 存档文件,攻击者声称这些文件是他们在访问公司网络一周后窃取的 1TB 数据缓存的一部分
Lapsus$ 分享了他们声称来自三星的数据以及内容描述。如果摘要是准确的,那么三星已经遭受了重大数据泄露,其许多技术和算法的详细信息现已公开。
周末,记者多次联系北美和韩国的三星,就泄露和据称从该公司窃取的数据发表评论,但未收到回复。
在今天的一份声明中,该公司向彭博社证实,在安全漏洞之后,未经授权的一方可以使用“某些内部公司数据”。
“根据我们的初步分析,此次泄露涉及一些与 Galaxy 设备操作相关的源代码,但不包括我们的消费者或员工的个人信息”——三星
该公司代表没有说明入侵者在泄露专有信息之前是否提出了任何要求,就像在 Nvidia 泄露事件中发生的那样。
Lapsus$ 表示,他们正在推迟泄露英伟达的其余信息,因为他们正在与买家进行谈判。
从三星泄露的缓存要大得多,据称包括三星 TrustZone 环境中该公司受信任小程序的详细信息,该小程序负责硬件加密、二进制加密和访问控制等敏感任务。
黑客还声称,该转储包括 Knox 的源代码,这是三星在其大多数设备上存在的专有安全和管理框架。
诈骗者冒充政府官员和执法部门,针对美国人的钱财或个人身份信息 (PII) 进行积极且猖獗的勒索计划。
网络犯罪分子使用属于美国知名政府和执法机构的虚假凭证。
联邦调查局在周一发布的公共服务公告中透露,他们还在这些诈骗企图中欺骗了真实的电话号码。
联邦调查局警告说:“联邦调查局警告公众注意正在进行的广泛欺诈计划,其中骗子冒充执法人员或政府官员,企图勒索钱财或窃取个人身份信息。”
“诈骗者会使用紧急和咄咄逼人的语气,拒绝与目标受害者以外的任何人交谈或留言;并敦促受害者不要告诉任何人,包括家人、朋友或金融机构,正在发生的事情。 "
目标因各种虚假原因而受到逮捕、起诉或监禁的威胁,或者因为他们受到数据泄露的影响或他们的文件已过期需要更新而被要求提供敏感信息。
那些被勒索并受到虚假法律后果威胁的人被告知使用预付卡或海外电汇支付各种金额。有些人还被要求使用现金支付,无论是通过邮件还是通过加密货币 ATM。
但是,正如 FBI 所说,政府官员或执法机构永远不会通过电话联系要求付款或要求提供个人/敏感信息。
联邦调查局补充说,只有在合法的法律行动或调查之后,才会亲自或通过正式信件与您联系。在要求提供凭据以验证警察或政府官员的身份之前,您绝不应遵守任何要求。
正如美国联邦执法机构在今天的公告中进一步解释的那样:
今天的 PSA 是在 FBI 在 2 月警告称 BEC(商业电子邮件泄露)诈骗者 在虚拟会议中冒充 CEO 并越来越多地针对美国组织和个人之后发布的。
该联邦机构还表示,网络犯罪分子正在 升级 SIM 卡交换攻击 ,通过劫持目标的电话号码窃取数百万美元。
罗马尼亚的 Rompetrol 加油站网络遭到勒索软件攻击。
KMG International 的子公司 Rompetrol 今天宣布,它正在处理一场“复杂的网络攻击”,迫使其关闭其网站和加油站的 Fill&Go 服务。
今天,罗马尼亚的石油供应商 Rompetrol 宣布它正在与“复杂的网络攻击”作斗争。
BleepingComputer 了解到 Hive 勒索软件团伙是这次攻击的幕后黑手,他们要求数百万的赎金。
Rompetrol 是罗马尼亚最大的炼油厂 Petromidia Navodari 的运营商,该炼油厂的年加工能力超过 500 万吨。
作为最大的石油公司之一,KMG International 在欧洲、中亚和北非的 15 个国家开展业务。KMG 的主要活动涉及炼油、营销、贸易、生产和石油工业服务,如钻井、EPCM 和运输。
“今晚,Rompetrol 面临复杂的网络攻击,”该子公司今天在 BleepingComputer 看到的 Facebook 帖子中宣布:
BleepingComputer 还观察到 KMG 和 Rompetrol 网站截至今天都无法访问,并且 Fill&Go 应用程序不再工作。不过,我们了解到,该公司的电子邮件系统(Microsoft Outlook)仍然正常工作。
KMG 已通知罗马尼亚国家网络安全局 (DNSC),该局一直与该组织保持联系,以解决问题并提供必要的帮助。
“为了保护数据,该公司暂时暂停了网站和 Fill&Go 服务的运营,包括车队和私人客户,”石油供应商表示。
“Rompetrol加油站的活动正常进行,客户可以选择现金或银行卡付款。”
根据 BleepingComputer 的匿名提示,攻击者还访问了 Petromdia 炼油厂的内部 IT 网络。
但是,Rompetrol 表示,Petromidia 炼油厂的运营并未受到影响。
该公司在给员工的一封电子邮件中表示,该攻击是在周日 21:00(当地时间)检测到的,它影响了“大部分 IT 服务”。
BleepingComputer 获悉 Hive 勒索软件团伙是对 KMG 子公司 Rompetrol 的攻击的幕后黑手。
我们还了解到,Hive 要求 Rompetrol 支付 200 万美元的赎金,以接收解密器并且不泄露据称被盗的数据。
Hive 勒索软件团伙比其泄密网站显示的更加活跃和激进,自 2021 年 6 月下旬该行动曝光以来,其附属机构平均每天攻击三家公司。
众所周知,该组织采用了多种策略、技术和程序,这使得组织难以防御其攻击,正如 FBI早些时候所说的那样。
Hive 去年对 Memorial Health System 的攻击导致手术和诊断手术被取消,以及患者数据被盗。
在袭击发生之前,KMG在周末宣布Rompetrol Rafinare 将在 3 月 11 日至 4 月 3 日期间暂停其运营,作为计划维护的一部分:
“技术停产是炼油厂正常运转的必要条件,也是集团总体战略的一部分,通过该战略制定了精确的活动日历,每 4 年进行一次大修,每 4 年安排一次技术停产。 2年,”KMG早些时候说。
在 PTC 的 Axeda 代理中发现了一组被统称为 Access:7 的七个漏洞,该解决方案用于远程访问和管理来自 100 多家供应商的 150 多个连接设备。
其中三个安全问题的严重性评分至少为 9.4(严重),可被利用在运行易受攻击版本的 Axeda 代理的设备上远程执行代码。
Axeda 平台由 Parametric Technology Corporation (PTC) 开发,通过本地部署的代理提供来自网络上物联网设备的遥测数据和远程服务选项。
Axeda 代理可以在各种连接系统上运行,医疗保健行业的设备更为普遍,这使得它们成为供应链攻击的有吸引力的目标。
Forescout 的 Vedere Labs 和 CyberMDX(自 2 月 1 日以来是 Forescout 公司)的安全研究人员发现,所有低于 6.9.3 的 Axeda 代理版本都容易受到一组七个安全漏洞的攻击。
被称为 Access:7,这些问题的影响范围从信息泄露和拒绝服务 (DoS) 到远程代码执行。
| CVE-ID | 描述 | 影响 | 严重性评分 |
|---|---|---|---|
| CVE-2022-25249 | Axeda xGate.exe 代理允许通过其 Web 服务器上的目录遍历进行无限制的文件系统读取访问 | 信息披露 | 7.5 |
| CVE-2022-25250 | 未经身份验证的攻击者可以通过未记录的命令远程关闭 Axeda xGate.exe 代理 | 拒绝服务 (DoS) | 7.5 |
| CVE-2022-25251 | Axeda xGate.exe 代理支持一组未经身份验证的命令来检索有关设备的信息并修改代理的配置 | RCE | 9.4 |
| CVE-2022-25246 | AxedaDesktopServer.exe 服务使用硬编码凭据来启用对设备的完全远程控制 | RCE | 9.8 |
| CVE-2022-25248 | ERemoteServer.exe 服务向未经身份验证的攻击者公开实时事件文本日志 | 信息披露 | 5.3 |
| CVE-2022-25247 | ERemoteServer.exe 服务允许完整的文件系统访问和远程代码执行 | RCE | 9.8 |
| CVE-2022-25252 | 所有使用 xBase39.dll 的 Axeda 服务都可能在处理请求时由于缓冲区溢出而崩溃 | 拒绝服务 (DoS) | 7.5 |
Forescout 说, Axeda 平台 为联网设备制造商提供了一个开发套件,让他们“为产品线生成配置的代理安装”。
通过这种方式,制造商可以获得遥测数据,设备可以远程接收服务。一个代理可以代表一个或多个设备,具体取决于它所在的位置:如果放置在网关上,它可以在网关后面为多个产品或资产提供服务。
值得注意的是,PTC 逐步淘汰了 Axeda,转而使用一个不同的、更灵活的平台,称为 ThingWorx。尽管如此,Axeda 仍被各行各业的客户使用。
Forescout 通过其设备云解决方案收集的匿名客户数据显示,超过 2,000 台独特的设备在其网络上运行 Axeda。
在今天的一份报告中,Forescout 解释说,就医疗设备而言,即使是不太严重的 Access:7 漏洞也会产生重大影响。
例如,攻击者通过在成像或实验室设备上利用 CVE-2022-25249 获得读取访问权限(根据 Forescount 数据,Axeda 代理更存在这些设备)可以窃取有关患者的受保护健康信息 (PHI) 或诊断并将其出售如果它是一个高价值的受害者,就可以获利。
同样,利用 CVE-2022-25250 之类的漏洞,攻击者可以在有针对性的攻击中关闭设备上的 Axeda 代理,从而无法进行远程服务。这可能导致医疗保健单位中断治疗或诊断患者。
由于存在 CVE-2022-25246(用于远程访问的硬编码凭据)等严重漏洞,Forescout 强调“VNC 连接的密码在供应商的所有型号或型号系列中都是相同的”。
研究人员强调,VNC 连接还可用于修改医疗信息,这可能对患者造成严重后果(例如虐待)。
或者,攻击者可以利用这一优势植入恶意代码,使他们能够在网络上持久存在以应对未来的攻击。
Forescout 的 Vedere Labs 和 CyberMDX 发现了组安全漏洞,两家公司都参与了负责任的披露。
这是一个漫长的过程,就像涉及大量设备和供应商的供应链漏洞一样。在这种情况下,从初次报告到公开披露经过了 210 天。
PTC 于 8 月 10 日收到了 CyberMDX 的一份报告,然后要求进行概念验证漏洞利用,以表明这些漏洞可以在实际攻击中被利用。
2021 年 11 月,PTC 通知 CISA 进行协调披露。2022 年 1 月,PTC 开始通知下游供应商(仅限活跃客户)。
为将风险降至最低,Forescout 创建了一份来自尽可能多的供应商的当前使用或曾经使用过 Axeda 的设备列表,即使他们是不活跃的 Axeda 客户,并向他们发出漏洞警报。
Axeda 已解决所有漏洞,设备制造商应向客户推出他们的修复程序,因为修补是完全缓解问题的唯一方法。
近日,美国联邦调查局、网络安全和基础设施安全局联合发布了一份告警称,Ragnar Locker勒索组织正大规模攻击美国关键基础设施。截至2022年1月,FBI已经确定,在受攻击的10个关键基础设施中,至少有52个关键基础设施被入侵,涉及关键制造业、能源、金融服务、政府和信息技术领域等领域。
资料显示,RagnarLocker勒索软件首次出现在2019年12月底,2020年4月被FBI发现,并一直活跃至今。勒索软件的代码较小,在删除其自定义加壳程序后仅有48KB,并且使用高级编程语言(C/C++)进行编码。如同所有勒索软件一样,该恶意软件的目标是对可以加密的所有文件进行加密,并提出勒索,要求用户支付赎金以进行解密。
作为一个老牌勒索家族的变种,RagnarLocker勒索软件经常更改混淆技术以避免检测和预防。因此,此次FBI和CISA联合发布警告侧重于提供可用于检测和阻止Ragnar Locker勒索软件攻击的入侵指标 (IOC),包括有关攻击基础设施的信息、用于收集赎金的比特币地址以及该团伙运营商使用的电子邮件地址。
Ragnar Locker勒索组织的终止托管服务提供商 (MSP) 使用的是远程管理软件,包括ConnectWise、Kaseya,以此远程管理那些受感染的企业。而且这还有利于攻击者躲避系统检测,确保程登录的管理员不会干扰或阻止勒索软件部署过程。
FBI要求所有检测到Ragnar Locker勒索软件的企业和政府部门安全管理员或专家,应尽早与本地的FBI Cyber Squad联系并共享攻击的相关信息。此举将有助于识别该勒索软件背后的攻击者真实信息,包括勒索票据副本、勒索要求、恶意活动时间表、有效负载样本等。
同时FBI希望被勒索的企事业单位尽量不要向Ragnar Locker勒索组织支付赎金,因为即便支付了赎金也无法保证数据可以解密,或不被泄露。相反,支付赎金将进一步刺激勒索组织发起更广泛的攻击,并吸引更多的攻击者加入到勒索的队伍中。
当然,FBI也表示Ragnar Locker确实会给企业带来严重的伤害,这可能会迫使企业支付赎金,以此保护股东、客户和员工的权益。在告警中FBI还分享了阻止此类攻击的缓解措施,并强烈督促受害者第一时间向FBI报告该攻击事件。
近日乌克兰局势不断升级,直到今天,发展成为全面的战争行为,除了目前牵动世界神经的战争局势发展态势,还有伴随在战争之下频繁的网络战争。网络攻击一直伴随着本次冲突的发展而不断出现,成为本次战争的先行战场。根据目前的威胁情报信息来看,除了之前针对乌克兰国防部、外交部、教育部、内政部、能源部、武装部队等机构的大规模分布式拒绝服务攻击外,从昨天开始,一款用于攻击乌克兰的数据擦除恶意软件被部署在了乌克兰数百台重要机器上,造成了这些机器无法工作。
但从对战争的影响来看,这些攻击或许只能在战前给对方一定的威慑作用,并不会对战争产生多少影响,但是从11点开始的定点清除行动,需要事先对目标的重要设施和人员有精确的了解,这让我们想到去年追踪到的一系列针对乌克兰边防局和乌克兰国防部网络间谍活动,间谍活动以“COVID-19Vaccine”、“向 ATO 退伍军人付款”、“紧急更新!!!”、“乌克兰总统令 №186_2021”等内容诱饵进行攻击,这一系列网络间谍活动或许也是战前准备所做的重要的一步。报告见我们2021年8月发布的《针对乌克兰边防局和国防部攻击活动深度分析》报告。
本文将根据目前已经监控的攻击情况结合公开的情报对本次冲突下的网络攻击分析梳理和分析,同时进一步的对近日出现的新型数据擦除恶意软件进行深入剖析。
从2022年1月13日开始,就出现了一款针对乌克兰政府和商业实体的新型破坏性恶意软件“ WhisperGate ”,目标指向乌克兰的政府、非营利组织和信息技术实体,此时俄罗斯和乌克兰的地缘政治紧张局势正在酝酿之中,微软将这些攻击归因于代号为“ DEV-0586 ”的新型APT组织。紧接着的1月14日,乌克兰外交部、教育部、内政部、能源部等部门因受到大规模网络攻击而关闭;到2月15日时,乌克兰国防部、武装部队等多个军方网站、以及乌克兰最大银行的两家银行 PrivatBank和Oschadbank网站因受到大规模网络攻击而关闭;2月23日,乌克兰部分国家和银行机构的网站再次受到大规模的DDoS攻击,而此时,俄罗斯已对乌克兰形成大军压境之势。同时,一款名为“ HermeticWiper ”(又名KillDisk.NCV)的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现,最新一轮的破坏型的网络攻击再次启动。
2月14日起,乌克兰重要军事、政府、教育、金融等部门的网络系统多次遭到大规模DDoS攻击,包括乌克兰国家公务员事务局(nads.gov.ua)、乌克兰政府新闻网站(old.kmu.gov.ua)、乌克兰国家储蓄银行(oschadbank.ua)、乌克兰国内最大商业银行(Privatbank.ua)以及乌克兰外交部、安全局等等重要机构均遭到攻击。DDoS攻击通过系统资源消耗的方式造成乌克兰众多关键基础设施和重要网络系统瘫痪,严重影响了乌克兰的社会秩序以及军队的作战指挥和调度,大大削弱了乌克兰的战时行动能力。乌克兰国家特殊通信和信息保护局多次发布网络攻击通告进行警示:
图1:乌克兰国家特殊通信和信息保护局多次发布网络攻击通告
图2:受攻击的乌克兰政府新闻网站(old.kmu.gov.ua)
图3:受攻击的乌克兰国家储蓄银行(oschadbank.ua)
随着俄乌安全局势的不断恶化,近期瞄准乌克兰地区的网络间谍活动显著增多。启明星辰ADLab持续捕获到多起针对乌克兰的网络钓鱼攻击,旨在探测与窃取目标的敏感信息。相关钓鱼文档以军事命令、政府文件等为诱饵实施网络窃密活动,目标主要包括乌克兰的军事、政府、金融等敏感行业。网络窃密攻击在网络战中地位极其重要,通过情报窃取可以及时掌握目标的核心机密情报并对后续的军事战略行动产生重大影响。涉及的部分诱饵文档如下所示:
诱饵文档一:伪装成乌克兰军事机构文件(提示用户检查恶意邮件)
图4:伪装成乌克兰军事机构文件
诱饵文档二:伪装成乌克兰国防部命令文件(包括乌克兰革命部队和乌克兰武装部队间的通信网络建设信息)
这批间谍攻击活动与我们2021年8月发布的《针对乌克兰边防局和国防部攻击活动深度分析》报告中涉及的攻击特征有很高的相似度,判断可能是该组织长期持续的间谍攻击活动。
2月23日起,一款名为“ HermeticWiper ”(又名KillDisk.NCV)的新型数据擦除恶意软件在乌克兰的数百台重要的计算机上被发现,涉及乌克兰的金融和政府承包商,导致相关组织的系统设备数据遭到摧毁。该恶意软件于2021年12月28日编译,并在2月23日首次部署,其中一次入侵涉及直接从Windows域控制器部署恶意软件,这表明攻击者已经控制了目标网络。这已经是本年第二起针对乌克兰重要部门的破坏型攻击事件,早在1月13日,就出现了一款针对乌克兰政府和商业实体的新型破坏性恶意软件“ WhisperGate ”,目标指向乌克兰的政府、非营利组织和信息技术实体,此时俄罗斯和乌克兰的地缘政治紧张局势正在酝酿之中,微软将这些攻击归因于代号为“ DEV-0586 ”的新型APT组织。针对此次新出现的“ HermeticWiper ”恶意软件,启明星辰ADLab迅速展开分析,相关技术分析如下。
恶意软件首先使用权限修改API函数,将自身进程的权限进行特权提升处理。
之后,再利用VerifyVersionInfoW和VerSetConditionMask(以此避免GetVersionEx无法判断Win7以上系统版本)来获取计算机操作系统版本,以及32或64位等信息。
从近期的观察来看,在战争发生之前,乌克兰和俄罗斯局势的升级都会伴随着相应的网络攻击,可以说,网络攻击似乎成为冲突背后用于压制对方的一种重要手段,除了可以破坏对手的网络基础设施外,还能对对手政府起到一定的威慑作用。当然本次战争背后,从最近发现的网络攻击(破坏计算机和DDoS攻击)来看,并不会对战争起到多大的作用,更像是一种心理战术。但我们不能排除其中可能存在隐秘攻击,能够对战争起到重要的作用,比如本次“定点清除攻击”所涉及到的情报工作,这其中有可能部分重要情报是通过网络间谍活动得到的,因为从以往针对乌克兰的间谍活动来看,网络攻击应该扮演过重要的角色,这其中包括我们在2021年8月的《针对乌克兰边防局和国防部攻击活动深度分析》报告中所揭示的一系列针对乌克兰的网络间谍活动。
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
