网络黑客组织APT28攻击国际田联

继世界反兴奋剂机构之后,国际田联也被网络黑客组织“APT28奇幻熊”给“盯”上了。

网络黑客组织APT28攻击国际田联-E安全

总部位于摩纳哥的国际田联3日发布公告,称“APT28奇幻熊”2月21日通过未经授权的远程途径危及其存有运动员“治疗用药豁免”申请的服务器。

国际田联今年1月联系到一家英国网络安全公司,对国际田联系统进行技术性调查,这家公司随后发现国际田联的系统遭到攻击,黑客组织从文件服务器中取出关于运动员“治疗用药豁免”的元数据,并将这些元数据存储到另一个新建文件中。

国际田联表示,尚不确定有经常盗取相关信息的行为,但黑客组织的兴趣和目的显而易见,并拥有随意获取文件内相关内容的途径和手段。

“运动员出于安全和保密考虑向国际田联提供相关信息,这应当作为我们的第一要务,”国际田联主席塞巴斯蒂安·科说,“对此我们表示最诚挚的歉意,并承诺在能力所及范围内尽一切努力挽救此事造成的影响。”

国际田联还表示,已经与2012年以来申请“治疗用药豁免”的运动员取得联系。

世界反兴奋剂机构数据库去年遭到“APT28奇幻熊”攻击,后者相继披露多批享有“治疗用药豁免”的运动员名单,“中招”的不乏威廉姆斯姐妹、拜尔斯、威金斯、纳达尔、福原爱等各项目明星运动员。

此后世界反兴奋剂机构发表声明,称该黑客组织来自俄罗斯的一家网络间谍机构,俄罗斯方面则否认与“奇幻熊”之间具有某种联系。俄罗斯总统普京发表声明,称“并不支持这样的 黑客 行为”,但同时也认为被曝光出来的资料应该引起公众的注意。0day

70年代早期知名黑客“嘎吱上尉”为术后康复在网上发起筹款活动

据外媒报道,70年代早期知名黑客约翰·德拉浦(John Draper,人称“嘎吱上尉”)曾是许多人的英雄,包括苹果联合创始人史蒂夫·沃茨尼亚克。然而现在,德拉浦病得很重。近日,他和他的朋友在网上启动了一个叫做GoFundMe的网页--用于为自己在3月28日接受的脊柱退变性疾病手术术后康复筹集资金。

70年代早期知名黑客“嘎吱上尉”为术后康复在网上发起筹款活动-E安全

约翰·德拉浦资料图

据了解,德拉浦术后康复将需要4到6个月的时间。如果他之前没有接受这一手术,那么他将可能要面临麻痹的危险。即便他现在已经接受了这一手术,他想要获得正常生活的几率仍旧只有50%。

GoFundMe将要为德拉浦筹集1.5万美元的资金。

德拉浦在个人Facebook上解释称,筹集的资金将能让他雇一个帮他送食物、买东西的人。另外他还谈到了目前的个人状况:“我现在躺在床上没法移动,所以我不得不依靠Siri。我想要感谢你们对我的关心和美好祝愿。”0day

日本计划花5-10年时间开发一套防黑客卫星系统

E安全4月4日讯 日本内政部与通信部计划开发一套通信系统,意在保护其卫星免受网络攻击影响。这套防黑客卫星系统将利用动态数据加密机制保护各卫星间与卫星至地面接收站间的传输过程。

日本计划花5-10年时间开发一套防黑客卫星系统-E安全

据美国纽约州水城市地方媒体《水城每日时报》报道,根据拟定之计划,日本政府的目标是建立一套安全的通信网络,旨在为日本提供独特的国内安全通信网络,同时刺激市场对于私营性质航空航天行业的投资。

作为一个极具野心的项目,这套防黑客卫星系统由日本国家信息通信技术研究所负责牵头——该机构隶属于通信部,并将在项目中引入多个政府机构、行业与学术组织。其目标是在未来五到十年内实现这套系统的商用化,通信部方面则将逐步制定一套方案以确保由私营部门(包括各企业与组织机构)运行的安全通信系统能够实现行业优势与成本效益。

关于这套防黑客卫星系统的最终决议将于今年夏季完成,而相关研发工作的资金则将被纳入2018财年的预算规划。

日本计划花5-10年时间开发一套防黑客卫星系统-E安全

网络攻击活动已经成为卫星通信领域的严重威胁,特别是卫星系统已然成为数字化社会当中至关重要的组成部分,几乎各个行业皆需要依赖于其服务。因此,卫星系统的安全保障也开始被纳入到全球各国政府网络安全战略当中并作为支柱性要求存在。

网络攻击者正对卫星运营商构成日益严峻的挑战,特别是考虑到商用卫星在安全水平方面相较于军事卫星往往存在巨大短板(关注E安全微信公众号EAQapp)。安全研究人员们正高度强调针对卫星系统的攻击活动可能造成的严重影响,同时敦促立足设计层面向其中引入更多安全防御机制。

卫星系统使用无线电波与地面基站进行通信,而黑客对此类内容进行拦截后很可能导致不可预知的严重后果。而有能力对加密数据进行解码的黑客,甚至能够窃取信息、篡改信息内容甚至获得对卫星的控制权。

针对卫星的网络攻击包括:干扰、欺骗以及攻击通信网络,或以控制系统或任务包为攻击目标,甚至可以攻击地面基础设施,比如卫星控制中心等。针对太空基础设施 的网络威胁包括:国与国之间的军事行动、资源丰富的犯罪组织寻求获得经济利益、恐怖组织宣传以及个人黑客想要炫耀技巧等。

各国政府则需要认真考虑民族国家支持型攻击者、犯罪集团乃至单一黑客发动之相关网络攻击威胁。据称国家资助型黑客曾分别于2007年到2008年对美国的两颗卫星进行干扰,且通过挪威地面站进行通信接入。这两颗卫星的主要功能在于进行气候监测。

当时,黑客们“对Terra AM-1卫星进行了全部入侵尝试”,但并未对其进行控制。一名获得了控制权限的攻击者甚至能够“拒绝、降级或者伪造乃至利用其它方式对卫星传输数据进行操纵”,或者简单采取破坏性操作及其它方式破坏卫星本体。

日本计划花5-10年时间开发一套防黑客卫星系统-E安全

去年8月,我们中国在酒泉卫星发射中心成功发射了世界上第一颗量子通信卫星“墨子号”,这项技术将有助于建立太空与地面间的“防御性”通信体系。

日本政府此次公布的项目计划在卫星上安装一套代码生成器,并利用其对数据进行动态加密。

动态代码将利用光束形式发送至地面基站。由于采用动态加密机制,因此黑客即使能够拦截传输内容,也很难成功实现数据解码。

这套代码生成器为一个小型立方体(每边长约10厘米),能够被轻松安装在发射企业开发的每侧边30到40厘米的微型卫星之上。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day

网络间谍活动月光迷宫已演变成Turla

Thomas Rid经过大量的调查分析,在近期的安全分析师峰会(SAS)报告中指出:Moonlight Maze(月光迷宫)网络间谍们已经演变成了目前的Turla。

网络间谍活动月光迷宫已演变成Turla-E安全

1996年10月7日,美国科罗拉多矿业大学遭遇网络入侵。入侵者利用设备上安装的SUN OS4操作系统中的漏洞袭击了一台位于该校布朗大楼(Brown Building)内、昵称为“Baby_Doe”的电脑。他们通过这台电脑辗转进入美国国家航空航天局、美国海军和空军总部及遍及全美的高校和军事机构的其他电脑。

此项间谍行动持续了数年,搜集了大量敏感信息。后续调查发现,在此期间搜集的数据如打印成稿,其堆积的高度可堪比华盛顿纪念碑。调查者还注意到,大量的入侵行动发生在夜间。基于这一事实及入侵者袭击网络的交错复杂性,此次事件得名“月光迷宫”。随着调查的继续深入,入侵者渐出水面:俄罗斯特工。

严格意义上说,“月光迷宫”行动已停止。但此次间谍活动的代号蜂拥出现在杂志封面,甚至调查者所穿的T-shirt上。但这个代号已经成为了针对美国境内大量目标的俄罗斯网络间谍行动的代表。

年度卡巴斯基实验室在会议期间, Rid、Costin Raiu 和 Juan Andres Guerrero-Saade 提出了更多的证据,证明明确讲俄语的 apt,熟练的通过卫星链路劫持、政府网站水坑攻击、隐蔽后门、 rootkits,等手段窃取敏感西方目标机密。而上述一切似乎与 Agent.BTZ有着密不可分的联系。

网络间谍活动月光迷宫已演变成Turla-E安全

Agent.BTZ是Virus Bulletin 2014年由 Kurt Baumgartner发现的样本,该样本使用了卫星IP劫持技术,而这与后来Turla升级版使用的技术极为相似。

早期的月光迷宫针对诸如 Sun Solaris的UNIX 系统,而今天的 Turla APT目标则是Windows ,这么大的差距间是如何被关联起来的?

2014 年卡巴斯基宣布发现了 Penquin Turla(第一代),当时它利用的是开放源码 LOKI2 后门。LOKI2 是Alhambra 和 daemon9 在90年代后期于Phrack (杂志)发布的。(Penquin仍然在西方盛行,最新的版本1个月前在德国某系统中被发现)

Guerrero-Saade称:目前还没有看到任何其它攻击者利用该工具,这是月光迷宫攻击者的最爱~!在卡巴的45个月光迷宫的样本中9个利用了该后门。

他同时指出:可怕之处在于,20多“岁”的恶意软件在重新包装后仍然有效。编写于 1999 年,而链接的二进制文件,例如 Linux 2.2.0 和 2.2.5 libpcap  版本 ,21 世纪初的OpenSSL 从。从 2011年到上个月针对德国一个目标中仍然被发现了。

有趣的是侦察背后的故事:

谁有多年前被月光迷宫破坏的 Solaris 服务器呢?来自英国的管理员David Hedges帮了大忙。他与伦敦警察、FBI合作,保存了服务器的键盘记录和二进制文件移动记录,现在被称为 HRTest。

网络间谍活动月光迷宫已演变成Turla-E安全

Thomas Rid, David Hedges, Daniel Moore, and Juan Andres Guerrero-Saade

研究人员找到Hedges时,他已经是半退休状态了。但Hedges的服务器仍然运行,他共享了访问日志,以及 43个月光迷宫攻击中的二进制文件和一个工具包。(这个管理员   太  牛  了   吧~!)

研究人员称,下一步会把重点放在一个代号为风暴云(Storm Cloud)的计划中。通过超越“历史价值”的理解,审视恶意软件,发现“蛀虫”。0day