盤點:國外安全事務網 2022點擊率最高的十大新聞
與俄羅斯有關的威脅行為者可能是德克薩斯州液化天然氣廠爆炸的幕后黑手
德克薩斯州一家液化天然氣廠在6 月 8 日發生爆炸。爆炸發生在德克薩斯州金塔納島的自由港液化天然氣(Freeport LNG)液化廠和出口碼頭。此次事故將對自由港液化天然氣的運營產生持久的影響。
華盛頓時報國家安全作家Rogan證實,德克薩斯州的液化天然氣設施爆炸與 XENOTIME等APT組織進行的黑客活動一致。隨后Rogan補充說,該公司確實擁有運營技術/工業控制系統網絡檢測系統。不過Freeport LNG卻否認了將網絡攻擊視為事件發生的根本原因。“除非Freeport LNG適當部署了OT/ICS網絡檢測系統并完成了取證調查,否則不能排除網絡攻擊,”羅根反駁說。另外兩位與羅根交談的消息人士稱,在俄羅斯發動對烏克蘭的入侵期間,俄羅斯GRU軍事情報部門的一個網絡部門對Freeport LNG進行了目標偵察行動。
4 億 Twitter 用戶的數據出售
一個威脅行為者聲稱他們已經獲得了400,000,000名Twitter用戶的數據并試圖出售這些數據。賣家聲稱該數據庫是私人的,他提供了1,000個帳戶的樣本作為索賠證明,其中包括 Donald Trump JR、Brian Krebs 等知名用戶的私人信息。
賣家是名為 Ryushi 的數據泄露論壇的成員,聲稱數據是通過漏洞抓取的,其中包括名人、政客、公司、普通用戶的電子郵件和電話號碼,以及大量 OG 和特殊用戶名。賣家還邀請 Twitter 和 Elon Musk 購買數據以避免 GDPR 訴訟。
3匿名者組織入侵俄羅斯國防部
在匿名者組織呼吁對俄羅斯非法入侵烏克蘭后采取行動幾個小時后,其成員關閉了俄羅斯宣傳站 RT News 的網站,當天的新聞是對俄羅斯國防部服務器的攻擊。克里姆林宮 ( Kremlin.ru ) 的網站也無法訪問,但尚不清楚這是匿名攻擊的結果,還是政府已將其下線以防止破壞性攻擊。
據悉,俄羅斯政府的門戶網站和其他相關網站運行速度非常慢。匿名者指出,它不是針對俄羅斯公民,而是針對他們的政府。該組織還泄露了來自白俄羅斯武器制造商 Tetraedr 的大約 200GB 電子郵件。該公司為弗拉基米爾普京入侵烏克蘭提供后勤支持。
匿名者組織破壞白俄羅斯鐵路的內部網絡
匿名組織宣布白俄羅斯鐵路內部網絡遭到破壞,該組織聲稱已阻止所有服務并將停用這些服務,直到俄羅斯軍隊離開白俄羅斯領土。襲擊的目的是為了擾亂占領軍的部署,給烏克蘭人更多的時間來擊退襲擊。
這次襲擊迫使白俄羅斯鐵路切換到手動控制模式,對導致列車運行速度放緩的運營產生了重大影響。這些襲擊并沒有將民眾置于危險之中,而是旨在干擾一個在入侵烏克蘭的同時向俄羅斯提供支持的國家的交通。在撰寫本文時,無法訪問網站 pass.rw.by、portal.rw.by、rw.by。
據悉,該組織還從白俄羅斯武器制造商 Tetraedr 竊取了大約 200GB 的電子郵件。該公司在俄烏沖突期間為弗拉基米爾普京提供后勤支持。
黑客用幾秒鐘攻破了俄羅斯重要的部門
短短幾秒鐘內,一名黑客遠程訪問了屬于俄羅斯地區衛生部的一臺計算機,利用草率的網絡安全實踐暴露了其整個網絡。希望保持匿名的Spielerkid89無意傷害該組織并保持了其系統的完好無損。然而,他的實驗是一個完美的例子,說明糟糕的網絡衛生如何使組織容易受到網絡攻擊。
據悉,Spielerkid89 連接到屬于俄羅斯鄂木斯克地區衛生部的計算機。要遠程訪問部門員工的桌面,黑客不需要任何密碼或身份驗證——他可以通過開放的 VNC 端口訪問該計算機上的所有文件和信息。
匿名者組織從俄羅斯中央銀行竊取了 28GB 數據
匿名者組織宣布附屬組織 Black Rabbit World 泄露了從俄羅斯中央銀行竊取的 28 GB 數據多達35,000 份文件,并宣布在48小時內泄漏被盜文件。
匿名者組織聲稱,被盜文件包括俄羅斯的經濟機密。對一個國家中央銀行的攻擊可能對其國內政治產生重大影響。中央銀行制定國家的經濟政策,管理國家的貨幣,維持價格穩定,并監督當地銀行。
專家調查WhatsApp數據泄露5億用戶記錄待售
11 月 16 日,威脅行為者在知名黑客社區論壇上發布了一則廣告,聲稱他們正在出售一個包含2022年4.87億WhatsApp用戶手機號碼的數據庫。據稱該數據集包含來自84個國家/地區的WhatsApp用戶數據。威脅行為者聲稱其中包含超過 3200 萬條美國用戶記錄。
另一大塊電話號碼屬于埃及(4500 萬)、意大利(3500 萬)、沙特阿拉伯(2900 萬)、法國(2000 萬)和土耳其(2000 萬)的公民。據悉,待售數據集還包含近 1000 萬俄羅斯公民和超過 1100 萬英國公民的電話號碼。
Claroty專家設計了一種繞過多家供應商的Web應用程序防火墻 (WAF) 的技術
該技術是在對 Cambium Networks 的無線設備管理平臺進行不相關研究時發現的。
研究人員發現了一個 Cambium SQL 注入漏洞,他們用它來竊取用戶的會話、SSH 密鑰、密碼哈希、令牌和驗證碼。專家指出,他們能夠利用本地版本的 SQL 注入漏洞,而針對云版本的黑客攻擊嘗試被亞馬遜網絡服務 (AWS) WAF 阻止。專家們研究了如何繞過 AWS WAF。將 JSON 語法附加到 SQL 注入負載可以繞過 WAF,因為它無法解析它。
Claroty 研究人員使用 JSON 運算符“@<”將 WAF 置于循環中并提供惡意 SQLi 負載。
研究人員證實,旁路攻擊技術也適用于其他供應商的防火墻,包括 Cloudflare、F5、Imperva 和 Palo Alto Networks。
與俄羅斯有關聯的 Sandworm 持續對烏克蘭發動攻擊
Sandworm(又名BlackEnergy和TeleBots)自 2000 年以來一直活躍,在俄羅斯 GRU 特殊技術主要中心 (GTsST) 的74455 單元的控制下運行。該組織還是 NotPetya 勒索軟件的作者,該軟件 于 2017 年 6 月襲擊了全球數百家公司,造成數十億美元的損失。
4 月,Sandworm使用新變種的Industroyer ICS 惡意軟件 (INDUSTROYER2) 和新版本的 CaddyWiper 擦拭器,將烏克蘭的能源設施作為目標 。
“埃及泄密事件”黑客行為者正在泄露財務數據
Resecurity 是一家總部位于加利福尼亞的網絡安全公司,為全球財富 500 強企業提供保護,它注意到一群新的黑客行動主義者以埃及的金融機構為目標。不良行為者在“EG Leaks”(也稱為“Egypt Leaks”)運動下,開始在暗網上泄露屬于埃及主要銀行客戶的大量受損支付數據。首次提及此活動是在 Telegram 頻道中檢測到的,該頻道旨在泄露包含 12,229 張信用卡的 Excel 文件。
泄露的數據包括對屬于埃及主要銀行潛在客戶的 PII 的引用——包括埃及國家銀行、埃及匯豐銀行、亞歷山大銀行、Banque Misr、Alexbank、埃及農業信貸銀行和其他多家銀行。
