俄罗斯黑客组织APT29试图窃取新冠疫苗信息
近日,据Wired报道,英国、美国和加拿大情报机构声称俄罗斯国家黑客组织(APT29)针对新冠病毒疫苗项目发起针对性攻击。
上述三国情报官员声称,有证据表明黑客组织APT29成员攻击了参与疫苗开发的制药企业和学术机构。这三个国家的官员认为,这是试图窃取知识产权和有关潜在疫苗候选者的信息的尝试。
黑客使用了以前未与俄罗斯关联的“自定义恶意软件”,以及其他广泛使用的软件中的许多众所周知的漏洞。这些攻击采用了鱼叉式钓鱼攻击方式,试图将登录详细信息收集到目标组织系统的联网存储器中。
三国情报机构对俄罗斯发动攻击的证据充满信心,以至于英国的国家网络安全中心(NCSC),加拿大通信安全机构和包括美国国家安全局和国土安全部在内的各种美国安全机构罕见地决定公开谴责APT29为幕后黑手,与此同时,英国政府也认定俄罗斯试图影响2019年大选。
西方情报机构普遍认为APT29与俄罗斯情报部门有关,并且近年来参与大量网络攻击,其中包括在2016年美国总统大选之前对民主党全国委员会的黑客攻击。在针对美国的黑客攻击中,APT29与俄罗斯黑客组织Fancy Bear和APT28协同工作。
NCSC运营总监保罗·奇切斯特(Paul Chichester)表示:“我们谴责对那些为打击冠状病毒大流行所做的重要工作的卑鄙攻击。” NCSC还发布了一份咨文,详细说明了APT29在攻击疫苗开发过程中所付出的努力。官员们没有评论攻击是否得手,但也没有排除这种情况。
网络安全机构发布的建议暗示攻击取得了一定的成功。NCSC在指南指出:
在针对Covid-19疫苗研发的最新攻击中,APT29针对目标组织拥有的特定外部IP地址进行了基本漏洞扫描。然后,该小组针对发现的脆弱服务部署了公共漏洞利用。 |
NCSC还指出,APT29已成功利用公开的漏洞“获得了它所攻击的大学和企业的最初立足点”。该通报列出了APT29希望利用的许多众所周知的漏洞。这些包括Citrix网络系统中的漏洞。据悉,一旦公开披露了这些漏洞的详细信息,由国家支持的黑客组织就会迅速尝试利用它们,以试图在安全专家可以实施修复之前进行攻击。
NCSC在其警告通知中说:
在获得对系统的访问权限后,APT29可能会放弃进一步的工具利用或寻求获得受感染系统的合法账户凭证,以隐藏并保持持久的访问权限。攻击者在使用被盗的凭据时可能会使用匿名服务。 |
NCSC及美国和加拿大情报机构公布的资料显示,APT29已部署了自定义恶意软件。上述情报机构认为这是WellMess恶意软件和一个名为WellMail的新版本。NCSC说,该恶意软件至少从2018年就已开始使用。“WellMess是一种轻型恶意软件,旨在执行任意的shell命令,上传和下载文件。该恶意软件支持HTTP、TLS和DNS通信方法。”
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
点赞 0
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
雪花飘飘,Twitter沦陷,但原因简单到想打人
本周四,包括美国副总统拜登、特斯拉首席执行官埃隆·马斯克在内的,大量拥有极高知名度的实名验证Twitter账户被攻击劫持用来散播骗取加密货币的信息。由于影响力广泛,该事件有望成为2020年最为重大的互联网安全事件之一,同时也是Twitter诞生以来遭遇的最为严重的安全事件。 Twitter账户被劫持 攻击者同时劫持了比尔·盖茨、埃隆·马斯克、巴拉克·奥巴马、杰夫·贝佐斯、乔·拜登、迈克·彭博、苹果、优步的Twitter账户以及加密货币交易所Binance、Coinbase、KuCoin和Gemini、CoinDesk等顶级加密货币媒体账户,并发布了骗取加密货币的虚假推文: Twitter的反应是锁定受影响的账户,删除攻击者发布的推文,并限制所有经过验证的账户的功能,但速度不够快,无法阻止许多易受骗用户陷入骗局并向攻击者汇款。 从公布的诈骗推文来看,此类骗局非常常见,至少特斯拉首席执行官马斯克的账户此前就不止一次被劫持发送类似的信息。但是此事件非同寻常之处在于,骗子同时劫持了大量高知名度账号,影响范围和潜在威胁性大得多。 网络安全公司RiskIQ已经识别出约400个与该骗局有关的域名和链...
- 下一篇
俄罗斯黑客针对新冠疫苗开发的组织进行网络攻击活动
2020年7月16日,美国网络安全和基础设施安全局(CISA),英国国家网络安全中心(NCSC),加拿大通信安全机构(CSE)和美国国家安全局(NSA)发布了一份联合安全分析报告。 报告指出,名为APT29的俄罗斯黑客组织正在针对美国,英国和加拿大的新冠研究和疫苗相关的恶意网络活动。该组织使用各种工具和技术来针对参与新冠研究和疫苗开发的组织。工具包括SOREFANG,WELLMESS和WELLMAIL恶意软件。 报告指出,该组织使用了多个公开漏洞对存在漏洞的系统进行扫描和利用,目的是获取凭证。在针对新冠疫苗研发的近期攻击中,该组织针对目标组织拥有的特定外部IP地址进行了基本漏洞扫描。然后,该小组针对发现的脆弱服务部署了公共的漏洞利用程序。 CVE-2019-19781 Citrix CVE-2019-11510 Pulse Secure CVE-2018-13379 FortiGate CVE-2019-9670 Zimbra 该组织还使用钓鱼邮件来获取目标组织的互联网登录页面的身份验证凭据。当使用被盗凭据时,参与者可能会使用匿名服务,如Tor。 报告中重点强调了WellMess木马,...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS7设置SWAP分区,小内存服务器的救世主
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题