普普每日安全资讯一周概览(10.31—11.06)
一部游戏大作的收入可以买下一家估值10亿美元的独角兽创业公司,因此游戏行业也成了勒索软件等网络犯罪团队眼中的“大客户”。本月才崭露头角的勒索软件犯罪团伙Egregor声称已经入侵了看门狗(Watch Dogs)并窃取了即将推出的游戏大作《军团再临》(Legion)的源代码。无独有偶,另外一个流行游戏Albion(一款大型多人在线角色扮演游戏MMORPG)也遭到黑客入侵。网络犯罪分子在地下论坛中兜售他们窃取的游戏数据库。Egregor团伙声称已经从游戏发行商Ubisoft那里删除了代码和一些专有文件。源代码的泄露将使玩家能够开发游戏外挂并执行各种“改装”(即开发自定义功能)和越狱。这对于一部游戏大作的商业前景来说几乎是灾难性的。Egregor向媒体透露说:“如果Ubisoft无法与其联系,将开始发布即将到来的Watch Dogs及其引擎的源代码。”
俄勒索软件团伙密谋黑掉全美数百家医院,美政府紧急发布预警10月26日,安全博客KrebsOnSecurity得到可靠消息称,某以勒索软件攻击闻名的俄罗斯网络犯罪团伙正准备对美国数百家医院、诊所及医疗机构的信息技术系统展开攻击。10月28日,美国联邦调查局与国土安全部官员紧急召开电话会议,向医疗服务行业高管发布警告,强调“针对美国医院与医疗保健服务商的网络犯罪威胁已经迫在眉睫。”在此次电话会议中,包括美国卫生与公共服务部(HHS)在内的各机构向与会者发出警告,“有可靠消息称,针对美国各医院与医疗服务商的网络犯罪威胁正日益增长并已迫在眉睫。”各机构表示,他们正在积极共享信息,“旨在向医疗服务商发布警告,确保他们采取及时且合理的预防措施以保护自身网络免受威胁侵害。”此次披露的可靠消息由总部位于密尔沃基的网络情报公司Hold Security创始人Alex Holden提供。各方在收到消息的24小时之内即全面发布了此项警告。
从Ping Identity收购ShoCard看个人身份安全的未来10月初,专精智能身份软件的Ping Identity正式宣布,将收购个人身份管理平台生产商ShoCard,借以增强自身安全平台。收购消息最初于今年3月在公司2019年第四季度财报电话会议上首次宣布。交易的财务条款并未透露,但从Ping的第一季度财务声明看来,这家安全供应商为ShoCard付出了470万美元。融入ShoCard的技术,Ping Identity就能为新的身份模型铺平道路,让最终用户可以控制与服务提供商共享的个人详细信息,从而创建隐私优先的全方位无摩擦用户体验。Ping首席执行官Andre Durand称,采用将集成进Ping智能身份平台的区块链技术,ShoCard带来了安全易用的个人身份数据存储与交换解决方案。个人身份,也称为去中心化身份或自我主权身份,为消费者提供了一种安全共享自身信息的新方式,无需共享非必要信息即可访问各种服务,例如开设银行账户、抵押贷款、购买汽车、开始新工作等。
从DDoS的角度来看,第三季度相对平静。即使网络犯罪分子在Q2持续对一些老的恶意软件进行开发,但他们并没有明显的创新。例如,某个DDoS僵尸网络新增了对Docker环境的攻击方法。犯罪分子渗透到目标服务器,创建了一个受感染的容器,并在其中放置了与挖矿工具匹配的Kaiten僵尸工具(也称为Tsunami)。Lucifer僵尸网络在上个季度首次被研究人员发现,目前已知该僵尸网络与DDoS攻击和加密货币挖矿有关,在本季度该僵尸网络进行了更新,现在不仅可以感染Windows,还会感染Linux设备。新版本在进行DDoS攻击的过程中,可以使用所有常见协议(TCP、UDP、ICMP、HTTP)并仿冒流量源的IP地址。Mirai漏洞的攻击者正积极利用新的漏洞。7月,趋势科技的同事们发现了一个僵尸网络的变种,该变种利用了Comtrend VR-3033路由器中的CVE-2020-10173漏洞,从而影响存在漏洞的路由器以及与之连接的网络。然后在8月,有消息声称Mirai变种利用CVE-2020-5902漏洞攻击BIG-IP产品。
美国11月3日即将举行总统大选,选前特朗普与拜登阵营的竞争已呈白热化。大选前一条关于拜登的虚假视频在社交媒体传播,短时间内被大量人员浏览。该视频篡改了拜登竞选活动背景,从而使拜登看似忘记自已身在何处。此次大选过程中,特朗普竞选团队多次推送针对拜登的误导性虚假视频,以拜登精神健康为攻击焦点,诱导选民认为拜登难以胜任总统职位。虽然上述视频仅仅进行了简单的编辑,未使用广受关注的“深度造假”技术,但依然对部分选民产生误导性影响。此次大选,特朗普与拜登支持率非常接近,预计部分摇摆州选举结果将成为此次大选的决定性因素。虽然,拜登此前民调一直领先,但近期特朗普正在拉近这一差距,完全有可能重演民调落后而意外翻盘的结果。美国民主党总统候选人乔·拜登的视频经过欺骗性编辑,从而让拜登看似忘记了他正在哪个州,该视频周末已被浏览超过100万次。
俄罗斯黑客组织继2016年再次向美国民主党发动攻击据英国路透社报道,今年早些时候,一个名为Fancy Bear的俄罗斯黑客组织攻击了美国印第安纳州和加利福尼亚州的民主党和智库的电子邮件,攻击目标包括外交关系委员会、卡内基国际和平基金会和美国进步中心。但是这些攻击显然没有成功,而且已经被微软公司所标记。俄罗斯大使馆向路透社否认了这些指控,称这是“假新闻”。Fancy Bear黑客组织被认为与俄罗斯军事情报机构GRU有关。2018年,司法部起诉了GRU的12名成员,罪名是这12名成员攻击了克林顿竞选活动和民主党全国委员会(Democratic NationalCommittee)。此前,Fancy Bear被指与DNC和时任克林顿竞选团队主席约翰•波德斯塔(John Podesta)在2016年遭受黑客攻击有关。维基解密在2016年总统大选前公布了黑客所收集到的电子邮件,事实证明这对克林顿的竞选活动造成了损害。尽管美国情报部门证实俄罗斯政府是黑客攻击的幕后黑手,但特朗普总统一再表示怀疑俄罗斯参与其中。微软在上个月的一份安全报告中指出,Fancy Bear(又名Strontium,或者APT28)开始再度寻找与即将到来的总统大选有关的攻击目标,但是大部分攻击都没有成功。
17款Android App被强制删除,Google Play商店发现恶意软件已感染数百万设备
据来自Zscaler的安全研究人员Viral Gandhi称,这17个应用程序全部感染了Joker(又名Bread)恶意软件。他说:“这个间谍软件旨在窃取短信、联系人名单和设备信息,同时,也在悄悄地为受害者注册高级无线应用协议(WAP)服务”。谷歌已经从Play Store中删除了这些应用程序,并启动了Play Protect禁用服务,但用户仍然需要手动干预从设备中删除这些应用程序。Joker是游戏商店的祸根。截止本次,这已经是最近几个月,谷歌安全团队第三次处理Joker感染的应用程序。本月初,谷歌团队刚删除6款被感染的应用。而在此前的7月,谷歌安全研究人员也发现了一批被Joker感染的应用程序。据调查发现,这批病毒软件从3月份开始活跃,已经成功感染了数百万台设备。这些被感染的应用程序采用的是一种叫做“滴管(dropper)”的技术。这种技术能让受感染的应用程序绕过Google的安全防御系统,直达Play Store,并分多个阶段感染受害者的设备。