新西兰《先驱报》最新的头条新闻称,新西兰一家主要初级医疗机构遭受网络攻击后,被盗的敏感病人文件和高级数据,已被一个与俄罗斯有联系的勒索软件集团发布到暗网上。
在昨晚的一份声明中,经营数十家北岛全科医生诊所的Pinnacle Midlands健康网络证实,在上周发生“网络事件”后,被盗材料已被上传至暗网网络。
虽然受影响的患者人数尚未公开,但初步报告显示,黑客可能已经获得了多达45万人的信息。
Pinnacle公司首席执行官贾斯汀·布彻(Justin Butcher)告诉《先驱报》,非法获得的信息是由“恶意行为者”上传到暗网上的。
这些信息和数据涉及到Pinnacle集团在怀卡托、湖区、塔拉纳基和泰拉维提地区过去和现在的病人和客户。它还包括塔拉纳基、罗托鲁瓦、陶波-图兰吉、泰晤士-科罗曼德和怀卡托地区的初级保健有限公司(PHCL)的做法。
漏洞中的信息包括与使用医院服务有关的高级数据,与Pinnacle提供的服务有关的索赔信息,以及围绕个别病人的免疫和筛查状态发送给诊所的信息。
Butcher证实:“在过去的24小时里,我们的安全专家通知我们,从我们的IT平台上获取的数据已被恶意行为者发布。”
“我们承认,这将涉及到我们的病人和他们的家族,我们正在认真对待这个问题,我们当前的重点是支持那些可能受到影响的人,并与当局合作,以确保我们正在做我们需要做的一切。”
虽然Pinnacle没有持有全科医生的笔记和咨询记录,但Butcher说公司“现在对被盗数据的广度有了更清楚的了解”。
“这是非常不幸的,我们很伤心,因为这也影响了我们的家庭。像这样的网络事件是一个持续的威胁,虽然它们是恶意行为者的行为,但我们对可能受到影响的每个人都感到同情。”
Pinnacle一直在与警方和隐私专员办公室联系。警方昨天不愿发表评论。
消息人士告诉《先驱报》,一个名为ALPHV的勒索软件团伙,也被称为黑猫,发布了Pinnacle集团旗下一家诊所的病人评估,标有“机密”字样。它还发布了关于预算目标的财务备忘录、电子表格和护照扫描件,以及其他文件,这些文件似乎取自Pinnacle的内部系统。
《先驱报》没有访问ALPHV在暗网上发布的Pinnacle文件,但网络安全行业的一位人士向其展示了屏幕截图。
总部设在新西兰的网络安全公司Emisoft的威胁分析师Brett Callow告诉《先驱报》:“与其他勒索软件操作一样,ALPHV使用发布数据的威胁作为敲诈勒索的额外手段。”
“近年来,世界各地的医疗保健行业越来越成为营利性网络犯罪分子的目标。”
像ALPHV这样的组织经常在暗网上提供数据样本的“尝鲜”,要么迫使受害者支付网络赎金,要么在某些情况下征求数据的投标价格。在其他国家,曾有黑客试图勒索个别病人,以及向医疗机构勒索款项的案例。
ALPHV在8月因其对能源公司的攻击而成为头条新闻,并开创了可搜索的被盗数据在线数据库,以此作为打击受害者的一种方法。
Unit 42是纳斯达克上市的网络安全巨头Palo Alto Networks的一个部门,其董事会包括前总理约翰·基爵士,该部门已将ALPHV成员与俄罗斯联系起来,称该组织使用俄语与其成员或附属机构进行沟通,并且以运营着称在俄罗斯网络犯罪论坛上。
5月,GCSB总干事安德鲁·汉普顿(Andrew Hampton)警告说,新西兰可能成为支持普京的黑客的目标。
如果第一次泄密没有得到回应,通常会有更多敏感数据被泄露到暗网上。这些信息被提供给知情的网络犯罪分子。Pinnacle文件被发布到暗网,谷歌无法搜索,甚至无法通过普通网络浏览器访问,需要特殊的软件Tor浏览器。
该网络攻击发生在9月28日。在10月4日的新闻发布会上,Pinnacle不愿透露它是否正在与黑客进行谈判。
Butcher随后表示,他相信被盗信息可能包括商业和个人的详细信息。同一天晚些时候,他告诉RNZ的Checkpoint,被黑的系统并不包含临床记录。
ALPHV发布的患者档案被标记为“机密神经心理学报告”。它来自Pinnacle集团以外的一个供应商,并详细说明了与一个人的ACC索赔有关的评估。它是为怀卡托的一个病人准备的,是ALPHV所说的来自Pinnacle的文件集的一部分。
Aura信息安全公司的网络安全专家Alastair Millar告诉RNZ,身份被盗的可能性让受影响的人很担心,但Pinnacle对此持开放态度,并指出人们可以使用ID Care支持服务和工具来保护他们的身份。
但Millar表示,黑客可能会寻求大笔资金作为交换,或者在暗网上出售数据,就像去年对怀卡托地区卫生委员会的一次黑客攻击中所做的那样。
他说,通过人们的国家健康保险(NHI)号码和联系信息,黑客可以获得信用卡、贷款或购买礼品卡。
警方建议不要支付网络赎金。他们说,不能保证被盗数据会被销毁或归还(或冻结的系统被解锁),并且付款既资助又激励了此类犯罪。
然而,在新西兰,支付网络赎金并不违法。但政府表示,采取这样的措施会将受害者定为刑事犯罪。
Butcher说,Pinnacle还与司法部支持的ID Care合作,该机构为那些担心自己是身份盗窃受害者的人提供帮助,并可以指导人们完成冻结信用记录的过程。
ID Care已经建立了一个专门针对Pinnacle网络漏洞的页面。人们还可以拨打ID Care的个案管理中心的电话0800 121 068。
含有恶意Tor浏览器下载链接的YouTube视频截图(卡巴斯基) 网络安全研究人员卡巴斯基公司周二表示,一个Tor浏览器的修改版本至少从3月开始收集中国用户的敏感数据,也许早在1月就开始了,其中包括浏览历史、表单数据、计算机名称和位置、用户名和网络适配器的MAC地址。
在一个名为“工具大师i”的中文YouTube频道发布的视频下方简介里,有一个指向恶意版本的Tor浏览器安装程序的链接(蓝奏云链接)。卡巴斯基研究人员Leonid Bezvershenko和Georgy Kucherin在周二公布的研究结果中说,该频道有超过18万名订阅者,该视频已被观看了64000多次。
卡巴斯基称,这个名为“工具大师i”的YouTube帐户于2022年1月上传了该视频,卡巴斯基研究人员在注意到恶意Tor浏览器安装程序下载集群后,于3月开始在他们的数据中看到受害者。
卡巴斯基对“洋葱毒药”的分析 卡巴斯基研究人员将此活动称为“洋葱毒药”(OnionPoison),指的是通过修改“洋葱路由”(The Onion Router)进行投毒。“洋葱路由”是最初由美国海军研究实验室开发的匿名路由,合法的Tor浏览器使用了“洋葱路由”的技术。
研究人员表示,恶意安装程序加载了一个带后门版本的Tor浏览器,其中包括一个间谍软件库,旨在收集个人数据并将其发送到攻击者控制的服务器,还可以让攻击者有能力在受害者的机器上执行shell命令。
非营利组织Tor项目的执行董事Isabela Fernandes告诉CyberScoop,该组织在周二部署了一个补丁。
“基本上,这个‘中毒’的Tor浏览器会修改更新URL,所以它不能正常更新。”她说。“我们所做的是添加一个重定向,以便我们响应修改后的URL,这样人们就会更新。现在他们的URL是一个有效的更新URL。”
研究人员表示,目前尚不清楚该活动的幕后策划者,但它显然针对的是中国用户。他们说,命令和控制服务器检查IP地址,只会向中国的IP发送恶意软件。此外,视频描述中包括一个有效的Tor浏览器链接,但由于Tor网站在中国被封锁,用户更有可能点击下方的蓝奏云链接,将他们定向到托管在第三方“蓝奏云”共享网站上的可下载文件。
研究人员表示,有趣的是,修改后的浏览器不会自动收集用户密码、cookie或钱包,而是专注于浏览历史记录、社交网络帐户ID和Wi-Fi网络。
据卡巴斯基分析,“洋葱毒药”定制的Tor浏览器可以保存浏览历史、启用网页缓存、存储登录凭据以及从访问过的网站收集额外的会话数据。此外,收集到的数据会发送回攻击者。其中包括安装的软件、在Tor浏览器、Chrome和Edge中访问的网站、微信和QQ的用户账号ID,以及受害者已经或曾经连接到的Wi-Fi网络的SSID和MAC地址。
研究人员写道:“攻击者可以搜索泄露的浏览器历史记录,寻找非法活动的痕迹,通过社交网络联系受害者,并威胁要向政府举报。”
历史上Tor浏览器曾出现多个恶意篡改版本 网络犯罪分子和民族国家的黑客过去曾多次部署过修改过的Tor浏览器版本。2019年,斯洛伐克网络安全公司ESET的研究人员报告了一个旨在从讲俄语的人那里窃取加密货币的Tor版本。在另一个例子中,大约10年前,与俄罗斯有关的黑客使用Tor出口节点部署了名为OnionDuke的恶意软件。
联邦调查局(FBI)也曾经被指控与承包商和潜在的大学生合作,修改Tor软件或利用0day,揭露Tor用户身份并调查涉及暗网恋童癖网站(联邦调查局当时含糊地否认了这一说法)。
研究人员表示,避免“洋葱毒药”(OnionPoison)的最佳方法是从官方网站下载Tor浏览器,或者,如果不能这样做,必须从第三方网站下载,则需要检查从第三方来源下载的安装程序的数字签名来验证其真实性。合法的安装程序应具有有效的签名,其证书中指定的公司名称应与软件开发人员的名称相匹配。
使用“洋葱毒药”投毒的Youtube频道“工具大师i” 卡巴斯基称,“洋葱毒药”(OnionPoison)案例中,恶意Tor安装程序的链接被发布在一个流行的中文YouTube频道上,该频道致力于互联网上的匿名性。该频道拥有超过180,000名订阅者,而带有恶意链接的视频的观看次数超过64,000次。
从卡巴斯基的视频截图可以看出,该Youtube恶意频道名为“工具大师i”,地址为:
https://www.youtube.com/c/%E5%B7%A5%E5%85%B7%E5%A4%A7%E5%B8%88i
该视频(https://www.youtube.com/watch?v=qob8gqQ2_3k)名称为“2022年最新暗网进入方法!什么是暗网暗网有什么如何使用科学上网工具访问暗网暗网怎么进2022丨暗网网址丨dark web 2022丨By工具大师i”,已经因违反YouTube规定并YouTube移除(This video has been removed for violating YouTube’s Community Guidelines),已经无法观看,但是从第三方网站NoxInfluencer(https://cn.noxinfluencer.com/youtube/video-analytics/qob8gqQ2_3k)的记录中可以看到,该视频发布时间为2022年1月9日,观看量为6.06万,投放恶意软件的蓝奏云地址为:https://wwi.lanzouo.com/i6iLaym6fsf。
此外,该YouTube频道并不是第一次修改Tor浏览器,“暗网下/AWX”发现了该频道的另一个视频(https://www.youtube.com/watch?v=0nwDOd_xl3Y),名称为“2020年最新 暗网登录 方法教程,哪种方式最快最好用?配合Tor洋葱浏览器,SSR,Vray科学上网!让你网络隐私至极!”,已经于北京时间2022年10月5日中午被设置为私有视频(This video is private),目前同样无法观看,但是从第三方网站(https://cn.noxinfluencer.com/youtube/video-analytics/0nwDOd_xl3Y)的记录中可以看到,该视频发布时间为2020年11月28日,观看量为7.82万,投放恶意软件的蓝奏云地址为:https://www.lanzoui.com/i5cDbix01if。
据统计,YouTube频道“工具大师i”创建于2018年11月18日,发布地点为香港,拥有超过18万粉丝,总计发布视频166个,总观看量超过1100万。
但是,在卡巴斯基曝光之后,目前访问该频道,发现视频仅剩79个,将近90个视频被设置为“私有”,而隐去的视频基本都是其发布的多个VPN工具、加速工具、翻墙工具、挖矿工具等等。若工具为exe文件基本上每个视频均提供了蓝奏云的下载地址链接,如果是安卓应用,均提供了apk的下载地址,如果是苹果应用,提供的是testflight.apple.com的下载地址。根据其“此地无银三百两”的做法判断,但凡是该频道提供的工具,均带有后门,请警惕该频道的分享。
卡巴斯基对恶意Tor浏览器的分析 恶意的Tor浏览器文件名为:torbrowser-install-win64-11.0.3_zh-CN.exe,安装程序的用户界面与原始程序用户界面相同,但是,恶意安装程序没有数字签名。卡巴斯基称,根据其测试,“洋葱毒药”针对的受害者必须位于中国,因为C2服务器会检查受害者机器的外网IP地址是否来自中国。
攻击者降低了恶意的Tor浏览器的私密性,通过修改存储在 browser\omni.ja 存档中的 \defaults\preferences\000-tor-browser.js 配置文件,他们将Tor浏览器配置为:
存储浏览历史;
启用磁盘上的页面缓存;
启用自动表单填写和登录数据的记忆;
为网站存储额外的会话数据。
恶意的Tor浏览器启动后,会伪随机地选择以下C2服务器URL之一并向其发出POST请求:
https://torbrowser.io/metrics/geoip
https://tor-browser.io/metrics/geoip
其针对中国用户加载的恶意Dll文件会检索以下系统信息:
操作系统磁盘卷的GUID;
机器GUID;
计算机名称;
计算机语言环境;
当前用户名;
网络适配器的MAC地址。
且会请求收集以下附加信息:
已安装的软件;
可能涉及国家利益的问题,根据黑客在Breached.to论坛发布贴子的最新状态,目前黑客并未如期发布“被窃听”的总理府的秘密对话,多个网友正在回帖咨询其何时发布。同时根据Twitter的用户状态显示,该黑客@Indishellgp的Twitter账户已经被停用。
暗网黑客宣布周五发布“被窃听”的总理府的秘密对话 由于音频泄露丑闻在社交网站上持续了一周的时间,专家称所有政府和私人网站的数据,包括高级军民领导人的数据都被黑客入侵,并且可以在暗网上获得。
据称,这一可能令人尴尬的音频泄露事件成为头条新闻,同时也暴露了一个安全漏洞,由于包括总理谢赫巴兹·谢里夫、玛丽亚姆·纳瓦兹、伊姆兰汗和其他人在内的政府高层人物之间的对话音频片段被浮出水面,从而演变成了一场全面的国家安全事件。
早些时候,黑客在社交媒体帖子中透露,与现任政府为改善国家而进行的谈判已经结束,并表示所有音频将在周五发布。
根据互联网上流传的一张图片,这些音频包括与记者、政府官员、军事人员、总理军事首脑的互动、个人和政府交往、第一家庭和大家庭之间的互动、与司法任命人员有关的对话、与外国政要的接触以及有关人员的命令。
自第一次发布以来,黑客发布了许多推文,警告几位军民领袖,而群众正在等待下一次泄密。
早前音频泄露事件背后的黑客做出了令人震惊的披露 在一系列推文中,这位名为@Indishellgp的“黑客”声称,“在两个不承认以色列的伊斯兰国家中,较小的一个帮助较大的一个从犹太国家获得受控软件提供了便利。较小的国家由一位女性领导。”
Pegasus是一家以色列公司开发的间谍软件,几个月来一直是头条新闻,因为这家“雇佣黑客”公司为世界各地的情报机构和政府提供服务,用于监视竞争对手、记者、活动家和持不同政见者。
根据“黑客”的推文,“来自战略计划司、信号部队、ISSRA、ISI和PS-COAS的官员,率领一个秘密代表团前往较小的国家,正式确定采购。设备和培训都是协议的一部分。“
“这里的要点是,军方最高指挥部不相信三军情报局是这一项目中的唯一操作机构。这可能表明军方长期以来一直担心情报部门过于强大。”
“在受害者的设备中注入了后门,可以随意用于监视。“
“总理办公室从来没有被窃听过。但是,在接下来的几年里;在巴基斯坦感兴趣的每一部电话都被Pegasus锁定了。政治领袖、行政人员、省/联邦立法者、参议员、司法成员、记者、秘书,甚至是高层/中层被监视了。”
这位“黑客”进一步声称,“由于军队中的政治忠诚度不同,一场拉锯战开始了,不同派系发布了对他们有利的不同的音频片段。”
“当某位担任非常重要职务的将军开始进行某种积极的宣传,以支持现任政府时,他被撤职并重新安置。这造成了一个直到今天都无法填补的空白。”其中一条推文写道。
最后,这位“黑客”强调,”军方总是比平民拥有一个优势:信息”。
“但现在风向变了。我拥有军方多年来一直收集的同一批音频和材料数据。我拥有一切。让游戏开始吧。”
在之前的一条推文中,“黑客”曾警告“13先生”(暗指某个陆军将军):“你的时间到了,将军……”。
史无前例的泄露行为,包括私人谈话记录、政府业务在互联网上出售,对话中透露出关于财政部长的尴尬交流,要求为玛丽亚姆女婿提供便利
巴基斯坦历史上最大的数据泄露事件 有关敏感的政府事务和总理与其政府成员之间的私人对话的信息显然已被泄露并在暗网上出售,这将是巴基斯坦历史上最大的数据泄露事件之一。
数据泄露的帖子发布在Breached.to论坛上,这是个泄露数据发布论坛,在明网与暗网均可以访问,深受热衷于泄露并出卖数据的黑客们的欢迎。
泄露的数据——主要是巴基斯坦总理谢赫巴兹·谢里夫(Shehbaz Sharif)和一位身份未透露的前总理的电话记录集合,总时长约100小时——定价为180比特币,这是一种数字货币,按目前的交易价格计算,相当于超过345万美元。
该数据大小为8GB,还包括总理与“所有知名人士,包括那些有影响力但没有权力的人”之间的对话,这位名叫Indishell的卖家还公布了四段对话样本,包括媒体已经报道的谢里夫与他团队中一位身份不明的成员之间的一次谈话,讨论了前者的亲戚可能进口机械的可能性。
Question : Why were all these conversations recorded in the first place? Did they know that their discussions were on tape? If so, why weren't security protocols followed? pic.twitter.com/TmicPmMkIk
— Shoaib Taimur (@shobz) September 24, 2022 根据开源情报(OSINT)账户的分析,该卖家在Breached论坛上没有任何历史发帖。“看起来他创建这个账户只是为了发布关于这些泄漏的信息。”OSINT Insider在推特上说。
Now that one alleged audio leak is out, here is my OSINT report about its origin and what can be its implications.
据称,基于俄罗斯的勒索组织Snatch在试图敲诈英国最豪华的农场商店未果后,在暗网上发布了英国著名电视节目主持人杰里米·克拉克森(Jeremy Clarkson)和“世界自然纪录片之父”大卫·阿滕伯勒爵士等名人客户的详细信息。
科茨沃尔德公司豪华农场商店戴尔斯福特(Daylesford Organic)据说被一个名为Snatch的勒索团伙盯上了,这个来自俄罗斯的团伙是以2000年杰森·斯坦森主演、盖·里奇导演的电影Snatch命名的,该电影以伦敦的犯罪黑社会为背景,拥有许多狂热的追随者。
位于格洛斯特郡的这家公司被称为英国最豪华的农场商店,很早之前就已成为勒索组织黑客攻击的目标,黑客使用网络攻击渗透了公司内部网络,然后秘密收集用户数据。
美国、加拿大和欧洲已经有许多公司已成为Snatch勒索组织的目标,勒索行为通常是在最初的黑客攻击发生后的一段时间。现在,这家在伦敦也有四家卫星商店和一家在线业务的格洛斯特郡公司据说已成为该团伙的最新发布的受害者。在Daylesford拒绝支付比特币赎金后,约80GB的被盗文件已被上传到暗网。
据说其中包括杰里米·克拉克森等名人,他是Daylesford的常客,这激发了他为他的亚马逊电视剧《克拉克森的农场》设立Diddly Squat农场商店。前女友菲利帕·佩奇(Philippa Page)在她的书中透露,这是他最喜欢的商店,讲述了她与这位前Top Gear主持人相处的时光。
据说其他著名的受害者包括约克公爵夫人莎拉·弗格森(Sarah Ferguson)、网球明星蒂姆·亨曼(Tim Henman)和斯诺克王牌罗尼·奥沙利文(Ronnie O’Sullivan)。据报道,这些文件还包括员工的不满、保密协议和银行信息,以及有关所有者的信息。
该公司的所有者是有影响力的卡罗尔·班福德(Carole Bamford)女士,她是JCB亿万富翁班福德(Bamford)爵士的妻子。这位保守党捐赠者最近在科茨沃尔德的家Daylesford之家举办了前首相鲍里斯·约翰逊(Boris Johnson)与凯莉·西蒙兹(Carrie Symonds)的婚礼。报告称,尽管他在疫情流行期间将Daylesford送到了唐宁街10号,但约翰逊先生的详细信息尚未在暗网上公布。
该公司透露,它在2021年6月被黑客攻击,黑客现在已经发布了个人详细信息和快递单,显示了使用该商店的一些富人和名人客户的家庭地址。
该公司的一位发言人周一表示:“Daylesford Organic在2021年6月成为网络攻击的受害者。当时已向ICO报告,并由ICO进行了彻底调查,此后没有再发生任何事件。Daylesford Organic非常重视客户数据的保护,在2021年的攻击之后,采取了额外的安全措施来保护企业。”
网络攻击正在增加,去年12月,俄罗斯黑客被指责攻击格洛斯特市议会的计算机系统。安全公司表示,该团伙会说俄语,而Daylesford正是他们想获得经济赎金和“提供对克里姆林宫有用的信息”的公司。
英国国家网络安全中心表示,俄罗斯入侵乌克兰后,对英国的威胁仍然加剧。Daylesford尚未回复置评请求,但信息专员办公室表示:“戴尔斯福特有机公司让我们知道了一起事件。在审查了信息后,我们提供了数据保护建议并结案。”
Optus是新加坡电信旗下的一家公司,自2001年起由新加坡电信完全拥有。Optus目前是澳大利亚第二大电信供应商,仅次于澳大利亚电信公司。据悉,该电信公司近期发生了数据泄露事件,数据在暗网网站Breached.to上被出售。
被盗的Optus数据可能在暗网上被出售 BreachForums暗网网站上的一篇帖子声称正在出售这些数据,其中包括电子邮件地址、出生日期、名字和姓氏、电话号码、驾驶执照和护照号码。
提到的数据集尚未得到电信运营商Optus公司、警方或情报机构的确认或核实,但一些数字已得到记者的验证。
警方发言人告诉澳大利亚广播公司:“澳大利亚联邦调查局(AFP)知道有报告称,被盗的Optus客户数据和证书可能通过一些论坛出售,包括暗网。”
“AFP正在使用专业能力和其他技术来监控暗网,并将毫不犹豫地对那些违法的人采取行动。”
网络安全公司Internet2.0的联合创始人罗伯特·波特(Robert Potter)曾就网络攻击向美国和澳大利亚政府提供建议,他说这些数据是真实的。
波特先生告诉澳大利亚广播公司:“我可以肯定地说,这些数据是真实的信息,其中包括以前在其他违规事件中没有看到的电子邮件地址。”
“一些数据仍然是加密的。Optus应该确认这是否来自他们的系统。”
在澳大利亚,网上购买被盗凭证是一种犯罪行为,最高可判处10年监禁。
在周五的媒体发布会上,Optus首席执行官Kelly Bayer Rosmarin表示,该公司知道有报道称Optus的数据在网上被出售。
Bayer Rosmarin女士说:“当你将这类信息公开时,其中一个挑战是你可以让很多人声称很多事情。”
“据我们所知,没有任何已被验证和出售的东西,但团队正在研究每一种可能性。”
周六,Optus以警方的建议为由,不愿对该暗网帖子发表评论。
发言人说:“我们正在与澳大利亚联邦调查局协调,因为这现在是一项刑事调查。”
“鉴于调查,Optus不会对声称由第三方持有的客户数据的合法性发表评论,并敦促所有客户在他们的网上交易中保持谨慎。我们再次表示歉意。”
一些网络专家呼吁对网上出售数据的报道持谨慎态度,警告说这可能是试图利用媒体的关注。
Optus正在核实数据泄露事件 Optus的首席执行官Kelly Bayer Rosmarin将数据泄露描述为“老练的犯罪分子”的结果。虽然网络攻击背后的动机尚不清楚,但她说需要“提高警惕” 。Optus首席执行官表示,在最坏的情况下,980万客户可能会受到数据攻击的影响。
Optus正在继续联系所有涉及网络攻击的客户。
发言人说:“我们将从身份证号码可能已被泄露的客户开始,所有这些客户将在今天之前得到通知。”
Optus还建议客户在网上保持警惕,小心诈骗。
“如果客户收到声称来自Optus的链接的电子邮件或短信,请他们注意这不是来自Optus的通信。请不要点击任何链接。”发言人说。
“我们被告知,我们宣布这次袭击可能会引发犯罪分子的一些索赔和诈骗。”
Optus客户现在应该怎么做? Optus仍在鼓励客户“格外警惕”。这家电信运营商警告: 留意您的在线账户的任何可疑或意外活动,并立即向您的供应商报告任何欺诈活动。
留意社交媒体上的可疑电子邮件、短信、电话或信息。
切勿点击任何看起来可疑或要求提供密码、个人或财务信息的链接
Scamwatch建议Optus客户通过更改在线账户密码和启用银行业务的多因素身份验证来保护他们的个人信息。
澳大利亚消费者和竞争委员会(ACCC)表示,任何怀疑自己是欺诈受害者的Optus客户都应该要求禁止其信用记录,并对来自声称代表银行或政府机构的意外电话保持高度怀疑。
谁会受到Optus数据泄露事件的威胁? Optus还不确定。Optus称:这是一次复杂的攻击。
“不说太多,IP地址不断移动,来自欧洲的各个国家。”Bayer Rosmarin女士周五早上说。
在客户数据方面,Bayer Rosmarin女士表示,这次攻击影响的Optus的客户,可以追溯到2017年。
Optus周四证实,客户的姓名、出生日期、电话号码、电子邮件地址、驾驶执照号码、护照号码或地址可能在攻击中被访问。
客户的付款详情和账户密码没有被泄露。
印度尼西亚社会事务部发生重大数据泄露事件 印度尼西亚再次因被认为来自社会事务部(Kemensos)的数据泄露而活跃起来,暗网网站Breached.to上共有1.02亿条公共数据被泄露和出售。
名为sspX的帐户上传的数据名为“来自印度尼西亚社会事务部的印度尼西亚公民数据库”,帖子描述自9月13日开始上传。该文件被认为来自印度尼西亚社会事务部的最新数据,更新至2022年9月,包含85GB的数据,数据量总计102,533,211条。
黑客还提供了上传数据的信息,包括NIK、KK编号、全名、出生日期、年龄和性别。以及一些泄露的数据样本,包括身份证(KTP)的照片和家庭卡(KK)的照片。
DarkTracer披露数据泄露事件 DarkTracer黑客调查平台通过其Twitter帐户@DarkTracker_int也报告了社会事务部的数据泄露,该帐户被称为来自新加坡的暗网威胁调查平台。
他在推特上说:“一个恶意行为者似乎在出售一个数据库,声称是从印度尼西亚共和国社会事务部泄露的1.02亿公民数据库。”
在他的推文中,他还展示了一张来自社会事务部的数据信息形式的照片,该照片泄露了多达16GB的压缩数据、85GB的未压缩数据,总计102,533,221条数据。
“他泄露了数十张带照片的身份证作为样本。这对于确保他的说法属实是必要的,”他补充说。
[ALERT] A bad actor has emerged selling databases that claim to be 102 million INDONESIAN CITIZENSHIP DATABASE leaked from the Indonesian Ministry of Social Affairs. He leaked dozens of national ID card photos as samples. It is necessary to make sure that his claim is true. pic.twitter.com/T7OwyuqYb1
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) September 14, 2022 印度尼西亚社会事务部一直是黑客的目标 在一系列泄露13亿张SIM卡注册、1700万PLN数据和2600万IndiHome-Telkom客户数据之后,社会事务部成为黑客攻击的目标。
目前,社会事务部无法就所谓的泄密提供进一步确认。也不知道是谁闯入数据并在暗网上出售数据的帐户。
本文来源自乌克兰网站texty.org.ua,euromaidanpress.com在其基础上进行改编深华。
俄罗斯对据称在黑市上出售的西方武器的“调查”,是基于据称在暗网上提供购买反坦克武器标枪导弹系统(FGM-148 Javelin)和其他美国制造武器的广告截图。暗网是需要特殊软件才能访问的匿名网络,除了预期的合法用途外,犯罪分子通常可以利用这些网络出售非法的数字或实物物品。
假冒俄罗斯暗网广告表面上提供购买美国制造的标枪(存档——Tor洋葱链接是通过Tor到Web网关之一打开并存档在Web存档上)。该页面有希腊语、波斯语、土耳其语和波兰语的正面“客户评价”。 最初,一些由俄罗斯宣传人员运营的多个Telegram频道几乎同时开始传播此类截图,随后俄罗斯宣传网站开始传播这些截图。最后,各种极右翼和极左翼反全球主义者、阴谋论者和简单的“真相斗士”的英语资源开始传播所谓的暗网广告截图。
早在6月,当所谓的暗网市场的屏幕截图首次出现在俄罗斯的宣传资源上时,很多消息来源如Mirror显示,这些宣传者分享的屏幕截图“可能是假的,是俄罗斯宣传活动的一部分,目的是阻止西方向乌克兰的保卫者输送武器。”
根据该网站的一张截图,目前可以追踪到的有关暗网交易市场的首次提及出现在2018年,然后在2021年,它有许多非法商品的报价,但没有一个与乌克兰有关:
2021年底的假市场外观(截图的文件名表明日期为2021-12-03,文件名中的俄语单词 “скриншот “表明是一个讲俄语的人发布的截图),来源 为什么俄罗斯暗网市场是假的 俄罗斯宣传人员采取了一种彻底的方法来发起虚假宣传活动,因为他们使用了一个暗网网络资源,该资源模仿了一个据称销售违禁产品和阴暗服务的真实市场。
根据奥尔堡大学的丹麦网络安全研究人员的说法,就像在常规网络上进行交易一样,在暗网上进行交易主要基于信任,为了达到所需的信任级别,市场的所有者使用了许多帮助买卖双方的技术,确保买家和卖家不会被骗:
“[暗网市场]提出了一些机制,如供应商信誉系统、托管、通信加密(如PGP)、评论系统、带有讨论的综合论坛部分和客户支持功能,所有这些都是为了在买家、卖家和市场所有者之间建立一个信任链。”
首先,一个暗网市场必须是知名的。非法交易的网站不多,正规互联网上的许多导航网站都列出了它们的名称、描述和链接。乌克兰网站Texty仅在一个仓促制作的网站上发现了俄罗斯暗网网站的提及,该网站几乎没有与其他知名市场的链接。其他提及该网站的内容出现在一些看起来像SEO优化的垃圾克隆网页上,还有几个主要是俄语的网页上。
真实暗网交易市场的所有者使用复杂的验证码(CAPTCHA)来保护他们的暗网站点免受DDoS攻击以及从他们的资源中自动爬取数据。这些验证码比常规互联网上的检查要复杂得多——暗网市场的所有者为他们的用户提供时钟、谜语、谜题、小游戏和数学方程式——通常一次会出现几个问题。在俄罗斯的平台上没有这些东西。最后,真正的市场平台使用安全的PGP协议。这可以保护用户免受欺诈,并验证平台的真实性。同样,俄罗斯的模拟市场也没有使用这种保护。
假冒的“乌克兰武器黑市”暗网市场被糟糕的乌克兰语法击倒 尽管缺乏正常的暗网保护技术,但俄罗斯的假市场有一个相当高质量的外观和感觉。它包含针对卖家和买家的说明、注册表单以及来自平台用户的所谓评论的部分。对于一个没有经验的访问者来说,他来到这里是为了核实乌克兰人销售西方提供的武器的信息,它可能看起来像一个真正的暗网市场。
“但是,如果俄罗斯人没有通过尝试用乌克兰语写作而放弃游戏,他们就不是俄罗斯人了”
在俄罗斯暗网网站上注册了几家诋毁乌克兰的商店。他们的地理位置被标记为“基辅”。其中三个表面上出售武器,两个提出伪造军事文件以躲避动员,还有一个显然可以提供乌克兰武装部队的秘密文件。
假冒的俄罗斯暗网网站被说成是乌克兰暗网市场,提供武器、秘密文件、伪造的文件以逃避动员。 然而,最搞笑的服务是由PROVIDNYK(“指南”)商店提供的,据称您可以花15000美元购买“跨境转移”,这实际上是“跨境转移/运输”从俄语翻译成乌克兰语的糟糕机器翻译,即提供非法穿越乌克兰边境,该边境对具有军事能力的乌克兰男性关闭。
据称由PROVIDNYK的客户发布的评论是用糟糕的乌克兰语写的。所谓的“客户”抱怨乌克兰的纳粹政府,歌颂他们对俄罗斯的热爱,不想为北约而战。
俄罗斯宣传人员在一个虚假的暗网网站上用糟糕的乌克兰语发表的评论 “当你不被允许用我们为这些土地而战的祖父母的[俄罗斯]语言说话时,这不是自由,”该网站的客户wullwDykKZ表面上用乌克兰语写道,另一位网站用户PegDDM932y也用乌克兰语写道,他来自乌克兰东部,“我在俄罗斯有很多朋友,我想自己选择应该说什么语言。” 两人都重复了俄罗斯的宣传叙述,说他们不想与“法西斯”/“纳粹”并肩作战,在第二条评论中,俄文原文中的一个错字“тому”暴露了机器的翻译,乌克兰语“петаму”被错误拼成了俄语“потому”。
euromaidanpress.com编者称:
这不是第一次俄罗斯的宣传试图伪造乌克兰语的东西而失败:几乎所有俄罗斯人作为乌克兰犯罪证据的照片处理过的文件都包含语法和文体错误,并且经常显示出机器翻译的迹象。这种低级趣味的努力表明,这种假证据的目标是不讲乌克兰语的受众,如俄罗斯公民和西方人。
北约机密文件被盗并在暗网上出售 数百份发往葡萄牙的北约机密文件被盗并在暗网上出售。葡萄牙最高军事机构EMGFA是“长期和前所未有的网络攻击”的目标,导致北约的秘密信息被泄露。
报道称,在美国情报官员发现机密文件在暗网上出售后,葡萄牙政府在8月才发现网络攻击。
消息人士称,泄漏被认为“极其严重”,对数据泄露的第一次调查发现,机密信息的安全规则已被破坏,因为使用非安全连接来接收和转发文件。
北约要求葡萄牙政府作出解释 报道称,两名葡萄牙官员将于下周前往布鲁塞尔的北约总部举行高级别会议。同时,葡萄牙检察官办公室以及葡萄牙国防部都在对此事展开调查。
葡萄牙检察官办公室正在调查 葡萄牙总检察长办公室周二表示,葡萄牙检察官办公室正在调查针对武装部队总参谋部的网络攻击,其中北约机密文件被提取并在“暗网”上出售。
总检察长办公室告诉欧洲时报(EURACTIV)的媒体合作伙伴Lusa:“调查组的成立得到确认,它由中央调查和起诉部(DCIAP)的检察官办公室领导。”
据葡萄牙报纸《新闻日报》(Diário de Notícias)报道,美国情报部门上周通过驻里斯本大使馆向政府通报了这一情况,据说是在8月份直接与总理安东尼奥·科斯塔进行了沟通。
同一家报纸提到,这起案件被认为“极其严重”,美国网络情报机构已经发现“在‘暗网上’出售的由北约发送给葡萄牙的数百份文件,这些文件被归类为秘密和机密文件。”
葡萄牙国防部正在调查 国防部表示,它已经在调查“所有可能违反计算机安全的迹象”,并声称诉讼程序的“敏感性”意味着进一步发表评论是不合适的。
国防部在一份声明中表示,调查由国家安全办公室进行,“国防部和武装部队与该办公室密切合作”。
国家安全办公室的职能之一是“确保葡萄牙加入的国家框架和国际组织内的机密信息安全”,并行使“授权自然人或法人访问和处理机密信息的权力”。
Arti是一个以高安全性语言Rust重新开发的Tor,官方认为这个版本代码更具模块化设计,也对其安全性更有信心。
Tor官方近日发布一个用Rust重新开发的Tor版本Arti 1.0.0,目前这个版本已经可用于生产环境。Arti与C客户端Tor具有类似的隐私度、可用性和稳定性,而嵌入器(Embedder)API也接近完全稳定阶段。
用户现在已经可使用Arti代理连接Tor网络,匿名化网络连接,官方提醒,不建议用户使用传统网络浏览器指向Arti,因为传统浏览器会泄漏许多隐私和可识别信息,最好使用Tor浏览器。
为什么是Arti?以及如何实现? 从2020年Tor官方就已经开始着手以Rust语言开发Tor协议,而之所以要用Rust语言重写Tor,官方解释,在2001年的时候,C语言是一个合理的选择,但他们逐渐发现C语言的限制,比如C语言鼓励对许多编程问题采用不必要的低级方法,解决程序开发问题,而且要安全地使用C语言,需要付出许多精力,也由于这些限制,C语言的开发速度总是比期望更慢。
还有另一个重要原因,C语言发展这么多年,早已成为一个不那么模块化的设计,几乎所有东西都连结在一起,而这使得代码分析和进行安全性改进都变得困难。而转向以Rust开发,是解决这些问题的好方法,在2017年的时候,官方就曾尝试在C Tor代码库中添加Rust,希望有一天能逐步替换代码。
Rust于2010年在Mozilla开始,现在由Rust基金会维护,经过多年的发展,Rust已经成为一种独立维护的编程语言,具有很好的人体工程学和性能,以及强大的安全属性。
因为C语言代码没有足够的模块化,不容易重写,但要获得Rust代码带来的好处,需要一次重写整个模组,而不是一次只重写一个函数。但那些被隔离的、足以替换的代码部分大多是微不足道的,真正需要更换的部分又全部交织在一起,因此要在不破坏代码稳定性的情况下,要逐步替换成Rust开发,官方认为是不可能的工作。
在2020年,Tor共同创办人Nick Mathewson开始着手Rust Tor版本开发,随后更名Arti作为Tor官方版本,并获得Zcash社区补助金(Zcash Community Grants)的资助,使得Tor公司得以雇用更多的开发者加入开发,历经数个测试版本,现在终于达到1.0.0的里程碑。
那么,Rust 怎么样? 从开发语言改变来看,官方提到,在每个可比较的开发阶段,以Rust语言开发碰到的Bug,都比C语言开发阶段少得多,会遇到的错误几乎都是语义/算法上的错误,也就是真正的编程问题,而不是使用Rust语言及其设施上的错误。
Rust以其困难的语言和挑剔的编译器而闻名,而且编译器的挑剔性代表着非常严谨,官方提到,一般而言,只要Rust代码能够编译并通过测试,那么在相同条件下,它比C代码更有可能是正确的。虽然是第二次建构Tor,类似功能开发速度本来就会比较快,但官方强调,速度的提高有一部分是由于Rust的语义更具表现力和更可用的库生态系统,但很大一部分是由于Rust的安全性带来的信心。
不过Rust还是有一些缺点,虽然Rust可移植性比C语言更好,但还是需要处理操作系统之间的差异,另外,因为Rust的标准库并不会默认安装在目标系统上,也因此增加可执行文件的大小,虽然通过使用平台原生TLS开发改进支持,已经足以消除这个问题,但是仍有一些工作要进行。
比起C Tor,官方发现Arti更吸引贡献者,获得的代码贡献量更大且摩擦更小,由于Rust强大的类型系统、优秀的API文档支持和安全性,极大程度帮助新的贡献者入手。这些特性可以帮助他们找到要修改的地方,也可以让他们在修改不熟悉的代码时更有信心。
一次偶然的机会,奥地利警察在布劳瑙火车站检查时抓到了一条大鱼。警察抓获了一名通过暗网出售商品的毒贩。
当他在布劳瑙火车站看到警察时,这位25岁的年轻人显然很紧张。如此紧张,以至于警官们也注意到了他,并对他进行了检查。
暗网上的毒品交易 这是一个直接的打击:在这个年轻人的背包里有已经打包好的毒品包裹,准备运走。后来才知道,这个25岁的年轻人在暗网中经营着一个繁荣的互联网业务——贩卖苯丙胺、可卡因、大麻和大麻脂。他自己在国外购买的毒品,并在火车上带过边境。
对安全数据载体和运输材料的评估表明,被捕者已经作为所谓的“暗网供应商”活跃了几个月。以这种身份,他将超过半公斤的合成毒品,如安非他明、可卡因和大麻,运送到他以假名租用的德国包裹店。他用火车把货物运到奥地利,并借口在外面制作了运输标签以掩盖他的踪迹。
逃跑尝试失败 由于担心自己被曝光,他想避免被捕,并在火车站接受警察检查时试图逃跑,他逃离了火车站,朝居民区的方向跑去。警察跟着他,终于在离火车站不远的地方拦住了他。由于这位25岁的年轻人在他的小型布劳瑙邮购中心对客户进行了记录,众多客户也因此抓获——警方只需对销售清单和发货单进行追踪。
暗网上的非法交易 暗网是互联网的一部分,由对互联网其他部分隐藏其IP地址的网站组成。它被用来保持互联网活动的匿名性和私密性。在暗网中进行非法活动比较容易,因为几乎所有的流量都是加密的。用户可以在那里购买非法商品或服务,从毒品和武器到儿童色情制品。调查人员很难或不可能抵制这种情况。
警方的后续调查 搜查他的行李和家中还发现了124克苯丙胺和64克大麻,该男子因涉嫌贩毒和对巡逻人员的攻击行为被带到Ried im Innkreis监狱。