据报道，在另一场震惊世界的网络攻击中，臭名昭著的黑客比约卡（Bjorka）突破了安全系统，泄露了数百万印度尼西亚公民的个人数据。 比约卡此前曾因泄露印度尼西亚各个平台个人用户信息（包括PeduliLindung、MyPertamina以及最近BPJS Ketenagakerjaan的1900万条记录）而成为头条新闻，现在涉嫌黑客攻击并在暗网中低价出售3400万份印度尼西亚护照数据。 比约卡表示，被泄露的护照数据包括姓名、护照号码、护照有效期、性别和护照签发日期。来自暗网的屏幕截图显示，用户名为Bjorka的比约卡，以1.5亿印尼盾（约合1万美元）的价格提供了3400万印尼护照数据的整个数据集。该文件的压缩版本和未压缩版本据称各约为4GB，总共有34,900,867个文件。 2023年7月5日星期三，印尼Ethical Hacker公司创始人、网络安全分析师Teguh Aprianto在其Twitter账户@secgron上分享了这一消息。 “3400万印尼护照数据被泄露并在暗网上出售，价格仅为1万美元，这些数据包括护照号码、全名、出生日期、性别、地址、电话号码、电子邮件、面部照片和签名。”Teguh写道。 截至2023年7月6日星期四，该推文获得了广泛关注，浏览量达260万次，评论达1974条，转发次数超过13000次。 推特用户@Mikae说：“这很可怕，不是吗？数据泄露已经发生了一段时间，但今天仍然在发生。我真的不知道如何解决这个问题。我们应该怎么办？” 推特用户@ngup*写道：“显然，Bjorka已经意识到印度尼西亚的数据是开放的，因此很便宜。” 用户@euri**问道：“一旦他们获得了数据，他们会用它来做什么？网贷？” Teguh还将矛头指向了通信和信息部（Kemkominfo）和国家网络与加密局（BSSN RI）的官方推特账户，质疑他们对当前问题的回应。 他写了道：“@kemkominfo和@BSSN_RI一直在做什么？” 比约卡的博客Bjork.ai进一步展示了泄露的护照数据，黑客提供了100万份护照记录样本，供潜在买家验证数据的真实性。然而，Kemkominfo随后于2023年7月6日星期四封锁了样本数据的链接。 对此，网络安全专家、网络安全保护服务公司Vaksincom创始人Alfons Tanujaya对泄露数据的有效性和有限性发表了评论。 Alfons在2023年7月5日星期三接受Liputan6.com的Tekno采访时表示，由于存在由移民总局独家掌握的国民身份证识别码（NIKIM），泄露的数据可能是有效的。 “泄露的范围仍然有限​​，而且与之前泄露的数据相比，数据质量对犯罪分子的吸引力较小。” 泄露的数据与NIKIM号码、护照和护照持有人姓名的准确性和对应关系尚未得到移民总局的确认。Alfons强调移民当局需要进一步核实，他补充说：“移民局必须确认泄露的数据是否与NIKIM号码、护照和护照持有人姓名相符。” 尽管泄露的数据类型有限，但Alfons警告说，这些信息仍可用于识别个人身份。他承认，此次事件中最重要的数据泄露是NIKIM数据的泄露，而其他泄露的信息并不那么重要，并且之前已经被泄露过。 Alfons进一步解释说：“其他受影响的数据所有者，例如人口数据、全名和身份证号码（NIK; Nomor Induk Kependudukan）以及其他与人口相关的数据，其NIKIM数据和护照号码也被加入到泄漏的数据中。” 当被要求做出回应时，印度尼西亚法律和人权部（Kemenkumham）移民局局长西尔米·卡里姆（Silmy Karim）证实，正在对所谓的数据泄露事件进行调查。 Silmy Karim通过短信给Liputan6.com表示：“我们目前正在调查数据泄露事件的真实性。” Silmy进一步透露，移民数据中心目前使用通信和信息部（Kominfo）的国家数据中心（PDN; Pusat Data Nasional）。他们正在与国家网络和加密机构（BSSN; Badan Siber dan Sandi Negara）和Kominfo合作调查此事。 Silmy在接受Kompas.com采访时说：“是的，我们正在与BSSN和Kominfo合作。” 据Kominfo官网介绍，PDN的发展是政府政策的一部分，包括《电子政府系统总统条例》第27条。 PDN为中央和地区政府机构提供各种服务，包括政府云计算、数据整合和合并。 至于正在进行的调查，Kominfo信息和公共传播总监乌斯曼·坎松（Usman Kansong）透露，PDN中的数据结构与流传的泄露数据存在差异。 乌斯曼上周三（7月5日）在给Kompas.com的一份声明中表示：“根据初步调查，国家数据中心的数据结构与流传的数据结构存在差异。” 乌斯曼表示，Kominfo目前正在制定法规，以防止未来的数据泄露。他说：“作为长期预防的一部分，我们正在根据2022年关于个人数据保护的第27号法律制定相关规定。” 他进一步提到，Kominfo正在起草政府条例（Peraturan Pemerintah/PP）和总统条例（Peraturan Presiden/Perpres）。政府条例预计将于2023年底发布，而总统条例则计划于2023年9月发布。 Usman补充说，除了发布法规外，Kominfo还将在印尼多个地点扩建国家数据中心（PDN）。他说：“我们将在4个地点建设国家数据中心，即勿加泗（Bekasi）、巴淡（Batam）、IKN和纳闽巴约（Labuan Bajo）。” 为了加强数据基础设施和网络安全措施，通信和信息部（Kominfo）启动了一项雄心勃勃的项目，在印度尼西亚多个地点建立首个政府所有的国家数据中心（PDN）。 由于印度尼西亚持续存在的数据泄露问题，迫切需要加强数据保护措施。Kominfo信息学应用总监Semuel Abrijani Pangerapan透露，2019年至2023年间，该部共处理了94起数据泄露案件。 值得注意的是，2023年数据泄露数量激增了75%，达到35起。截至2023年6月，Kominfo已处理15起数据泄露事件。 Semuel澄清，在处理的94起案件中，经过评估和取证调查，其中28起案件被确定为网络安全漏洞或系统漏洞，而不是违反个人数据保护的行为。

OnniForums自称是一个专注于安全和匿名的黑客论坛，为所有用户提供黑客教程、数据库泄露、市场等内容。OnniForums论坛因攻击重新启动的BreachForums而出名，向外界展示了其”高超“的黑客技术。“暗网下/AWX”探访了OnniForums的暗网网站，并尝试了注册。 6月份，重新启动的论坛BreachForums据称已被OnniForums上的用户DataBroker黑客攻击，包含约4300个帐户的用户数据库被泄露。这使得OnniForums名声大振，也收拢了一大波用户（网络犯罪分子）。目前，据称该论坛有超过12000多名用户，活跃度比较高。 与RaidForums以及BreachForums等其他暗网黑客论坛一样，OnniForums也是使用MyBB论坛程序搭建的，自然也是基于PHP与Mysql的环境。 进入该网站，注册时，该网站显示了一个规则： 禁止垃圾内容。 禁止色情内容。 禁止弱智。 禁止潜伏者。 并且要求，继续注册程序即表示您同意上述规则以及管理员指定的其他规则。 注册进去后，映入眼帘的也是首页的即使聊天部分（喊话筒），这也与其他论坛几乎一样。 OnniForums论坛分为主页（公告, 休息室, DNM讨论区）、黑客（黑客问题、网站、教程和软件破解）、市场（卖方, 买方）、泄漏（数据库泄漏、账户登录、数据转储和电子书）、开发（恶意软件开发、编程、逆向工程、开发代码）、卡片（信用卡、欺诈、操作安全）、毒品（毒品交流，评论）等七个版块，看起来除了色情、儿童色情以及枪支弹药，常见的犯罪都有。在数据库泄漏的版块里，泄露了大量的数据库，其中也有许多来自中国的数据。 OnniForums管理员为论坛创建了一个新的jabber服务器，号称没有没有日志，没有IP，没有废话，托管在海外！可以通过Tor在这里注册 -> http://city6xw7ualufhzwgnsesde6pbkxfodjz3h5rf52ut4q47qyas67ymid.onion/jabber.html，也通过明网在这里注册 -> https://lake.money/jabber.html，并且提供了他的账户: [email protected]。 OnniForums的管理员也公布了他的canary： —–BEGIN PGP SIGNED MESSAGE—– Hash: SHA512 I am the admin of Onniforums dkota I am in control of my PGP key I will update this canary within 14 days. Today is 2023-07-08 —–BEGIN PGP SIGNATURE—– iQITBAEBCgB9FiEEjl7UM8ahCGihlliN8AJl5Hgiy4EFAmSpRy9fFIAAAAAALgAo aXNzdWVyLWZwckBub3RhdGlvbnMub3BlbnBncC5maWZ0aGhvcnNlbWFuLm5ldDhF NUVENDMzQzZBMTA4NjhBMTk2NTg4REYwMDI2NUU0NzgyMkNCODEACgkQ8AJl5Hgi y4Emuwv/Wkzen/rEY9n8E0FEwLtl1d3nhUHNQSGeW4m771Mp12ed/t4Pde24lD5y 3Kf/HD5jqwUU1M0O/eIL77J+4U8pP4h05Nz520Ea/trl3dYQ2W7q1dd/+kPkL9tM Ipw8/evG/AhuMfXirftonFI9y4uTeUD+0N5AEBMuTE87nYwfMgPhT2jkn4ghOW3l Ce/jK7i8bIrWUdk/OpUwPxRKiaULuX7mVBM8quPAnQtj/aWt62Bs9LaYLseejGse 6GWv1qod6OiidSnV8t7yjrhjsOAqAHCg9uCCUDFKhqxCIPzfpFhsKHclbr/xXC2c 7mpPDm+ZgLJJ78dp6Gq4jpeP0qiI4TnzgzMMp6QyOZmvxFHXobo5ocgD7Ts38Cw4 p1nxkSLOjw9lCxIlbYKtx99ykdLCT42QZUaBR3Jug4TOLibHhFNnFDlUiRHrRjJF XohTu2YH5qC8iE98aK9WSm2iHO3Tp0AlKU/1M0/dzWLAp/dCUdVz3wqYh+EHrm99 4MyZT87o

加拿大和英国的学者在分析暗网市场毒品购买数据时进行了一项新的研究，揭示了哪些国家更喜欢从其他地方进口毒品，而哪些国家更喜欢在国内运输毒品。该研究结果发表在2023年7月的《犯罪法与社会变革》上，文章称，俄罗斯、美国和加拿大的暗网市场买家最喜欢从国内供应商处订购，而土耳其、印度和比利时的买家则最有可能使用国际供应商。 研究人员认为，一个国家的暗网交易市场购买者在决定是否从国际供应商处订购毒品时会受到多种因素的影响。这些因素包括文化亲和力（使用相同的语言）、这个国家监管暗网市场的能力以及购买者所在国是否可以获得所需的药物。 该研究基于前DrugRoutes网站的数据，该网站收集了志愿者提供的可验证的、自我报告的暗网市场毒品购买数据，以建立对暗网毒品贸易最受欢迎的国际路线的认识。作者发现，欧盟的国际毒品贸易尤其丰富，荷兰是向德国、法国等邻国出口毒品的首要国家。荷兰也是向其他大陆国家出口率最高的国家之一，包括美国、加拿大、澳大利亚和印度。 研究还发现，美国总体上是主要的“买家”国家，其次是德国、法国、英国、加拿大和澳大利亚。此外，根据DrugRoutes数据，研究人员还研究了哪些毒品最受欢迎，其中包括以下内容（以及占总订单的百分比）： 大麻（28%） 可卡因（20%） MDMA/摇头丸（12%） 迷幻药（9%） 安非他明（6%） “其他”（6%） 甲基苯丙胺（5%） 海洛因/其他阿片类药物（4%） 处方药（3%） 苯二氮卓类药物（3%） 氯胺酮（1%） 最后，该研究的作者还表明，拥有更好的互联网基础设施和更广泛的可用性的国家比那些缺乏基础设施的国家拥有更大的暗网市场用户群。例如，该研究提到了英国和哥伦比亚在互联网普及率和可卡因价格方面的差异： 哥伦比亚毒贩可以通过在加密暗网市场上的销售获得可观的利润，因为每公斤可卡因的国内批发价格约为1500美元，而在英国为45000美元。但哥伦比亚的互联网普及率为65%，其中很大一部分无法接入互联网的人可能居住在可卡因生产较为集中的农村地区。 相比之下，英国的互联网普及率为95%。这种差异有助于说明（尽管不完全）为什么英国在毒品加密市场贩运方面比哥伦比亚发挥着更重要的作用。 该论文名为：Online and offline determinants of drug trafficking across countries via cryptomarkets（通过加密市场进行跨国毒品贩运的线上和线下决定因素） 摘要： 毒品加密市场是非法毒品市场近代史上的重大发展。经销商和买家现在可以与他们从未见过的人完成交易，这些人可能位于全球任何地方。哪些因素影响了通过这些加密市场进行国际毒品贩运的地理分布？在我们当前的研究中，我们结合使用社交网络分析和由自我报告交易组成的新数据集来测试通过加密市场进行毒品贩运的决定因素。我们的研究结果表明，一个国家的技术进步水平增加了在加密市场上形成贩运联系的可能性，从而为现有研究做出了贡献。此外，我们发现一个国家监管加密货币市场的能力会减少与其他国家的贩运联系数量。我们还观察到，加密货币市场上的贩运更有可能发生在地理位置接近的国家之间。总之，我们的研究强调在加密市场研究中需要考虑线上和线下因素。 Drug cryptomarkets are a significant development in the recent history of illicit drug markets. Dealers and buyers can now finalize transactions with people they have never met, who could be located anywhere across the globe. What factors shape the geography of international drug trafficking via these cryptomarkets?

上周，Tor项目向众多Tor中继运营商宣布，正式推出”WebTunnel“。WebTunnel是一种适用于Tor生态系统的新型桥接式可插拔传输（PT），它是一个抗审查的代理，试图模仿HTTPS流量，基于HTTPT 21研究。Tor项目目前正在对WebTunnel进行试运行，并鼓励网桥运营商建立WebTunnel网桥，以发现这个新的可插拔传输的实施中的问题。 WebTunnel是如何工作的 连接到WebTunnel Bridge时，客户端通过加密连接向负载均衡器发送http 1.1升级请求，就像WebSocket的工作方式一样。因此，从观察者的角度来看，这个过程看起来就像是与真实网站的真实Websocket连接。如果有人尝试连接到前置网站，那么将呈现的将是该前置网站。如果没有完整的URL路径，就很难通过探测HTTPS端口来判断一个网站是否承载了WebTunnel。 技术要求 要设置WebTunnel桥接，用户需要一个自我托管的网站，一个能自主控制的域名，一个可配置的负载平衡器，静态IPv4，以及设置Tor Bridge的环境来建立一个WebTunnel桥接。建议使用Docker或其他容器运行时来简化设置过程，但这不是必需的。 设置指南可在此处获取：https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel#docker-setup 如何测试和报告问题 用户可以通过使用Tor浏览器最新的Alpha 3版本来测试WebTunnel桥接。目前，WebTunnel只通过HTTPS分发（torrc设置：’BridgeDistribution https’）。 用户可以在Tor项目的GitLab上报告问题：https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/webtunnel 鉴于这个新的PT目前仅在Tor浏览器的Alpha版本上可用，中继运营商目前不应期望有大量的使用或大量的用户。 Tor项目称，如果用户在设置WebTunnel时遇到任何困难，请及时反馈给Tor项目。Tor项目感谢大家对Tor生态系统的贡献。

今年春天，与大多数瑞士安全服务机构合作的瑞士IT服务提供商Xplain公司遭到了黑客攻击。接下来发展成一种典型的勒索软件攻击模式：内部系统瘫痪、数据被盗、索要赎金，然后，由于Xplain公司拒绝付款，黑客在暗网上发布了泄露的信息。6月初，黑客只发布了六个压缩文件，其中包含数千份文档，主要为来自Fedpol和几个州警察局执行的众多IT项目的数据：合同、技术规范等，总计近3GB；然后到了6月中旬，似乎所有被盗的信息都被放到了网上，即907GB，这是一个巨大的数据量。现在，来自瑞士联邦的超敏感信息现在可以在暗网上找到，那些意图伤害瑞士的居心不良的人很容易获得这些信息。 值得注意的是，Xplain公司是瑞士许多警察部队和安全联盟的IT服务提供商，特别是与联邦警察局、Fedpol和海关管理局合作。Xplain公司遭到黑客攻击导致大量超敏感数据在暗网上发布，影响了瑞士的国家安全。 据称勒索软件团伙”Play“是此次Xplain数据泄露事件的幕后黑手，”Play“是一个相当新的与俄罗斯相关联勒索软件团伙，在2022年发动了多次引人注目的攻击。该团伙因在加密受害者数据后添加扩展名“.play”而得名，其勒索信中通常包含“PLAY”一词。 “暂时”无法下载 上周日，瑞士国家网络安全中心（NCSC）告诉Keystone-ATS机构，这些数据已从暗网上消失。也就是它们已从当初发布的页面上删除，NCSC无法解释这种突然失踪的原因。NCSC时指出，“勒索软件团伙”Play“黑客组织于6月14日在暗网上发布了这些数据，此后暂时无法下载。我们不知道原因。” 这是一个重要的澄清：根据NCSC的说法，这些被盗的数据总量高达907GB，只是“暂时”消失了。联邦服务部门没有提供有关此事件的任何进一步细节。提供数据下载的地址很可能不再有效，这也可能是由于联邦方面采取的技术行动造成的。但随后，黑客可能从另一个地址重新发布了被盗的信息，与当局开始了一场猫捉老鼠的游戏，而他们几乎不可能获胜。 曾经很容易下载 网络安全专家证实，泄露的联邦数据确实可以在暗网上获得。请记住，访问它并不是很复杂：您所需要的只是一个特殊的浏览器，最著名的是Tor浏览器，然后可以直接访问所需的地址或查阅目录。这需要一点经验和时间。黑客和对被盗数据感兴趣的人也会浏览暗网交流论坛，在那里交换下载信息的地址。 从Xplain公司窃取的联邦数据大约十天前被黑客放到了网上。我们能想象这些数据从那时起已经被下载了很多次吗？普华永道负责网络安全服务的合伙人Yan Borboën表示：“是的，很可能这些数据已经被下载过很多次了，直到今天仍然如此。我们从之前的案例中知道这是可能的。”暗网上被盗数据存在真正的市场，就Xplain公司而言，这些数据显然会引起了许多人的兴趣——黑客、外国安全服务机构、网络安全公司……因此，许多存储副本已经在线和离线存在，下载到计算机、优盘或光盘、移动硬盘上。 数据一旦流出就很难监控 回到周日NCSC给出的信息，我们可以肯定地说数据不在暗网上吗？可以永久扫描吗？“我们的‘威胁情报’领域的专家团队确实可以监控暗网，”Yan Borboën继续说道。然而，考虑到暗网本身的功能，不可能确保这些搜索能够详尽地检测所有数据。事实上，数据有可能在访问受到严格限制的秘密暗网论坛上共享。 结论是：一旦数据被盗，其所有者就不再对其有任何控制权。 瑞士联邦正在危机处理 瑞士联邦危机工作人员已成立，负责处理影响Xplain公司的网络攻击，联邦委员会希望在联邦数据被盗后采取行动。危机工作人员负责协调正在进行的工作，以管理针对Xplain的勒索软件攻击。 联邦公共事务部已启动诉讼程序。联邦数据保护专员还对联邦警察局和联邦海关办公室展开调查，有迹象表明可能存在严重违反数据保护规定的情况。 政府还决定验证并在必要时修改与联邦政府IT服务提供商的当前合同。如果遇到网络攻击，联邦必须能够迅速做出反应。联邦服务提供商必须确保遵守针对网络攻击的保护标准。

5月中旬，一个被盗的数据库出现在暗网上，内容是《瑞士评论》（Swiss Review）订阅者信息的外部下载链接。这是一份联邦政府杂志，可以让国外的瑞士公民了解本国的最新动态。 这个数据库很全面，它包含超过42.5万个地址，其中40%是邮政地址，60%是电子邮件地址。任何在瑞士注册为海外公民的人都会自动通过电子邮件或邮寄方式收到《瑞士评论》。据外交部称，80万海外瑞士人中只有33万没有选择接受《瑞士评论》——其中包括讲意大利语的瑞士人。 瑞士外交部在处理这些地址时遵守所有数据保护规则，因为这些数据不是自愿提交的，它来自瑞士驻外领事馆。 任何在瑞士注销身份登记的人都有义务向相关瑞士代表处申报其在国外的居住地。这创造了《瑞士评论》的订户基础。 任何人都不能访问 瑞士政府认为这些数据非常敏感，甚至连《瑞士评论》的出版商SwissCommunity都无法获得这些数据。 但是，现在正是这些数据库可以在暗网中找到——或者至少是其中的一部分，具体情况尚不清楚。暗网是互联网中普通计算机用户无法访问的部分。 “联邦外交部不知道实际上有多少数据被窃取。”外交部写道。 联邦数据保护和信息专员阿德里安·洛比格（Adrian Lobsiger）表示：“非自愿收集的数据以这种方式公开，这一事实令人非常遗憾。”他正在呼吁让受影响的人得到通知。 已经提交了一份刑事投诉，网络安全专家正在进行调查。 网络攻击的副产品 但是，这怎么可能发生呢？简单地说，海外瑞士人的425000个地址是对两家瑞士出版社（NZZ出版集团和CH Media）进行勒索攻击的副产品。这两家出版社的数字基础设施是相互联网的。 对这次攻击负责的犯罪组织自称“Play”。这是一个活跃于国际舞台的黑客组织，据说与俄罗斯有联系。2023年5月3日，“Play”在暗网上公布了从瑞士出版集团CH Media窃取的大量数据。 公布窃取的数据是勒索扑克游戏的一部分，这在黑客所谓的勒索软件攻击中很常见。他们的做法冷酷而奸诈。 首先，犯罪分子侵入公司的IT系统。然后他们经常加密受害者的数据。与此同时，他们威胁要公布敏感数据。如果被勒索的公司拒绝支付赎金，数据记录就会发布在暗网上。 受攻击的公司表示，他们尚未支付赎金。 NZZ和CH Media数字生态系统遭受的攻击发生在3月底。据编辑部主任马克·莱托（Marc Lettau）称，《瑞士评论》编辑部也因编辑系统中断而受到了此次攻击的影响。《瑞士评论》也通过其IT基础设施与受到攻击的环境相连。 2023年5月3日，即“Play”公布被盗数据的当天，CH Media通知其IT客户。合作伙伴公司了解到客户数据也受到了影响。此消息也被发送至《瑞士评论》。 到5月中旬，很明显，这些数据包括《瑞士评论》订阅者的详细地址信息。每年六次，当该杂志印刷时，瑞士外交部会将这些数据发送给负责发送《瑞士评论》的印刷公司。 工作流程中的数据保护？ 此工作流程中是否有数据保护措施？外交部的回应是：“发送是通过加密的政府文件传输进行的。该流量没有受到影响，没有被黑客攻击，也不是数据被盗的对象。根据政府的数据保护规定，这些数据必须以加密的形式存储在印刷公司。” 目前尚不清楚相关数据库最终是否经过加密。CH Media写道：“我们不对个别客户关系发表评论。” 针对瑞士公司的勒索攻击 外交部上周才发表声明，即在泄密事件发生六周后。其中的核心要点是：除了地址之外，印刷公司不掌握任何个人数据。 显然，外交部几周来一直在努力做出正确的评估和正确的沟通。但专家们确信：“错误不在于政府，”《Inside-IT》杂志主编雷托·沃格特（Reto Vogt）表示。他说，政府以其对数据保护的敏感态度而闻名。“这一特殊案例可能只是运气不好。” 电子投票面临风险？ 然而，这次攻击有可能引发有关瑞士电子投票系统的安全争论，该系统于2023年重新推出。新系统的首次试用伴随着瑞士发生的几起网络攻击，引起了人们的关注。 除了勒索出版商之外，“Play”还对瑞士IT公司Xplain发起了一次惊人的攻击。该公司为瑞士司法和警察当局提供软件。 这次勒索软件攻击也导致了敏感数据的发布。受影响的包括军队、联邦海关和边境安全局以及联邦警察。调查仍在进行中，损坏程度尚无法确定。 六月初，另一个黑客团体使瑞士重要网站瘫痪。这次袭击是由亲俄组织NoName发起的，是对乌克兰总统泽连斯基在瑞士议会的视频演示的回应。 许多州的网站以及联邦政府和瑞士证券交易所的网站都受到了攻击。这些攻击的原理是不同的。它们被称为DDoS攻击，包括精心策划的大规模调用流量访问网站，使其不堪重负，导致网站暂时瘫痪。 无论勒索软件攻击和DDoS攻击都与电子投票技术没有直接关系。然而，如果此类攻击频繁发生，就会产生后果。IT企业家格吕特（Franz Grüter）表示：“即使这一事件与电子投票系统没有直接联系，随着每一次额外的网络事件的发生，人们对国家IT系统安全性的信心也会下降。” “可疑的安全思维” 对于格吕特来说，这些事件“让人们对政府的安全思维产生了怀疑”。格吕特是议会的人民党议员，对电子投票持怀疑态度。他认为这次事件很严重，并指出，在选举年，可购买的包含所有海外瑞士人地址的数据集特别有价值。“有人可以利用它来进行非常有针对性的选举广告。” 瑞士外交部写道，它“不知道这些数据目前是否在暗网上被提供”。

据报道，西门子能源公司（德国慕尼黑；www.siemens-energy.com）和施耐德电气公司（法国吕埃尔-马尔迈松；www.se.com）这两家关键基础设施行业的工业控制系统（ICS）供应商已被网络犯罪团伙CL0P列为勒索软件受害者，但是否有针对性的攻击尚未得到证实。 该勒索软件团伙（也称为TA505）从2023年5月27日开始利用MOVEit Transfer（一款面向互联网的自动文件传输Web应用程序）中的漏洞，据报道该团伙已经列出了全球数百家公司的名单。据威胁网络安全情报平台FalconFeeds6月27日在推文中称，CL0P勒索软件组织在其暗网泄密网站中将西门子能源、施耐德电气和其他一批实体列为新的受害者。 CL0P #ransomware group has added five new victims: – https://t.co/b5TXXSO3oi – Schneider Electric (https://t.co/icrsZ9CAwB) – Siemens Energy (https://t.co/89TbkQ3YMn) – UCLA (https://t.co/hoy9JuoHTT) – Abbie (https://t.co/AtFS3GFSGi)#MOVEIT #Cl0p #DarkWeb #DeepWeb #CyberRisk pic.twitter.com/mTpLZdCzbW — FalconFeedsio (@FalconFeedsio) June 27, 2023 西门子能源公司在一份声明称，它已了解这一预警，并将继续与政府合作伙伴和客户密切合作，以确定这些说法是否属实。“我们拥有一支世界一流的事件响应团队，我们还有一个ProductCERT组织，负责在发生漏洞或攻击事件时进行披露。”一位公司官员指出。 CL0P的阴险手段 CL0P因其使用特定的恶意软件感染MOVEit Transfer的Web应用程序的能力，然后使用该恶意软件从MOVEit Transfer底层数据库窃取数据，而受到美国联邦政府的审查。美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）在6月7日发布的联合网络安全咨询（CSA）中建议采取行动和缓解措施，以防范先前未知的结构化查询语言（SQL）注入漏洞（CVE-2023-34362）。 CISA表示：“CL0P出现于2019年2月，由CryptoMix勒索软件变体演变而来，在大规模鱼叉式网络钓鱼活动中被用作勒索软件即服务（RaaS），这些活动使用经过验证和数字签名的二进制文件来绕过系统防御。”。 CISA建议采取的防止或减轻影响的步骤包括，统计实体资产和数据清单、仅授予特定的管理权限，以及激活防火墙和路由器等网络基础设施设备上的安全配置。 此外，美国国务院根据正义悬赏的任务，于6月16日悬赏高达1000万美元，奖励那些将CL0P勒索软件团伙或任何其他针对美国关键基础设施的恶意网络行为者与外国政府联系起来的线索。 Advisory from @CISAgov, @FBI: https://t.co/jenKUZRZwt Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government?

“暗网下/AWX”曾经给大家介绍了苹果手机IOS系统访问暗网的方法，那就是下载使用开源的IOS版本Tor浏览器“Onion Browser”。但是现在，境内苹果手机使用该方法已经无法访问暗网。 “Onion Browser”是Tor项目认可推荐的基于IOS系统的浏览器 Tor项目没有推出官方IOS浏览器，但是主页推荐了一款第三方浏览器，网站为：https://onionbrowser.com “Onion Browser”新的升级 6月中旬，Tor项目官方认可的IOS版本Tor浏览器“Onion Browser”进行一次重大升级，升级到v3.0.0版本，根据更新日志，新版本依赖Orbot进行Tor网络访问。Orbot处理所有的网络路由，而Orbot停止时，“Onion Browser”确保所有的请求都将被取消。 也就意味着，只有当Orbot正常连接Tor网络后，“Onion Browser”才开始正常工作。而不再是“Onion Browser”应用自行接入Tor网络，并访问onion站点。现在打开“Onion Browser”，会显示“Onion Browser wants to access Orbot.”，但是“Grant”后发现，Orbot根本无法成功连接。 iOS系统上的Tor：“Orbot” Orbot是Guardian项目开发的基于Tor网络的代理，自称“适用于智能手机的TOR VPN”，号称可以“保持您的应用程序流量私密且畅通”，官网为：https://orbot.app/ Orbot是一款免费应用程序，于2008年在Android系统上发布，2022年在iOS系统上推出。 Orbot不是一个独立的Tor浏览器。它的作用与VPN类似，通过Tor网络路由所有流量。 Orbot允许任何应用程序连接到洋葱站点，并允许你的手机自己托管一个洋葱服务器。 “Onion Browser”境内无法访问的原因 技术上而言，Orbot其实就是一个VPN，所以由于众所周知的原因，Orbot在境内无法访问。但是“Onion Browser”却依赖Orbot开启前置连接后，才能使用。因此在境内“Onion Browser”再也无法使用，除非路由层面已经跨境，或者，自行架设网桥（bridge）。

美国司法部周五宣布对33岁的米洛米尔·德斯尼卡（Milomir Desnica）提出指控，他是克罗地亚和塞尔维亚公民。他被指控在2019年底在暗网里推出“Monopoly市场”，担任该暗网市场的管理员，并通过所有销售中赚取的佣金获利。 2022年7月，华盛顿的一个联邦大陪审团对德斯尼卡提出了两项​​指控，并要求没收他所指控的罪行的所有收益。他被指控串谋分销和持有并意图分销50克以上的甲基苯丙胺，以及洗钱罪。这些罪名最高可判处终身监禁和20年有期徒刑。 针对德斯尼卡的案件是联邦调查局华盛顿外地办事处的高科技阿片类药物特别工作组和德国奥尔登堡中央刑事调查组（Zentrale Kriminalinspektion Oldenburg）网络犯罪小组联合调查的结果，该调查确定并定位了德斯尼卡。2022年11月2日，奥地利当局根据临时逮捕令逮捕了他。警方搜查了他的住所和车辆，没收了电子设备和现金。 在德斯尼卡提出异议后，奥地利法院支持了美国的引渡请求，并于周五被引渡。预计嫌疑人将于周一在华盛顿特区联邦法院首次出庭，接受美国地方法院法官卡尔·尼科尔斯（Carl J. Nichols）的审讯。 美国司法部指控德斯尼卡审查和批准想要在”Monopoly市场“上出售毒品的个人的所有申请。检察官表示，所有供应商的申请都包括“他们想要销售的毒品的描述、库存的照片证明以及为通过’Monopoly市场‘完成销售后需支付佣金的协议”。 根据法庭文件，供应商通常同意与”Monopoly市场“运营者分享5%的收入。联邦调查局表示，”Monopoly市场“总共为供应商赚取了至少1800万美元的收入，这意味着该市场的运营者据称赚取了超过90万美元的佣金。 涉嫌在暗网经营”Monopoly市场“的男子被逮捕 ”Monopoly市场“是一个暗网市场，这意味着只能通过使用匿名Tor浏览器才能访问该电子商务网站。在其他毒品中，该网站还销售阿片类药物、兴奋剂、致幻剂和处方药。检察官表示，2021年，卧底的美国执法人员能够从”Monopoly市场“购买超过100克的甲基苯丙胺。 5月份，在欧盟执法机构欧洲刑警组织的协调下，一次代号为SpecTor的联合执法行动，查获了”Monopoly市场“的犯罪基础设施，并逮捕了288名嫌疑人。执法人员还缴获了超过5400万美元的现金和虚拟货币、850公斤毒品（包括安非他明、可卡因、MDMA、LSD和摇头丸）以及117支枪。 参与SpecTor的9个国家分别逮捕了多名嫌疑人：美国（153人被捕）、英国（55人）、德国（52人）、荷兰（10人）、奥地利（9人）、法国（5人）、瑞士（2人）、波兰（1人）、巴西（1人）。 欧洲刑警组织执行主任凯瑟琳·德·博勒（Catherine De Bolle）当时在会议上表示：“这次行动向暗网上的犯罪分子发出了强烈的信息：国际执法机构有手段和能力识别你的非法活动，并追究你的责任，即使是在暗网上。” 针对”Monopoly市场“的案件之所以成立，部分原因是德国当局于2021年12月扣押了”Monopoly市场“的基础设施，这使得警方能够开始识别供应商和客户。美国联邦调查局表示，在司法互助条约的支持下，它从德国收到了市场数据库和论坛数据库的数字取证副本。 通过加密货币追踪溯源，FBI找到幕后的运营者德斯尼卡 美国联邦调查局表示，在研究了德国执法部门查获的市场数据库（其中包括发送给供应商的票据）后，确定了德斯尼卡的身份。调查人员发现，所有发给供应商的票据都包含比特币或门罗币地址，供应商被要求将”Monopoly市场“运营者应得的佣金发送到该地址，虽然这些付款详细信息已在2021年10月22日之前的票据中删除，但在后来的票据中仍然存在。 联邦调查局分析了涉及”Monopoly市场“运营者明显使用的地址的大量交易。按月计算，所有收到的资金中，有一半似乎被转账到存储中，并显然保持不变，另一半被发送到不保留用户详细信息的加密货币交易所。司法部表示：“德斯尼卡随后将非法加密货币出售给塞尔维亚的点对点交易商，以换取法定货币-所有这些都是为了清洗非法毒品销售的收益。” 检察官周六提交给法院的一份支持拘留的备忘录报告说，FBI揭开德斯尼卡的真面目的部分原因是识别出“存入MoonPay.io交易所某钱包的两笔比特币存款，该钱包也收到了2020年7月的’Monopoly市场‘收益”。FBI从MoonPay加密货币交易所获得的记录，使其能够识别用于在MoonPay进行存款的谷歌支付帐户，并追溯到德斯尼卡使用的信用卡和Gmail地址。FBI表示，其中一个电子邮件帐户包含访问”Monopoly市场“的比特币钱包所需的12个单词的助记词。 检察官在备忘录中写道：“他通过各种社交媒体、个人电子邮件帐户以及访问‘Monopoly市场’比特币钱包所需的种子短语，与‘Monopoly市场’直接联系在一起。”

美国当局证实，在逮捕其管理员Fitzpatrick三个月后，他们已经查封了与BreachForums门户网站相关的两个域名：breached.vc与breached.to。BreachForums网站是一个公认的数据泄露论坛，在暗网与明网均可以访问，用于泄露攻击中窃取的数据库和信息。 尽管该网站的所有者康纳·菲茨帕特里克（Conor Fitzpatrick，又名Pompompurin）于3月份被当局拘留，但与该网站相关的域名仍然处于活动状态，尽管访问时会显示服务器错误相关的消息。这表明当局当时可能仍无法完全控制该域名的基础设施。 然而，最近BreachForums网站的域名已经开始显示当局的扣押信息（被扣押的提示），同时表明该域名将与该门户网站有关，现在看来这已经被他们扣押。 当一个域名被当局扣押时，它通常总是显示相同的通用消息——一张图像，通知该域名已被扣押。有趣的是，目前该论坛显示的图像还出现了Pompompurin的论坛卡通头像，但却戴着手铐。 同时，Pompompurin网站的个人域名也被当局查封，显示相同的信息。 请注意，即使网站域名已被查封，BreachForums论坛在Tor网络上的暗网网站地址仍然可以正常工作，没有任何警告，只是显示404错误消息。 重要的是要记住，自从最初的门户网站及其管理者被捕以来，一些与Pompompurin关系密切的前成员已经开始创建自己的替代版本，目前已经有几个现有的版本，包括一些也是由模仿者创建的网站。 如，Exposed论坛，曾因泄露Raidforums的用户数据库而收获了广泛的知名度，一度被认为是已宣布关闭的Breached论坛的替代品。 “Pompompurin”的合伙人“Baphomet”，在关闭Breached论坛数周后，宣布重新启动Breached论坛，并称新的Breached论坛的地址为：https://breachforums.vc。 更多暗网新闻动态，请关注“暗网下/AWX”。