国际资讯

全球知名征信机构 Experian 因大规模数据泄露事件面临政府起诉

外媒 3 月25 日报道，圣地亚哥市律师 Mara Elliott 已向益百利信用机构（ Experian ）提起诉讼，称该公司未根据加利福尼亚州法律要求将 2013 年发生的大规模数据泄露事件告知其受影响的消费者。 据估计，约有 3000 名消费者可能遭受影响，其中包括圣地亚哥估计的 25 万人。

根据 Elliott 的说法，一位越南男子 Hieu Minh Ngo 通过冒充为新加坡私家侦探，获得了一家名为 “ 法院创投公司 ” (Court Ventures Inc.简称 CVI 公司，2012 年被益百利收购）的消费者信息数据库。

该男子每月向 Experian 支付数千美元现金以获得 2 亿个消费者的信息，然后通过暗网将其转卖给其他犯罪分子。据估计，全球约有 1300 名恶意人士购买了这些数据，这些恶意人士利用被窃取的信息提交了 13000 多份虚假申报表，骗取了 6500 万美元的欺诈性退税。截至 2013 年 2 月的 18 个月期间 Ngo 通过倒卖数据库信息已赚取了190万美元。

加利福尼亚州法律对违规行会处以高达2,500美元的罚金，这意味着该公司可能面临数百万美元的罚款。

参考链接：http://hackernews.cc/archives/21951

美国国务院购买了 15000 美元的 iPhone 破解设备

由 Grayshift 打造的 iPhone 破解设备 GrayKey，已经吸引了美国政府的注意力。有关部门对这类设备的需求很强烈，特别在一些需要撬开关键线索的刑事案件的侦破过程中。最新消息是，美国国务院也采用了一批价值 15000 美元的 GrayKey，但其使用目的暂不得而知。一份来自 Motherboard 的报道称，美国国务院下属的外事安全局，于 3 月 6 号那天下了订单。

不过该网站引用的“联邦政府采购数据系统”，并未明确提到 Grayshfit 的名字，而是公示政府购买了相关计算机与外设配件。有趣的是，公示信息中留下的供应商电话号码，与早前印第安纳警方的那起采购相吻合。安全厂商 Malwarebytes 曾发布针对该设备破解功能的深入分析，表示破解 iPhone 密码需要花费几分钟到数天不等的时间。此外，无论 iPhone 型号、或运行那个版本的 iOS，都被认为可被其破解。

据悉，执法部门可以在刑事案件中借助 GrayKey 来调查和提取 iPhone 里的数据。不过出于安全方面的担忧，苹果公司一再拒绝了有关部门的解锁请求。Malwarebytes 指出，GrayKey 仍存在着设备落入坏人之手的风险，最终导致暴露用户和他们的数据。至于如何修补漏洞和减轻 GrayKey 的影响，苹果方面没有发表任何评论，只是承诺将花更多时间来改进其软件的安全性和可靠性。

参考链接：http://hackernews.cc/archives/21961

美 FCC 或将进一步封杀华为中兴 否则运营商拿不到补贴

3 月 24 日，据《华尔街日报》报道，美国联邦通信委员会（FCC）正在考虑出台一项新规定，这项规定将阻止小运营商和乡村偏远地区的移动运营商使用华为和中兴等中国制造商的电子产品。如果运营商使用了这些中国制造商的电子产品，就拿不到联邦补贴。据报道，这项新规定最早可能在下周一提出，但也可能被推迟或搁置。可以作为背景的是，美国时间 3 月 22 日，美国总统特朗普签署了总统备忘录，依据“ 301 调查”结果，将对从中国进口的商品大规模征收关税，并限制中国企业对美投资并购。对于最早参与全球化竞争的的通信行业来说，2012 年以来，华为和中兴多次因为“国家安全风险”方面的问题遭到美方质疑和限制。

北京时间 3 月 22 日，路透社援引知情人士的消息称，美国最大的消费电子零售商百思买决定停止在美国销售华为手机。而在今年1月，华为原计划在 CES 上宣布与美国运营商 AT&T 合作进军美国市场，消息宣布前最终搁浅。在媒体所爆出的一份“美国 18 名国会议员联名致信联邦通信委员会（FCC）主席艾吉特·帕伊（Ajit Pai）”的邮件中，美国议员要求 FCC 对华为与美国运营商的合作展开调查，并再次提到2012年美国国会发出的对华为设备的禁令。此后不久，美国另一大运营商 Verizon 也终止了华为手机的销售。

3 月 22 日，中兴通讯则宣布成立了“中兴终端中国”控股公司，以加强手机业务在中国公开市场的拓展。中兴手机 2017 年并未进入中国手机市场销售的前十位。据中兴方面介绍，2017 年中兴手机在海外六大重点市场进入了 Top5，其中美国、加拿大、墨西哥排名第四，西班牙、俄罗斯排名第五，澳大利亚排名第三。中兴通讯终端公司 CEO 程立新当日在接受采访时称，公司经过深刻研究，决定在中国要加强公开市场的投入，做长期的投入，未来三年中兴通讯要成为国内主流手机品牌。

参考链接：http://hackernews.cc/archives/21928

黑客事件

天网恢恢，疏而不漏：窃取银行近百亿人民币的Carbanak团伙头目落网

近日，欧洲刑警组织、FBI，以及西班牙、罗马尼亚、白俄罗斯以及中国台湾的网络安全公司、金融机构和执法机构联手行动，在西班牙阿利坎特市抓捕了利用 Carbanak 木马和 Cobalt 木马攻击银行谋取暴利的 Carbanak 犯罪团伙头目，对该团伙予以致命打击。Carbanak 犯罪团伙指 2013 年开始就已经开始活跃，至今共针对全球 40 多个国家和地区（俄罗斯、日本、瑞士、美国、荷兰、中国等）的 100 多家银行、电子支付系统和金融机构，疯狂攫取 10 亿欧元（按照 2018 年 3 月 27 日汇率，约合人民币 8906800000 元），造成了重大损失。据报道，仅利用 Cobalt 恶意软件就造成了高达 1000 万欧元的损失。

他们的手段其实并不新颖：向不同银行的近千名职员发送钓鱼邮件，进而入侵他们的电脑，植入 Carbanak 木马和 Cobalt 木马，控制银行的网络和服务器，获取高级权限，进而修改账户余额、将月转移到虚假账户并体现，或者命令受感染的 ATM 机直接吐钱。然后他们用这些钱去购买加密货币，借以洗钱。他们的加密货币钱包绑定的预付卡大多用于购买奢侈品和房产。

值得一提的是，乌克兰警方今天也宣布在基辅逮捕了 Cobalt 组织的另一名成员，这名成员不仅制作恶意软件，还出售全球公民的个人信息。

参考链接：http://www.freebuf.com/news/166487.html

黑客利用存在 5 年的漏洞感染 Linux 服务器并获利

黑客组织利用 Cacti“Network Weathermap”插件中一个存在 5 年之久的漏洞，在 Linux 服务器上安装了 Monero 矿工，赚了近 75,000 美元。来自美国安全公司趋势科技的专家表示，他们有证据证明这些攻击与过去发生在 Jenkins 服务器上的攻击有关：黑客组织利用 CVE-2017-1000353 漏洞在 Jenkins 设备上安装 Moner 矿工，获得了约 300 万美元。

这次，攻击者利用了 Cacti 的 CVE-2013-2618 漏。Cacti 是一个基于 PHP 的开源网络监视和图形工具，更具体地说，是在其 Network Weathermap 插件中负责可视化网络活动。

就像在以前的攻击一样，黑客利用这个漏洞获得底层服务器的代码执行能力，在这些服务器上他们下载并安装了一个合法的 Monero 挖掘软件 XMRig 的定制版本。攻击者还修改了本地 cron 作业，每三分钟触发一次“watchd0g”Bash 脚本，该脚本检查 Monero 矿工是否仍处于活动状态，并在 XMRig 的进程停止时重新启动它。

攻击者使用这种简单的操作模式收获了大约 320 XMR（75,000 美元）。所有受感染的服务器都运行 Linux，大多数受害者位于日本（12％），中国（10％），台湾（10％）和美国（9％）。

由于 Cacti 系统通常设计为运行并密切关注内部网络，因此不应在线访问此类实例。

参考链接：https://www.t00ls.net/articles-44875.html

从手动Dos到1.7T的庞大量级：数十年来DDoS已进化成巨兽

从20世纪90年代需要自己动手部署的拒绝服务，到今年的利用Memcached超级DRDoS，分布式拒绝服务(DDoS)在复杂性和数量上都达到了前所未有的新高度。

对于分布式拒绝服务而言，今年是具有重要里程碑意义的一年，因为在今年出现了两场流量峰值超过1Tbps的DDoS。根据 Arbor Networks 的数据显示，2月下旬，知名代码托管网站GitHub和一家未知名的在线游戏提供商网站遭遇了史上最大规模的DDoS，带宽分别达到了1.35T和1.7T。

尽管，DDoS所消耗的带宽并不一定是决定其是否难以缓解的准确度量标准。但是，这种规模不断增长的趋势表明了DDoS带来的威胁正在不断升级。目前，大多数公司的互联网基础设施已经能够处理大概10到50Gbps的数据流，但这与T级别的流量相比仍然相差甚远。

大多数DDoS都是过度的，这就好比用大炮来打蚊子。

从攻击者群起发动的手动Dos，到由连接设备构成的僵尸网络，再到利用服务器协议漏洞的自动攻击。可以说，在过去的25年里，DDoS技术已经发生了显著的变化。

一开始的都是始于多用户系统，然后再转移至服务器。后来开始利用工作站和家用电脑。而最近，攻击者又瞄准了两个新目标，使用大量不安全的物联网设备组成僵尸网络来发动DDoS，或是利用易受攻击的网络协议来放大和反射DDoS。

最早阶段：利用大型主机操作系统安全性的缺乏

有关最早的DDoS事件只是一个未被验证的传闻，在这个广为流传的故事中，一名高中生于1974年使用早期的大型主机OS PLATO在小型终端网络中发起。

80年代初：蠕虫

时间来到20世纪80年代初，Xerox PARC 公司两名研究人员 John Shoch 和 John Hupp 为“自动从系统扩展到系统的程序”创造了一个术语“蠕虫”。这个蠕虫能够将自身复制到一个研究网络中的每个系统上，而且借助一个系统漏洞，最终每个设备都迅速崩溃了，这一过程就相当于拒绝服务的雏形。

1995年：手动DoS

到了20世纪90年代，一些活动组织开始使用互联网作为虚拟抗议(sit-ins)的一种方式，他们通过搞瘫网站作为其抗议某种政治行为的一种形式。而第一个开创这种形式的组织应该算是 Strano Network，该组织是由一群反对法国政府核政策的人士组成。

1998年：工具FloodNet出现

在Strano手动发起DDoS几年后，另一组行为艺术家和抗议者开发了一款名为”FloodNet“的工具，参与者可以自行下载并在自己的计算机上运行该工具。随后，该攻击工具就会使用EDT提供的目标列表来自动DDoS特定的网站。

1998年：第一个真正意义上的放大反射Smurf

1998年，当网络犯罪分子还在利用自身能力，让其他服务器使用互联网控制消息协议(ICMP)“ping“一个目标时，第一个真正意义上的放大和反射也在此时出现了，它就是” Smurf“。Smurf通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，将发送的数据包数量放大255倍，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf还会将源地址改为第三方的受害者，最终导致第三方崩溃。

1999年：第一个服务器僵尸网络Trinoo

遭到Smurf的明尼苏达大学在第二年仍然没有得到喘息的机会。1999年8月，该大学再次遭遇了使用Trinoo僵尸程序的网络攻击，据悉，该僵尸程序被安装在了至少227台受损的Solaris服务器上。

2000年：越来越多地利用域名服务器

从2000年开始，美国计算机应急响应小组(CERT)协调中心警告称，越来越多的人已经开始使用DNS作为放大带宽的手段。

2003年：Windows的普及放大了蠕虫的恶果

本世纪前十年是电脑蠕虫的鼎盛时期。诸如Code Red、Nimda以及Blaster等恶意程序，都在感染网络和为系统管理员造成麻烦等方面取得了重大成功。这些懂得自我传播的恶意程序，在一定意义上，也推动了微软公司将关注重点从开发Windows操作系统新功能转向专注Windows操作系统安全性。

2009年：出现以政治目的发动的DDoS

2009年，大约5万台感染了MyDoom蠕虫的计算机被用于打击美国政府、金融和商业网站以及韩国政府网站。据悉，此次DDoS峰值带宽速率高达13Gbps，虽然造成停机的时间很短，但是却促使政治家们纷纷指责朝鲜政府。

2016年：物联网成为僵尸程序利用目标

据安全公司Imperva称，在2016年的9月至10月期间，来自一百六十多个国家的近50000个物联网设备用高达280Gbps的流量淹没了多个目标网络。这种DDoS主要使用数字摄像机以及录像机等物联网设备向受害者的网络发送相对复杂的流量，最终造成系统崩溃。

2018年：Memcached漏洞令DDos成长为巨兽

2018年2月28日，知名代码托管网站GitHub遭遇了史上最大规模的DDoS ，导致服务中断100分钟。根据该公司工程团队发布的报告显示，在UTC时间17:21到17:30之间，一名使用放大攻击的恶意行为者针对GitHub网站发起了大规模的DDoS，据悉，该流量的峰值高达每秒 1.35 Tbps。

未来：DDoS还将继续进化

由于各公司纷纷实施保护受损服务器在内的缓解措施，利用Memcached漏洞的DDoS规模，目前已经开始呈现下降趋势。然而，随着整体网络带宽的增长，作为拒绝服务一部分的数据包量将会不断增长，而且作恶者也会发现新的DDoS技术。

参考链接：http://netsecurity.51cto.com/art/201803/569064.htm

（来源：云天安全搜集整理互联网安全资讯）