کامپیوترهای Baltimore به مدت دو هفته توسط هکرها هک شد

حملات ransomware به این معنی است که شهروندان بالتیمور نمیتوانند صورتحساب آب خود یا بلیط پارکینگ را پرداخت کنند.

سیزده بیک کوین بین شهر بالتیمور ایستاده و بسیاری از خدمات و پردازش شهروندان خود را به تکیه بر پس از هکرها هزاران کامپیوتر دولتی را در آغاز ماه گرفتار شده است. اعتراض به مدت دو هفته ادامه دارد و هیچ دلیلی در ظاهر وجود ندارد.

در اینجا چیزی است که اتفاق می افتد: در روز 7 ماه مه، هکرها به صورت دیجیتالی حدود 10،000 رایانه دولتی بالتیمور را دستگیر کردند و تقاضای تقریبا 100000 دلار در بیت کوین ها برای آزاد کردن آنها را ایجاد کردند. این حمله به اصطلاح "ransomware" است، در حالی که هکرها برنامه های مخرب را به منظور جلوگیری از دسترسی به سیستم کامپیوتری و یا دریافت آن تا زمانی که صاحب آن سیستم می پردازد، بازپرداخت می کند.

بالتیمور، مانند چندین شهر دیگر که طی دو سال گذشته با چنین حملاتی برخورد کرده اند، حاضر به پرداخت آن نیست. در نتیجه، به مدت دو هفته کارکنان شهر از حساب های ایمیل خود قفل شده اند و شهروندان قادر به دسترسی به خدمات ضروری، از جمله وب سایت هایی که پرداخت صورت حساب آب، مالیات بر املاک و بلیط های پارکینگ را پرداخت می کنند. این حمله متعارف در بلاروس در حدود 15 ماه است: سال گذشته، یک حمله جداگانه برای حدود یک روز، سیستم 911 شهر را متوقف کرد. بالتیمور برای رسیدگی به هر دو حملات تحت نظارت قرار گرفته است.

حملات ransomware در بالتیمور و سایر دولت های محلی در سراسر ایالات متحده نشان می دهد که به عنوان حملات ransomware گسترش یافته و به عنوان اهداف رایج از قبیل بیمارستان ها و مدارس امنیت سیستم های آنلاین خود را تضمین می کنند، هنوز هم هدف های زیادی برای آسیب پذیری این نوع هک وجود دارد. این همچنین نمونه ای از عجیب و غریب است که قربانیان ransomware با آن روبه رو می شوند: پرداخت و دسترسی شما به عقب، و یا امتناع - به طور بالقوه در طولانی مدت هزینه های بسیار بیشتری.

آنچه در بالتیمور اتفاق می افتد، به طور خلاصه توضیح داده شده است

هکرها در 7 مه از شهر برادران بالتیمور، با استفاده از یک رادیو اینترنتی به نام RobbinHood، که به گفته NPR، امکان دسترسی به یک سرور را بدون کلید دیجیتالی که تنها هکرها دارند، غیرممکن است.

توجه داشته باشید که استفاده از هکرهای بالتیمور، که توسط بالتیمور خورشید به دست آمده، درخواست پرداخت سه بیت کوین در هر سیستم را برای باز شدن قفل کرد، که به 13 بیت کوین برای باز کردن تمام سیستم های دستگیر شده تقسیم می شود. این یادداشت تهدید کرد که اگر آن را در چهار روز پرداخت نمی شد، جبران خسارت را افزایش می دهد و گفت که این اطلاعات برای همیشه از بین خواهد رفت، اگر آن را در 10 روز پرداخت نکنید. هر دو مهلت در حال حاضر گذشت

"ما بیشتر صحبت نمی کنیم، همه ما می دانیم که پول است! عجله کن! تک تاک، تک توک، تک توک! "یادداشت گفت.

دولت شهر از پرداخت پول خودداری می کند، به این معنی است که سیستم های پست الکترونیکی دولت و سیستم عامل های پرداختی این حملات از بین می روند. این حمله همچنین به بازار املاک بالتیمور آسیب رسانده است، زیرا مقامات قادر به دسترسی به سیستم های مورد نیاز برای تکمیل فروش املاک نیستند. (این شهر گفت که معاملات روز دوشنبه ادامه یافت.)

جک یانگ، شهردار بالتیمور، که رسما در کمتر از یک ماه در دفترش بود، در بیانیه ای در روز جمعه گفت که مقامات شهر "به خوبی در روند بازسازی" قرار دارند و "کارشناسان ارشد امنیت سایبری که در محل کار 24-7 کار می کنند مشغول به کار هستند با ما ". FBI نیز در تحقیق شرکت داشته است.

یانگ گفت: "بعضی از تلاش های ترمیم همچنین نیاز به بازسازی سیستم های خاصی دارند تا اطمینان حاصل شود که وقتی ما کارهای تجاری را بازسازی می کنیم، ما این کار را به گونه ای ایمن انجام می دهیم." او زمان زمانی را برای زمانی که تمام سیستم ها دوباره به اینترنت بازگردانده نمی شوند.

رئیس شورای شهر بالتیمور همچنین قصد دارد یک کمیته ویژه برای بررسی این حمله جدید ایجاد کند و سعی کند اطمینان حاصل کند که این اتفاق دوباره رخ نخواهد داد.

حمله مشابه با استفاده از RobbinHood کامپیوترهای دولتی در گرین ویل، کارولینای شمالی در ماه آوریل را تجربه کرد. یک سخنگوی گرین ویل به وال استریت ژورنال گفته است که این شهر هرگز پرداخت نمی شود و در حالی که سیستم هایش به طور کامل بازسازی نشده است، "تمام نیازهای تکنولوژی ما در حال حاضر برآورده شده است."

بیش از 20 شهرداری در ایالات متحده به تنهایی در سال جاری توسط سایبری دستگیر شده اند. و چنین حملاتی می تواند گران باشد، شاید به ویژه اگر اهداف می گویند که آنها پرداخت نمی کنند. در سال 2018، هکرها خواستار آن بودند که آتلانتا به عنوان بخشی از حمله ransomware حدود 50،000 دلار در بیت کوین پرداخت کند. این شهر رد کرد و بر اساس گزارشی که توسط قانوننامه آتلانتا ژورنال و کانال 2 Action News منتشر شد، این حمله به هزینه 17 میلیون دلار برای رفع آن پایان یافت.

حملات Ransomware جدید نیستند - اما ما هنوز درک نحوه برخورد با آنها را داریم

در سال 2017، یک رایانامه به نام WannaCry دهها هزار رایانه را با استفاده از سیستم عامل های Microsoft Windows در بیش از 100 کشور هدف قرار داد. مقامات ایالات متحده و بریتانیا در نهایت سرانجام کره شمالی را برای حمله سایبری مورد انتقاد قرار دادند. همچنین در سال 2017، شرکت های بزرگ در انگلستان، فرانسه، روسیه، اسرائیل و اوکراین با حملات ransomware مواجه شدند. بیمارستان های ایالات متحده نیز هدف قرار گرفتند.

از آن به بعد، تعدادی از بخش ها و سازمان ها اقدامات امنیتی خود را برای محافظت در برابر رنج نرم افزار بهبود داده اند. اما آخرین حمله بالتیمور نمونه ای از یک بازی بی نظیر یک مول است: یک منطقه اقدامات خود را بهبود می بخشد و هکرها فقط به دنبال آن هستند

هکرها اطلاعات کارت های اعتباری ۲۰۱ فروشگاه در کانادا و آمریکا را سرقت کردند

گروهی از هکرها کد جاوا اسکریپت مخرب را کشف کرده اند که جزئیات کارت پرداخت را در داخل سیستم تجارت الکترونیک که توسط کالج ها و دانشگاه ها در کانادا و ایالات متحده مورد استفاده قرار می گیرد، دزدی می کند.

کد مخرب در 201 فروشگاه اینترنتی آنلاین یافت شد که 176 کالج و دانشگاه در ایالات متحده و 21 کانادایی در کانادا بود، امنیت Trend Micro در امنیت اینترنتی، در روز جمعه منتشر شد.

این حمله همان چیزی است که محققان امنیتی به حملهی Magecart میپردازند که شامل هکرهایی هستند که کدهای جاوا اسکریپت را در صفحات پرداخت و پرداخت فروشگاههای آنلاین ذخیره میکنند تا اطلاعات کارتهای پرداخت را که قبلا آنها را در سرورهای خود آپلود کردهاند و مجددا در معرض خطر سایبری زیرزمینی قرار دهند انجمن ها هکرها خرابکاری کرده اند

طبق گفته Trend Micro، این حمله ویژه Magecart در روز 14 آوریل شناسایی شد و تحت تاثیر PrismRBS، شرکت PrismWeb، یک پلت فرم تجارت الکترونیک (a-la Shopify) به کالج ها و دانشگاه های آمریکای شمالی فروخته شد.

Trend Micro اعلام کرد که هکرها PrismRBS را نقض کرده و پلت فرم PrismWeb را اصلاح کرد تا شامل یک فایل جاوا اسکریپت مخرب باشد که در تمام برنامه های فعال PrismWeb بارگذاری شده است.

اسکریپت که به شکل یک قسمت فایل از سرویس Google Analytics شبیه بود، تا تاریخ 26 آوریل فعال بود، زمانی که Trend میکرو به فروشنده اطلاع داد که اقدام به حذف کد رمزگذاری کارت کرد.

در بیانیه ای که به Trend Micro منتشر شد، PrismRBS رسما هک را تصدیق کرد و گفت که این اطلاعیه ها در مورد کالج های تحت تاثیر قرار می گیرد و همچنین با یک شرکت قانونی فناوری اطلاعات ارتباط برقرار می کند تا عمق این حادثه را بررسی کند.

تعداد زیادی از گروه هکرها که طی چند ماه گذشته حملات حملات Magecart (JS card skimming، JS card sniffing) را شروع کرده اند، تعداد زیادی از ده ها نفر بوده است.

طبق گفته Trend Micro، زیرساخت این گروه هیچگونه همپوشانی با گروههای شناخته شده Magecart سایبری ندارد.

Yonathan Klijnsma، محقق تهدید کننده سرطان در RiskIQ و یکی از افرادی که از اولین حمله خود به گروه های Magecart ردیابی می کنند، به ZDNet گفتند که یکی از دلایل اینکه شرکت های امنیتی اکنون زمان زیادی را برای ردیابی گروه های فردی در اختیار دارند، این است که بسیاری از افراد در حال خرید و استفاده از یک تکه تکه کردن Magecart کیت ها از انجمن های هکینگ، حملات به نظر می رسد بیشتر و بیشتر عمومی است.

در اوایل این هفته، RiskIQ یک شرکت هشدار دهنده را منتشر کرد که حملات Magecart در حال حاضر به سایر سیستم عامل های تجارت الکترونیک گسترش می یابد و فقط در فروشگاه های Magento عرضه نمی شود، همانطور که در ابتدا بود. دیگر سیستم عامل های تجارت الکترونیک که در حال هدف گذاری هستند عبارتند از OpenCart، OSCommerce، WooCommerce و Shopify.

یکی دیگر از روند افزایش یافته - و همچنین در مورد PrismRBS هک - این است که گروه های Magecart به فروشگاه ها / شرکت ها به طور مستقیم حمله نمی کند، اما پس از یکی از اجزای آنها، در یک حمله زنجیره تامین عرضه .

در این مورد، هکرها پلت فرم تجارت الکترونیک PrismWeb را هدف قرار دادند، اما در گذشته، دیگر گروه های Magecart پس از ارائه دهندگان چت و پشتیبانی از ویجت ها گاهی اوقات در فروشگاه های تجارت الکترونیک بارگیری می شوند.

درس های مهم از حمله سایبری به Triton

حمله تریتون مخرب بسیار دور از اولین بار است که هکرها تلاش کرده اند شبکه های یک شرکت صنعتی را هدف قرار دهند، اما این اولین بار است که بدافزار طراحی شده برای حمله به سیستم های ایمنی در وحشی دیده می شود.

این بدافزار برای کنترل کنترلرهای سیستم ایمنی Triconex (SIS) - سیستم های خاموش اورژانسی (Schneider Electric) طراحی شده بود و در شبکه ای از یک اپراتور زیرساختی مهم در خاورمیانه کشف شد.

مبارزات بدافزار بسیار خیره کننده بود و تنها کشف شد، زیرا مهاجمان اشتباه کردند و سیستم ایمنی را خاموش کردند و کارخانه را متوقف کردند. نتیجه می تواند بسیار بدتر باشد.

"ما می توانیم حدس بزنیم که مأموریت آنها برخی از پیامدهای فیزیکی است. آنها می خواستند تولید را در این مرکز متوقف کنند، کار را متوقف کنند یا به طور بالقوه باعث آسیب فیزیکی شوند." Dan Caban، مدیر مسئول وقایع حادثه در Mandiegant FireEye می گوید.

کابن در مصاحبه ای در Triton در کنفرانس CYBEREK 19 مرکز ملی سایبر، مدعی شد که بدافزار کشف شده است، و جهان را به خطرناکترین حملات سایبری که می تواند سیستم های فیزیکی را تغییر دهد یا آسیب برساند، آگاه سازد.

او می گوید: "ما خیلی خوش شانس بودیم که این حادثه اتفاق افتاد، این باعث افتخار مردم برای شروع به فکر کردن درباره این پیامد فیزیکی می شود که ممکن است دارای ریشه های امنیت سایبری باشد - این همان چیزی است که این تحقیقات آغاز شده و اکنون به نور عمومی رسیده است."

پس از نقطه اولیه مصالحه، بدافزار توانست از تکنیک هایی مانند برداشت اعتبارات استفاده کند و از طریق شبکه به سیستم کنترل کننده SIS منتقل شود.

با این حال، تریتون تنها می توانست به هدفش دست یابد زیرا نگرش های نادرست نسبت به امنیت در کل تسهیلات: کنترل کننده های ایمنی باید از شبکه قطع شوند، اما به سیستم های عملیاتی اینترنتی متصل شده بودند، که اجازه دسترسی به مهاجمان را می داد.

خرابی های دیگر - مانند یک کلید که در داخل دستگاه قرار می گیرد - دسترسی مهاجمان را فراهم می کند که هرگز نباید بدون جسمی در داخل این مرکز به دست آورد.

در حالی که بدافزار دارای پتانسیل بسیار آسیب رسان به دریچه ها، سوئیچ ها و سنسورها در یک محیط صنعتی می باشد، تهدید می تواند با اجرای برخی از تکنیک های ساده امنیت سایبری که باعث می شود حرکت بین سیستم ها تقریبا غیر ممکن باشد.

"جداسازی شبکه می تواند به شما در اجتناب از این اتفاق بپردازد. شما باید منطقی آنها را جدا کنید، بلکه بر اساس حساسیت و رعایت استانداردهای بهترین صنعت و استانداردهای صنعت،" کابان توضیح می دهد. "شما همچنین باید دروازه های راهنمایی را در نظر بگیرید، بنابراین ممکن است راه های خاصی را حرکت ندهید."

سازمانها همچنین می توانند قدمی به سمت این امر را با اطمینان از مدیریت مناسب در اطراف امنیت سایبری و همچنین اطمینان از اطمینان از اطمینان در مورد سیستم ها برای کارکنان همه سطوح برای درک آنچه در حال وقوع هستند، انجام دهند.

ویکتور لاوف، سرپرست کسب و کار بریتانیا در Schneider Electric، می گوید: "در یک زمینه ی سایبر، ضروری است که شما دارای حکومت باشید؛ رهبری از سطح بالا. بدون حکومت مناسب در سازمان شما، احتمالا برای ناکامی تنظیم کنید."

"برای امنیت سایبری، باید ایمنی فیزیکی را در نظر داشته باشید، زیرا سیستم های سینتیکی را در نظر بگیرید و در کنار آن، ایمنی فیزیکی باید همیشه امنیت سایبری را در نظر بگیرد، به طوری که آنها طرف مقابل یک سکه هستند - بدون امنیت ما هیچ ایمنی، "او می گوید.

یک بار زمانی بود که امنیت سیستم های سایبر و امنیت سیستم های فیزیکی ممکن بود به طور جداگانه در نظر گرفته شود، اما هیچ وقت بیشتر نیست: در بسیاری از موارد، آنها در حال حاضر یکسان هستند.

دبورا پترسون، معاون مدیر کل امور بین الملل، گفت: "این ترکیب سایبر و امنیت فیزیکی است - چیزهایی که می توانید در اطراف بولارد قرار دهید. شما می توانید در این مورد از آنها استفاده کنید. زیرساخت های حیاتی ملی در NCSC انگلستان.

در این حادثه، متوجه شدم که کلیدی که در دستگاه باقی مانده بود، راه زیادی برای جلوگیری از دسترسی هکرها به فعالیت های مخرب داشت.

او گفت، "افراد می دانند که سیستم های ایمنی آنها چگونه است و چگونه ارتباط برقرار شده اند - این واقعا پایه است"، و پیشنهاد می کند که افرادی که این سیستم ها را اجرا می کنند، باید به طور منظم بررسی کنند که چگونه شبکه ها کار می کنند و باید به روز رسانی ها در مورد سیستم های تاریخی نظیر تاسیسات صنعتی در حال اجرا بود

"یکی از این نمونه 15 ساله بود - آخرین دفعه که شما در مورد مدیریت ریسک در اطراف آن نگاه کردید؟ چرت زدن در افراد امنیتی یک یا دو سال طول می کشد با CISOs. هنگامی که آخرین دفعه بود که شما خراب شدید و از آن استفاده کردید اشاره به رفتن و یک نگاه؟ " پترسون پرسید:

تریتون زیرساخت های حیاتی در خاورمیانه را هدف قرار داده است، اما حوادثی وجود دارد که می تواند به سازمان ها در هر بخش اعمال شود، بدون توجه به جایی که در جهان وجود دارد.

دکتر اینن می گوید: "اگر شما این را از سیستم های ایمنی بیرون آورید، می توانید تقریبا همه آنها را به هر سیستم سازمانی تقسیم کنید. آنها همان نوع کنترل هایی هستند که ما فقط از هر کسب و کار برای کسب امنیت در اینترنت استفاده می کنیم." لوی، مدیر فنی در NCSC.

گروه هک کردن پشت تریتون - که با روسیه مرتبط است - باقی مانده است، با محققان در FireEye اخیرا افشای یک کمپین جدید برای هدف قرار دادن یک زیرساخت های بحرانی بحرانی.

با این حال، با استفاده از تاکتیک های گروهی در حال حاضر در چشم عموم، امکان تشخیص و محافظت در برابر فعالیت های مخرب وجود دارد.

Caban FireEye گفت: "همه این حیاط ها، تکنیک های جنبش جانبی و برداشت اعتبار: آنها می توانند تشخیص داده شود، ممکن است، ما مجبور نیستیم امید را از دست بدهیم."

"آنها می توانند در فناوری اطلاعات شناسایی شوند، بین IT و OT DMZ شناسایی می شوند - اینها مکان های آسان برای شروع به دنبال کردن هستند."

هکرها از این پس خودروی شما را هم هک می‌کنند

هفته ای که در خبرهای امنیتی منتشر شد خیلی به همان اندازه که شما انتظار داشتید شروع شد: هنوز هم سعی می کنم از گزارش مرلر، که در اواخر هفته گذشته به کنگره رسیده بود، حساس بود. گریت م. گریف؟ این گزارش روشن می کند که Trump بدتر از یک "idiot مفید" بود، همراه با 14 دیدگاه دیگر که ممکن است از دست رفته است.

پس از یک رشته وحشتناک بمب گذاری ها، بیش از 300 نفر در آخر هفته به سرکشی در سری لانکا جان خود را از دست دادند، دولت این سیستم عامل ها را برای جلوگیری از گسترش اطلاعات غلطی مسدود کرد. کارشناسان حقوق مدنی هشدار دادند که با وجود نقش مضر رسانه های اجتماعی در گسترش خشونت و تبلیغات، این حرکت اشتباه بوده است.

چیزهایی که به سرعت از ژئوپلیتیک و به سمت دامنه آشنا از هک های وحشتناک، از جمله دو که تقریبا به نظر می رسد مانند هکرها، واقعا خواندن ذهن هستند (آنها نیست). اول، یک تیرانداز blockchain، کلاه های خصوصی افراد را حدس زده و با وجوه تمییز می کند؛ و بعد، هکرها می توانند دقیقا چه انتخاب Netflix Bandersnatch را انجام دهند. هکرها از طریق زنجیره تأمین خود نرمافزارهای مخرب را به بازیهای ویدئویی سوق دادند که خوب نیست. اما GoDaddy 15000 دامنه اسپم را کاهش داد، که خوب است. و در اخبار حتی بهتر، یک راه بسیار خوبی برای حمله به مبادله سیم کارت هر روز افزایش می یابد - اما چرا آمریکا از آن استفاده نمی کند؟

اگر قبلا این کار را نکرده اید، این آخر هفته ها به نفع خودتان است و داستان قهوه ای بیت کوین و قتل را بخوانید.

اما این همه نیست! هر شنبه ما روزنامه های امنیتی را که عمیق نکردیم یا گزارش نمی کنیم جمع آوری می کنیم. به طور معمول، برای خواندن مقالات کامل، بر روی عنوان کلیک کنید. و بیرون بیایید

هکر می گوید او می تواند از راه دور کشتن موتورهای خودرو از طریق نرم افزار GPS به خطر بیافتد

مادربورد گزارش می دهد که یک هکر با نام L & M ادعا می کند که به حساب 7000 iTrack و 20،000 حساب ProTrack - ابزار ردیابی GPS هک کرده است و از آنجا به برخی از سیستم های داخلی خودرو دسترسی پیدا کرده است. هکر می گوید که می تواند موتورهای خودرو را به عنوان پایین تر از 12 مایل در ساعت یا متوقف کند. در تمام وسایل نقلیه، او قادر به ردیابی اتومبیل به عنوان آنها را رانده است. او متوجه شد که همه کاربران این برنامه ها یک رمز عبور پیش فرض را داده اند. پس از اعمال خشونت آمیز میلیون ها کاربر نام کاربری، وی وارد شد. مادربورد با چهار نفر از اطلاعاتی که اطلاعات L & M را در نمونه ای از داده های خرابش که با وب سایت به اشتراک گذاشته است را تایید کرد. L & M می گوید که این کار را برای نشان دادن شرکت هایی که امنیت آنها را به خطر انداخته است، نشان می دهد و هرگز از یک موتور خودرو جدا نیست. بنابراین حدس می زنم این راحتی است؟

کابوس حریم خصوصی و امنیت IOT به هر طریقی بدتر می شود

یک گزارش جدید هنوز دلیل دیگری برای نگرانی در مورد پر کردن خانه شما با اینترنت از چیزهایی است که دستگاه هایی را گوش می دهند، تماشا می کنند و منتظر می مانند تا هک شوند: تکنولوژی peer to peer آنها همیشه امن نیست. برنان کراسبس، روزنامه نگار امنیتی، نرم افزار iLnkP2P ساخته شده توسط فناوری شنژن Yunni در میلیون ها دستگاه مختلف IoT، مانند زنگ های درب، دوربین ها و مانیتورهای بچه است. این یک ضعف است که پژوهشگر امنیتی پل مارپراس با Krebs پیدا کرده و به اشتراک گذاشته است. این نرم افزار به این معنا است که مردم برای ورود به سیستم از راه دور به دستگاه های IoT خود با استفاده از یک بارکد برای ورود به سیستم آسان تر می شوند. Marrapese دریافت که نرم افزار هیچ رمزگذاری یا احراز هویت را ارائه نمی دهد و هکرها برای اتصال مستقیم به این دستگاه ها بسیار آسان هستند. . وی به کریبس گفت که بیش از 2 میلیون دستگاه را در معرض این نوع حمله قرار داده است. او پیشنهاد می کند که مردم می توانند از طریق تنظیم فایروال که مانع انتقال ترافیک به پورت peer-to-peer می شوند محافظت کنند، اما Krebs پیشنهادی ساده تر دارد: "از خرید یا استفاده از دستگاه های IoT که هر گونه قابلیت P2P را تبلیغ می کنند، اجتناب کنید".

پایگاه داده عددی بیومتریک اتحادیه اروپا زنده خواهد ماند

اتحادیه اروپا در این هفته با تمجید از طرفداران حفظ حریم خصوصی در سراسر جهان، این کار را انجام داد. این چیزی است که برای ادغام مجموعه ای از پایگاه های مختلف ردیابی بیومتریک برای مهاجرت، جرم و جنایت و گشت مرزی به یک پایگاه داده مشترک که مرز و عوامل اجرای قانون می توانند برای دسترسی به اطلاعات بیومتریک برای مردم ادغام شوند. بر طبق گزارش ZDNet که حاوی سوابق بیش از 350 میلیون نفر است، پس از جمعآوری، پایگاه داده یکی از بزرگترین پایگاههای اطلاعاتی ردیابی افراد در جهان خواهد بود. این پرونده ها شامل هر دو بیومتریک مانند اثر انگشت و اسکن چهره و همچنین اطلاعات شناسایی مانند شماره گذرنامه، نام و تاریخ تولد می باشد.

کد هکرهای ایرانی از بین رفت

تقریبا سه سال پس از آنکه گروه اسرارآمیز به نام Brother's Shadow شروع به از بین بردن هکرهای NSA و نابودی ابزارهای هک شده خود را بر روی وب باز کردند، هکرها ایرانی طعم و مزه خود را از این تجربه نابسامان دریافت می کنند. برای ماه گذشته یک شخص یا گروه رمز و راز هدف اصلی یک تیم هکر ایرانی است، اطلاعاتی که مخفی، ابزار و حتی هویت آنها را بر روی کانال عمومی Telegram قرار می دهد، و نشت نشانه های توقف آن را نشان نمی دهد.

از 25 مارس یک کانال Telegram به نام Read My Lips یا Lab Dookhtegan - که از زبان فارسی به عنوان "لبهای دوخته شده" ترجمه شده است - سیستماتیک اسرار یک گروه هکر به نام APT34 یا OilRig است که محققان معتقدند که در حال کار کردن هستند خدمات حکومت ایران. تا کنون، محرمانه یا ناکارآمدی مجموعه ای از ابزار هکرها را منتشر کرده است، شواهدی از نقاط نفوذ آنها برای 66 سازمان قربانیان در سراسر جهان، آدرس آی پی سرورهای مورد استفاده توسط اطلاعات ایران و حتی هویت ها و عکس های متهمان هکر با گروه OilRig.

"ما در اینجا ابزارهای اینترنتی (APT34 / OILRIG) را نشان می دهیم که وزارت اطلاعات بی رحمانه ایران علیه کشورهای همسایه ایران، از جمله نام مدیران بی رحمانه و اطلاعات مربوط به فعالیت ها و اهداف این حملات سایبری، استفاده می کند" خواندن پیام اصلی ارسال شده به Telegram توسط هکرها در اواخر ماه مارس. "ما امیدواریم که دیگر شهروندان ایرانی برای افشای چهره زشت واقعی این رژیم اقدام کنند".

ماهیت دقیق عملیات نشت و فرد یا افرادی که در پشت آن هستند، چیزی جز روشن نیست. به نظر می رسد این نشت به هکرهای ایرانی خجالت زده است، ابزارهایشان را به نمایش می گذارد و آنها را مجبور می کند تا برای جلوگیری از شناسایی و حتی امنیت و ایمنی اعضای فردی APT34 / OilRig، آنها را بسازند. براندون Levene، رئیس اطلاعات عملیاتی در شرکت امنیتی کرونیکل می گوید: "به نظر می رسد که خود یک ناامیدی ناراضی است که از ابزار اپراتورهای APT34 نشت می کند یا این نوع انحصاری است که علاقه مند به خرابکاری عملیات برای این گروه خاص است. تجزیه و تحلیل نشت انجام شده است. "به نظر می رسد که آنها برای این بچه ها چیز خاصی داشته باشند. آنها نام و فریاد زدن دارند، نه فقط ابزارها را از بین می برند."

از روز شنبه صبح، خوانندگان من به عنوان خوانده شده لب من همچنان به ارسال اسامی، عکس ها و حتی اطلاعات تماس اعضای OilRig اعطا شده به Telegram، هر چند WIRED نمی توانست تایید کند که هر یک از مردان شناخته شده در واقع به گروه هکر ایرانی متصل است. "از حالا به بعد، ما هر چند روز یک بار اطلاعات شخصی یکی از کارکنان لعنتی و اطلاعات مخفی از وزارت اطلاعات را تهدید خواهد کرد تا این وزارت خائن را نابود کند."

تحلیلگران کرونیکل تایید می کنند که حداقل ابزارهای هک شده در واقع ابزار هک کردن OilRig هستند، همانطور که گفته شد. آنها شامل، به عنوان مثال، برنامه های Hypershell و TwoFace، طراحی شده است تا هکرها را به سمت سرورهای هک شده وب متصل کند. یکی دیگر از ابزارهای معروف PoisonFrog و Glimpse به نظر می رسد نسخه های مختلف تروجان با دسترسی از راه دور به نام BondUpdater است که محققان در Palo Alto Networks از ماه اوت گذشته از OilRig استفاده کرده اند.

به غیر از نشت این ابزارها، Read My Lick Laker همچنین ادعا می کند که محتویات سرورهای اطلاعاتی ایران را از بین برده و تصاویری از پیامی که گفته می شود آن را پشت سر گذاشته است، مانند تصویر زیر نشان داده است.

هنگامی که کارگزاران سایه جمع آوری ابزارهای هکینگ مخفی خود را در طول سالهای 2016 و 2017 از بین بردند، نتایج فاجعه آمیز بود: ابزارهای هک ناپذیر NSA EternalBlue و EternalRomance در بعضی از حملات مخرب و هزینه های سایبری در تاریخ مورد استفاده قرار گرفت ، از جمله کرمهای WannaCry و NotPetya. اما Levene Chronicle says می گوید که ابزارهای OilRig تخریب شده تقریبا به اندازه ی منحصر به فرد و خطرناک نیستند و نسخه های نابود شده از ابزارهای وب بطور خاص عناصر گمشده ای را به وجود می آورند که به راحتی قابل بازگشت می باشند. Levene می گوید: "این واقعا برش نیست. "احتمالا این تسلیحات از این ابزارها به وقوع نخواهد رسید."

یکی دیگر از ابزارهای موجود در نشت به عنوان بدافزار "DNSpionage" توصیف شده و به عنوان "کد مورد استفاده برای [man-in-the-middle] برای استخراج اطلاعات احراز هویت" و "کد برای مدیریت دزدی DNS" توصیف شده است. نام و شرح DNSpionage با یک عملیات که شرکت های امنیتی در اواخر سال گذشته کشف کرده اند مطابقت دارند و از زمان به ایران اعطا شده اند. این عملیات، ده ها تن از سازمان های سراسر خاورمیانه را با تغییر دایرکتوری های DNS خود برای هدایت تمام ترافیک ورودی خود به سرور دیگری که هکرها می توانند آن را به طور صریح رهگیری و سرقت هر نام کاربری و کلمه عبور که شامل آن بودند، هدف قرار دادند.

اما Levene Chronicle می گوید که، علی رغم ظاهرا، کرونیکل معتقد نیست که نرم افزارهای مخرب DNSpionage در نشت مطابق با بدافزار مورد استفاده در آن مبارزات انتخاب شده قبلا است. با این حال، دو ابزار ربودن DNS به نظر می رسد قابلیت های مشابهی دارند و دو کمپین هک شده حداقل برخی از قربانیان را به اشتراک گذاشته اند. "Read My Lips" شامل مواردی از مصادیق سرور است که OilRig در یک مجموعه گسترده از شبکه های خاورمیانه، از فرودگاه ابوظبی تا فرودگاه اتیهاد به آژانس امنیت ملی بحرین، به شرکت Solidarity Saudi Takaful که یک شرکت بیمه عربستان سعودی است، تاسیس شده است. با توجه به تجزیه و تحلیل کرونیکل از اطلاعات قربانیان نشت شده، اهداف OilRig نیز به عنوان یک شرکت بازی های کره ای جنوبی و یک مؤسسه دولتی مکزیک متفاوت است. اما Levene می گوید که بسیاری از ده ها قربانی هکرها در خاورمیانه خوشه بندی شده اند و برخی نیز توسط DNSpionage آسیب دیده اند. او می گوید: "ما هیچ ارتباطی با DNSpionage نمی بینیم، اما قربانی همپوشانی وجود دارد." "اگر آنها یکسان نیستند، حداقل منافع آنها متقابل است".

برای OilRig، نشت جاری نشان دهنده افت فشار شرم آور و نقض امنیتی عملیاتی است. Levene می گوید، اما برای جامعه تحقیقاتی امنیتی، آن را نیز ارائه می دهد یک دیدگاه نادر در داخل داخلی گروه هک از طرف دولت حمایت می کند. او می گوید: "ما اغلب نگاهی به گروه های حمایت شده از دولت و نحوه کار آنها نداریم." "این به ما یک ایده از گستره و مقیاس قابلیت های این گروه را می دهد."

با این حال، به عنوان خوانده شده لبخندهای من، اسرار ایرانیان را نشان می دهد، با این حال، منبع نشت آن هنوز رمز و راز است. و با ادعای Telegram خود قضاوت می کند، فقط شروع به کار می کند. پیامی از گروهی که هفته گذشته منتشر شد، می نویسد: "ما اطلاعات بیشتری در مورد جنایات وزارت اطلاعات و مدیران آن داریم." "ما مصمم به ادامه دادن به آنها هستیم. ما را دنبال کنید و به اشتراک بگذارید!"

دزدی فایل های کاربران به دلیل وجود نقض امنیتی در اینترنت اکسپلورر

اینترنت اکسپلورر مایکروسافت شهرت قدیمی برای امنیت ضعیف است، اما اکنون به اندازه کافی بد است که شما می توانید آن را با استفاده از آن بر روی کامپیوتر خود، مورد حمله قرار دهید. کارشناس امنیت سایبری جان صفحه یک سوءاستفاده ناخواسته را در مرورگر وب از فایل های MHT (قالب آرشیو وب) نشان داده است که هکرها می توانند هر دو را به جاسوسی بر روی کاربران ویندوز و دادههای محلی خود سرقت کنند. همانطور که ویندوز به طور پیش فرض فایل های MHT را با استفاده از اینترنت اکسپلورر باز می کند، شما حتی نباید مرورگر را برای این مشکل اجرا کنید - همه چیزهایی که باید انجام دهید باز کردن پیوست ارسال شده از طریق چت یا ایمیل است.

آسیب پذیری بر ویندوز 7، ویندوز 10 و ویندوز سرور 2012 R2 تاثیر می گذارد.

اگر این موضوع برای افشای این نقص نبود، این مسئله ای نیست. صفحه جزئیات مربوط به این سوءاستفاده را پس از ارسال مایکروسافت اعلام کرد که رفع مشکل امنیتی فوری را رد کرد. به جای آن گفت که یک رفع خواهد شد "در نظر گرفته" در انتشار آینده. در حالی که این نشان می دهد پچ در راه است، آن را میلیون ها نفر از کاربران بالقوه آسیب پذیر، مگر اینکه آنها یا خاموش کردن اینترنت اکسپلورر و یا اشاره به برنامه دیگری که می تواند فایل های MHT باز کنید.