“无文件”恶意软件的威力:悄无声息一夜之间从ATM机中窃取80万美元
去年雅虎接连曝出多个超大规模数据泄露事件,长期关注的你们一定都知道,5亿、10亿账户信息泄露的,除了雅虎也没谁了。就在这两天,5亿账户泄露的真相似乎正在浮出水面。
事件回顾
我们今天要讲的就是这桩5亿信息泄露案的后续。首先简要回顾一下这起泄露事件。
最新进展
近日,美国司法部指控四名俄罗斯嫌疑犯,组织策划了2014雅虎数据泄露案,攻击者盗取了逾5亿的雅虎用户信息。
司法部:两名俄罗斯联邦安全局(FSB)特工策划了攻击事件
这两名据说是来自FSB的特工分别是43岁的Igor Anatolyevich Sushchin和33岁的Dmitry Aleksandrovich Dokuchaev。实施攻击的两名黑客则是拉托维亚籍的Alexsey Alexseyevich Belan,网名为“Magg”,现年29岁,另一名是22岁的Karim Baratov,网名为“Kay”,持有加拿大和哈萨克斯坦双重国籍。
其中拉托维亚籍的黑客Belan曾经在2012年入侵3家美国科技公司,盗取逾2亿用户信息,遭到起诉。Belan同时也是FBI头号网络通缉犯,而且在FBI创建这个头号通缉犯列表时,他就已经在榜了。FBI悬赏最高10万美金,奖励提供Alexsey Belan的有关线索。
在俄罗斯联邦安全局中心18号(Center 18)工作
要逮捕和引渡其他三人其实希望并不大。据美国国家安全部代理副部长Mary McCord的说法,被告的工作单位——信息安全中心,也就是Center 18,是FBI与莫斯科关于网络犯罪事项的联络点。FBI在2014年就曾经联系过FSB的Center 18,要求引渡头号通缉犯Belan。但FSB从未对该引渡要求作出任何回应。美国官员称,Dokuchaev和Sushchin(上面提到的两名特工)并没有依照国际刑警组织发出的红色通缉令,逮捕归国的Belan,反而利用Belan入侵雅虎的网络。
雅虎这次对了,确实是国家背景黑客干的
FBI的这份诉状证实了雅虎此前的言论。去年9月份,雅虎表示该起攻击是“国家支持的攻击者”发起的,当时大家都不信。现在根据官方的文件,这起攻击的细节跟雅虎之间的SEC文件中提到的是一致的。
两名FSB特工命令Belan入侵雅虎的网络,Belan则从中窃取了姓名、找回密码邮箱、手机号码和其他必要的信息来伪造账户的浏览器cookie。此外,Belan还用了雅虎账户管理工具(AMT),攻击者和两名FSB特工利用此系统可以伪造必要的浏览器cookie,在没有明文密码的情况下,访问雅虎账户。
具体攻击过程
整个攻击开始于一封鱼叉式钓鱼邮件。2014年初,有雅虎员工收到了这封邮件。目前不清楚一共有多少人收到了邮件,一共发出了多少封邮件,但只要有一个人点了其中的链接,攻击就开始了。
然后,上面提到的Aleksey Belan就开始在雅虎的网络中伺机而动。Belan的目标有二:一是雅虎的用户数据库,二是用来编辑数据库的账户管理工具。Belan很快就得手了。
此外,Belan还在雅虎的服务器上安了一个后门,这样他就能一直访问。于是,到12月份,Belan就偷到了一份雅虎用户数据库的备份,并传到自己的电脑上。这个数据库中包含姓名、手机号、更改密码安全问题及答案、用于找回密码的邮箱和每个账户特有的密值(cryptographic value)。凭借最后两份信息,Belan和Baratov能够访问两名特工指定的用户账户。
账户管理工具不允许明文搜索用户姓名,所以两名黑客将目标转向恢复密码时所用的邮箱地址。他们根据密码找回邮箱就能够辨认出一些目标,从邮箱域名中也能看出某些用户工作的企业或组织。
一旦相关账户成为目标,两名黑客就能够使用名为nonce的密值,通过他们上传到雅虎服务器的一个脚本,生成访问cookie。这些cookie多是在2015年和2016年生成的,黑客利用这些cookie可以随意访问相应用户的邮箱,而不需要密码。
不过,两名黑客在整个入侵过程中还是相当收敛的。虽然他们能够访问5亿多个账户,但他们实际只针对6500个账户做了cookie。就是因为攻击太低调了,雅虎2014年第一次接触FBI时,只报告说有26个账户被黑客攻击了。所以直到去年8月份,整个泄露事件浮出水面之后,FBI才加紧了调查。
FSB特工的政治目的,和黑客的个人利益
被黑的6500个用户包括俄罗斯记者,俄美高级政府官员,俄罗斯安全公司职员,几家网络供应商的许多员工。攻击这些目标明显是为了收集情报。除了这些目标外,Belan也入侵了一些账户,来获取私人的利益。比如,他黑入了一些商业机构雇员的账户,这些商业机构包括俄罗斯一家投资银行,法国运输公司,美国金融服务和私募股权公司,瑞士比特币钱包和银行,美国航空公司。
此外,Belan还从一些邮箱中盗取了代金卡、信用卡号码等。美国官员还表示,Belan从3千万个账户中盗取私人联系信息,靠发送垃圾邮件、制造虚假搜索引擎流量来获利。
美国司法部:FSB特工保护了Belan
美国官员断言称,因为Belan的工作性质,FSB特工为Belan提供了必要的信息来躲避美国的调查。
“我国企业必须要明白一点,如果你要与国家资源和力量对抗,这将不会是一场势均力敌的较量,你不太可能打赢这场战。”—— 美国国家安全部代理副部长Mary McCord
太霸气了,放出原话供大家观摩
“It is very important for corporations around the country to know that when you are going against the resources and backing of a nation state, it is not a fair fight, and it is not a fight your are likely to win.”- Acting Assistant Attorney General Mary McCord
Baratov是替补队员
两名FSB特工无法访问其他邮件供应商的用户账户时,Baratov登场了。Baratov一直活跃在暗网众,代号为“Four”。根据FBI的起诉书,FSB要求Baratov利用从雅虎那里偷来的数据,黑入了80多个账户。美方调查员表示Baratov因给两名FSB特工提供目标账户的密码,获得了不少佣金。
美国官员透露,谷歌也检测到了一些针对Gmail账户的入侵尝试,也曾上报有关机构。雅虎目前针对此事发表了简短的声明,称感谢FBI的全力调查和美国司法部处置有关人员的果断行动。声明中还表示,雅虎致力于保障用户及平台安全,并将继续参与打击网络犯罪的执法行动。
“无文件”恶意软件的威力:悄无声息一夜之间从ATM机中窃取80万美元的更多相关文章
- 从无文件技术到使用隐写术:检查Powload的演变
来源:https://blog.trendmicro.com/trendlabs-security-intelligence/from-fileless-techniques-to-using-ste ...
- 渗透测试之无文件渗透简单使用-windows
无文件渗透测试工作原理:无文件恶意程序最初是由卡巴斯基在2014年发现的,一直不算是什么主流的攻击方式,直到此次事件的发生.说起来无文件恶意程序并不会为了执行而将文件或文件夹复制到硬盘上,反而是将pa ...
- linux无文件执行— fexecve 揭秘
前言 良好的习惯是人生产生复利的有力助手. 继续2020年的flag,至少每周更一篇文章. 无文件执行 之前的文章中,我们讲到了无文件执行的方法以及混淆进程参数的方法,今天我们继续讲解一种linux上 ...
- 利用WinRM实现内网无文件攻击反弹shell
利用WinRM实现内网无文件攻击反弹shell 原文转自:https://www.freebuf.com/column/212749.html 前言 WinRM是Windows Remote Mana ...
- 横向无文件移动--SCshell使用
1.简介 SCShell是无文件横向移动工具,它依赖ChangeServiceConfigA来运行命令.该工具的优点在于它不会针对SMB执行身份验证.一切都通过DCERPC执行.无需创建服务,而只需通 ...
- Freemaker生成复杂样式图片并无文件损坏的excel
Freemaker生成复杂样式图片并无文件损坏的excel 参考Freemarker整合poi导出带有图片的Excel教程,优化代码实现 功能介绍:1.支持Freemarker导出Excel的所有功能 ...
- 议题解析与复现--《Java内存攻击技术漫谈》(二)无文件落地Agent型内存马
无文件落地Agent型内存马植入 可行性分析 使用jsp写入或者代码执行漏洞,如反序列化等,不需要上传agent Java 动态调试技术原理及实践 - 美团技术团队 (meituan.com) 首先, ...
- java:从指定问价中读取80个字节写入指定文件中
import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; public class F ...
- <linux系统c语言生成.so文件,生成64位可执行文件,在64位系统中运行32位的可执行文件>
1.linux 系统c语言生成.o文件,---->gcc -m64 -c -fPIC test.c -o test.o2.linux 系统c语言生成.so文件,----->gcc -sha ...
随机推荐
- 第一篇:webservice初探
接触webservice也有一段时间了,为了查缺补漏,把知识点系统化,准备写几篇博文梳理下webservice的知识点,这是第一篇,对webservice进行大致的介绍. 1.什么是webservic ...
- 花了一年时间开发的三维弯管机交互式转档软件(三维管子模型UG,SOLIDWORK,PRO/E文件转成YBC)
在弯管机加工中,由管子模型生成可直接进行弯管加工的YBC数据可以大大提高弯管编程过程.传统的做法是先用dxf数据文件(用autocad绘制管子的轴心线数据)转出XYZ数据,然后由XYZ数据转成YBC数 ...
- year:2017 month:7 day:17
2017-07-17 JavaScript 1.javascript 中的运算符 (1)算数运算符:+ ,- ,* ,/ ,% (2)位运算符:& ,| ,~ ,^ ,<< (左 ...
- python-继承类执行的流程
在读python数据机构与算法, 发现了下面这个例子, 之前没有碰到过, 记录下来 In [17]: class A: def f(self): self.g() def g(self): print ...
- [Usaco2007 Open]Fliptile 翻格子游戏
[Usaco2007 Open]Fliptile 翻格子游戏 题目 Farmer John knows that an intellectually satisfied cow is a happy ...
- python 文件打开小知识
一个文件被打开后,你有一个file对象,你可以得到有关该文件的各种信息. file.name : 返回文件的名称 file.closed: 文件关闭返回值为True,否则为False file.mod ...
- Spring初始化ApplicationContext线程托管实际运用架构构思
今天我分享一个技术点,利用Spring初始化+线程接管进行程序启动后保持会话状态. 先来一段@test单元测试注解,后台开发的很熟悉,这是测试局部代码用的: @RunWith(SpringJUnit4 ...
- Mook第八周习题 单词长度(4分)(1)题
题目内容: 你的程序要读入一行文本,其中以空格分隔为若干个单词,以'.'结束.你要输出这行文本中每个单词的长度.这里的单词与语言无关,可以包括各种符号,比如"it's"算一个单词, ...
- web项目中图标的前端处理方案
工程中用到图标是常事,那这些图标我们前端一般是怎么解决的呢?这几种方案有什么优缺点呢? 第一种: SVG Sprite SVG sprite其实就是svg的集合.SVG即可缩放矢量图形 (Scalab ...
- Learn c for the Second day
十六进制对应的二进制码 0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111 0 ...