Nvidia遭受的網路攻擊疑與Lapsus$勒索軟體有關,贖金已不能滿足駭客?! Lapsus$要Nvidia永久開源GPU的驅動程式!

Posted on by Desiree Tang
Photo Credit: The Hacker News

Nvidia已於 3 月 1 日證實在 2 月 23 日曝光的網路攻擊事件,Nvidia稱沒有發現勒索軟體攻擊的跡象,但攻擊者從其系統存取了專有資訊(proprietary information)員工登錄數據和DLSS 的原始碼,一個名為 Lapsus$ 的南美駭客組織稱Nvidia網路攻擊事件是其所為,並已竊取Nvidia 高達1 TB的數據。操作勒索軟體的駭客組織多以勒索贖金為目的,但Lapsus$ 提出讓人費解的要求,從最初支付贖金的要求,到後來提出了包括更新30款韌體、移除任何加密挖礦的限制技術及開源Nvidia用於 Windows、MacOS 和 Linux 系統上的GPU驅動程式。

上週末,Lapsus$ 分享了有關入侵的細節並洩露了約20GB的檔案,其中包含從 Nvidia系統竊取的數據以及71,335員工密碼的雜湊值,駭客要求Nvidia透過軟體更新30款韌體,以取消顯卡的挖礦限制,否則將公佈產品的硬體資料,另外根據TechPowerUp報導,Lapsus$已經公佈Nvidia深度學習超高採樣(DLSS)技術的部份原始碼。

截圖中顯示了Lapsus$聲稱是DLSS技術的原始碼檔案列表

目前尚不清楚Nvidia是否會設法取回了他們的數據,Lapsus$還要求 Nvidia承諾在 3 月 4 日星期五之前將其用於 Windows、macOS 和 Linux 設備的 GPU 驅動程式開源 ,否則將公佈Nvidia近期上市GPU產品的完整檔案(包括 RTX 3090Ti)。然而,Nvidia預計此前攻擊事件不會對業務或客戶服務造成任何干擾,並已通知執法部門及正在與資安專家合作以遏制攻擊的任何影響。

Lapsus$ 於 2021 年 12 月攻擊了巴西衛生部,並竊取了與該國免疫計劃相關的數據。今年 1 月,攻擊者還針對葡萄牙最大的媒體集團Impresa,並破壞了其所有網站。2022年2月,沃達豐葡萄牙(Vodafone Portugal)遭受Lapsus$的攻擊,導致Vodafone Portugal 4G/5G網路、短訊、語音和電視等服務中斷。

有關Lapsus$的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

0e1638b37df11845253ee8b2188fdb199abe06bb768220c25c30e6a8ef4f9dee

Hamakaze.exe

SHA 256

9d123f8ca1a24ba215deb9968483d40b5d7a69feee7342562407c42ed4e09cf7

mimikatz.exe

中國有史以來最先進的後門程式,隱藏長達9年,瞄準多個政府進行間諜攻擊

Posted on by blogadmin
Photo Credit: Symantec Threat Hunter

近日,Broadcom 旗下Symantec Threat Hunter團隊的研究員揭露了至少自 2013 年以來中國APT駭客精心策劃的長期間諜活動,並針對選定的政府和其他關鍵基礎目標部署了以前未被記錄的間諜工具,一個名為Daxin的後門程式。該後門被研究員描述為一種技術先進的惡意軟體,允許攻擊者針對中國具有戰略利益的電信、運輸和製造業的實體進行各種通訊和資訊收集行動。

根據美國網路安全暨基礎架構管理署(CISA)針對Daxin發佈的警告,Daxin後門是一種高度複雜的Rootkit,而Rootkit是一種很會鑽洞並鑽到無法被作業系統檢測到之深度的惡意軟體,Daxin具有複雜、隱秘的命令和控制 (C2) 功能,使駭客能遠端與未直接連接到互聯網的安全設備進行通訊。Daxin以Windows Kernel Driver(核心模式驅動程式)的型態出現,這是相對罕見的惡意軟體格式。該驅動程式實現了精心設計的通訊機制,為惡意軟體提供了高度的隱藏性以及與未直接連接到互聯網的電腦通訊的能力。大部分的惡意軟體都依靠植入電腦中並進行攻擊,Daxin則是透過第三方或外部連結對電腦進行攻擊,使大多數人無法發現其蹤影。

Daxin能劫持合法的TCP / IP連接(TCP/IP代表傳輸控制協定/互聯網協定,用於在電腦之間進行通訊)並與遠端對等者交換數位密鑰。然後成功的金鑰交換允許Daxin打開加密的通訊通道,用於接收命令並將資訊發送回駭客。報告稱,Daxin使用被劫持的TCP連接為其通訊提供了高度的隱身性,並有助於在具有嚴格防火牆規則的網路上建立連接,並可降低安全運營中心(SOC)分析師監控網路異常的風險。

專家認為,考量到其功能和所部署攻擊的性質,Daxin似乎已針對強化目標進行了優化,允許攻擊者深入目標網路並竊取數據而不會引起懷疑,後門實現的功能讓人想起2014 年發現的Regin惡意軟體。值得注意的是,Daxin將自身整合到合法機器行為中,使其不會產生可疑的網路流量,這個技巧允許後門在明顯合法的通訊中隱藏惡意流量,而且它可以建立受感染電腦節點的對等網路,允許攻擊者深入滲透到受保護的資產中。

另外,Symantec Threat Hunter的分析人員發現了將Daxin與中國國家級駭客組織 Slug(又名 Owlproxy)聯繫起來的證據。據悉,Daxin後門至少自 2019 年 11 月以來一直被積極用於攻擊,而研究人員在 2020 年 5 月和 2020 年 7 月再次發現了其部署的跡象。2021 年 11 月觀察到涉及Daxin的最近一次攻擊,針對電信、交通和製造業。值得注意的是,報告稱該惡意軟體於 2013 年首次採樣,當時已經採用了我們在今天的版本中看到的高級檢測逃避技術。美國CISA表示,過去甚少看到如此複雜的惡意軟體,他們正協同FBI對Daxin進行深入調查以消除此後門。

欲了解更多關於此報告,您可以按

有關Daxin後門的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

ea3d773438c04274545d26cc19a33f9f1dbbff2a518e4302addc1279f9950cef

e7af7bcb86bd6bab1835f610671c3921441965a839673ac34444cf0ce7b2164e

e6a7b0bc01a627a7d0ffb07faddb3a4dd96b6f5208ac26107bdaeb3ab1ec8217

cf00e7cc04af3f7c95f2b35a6f3432bef990238e1fa6f312faf64a50d495630a

c791c007c8c97196c657ac8ba25651e7be607565ae0946742a533af697a61878

c0d88db11d0f529754d290ed5f4c34b4dba8c4f2e5c4148866daabeab0d25f9c

b9dad0131c51e2645e761b74a71ebad2bf175645fa9f42a4ab0e6921b83306e3

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

關鍵供應商遭網路攻擊,豐田(Toyota)產線今全面停工

Posted on by blogadmin
Photo Credit: Yoshikazu Tsuno/Gamma-Rapho/Getty

由於豐田的重要零部件供應商小島工業(Kojima Industries Corporation)受到網路攻擊,導致零部件供應管理系統故障,迫使豐田暫停其在日本的所有工廠的生產。豐田汽車在2月28日宣布,由於國內供應商(小島工業)遭受網路攻擊,導致管理零件供應的系統故障,決定於 3 月 1 日星期二暫停日本 14 家工廠的 28 條生產線的運營(第一班和第二班),目前尚不清楚豐田是否會在周三恢復生產。

NikkeiAsia報導,停產將影響約13,000輛汽車的生產,佔豐田在日本月產量的4%至5%。另外,豐田的子公司大發(Daihatsu)汽車和日野(Hino)汽車也於2月28日宣布將在3月1日停工三個工廠。小島工業遭網路攻擊事件給這家日本汽車製造商帶來的問題,突出了製造業對網路攻擊的脆弱性。

根據 IBM上週發布的研究,像小島工業這樣的製造業特別容易受到網路攻擊。該公司報告顯示,去年製造業被攻擊數量超過金融和保險業,成為了網路犯罪組織最常瞄準的行業。

Photo Credit: IBM

製造業已成為目標,因為它們對停工時間的容忍度低,這也意味著它們更有可能迅​​速支付攻擊者勒索贖金的要求。報告也顯示,傳統製造業導入的營運技術中常發現漏洞利用是最常見的攻擊媒介,比率高於網路釣魚攻擊。

一名熟悉小島工業的消息人士向Tokyo Web透露,小島工業確實受到網路攻擊,目前仍在確認損失並迅速做出因應措施,而當務之急是盡快恢復豐田的生產系統,截至目前,小島工業的網站仍尚未恢復。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

美國CISA 就 Zabbix監控平台中兩個被積極利用的漏洞發出警報,並將它們加入到「已知被開採漏洞」清單

Posted on by blogadmin

#CVE-2022-23131 

#CVE-2022-23134

美國網路安全暨基礎架構管理署 (CISA) 在其已知被開採漏洞清單(Known Exploited Vulnerabilities Catalog)添加了兩個影響 Zabbix 監控工具基礎設施的新漏洞,最重要的是,根據具有約束性作業指引:降低已知被開採漏洞的重大風險中(Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities),CISA 命令聯邦民事執行機構 (Federal Civilian Executive Branch)在 2022 年 3 月 8 日之前對所有系統進行漏洞修補,以減少其遭受潛在網路攻擊的風險。

漏洞編號CVE-2022-23131(CVSS 評分:9.8)和 CVE-2022-23134(CVSS 評分:5.3)這些漏洞可能導致整個網路受到威脅,使未經身份驗證的惡意攻擊者能夠提升權限並獲得Zabbix 前端管理員存取權限以及進行配置更改。這兩個漏洞由資安業者SonarSource 的研究員 Thomas Chauchefoin發現,這兩個漏洞均影響 Zabbix Web 前端版本,包括 5.4.8、5.0.18 和 4.0.36,此後,隨著版本 5.4.9、5.0.9 和 4.0.37 的發布,這些問題已得到解決。

這兩個漏洞都是“不安全會話存儲”的結果,允許攻擊者繞過身份驗證並執行任意程式碼。然而,值得指出的是,這些漏洞僅影響啟用安全宣告標記語言(SAML) 中單一登入(SSO) 的身份驗證實例,但專家認為企業或組織有必要審查「已知被開採漏洞」清單並解決其基礎設施中的漏洞。

以下是THOMAS CHAUCHEFOIN發現這兩個漏洞的timeline

美國安局(NSA)的頂級後門Bvp47被中國研究員曝光,10年來已入侵45個國家和地區,涉及287個組織

Posted on by blogadmin

該頂級後門程式是由國安局旗下菁英駭客組織方程式(Equation Group)所打造的

Photo Credit: Pangu Lab

本週三(23日),來自中國盤古實驗室(Pangu Lab)的一組研究員發表了一份長達 56頁的報告,披露了一種頂級後門程式技術細節和攻擊組織關聯的詳細介紹,該後門被追踪為 Bvp47,用於入侵後監視並控制受害組織網路,據稱是由隸屬於美國國家安全局(National Security Agency-NSA)的一流駭客組織Equation Group所打造的。揭露此後門的中國盤古實驗室以iPhone 越獄技術(JailBreak)而聞名,去年曾以一項iOS漏洞在中國大型駭客大賽天府杯上贏得了30 萬美元。

該後門是在2013年研究員在中國某重點部門的主機進行深入取證調查期間從Linux系統中提取的,經研究發現這個後門程式需要與主機綁定的驗證碼才能正常運行,隨後研究人員又破解了驗證碼,並成功運行了這個後門程式,從部分行為功能上斷定這是一個頂級的後門程式,但是進一步調查需要攻擊者的非對稱加密私鑰才能啟動遠控功能,至此研究人員的調查受阻,並以基於樣本中最常見的字串“ Bvp ”和加密演算法中使用的數值“0x47”,稱該後門為Bvp47。

駭客組織The Shadow Brokers於2016 年和 2017 年先後洩露了一系列據稱從 Equation Group 竊取來的駭客工具和數據。2016 年 10 月末,在駭客洩露的檔案中,發現包含被 NSA旗下組織 Equation Group入侵的伺服器清單,盤古實驗室的研究員也在 The Shadow Brokers 洩露的數據中發現了可啟動Bvp47頂級後門的非對稱加密私鑰的檔案。根據洩露的數據,Equation Group 在 10 年來,在俄羅斯、日本、西班牙、德國、意大利等 45 個國家成功入侵了超過 287 個目標。該組織針對的目標,包括政府、電信、航空航天、能源、金融機構、核研究、石油和天然氣、軍事、運輸和開發加密技術的公司等。

盤古實驗室已將涉及利用Bvp47後門攻擊的活動稱為電幕行動(Operation Telescreen),並稱該後門包含 rootkit、繞過安全功能、反鑑識、自毀設計和其他功能等,旨在允許Equation Group實現對受感染設備的長期控制,窺視被入侵機構的內部網路系統。根據技術分析,後門可以攻擊包括Linux系統、AIX、Solaris、SUN等在內所有作業系統,研究員認為該後門設計精良、架構靈活、功能強大且適用廣泛,能在隱蔽的控制下毫不費力地收集數據,若搭配上零時差漏洞更能使它的網路攻擊力勢不可擋,可讓Equation Group在各國的網路對抗中處於絕對的主導地位。

該實驗室的報告,除了對Bvp47 的技術描述外,還包括強調惡意後門、Equation Group和 美國NSA 之間的關聯,欲了解更多,您可以按此下載

有關Bvp47的部分入侵指標(Indicator of compromise -IOCs):

MD5:

58b6696496450f254b1423ea018716dc

SHA 256:

7989032a5a2baece889100c4cfeca81f1da1241ab47365dad89107e417ce7bac

SHA 1:

ad0197db424b35314a479552875e18893a4ba95a

hostname:

vsn1radius1.vsn1.net.in

ultra10.nanya.edu.tw

win.hallym.ac.kr

www.nursat.kz

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

日商半導體材料公司兼台積電供應商Fujimi和其台灣子公司福吉米遭第三方未經授權存取,生產線停擺,官網無法進入

Posted on by blogadmin

據日本經濟新聞,日本半導體研磨液大廠Fujimi Incorporated,股票代碼「TYO: 5384」於2022年2月20日,確認日本母公司及其子公司FUJIMI Taiwan Limited(即臺灣福吉米股份有限公司)的伺服器遭第三方未經授權存取。

該公司在確認此次未經授權的存取後,立即停止了包括官網和網路在內的內部系統,暫停了部分生產和發貨,並聯繫了有關部門。另外該公司正在與外部資安公司合作調查此次未經授權的內容和範圍。由於仍在調查階段,目前仍不能確認不當的存取是否已導致客戶或敏感資料外洩,IT團隊正在持續工作以遏制此次事件帶來的影響,該公司表示會爭取早日恢復目前的生產缐和出貨,這是否涉及電腦系統遭未授權人士存取並植入勒索軟體? 目前仍然沒有確切的答案。

日商FUJIMI是全球第三大的化學機械研磨液大廠,是第一家在日本生產精密合成研磨材料的廠商,目前在全球裸晶圓拋光液市占率已高達85%,並且及躋身全球前三大半導體CMP製程研磨液供應商;客戶群包含全球主要半導體廠如:英特爾、台積電、聯電、三星、Global Foundry、美光、爾必達等。

韓國研究人員解密 Hive 勒索軟體,可恢復高達 98% 被加密的檔案

Posted on by blogadmin

韓國國民大學(Kookmin University)的一組研究人員在二月中旬發表了一篇學術論文<<A Method for Decrypting Data Infected with Hive Ransomware>>,研究人員表示他們分析了 Hive勒索軟體的加密演算法並發現當中存在一個漏洞,該漏洞允許研究人員在沒有駭客的RSA私密金鑰(Private key)情況下,還原生成檔案加密的主金鑰(Master key),以實現被 Hive 勒索軟體加密的數據的解密。根據國民大學金融資訊安全系的論文,該團隊還原了 95% 的主金鑰,即使在這種不完整的狀態下,金鑰也可用於解密受害者檔案的 82% 到 98% 的被加密的數據,具體取決於原始主金鑰被恢復的狀態,這是第一次有研究人員成功嘗試解密 Hive 勒索軟體。

研究人員發現的加密漏洞涉及生成和存儲主金鑰的機制,勒索軟體僅使用從主金鑰派生的兩個金鑰流加密檔案的選定部分,而不是整個內容。研究人員解釋說,對於每個檔案加密過程,都需要來自主金鑰的兩個金鑰流,通過從主金鑰中選擇兩個隨機偏移量並分別從所選偏移量中提取0x100000 位元組(1MiB) 和0x400 位元組(1KiB) 來建立兩個金鑰流。從兩個金鑰流的XOR 操作,建立的加密金鑰流然後與交替塊中的數據進行XOR 以生成加密檔案。但是這種技術也可以猜測金鑰流並恢復主金鑰,從而可以在沒有攻擊者私鑰的情況下解碼加密檔案。

研究人員進一步表示,恢復92%的主金鑰能成功解密約72%的檔案,恢復96%的金鑰能成功解密約82%的檔案,而恢復98%的主金鑰能成功解密約98%的檔案。”

Hive 勒索軟體於2021 年 6 月首次被觀察到,當時它攻擊了一家名為 Altus Group 的公司。Hive 慣用多種初始攻擊方法,包括易受攻擊的 RDP 伺服器、外洩的 VPN 憑證以及帶有惡意附件的網路釣魚電子郵件等,並實施有利可圖的雙重勒索手法,駭客不僅加密檔案還威脅受害者如不支付贖金,便會通過在其Tor揭秘網站<<HiveLeaks>>上洩露敏感的數據。在 2021 年 8 月和 2022 年 1 月,美國FBI 和西班牙的 INCIBE 機構分別發布了關於Hive勒索軟體的警告

,詳細介紹了 Hive 勒索軟體及其激增的攻擊活動。2021 年 9 月,在HiveLeaks上,也出現台灣上市公司,在這週一(21日),韓國造船廠現代重工集團(HHI)旗下的現代三湖重工(Hyundai Samho Heavy Industries)也被Hive列入其受害者名單。根據维基百科,現代三湖重工是世界上最大的造船商和領先的海上設施製造商之一,每年生產約40艘船,總資產為2000 億韓圓。目前操作Hive的駭客沒有公開勒索贖金額和數據量,根據截圖,Hive早在2 月5日已加密現代三湖重工。

根據區塊鏈分析公司了Chainalysis 的數據,截至 2021 年 10 月 16 日,Hive 勒索軟體已至少加害355 家公司,按收入計算的話,是2021 收入排名第八的勒索軟體。

如果您對完整的論文包括他們的程式碼和方法感興趣,可按此處

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

ASUSTOR華芸科技的網路儲存裝置(NAS)傳出災情,多國用戶陸續回報被DeadBolt加密勒索

Posted on by blogadmin
Photo Credit:Reddit User

1月22日零晨,根據Reddit華芸社群論壇上的 Asustor NAS 用戶報告稱,他們已成為 DeadBolt 勒索軟體攻擊的受害者。DeadBolt從今年1 月 25 日開始浮出水面,它能感染連接到 Internet 的未受保護的 NAS 系統。Deadbolt勒索軟體之前對威聯通(QNAP)設備造成了嚴重的破壞,導致其用戶被加密勒,現在看來 Asustor Nas已成為DeadBolt的另一個目標。

操作DeadBolt的駭客遠端潛入受害者的NAS,加密用戶的資料,並索討比特幣,每個受害者都會收到一個獨一的比特幣網址來發送贖金,當完成付款後,駭客會向受害者發送解密密鑰,用以解密受感染 NAS 系統上的檔案。DeadBolt的背後駭客向Asustor Nas的用戶索討0.03比特幣,約為 1,150 美元,這與他們向 QNAP 受害者索要的金額相同。

根據華芸西班牙(Asustor Spain)的twitter的帳號,強烈建議立即斷開 EZ-Router 或 EZ-Connect任何具有外部存取權限的 Asustor NAS的網路連接,但沒有提供這攻擊的任何細節。

目前尚不清楚是否所有 Asustor NAS 設備都容易受到 DeadBolt 攻擊,因為有用戶反饋某些型號,如 AS6602T、AS-6210T-4K、AS5304T、AS6102T 或 AS5304T,沒有受到感染。同時,一些受影響的型號包括 AS5304T、AS6404T、AS5104T 和 AS7004T。

假設您是沒有被感染的幸運者之一,在這種情況下,建議採取一些預防措施,例如:

*禁用 EZ Connect

*關閉自動更新

*禁用SSH

*阻擋router的所有 NAS端口,以及只允許來自網路內部的連接

2月23日更新:華芸科技官方公告--> https://www.asustor.com/zh-tw/knowledge/detail/?id=6&group_id=628

Microsoft Teams 會議成為駭客散播木馬惡意軟體的跳板

Posted on by blogadmin

到目前為止,研究人員已經發現了數千起此類攻擊,這些攻擊涉及濫用 Microsoft Teams 聊天功能

Photo Credit: Microsoft Teams

Microsoft Teams 的受歡迎程度持續增長,每月活躍用戶約為 2.7 億,駭客們意識到此線上會議軟體是在企業或組織的系統中的最佳傳播及攻擊媒介。從 2022 年 1 月開始,Check Point旗下子公司Avanan的資安人員觀察到,攻擊者滲透到Microsoft Teams會議中,將惡意執行檔附加到會議的聊天中從而感染參與對話的用戶。根據Avanan的資安人員Jeremy Fuchs,駭客很可能先入侵屬於員工的電子郵件帳戶後滲透到 Microsoft Teams,然後再使用該電子郵件帳戶存取其公司的 Teams 會議。Fuchs進一步說,駭客非常擅長使用電子郵件網路釣魚來入侵Microsoft 365 帳戶來竊取登錄憑證,並清楚知道相同的憑證適用於 Microsoft Teams。

一旦成功進入會議,駭客會投放一個偽裝成合法程式的惡意執行檔,名為“User Centric”。一旦用戶點擊安裝,他們的設備就會被一個木馬程式感染,木馬程式會在電腦上投放惡意 DLL檔,從而使駭客可以繞過現有的保護措施,遠端劫持系統。另外Avanan還展示了該惡意軟體在 Windows 7 設定上的Demo, 但目前尚不清楚該攻擊是否能夠在 Windows 10 或 Windows 11 上運行。

User Centric木馬利用了人們對 Teams 的信任,人們認為連結來自同事,而不是駭客。Avanan 研究人員表示,雖然攻擊非常簡單,但非常有效,因為許多用戶信任通過 Teams 收到的檔案。該公司對使用 Teams 的醫院進行分析時,發現醫生使用該平台共享患者的醫療資訊,認為一切都可以通過 Teams 發送。

由於大多數員工接受了電子郵件安全意識的培訓,對收到的電子郵件資訊會保持警惕的態度,但他們對通過 Teams 收到的檔案並不這麼謹慎。此外,Teams 允許來賓和外部存取,允許與公司外部的人員協作。Fuchs說這些邀請經常受到很少的監控。Fuchs補充道,Teams缺乏預設的防護,掃描惡意連結和檔案也是有限的,許多電子郵件安全解決方案也無法為Teams提供強大的保護,這使問題變得更加嚴重。

為了防禦此類攻擊,Avanan建議應採取以下措施:

    • 實施保護,在Sandbox中下載的所有檔案並檢查其中是否存在惡意內容

    • 部署強大的整套的安全措施,保護包括團隊在內的所有業務通訊

    • 鼓勵End-user在看到陌生和可疑的檔案時聯繫 IT

大規模DDoS攻擊! 烏克蘭國防部以及國營銀行的網站遭網攻,不排除源自俄羅斯!

Posted on by blogadmin

烏克蘭當局表示,由於俄羅斯可能入侵的威脅導致緊張局勢持續存在,週二(2/15) 其國防部、武裝部隊及兩間主要銀行的網站遭DDoS(阻斷服務攻擊),導致網路不堪重負,無法登入,但銀行的資金則不受影響。

國家特殊通訊和資訊保護服務管理局(State Service for Special Communication and Information Protection),從2022年2月15日下午開始,烏克蘭多處資訊資源遭到強大的DDOS攻擊。這導致私有銀行(PrivatBank)及烏克蘭國家儲蓄銀行(Oschadbank) 的 Web 服務工作中斷,導致 ATM 無法操作,客戶無法在線上提款或轉帳及App無法正常使用,同時也證實了烏克蘭國防部和武裝部隊等的網站也遭到攻擊。

烏克蘭國防部的網站無法連上

烏克蘭戰略通訊與資安全中心(the Ukrainian Center for Strategic Communication)在 Facebook 的一篇帖子中,攻擊者會採取這種骯髒的小伎倆,因為它侵略計劃沒有奏效。烏克蘭外交部、教育部、內政部、能源部等多個政府網站,在上月14日也曾因遭到大規模網路攻擊而關閉。

據悉,雖然烏克蘭國防部的網站無法連結,但烏克蘭國家儲蓄銀行 的網站仍然可以連上,但客戶無法登錄他們的網上銀行賬戶。私有銀行(PrivatBank)的網站今天也遭到攻擊,攻擊者除了刪除網站的內容並添加了“BUSTED!PRIVATBANK WAF is watching you)” 的訊息。

根據資安Kentik 互聯網分析主管 Doug Madory 表示,他分析了一些 DDoS 攻擊,發現目標包括託管烏克蘭軍隊網站的 Mirohost (AS28907)。另針對烏克蘭最大銀行 PrivatBank (AS15742) 的流量也在幾個小時內突然激增。

週一,烏克蘭安全局(Security Service of Ukraine-SSU)表示,該國成為與俄羅斯有關的惡意攻擊者的“大規模混合戰爭”的目標,正值烏俄邊境緊張,時機敏感,外界質疑這是俄羅斯旨在引發焦慮並削弱烏克蘭人對該國保衛能力的信心。SSU 表示,該活動與通過社交網路和其他媒體傳播虛假資訊的俄羅斯情報機構有關。