网络盾牌 | 1109-英国情报公司雇用大批印度黑客进行非法调查-英国政府扫描互联网空间的零日威胁

英国情报公司雇用大批印度黑客进行非法“调查”；

标签：英国，印度，情报公司，黑客

“大多数英国私人调查公司都在雇用印度黑客。”28岁的印度“计算机专家”拉索尔告诉佯装成企业调查员的英国记者。拉索尔的工作就是从世界各地窃取机密。他已经入侵超过500个电子邮件账户，大部分是受企业客户的委托。

英国《星期日泰晤士报》6日披露了英国情报公司是如何雇用印度黑客对企业、记者和政治人物进行非法“调查”的。该报的两名记者创建了一家虚假的企业调查公司，谎称要雇用一名网络调查员帮助客户收集信息。他们找到了拉索尔，他在领英上毫不掩饰地称自己的技能是“入侵安卓系统”“手机监听”以及“电子邮件追踪渗透”。

拉索尔最简单的伎俩就是向受害者发送钓鱼邮件，邮件里是虚假的脸书登录页面。拉索尔称他能制作出极其逼真的登录页面，“他们会以为这个网站是真的，然后把密码‘告诉’我们”。

拉索尔曾卷入一桩著名的谋杀案。2017年12月，加拿大亿万富翁巴里·谢尔曼和妻子在自家泳池旁离奇死亡，案件轰动一时。不久后，拉索尔接到一名私家侦探的电话，让他入侵死者的电子邮件账户，拉索尔认为雇主可能是案件的嫌疑人之一。他未能破解死者的电子邮件，但紧接着客户又让他调查死者的堂弟温特，他向客户提供了温特及其家人的个人信息，客户称这些信息令他“印象深刻”。没有证据显示温特与此案有关，但他此前曾卷入一场长达十年的诉讼，试图让谢尔曼交出一大笔财产。这起谋杀案至今未被侦破。

拉索尔的业务在短短几年内取得迅猛发展，他在北美、罗马尼亚、比利时和瑞士都拥有客户。每入侵一个电子邮件账户，拉索尔会收取3000—20000美元的费用。拉索尔称，十多年来，英国公司一直在雇用印度黑客，他们大多是该行业两大巨头Appin和Belltrox的客户。Appin现已倒闭，但据称其秘密建立了别的黑客机构，客户遍布全球。Belltrox目前仍在运营，其领英档案上有数百份来自企业情报人员的背书。

《星期日泰晤士报》称，另一名印度黑客巴尔加瓦声称，他曾在印度政府的命令下，对土耳其、巴基斯坦、埃及和柬埔寨政府发动一系列网络攻击，目标通常是政府的秘密文件和档案。他的一名同事曾试图入侵加拿大政府的电脑系统。

有关印度黑客的信息爆出后，西方情报公司一片恐慌，因为很多情报公司都曾雇用印度黑客。对英国的情报公司而言，从一个遥远国家雇用黑客可以大大降低被捕或被起诉的风险，因为从英国进行黑客攻击是非法的，最高可判处十年监禁。印度也有类似的法律，但当地的黑客一点也不担心被发现。当被问及是否有黑客在印度被捕时，一名黑客笑着说：“一个都没有。”

信源：https://timesofindia.indiatimes.com/gadgets-news/indian-hackers-in-demand-as-hack-for-hire-companies-compromise-vips-phones-emails-globally-report/articleshow/95362934.cms

英国政府正在扫描该国互联网空间的零日威胁；

标签：英国，互联网空间，0day

英国国家网络安全中心启动了一项新计划，将持续扫描英国托管的每个互联网连接设备的漏洞，以帮助政府应对零日威胁。国家网络安全中心是政府通信总部的一部分，作为英国面向公众的网络威胁的技术权威，它说它发起这个倡议是为了建立一个数据驱动的”英国的脆弱性和安全性”的观点。

这与挪威国家安全局的努力类似，去年，该机构寻找利用微软Exchange漏洞针对该国互联网用户的证据。斯洛文尼亚的网络安全响应单位，即SI-CERT，当时也表示，它正在通知其互联网空间中的Exchange零日漏洞的潜在受害者。

该机构解释说，NCSC的扫描活动将涵盖任何在英国境内托管的互联网可访问系统，并将重点定位那些常见的或因影响广泛而特别重要的漏洞。

英国国家安全委员会说，它将使用收集到的数据来创建”英国在漏洞披露后的暴露概况，并跟踪他们在一段时间内的补救情况”。该机构还希望这些数据将有助于向系统所有者提供有关其日常安全状况的建议，并帮助英国更快地应对事件，如正在被积极利用的零日漏洞。

该机构解释说，从这些扫描中收集的信息包括连接到服务和网络服务器时发回的任何数据，如完整的HTTP响应，以及每个请求和响应的信息，包括请求的时间和日期以及源和目的端点的IP地址。

它指出，请求的目的是收集检查被扫描资产是否受漏洞影响所需的最低限度的信息。如果无意中收集到任何敏感或个人数据，NCSC说它将”采取措施删除这些数据，并防止其在未来再次被捕获”。

扫描是使用从NCSC的专用云托管环境内运行的工具进行的，允许网络管理员在其日志中轻松识别该机构。总部设在英国的组织可以选择不接受政府对其服务器的扫描，方法是向NCSC发送电子邮件，列出他们希望排除的IP地址。

NCSC即将离任的技术总监Ian Levy在一篇博文中解释说：”我们不是为了其他邪恶的目的而试图在英国寻找漏洞。我们从简单的扫描开始，并将慢慢增加扫描的复杂性，解释我们在做什么（以及为什么我们要这样做）。”

信源：https://baijiahao.baidu.com/s?id=1748803709546818182&wfr=spider&for=pc

波音子公司遭网络攻击，致使全球多家航司航班规划中断；

标签：波音，子公司，网络攻击

美国航空航天巨头波音的全资子公司Jeppesen是一家位于科罗拉多州的导航与航班规划工具供应商。该公司昨天证实，由于发生网络安全事件，导致部分航班被迫中断。

11月2日（本周三），Jeppesen公司网站上出现了红色提示条幅，警告称“我们的部分产品、服务和沟通渠道出现了技术问题”。

波音公司一位发言人透露，这是一起网络安全事件，Jeppesen方面正在努力恢复服务。

该发言人表示，“我们的子公司Jeppesen遭遇到网络事件，已经有部分航班规划产品和服务受到影响。部分航班规划被中断，但目前我们判断此次事件应该不会对飞机或飞行安全构成威胁。我们正与客户和监管机构沟通，并努力在最短时间内全面恢复服务。”

尽管航班中断的严重程度还不明确，但此次事件至少已经影响到当前及后续空中任务通知（NOTAM）的接收和处理。NOTAM是指向航空当局提交的通知，用于提醒飞行员注意航线上的潜在危险。

伊拉克航空、沙特Flynas航空、加拿大太阳之翼航空均发布公告，称Jeppesen系统发生了中断。Flynas表示部分航班被重新调整，太阳之翼还称北美多家航司受影响。

旅游博客Live And Let’s Fly的博主Matthew Klint称，有消息人士透露，此次事件属于勒索软件攻击。但波音发言人称系统“仍处于活动状态”，暂时无法证实事件与勒索软件有关。

航空业网络威胁形势日趋严峻

当前，航空业已经成为网络攻击乃至勒索软件攻击的高频目标。

今年5月，印度香料航空（SpiceJet）公司报告称遭受勒索软件攻击，导致众多乘客因航班停飞在滞留在机场。今年8月，为多家大型航空公司提供技术方案的Accelya称遭受勒索软件攻击，幕后黑手为BlackCat团伙。去年8月，曼谷航空公司称有黑客对其发动勒索软件攻击，事后还通过入侵窃取了乘客信息。

据报道，波音公司也在2018年受到广泛传播的WannaCry勒索软件的打击，好在服务很快恢复了正常。波音公司发言人接受《西雅图时报》采访时称，“漏洞只影响到几台设备。我们部署了软件补丁，所以包括777喷气式飞机在内的所有项目均未发生中断。”

今年8月，美国运输安全管理局（TSA）出台规定，强制要求各航空公司在24小时内向网络安全与基础设施安全局（CISA）上报一切网络安全事件。

信源：https://therecord.media/cyber-incident-at-boeing-subsidiary-causes-flight-planning-disruptions/

“Justice Blade” 黑客组织攻击沙特阿拉伯；

标签：沙特阿拉伯，Justice Blade，黑客组织

自称“Justice Blade”的黑客组织公布了Smart Link BPO Solutions泄露的数据，该公司是一家外包IT供应商，与沙特阿拉伯王国和海湾合作委员会其他国家的主要企业和政府机构合作。

黑客声称窃取了大量数据，包括CRM记录、个人信息、电子邮件通信、合同和账户凭证。

当天，Justice Blade还建立了一个包含私人通信频道的Telegram帐户。从攻击者泄露的截屏和视频来看，该事件可能是由于有针对性的网络入侵影响了Active Directory内部应用程序和服务。

黑客还发布了该地区各公司之间的活动RDP会话和Office 365通信的截图，以及可能与FlyNas（航空公司）和SAMACares（由沙特阿拉伯中央银行管理的项目）有关的用户名单，其中包含超过10万条记录。

据Resecurity, Inc. （USA）称，由于企业和政府部门之间的重叠，保护财富500强主要公司的数据泄露可能成为该地区首批供应链网络安全事件之一。黑客可能会使用被盗数据来瞄准其他感兴趣的公司和个人。

Resecurity安全专家提到，之前在暗网和TOR网络中的各种地下市场中发现了属于Smart Link BPO Solutions的多个泄露凭据，“Justice Blade”可能利用这些凭据成功实施网络攻击。根据目前掌握的数据来看，11月2日左右，一家公司网站遭到破坏，并以“黑客和泄露”的方式进行。在此之前，10月30日，Metasploit Framework的活动可能被受害者公司检测到，该公司在入侵后由黑客部署。

根据泄露的公司员工之间的通信，属于员工的泄露账户很可能被用来进行攻击。

然而，没有证据表明这次攻击可能是出于经济动机，因为到目前为止还没有登记赎金要求。“Justice Blade”似乎是一个以沙特阿拉伯为目标的意识形态团体，在其网站上公布政府官员的照片以泄露数据。

Smart Link BPO Solutions是Al Khaleej培训和教育集团的一个业务部门。AL Khaleej集团在2012年福布斯中东地区上市，成为海湾合作委员会地区最强大的100家公司之一。

目前尚不清楚该事件是否与伊朗和沙特阿拉伯之间日益紧张的关系有关。据美联社（AP）报道，就在最近，沙特阿拉伯与美国官员分享了情报，表明伊朗可能正在为攻击沙特做准备。

据多名消息人士透露，执法部门和联邦监管机构正在调查该事件，以确定妥协的全部范围和最终影响。

信源： https://securityaffairs.co/wordpress/138213/hacking/justice-blade-targets-saudi-arabia.html

网络攻击迫使丹麦最大铁路公司火车全部停运；

标签：丹麦，铁路公司，火车停运

由于受到网络攻击影响，欧盟国家丹麦在上周六（11月5日）出现多列火车停运。该事件再次证明，针对第三方IT服务提供商的攻击会对物理世界造成重大破坏。

据丹麦广播公司DR报道，上周六早上，丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运，连续数个小时未能恢复。

从现象来看，这似乎是针对DSB运营技术（OT）系统实施恶意攻击的事件。但实际恰恰相反，遭受攻击的是丹麦公司Supeo，该公司专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。

Supeo可能经受了一次勒索软件攻击，但该公司并未披露任何信息。DSB方面的一名代表告诉路透社，这是一起“经济犯罪”。

在发现黑客攻击之后，Supeo决定关闭其服务器，导致列车司机们使用的一款软件无法正常工作，最终引发了列车运营中断。

Supeo公司提供了一款移动应用，可供火车司机访问运行的各项关键运营信息，例如限速指标和铁路运行信息。据媒体报道，Supeo关闭服务器的决定令该应用停止工作，司机们只能被迫停车。

攻击铁路部门的恶意黑客并不少见，最近一段时间的受害者包括白俄罗斯、意大利、英国、以色列和伊朗。虽然研究人员已经证明，现代火车系统确易受到黑客攻击影响，但近期攻击活动针对的主要是铁路网站、票务及其他IT系统，没有直接针对控制系统。

美国运输安全管理局（TSA）最近发布一项新指令，希望改善铁路运营中的网络安全水平。

信源：https://www.secrss.com/articles/48733