俄罗斯资安业者Group-IB本周指出,该公司发现黑客在黑市兜售全球超过30个国家的在线政府服务的逾4万名员工凭证,这类的使用者凭证在黑市出现的机率并不高,推估买家若不是网络犯罪者,就是由各国政府所支持的黑客集团。
文章转自:爱心胜博发
这些凭证绝大多数来自意大利,占了52%,也有22%来自沙特阿拉伯,以及5%来自葡萄牙。这些凭证可用来存取波兰、罗马尼亚、法国、瑞士、保加利亚、匈牙利或克罗地亚的政府入口网站,或是罗马尼亚外交部网站、意大利外交部网站、意大利国防部网站、以色列国防部网站、乔治亚财政部网站及挪威移民局网站等。
研究人员分析,黑客应是藉由网钓邮件来散布间谍程序,这些网钓邮件夹带着伪装成合法的档案,一旦开启就会在受害者的计算机上植入间谍程序或键盘侧录程序,如Pony Formgrabber、AZORult与Qbot。
其中,Pony Formgrabber可从受害者计算机上的配置档案、数据库或秘密储存空间窃取登录凭证,再传送到黑客所掌控的命令暨控制(C&C)服务器;而AZORult不只可从主流的浏览器中窃取凭证,还能窃取加密货币钱包的数据;Qbot则会从受害者的键盘输入搜集登入凭证。
Group-IB指出,取得政府网站的员工凭证之后,黑客不只能从这些网站找到机密信息,还能渗透政府网络,就算只有一名政府员工的凭证外泄,都可能造成商业或政府机密的外泄。