在深入開展打擊整治網(wǎng)絡(luò)違法犯罪“凈網(wǎng)2018”專項行動中,江蘇省南通市、通州區(qū)兩級公安機關(guān)經(jīng)過近4個月的偵查,成功破獲一起公安部督辦的特大提供侵入計算機信息系統(tǒng)工具案件,在北京、山西、廣東、廣西、江蘇等地先后抓獲犯罪嫌疑人18名,搗毀工作室和核心代理店11個,扣押非法實體激活卡10萬余張,作案工具及服務(wù)器81臺,關(guān)閉非法解析通道8條,涉案金額逾億元。
“包括非法視頻解析服務(wù)提供商、手機App開發(fā)運營商、實體激活卡總代理及各地核心代理在內(nèi)的整條黑色產(chǎn)業(yè)鏈全部被打掉。”南通市公安局網(wǎng)安支隊支隊長張建介紹,這也是全國范圍內(nèi)首次實現(xiàn)對此類犯罪的全鏈條打擊。
20元看12家網(wǎng)站VIP會員視頻
今年1月31日,騰訊公司向南通市通州區(qū)公安局報案,稱有大量非會員用戶能夠免費觀看騰訊視頻會員資源。初步調(diào)查后,該公司發(fā)現(xiàn),有南通的網(wǎng)民通過微信朋友圈低價兜售這款“樂尚視界”手機App。用戶只需花費20元,即可直接點擊觀看包括騰訊、愛奇藝、樂視等在內(nèi)的12家視頻網(wǎng)站的VIP會員資源。
經(jīng)初查確認后,2月1日,南通市公安局網(wǎng)安支隊和通州區(qū)公安局抽調(diào)精干警力,聯(lián)合成立專案組進行偵查,很快查明了該團伙的作案方式、組織架構(gòu)及核心成員。
經(jīng)查,“樂尚視界”是北京某科技有限公司制作,通過劉某、李某等人進行代理銷售,后逐級銷售至南通何某手中。除了“樂尚視界”,該公司還開發(fā)了“橙子視頻”“愛尚視頻”“酷視界”等多款類似的手機App以及“酷七視頻”網(wǎng)站。
掌握確鑿證據(jù)后,2月7日,南通警方在北京該公司的駐地抓獲李某強、張某、王某等9名犯罪嫌疑人。2月13日至4月上旬,核心代理銷售的汪某等8名犯罪嫌疑人也陸續(xù)到案。
涉案App被裝上“萬能鑰匙”
警方查明,2017年12月至2018年1月期間,在沒有取得相關(guān)授權(quán)的情況下,李某強指使員工研發(fā)了一款侵入主流官方視頻播控平臺的軟件,為避免引起注意,先后將該軟件包裝成“酷視界”“樂尚視界”“橙子視頻”“愛尚視頻”4款手機App,通過代理商將電子卡密制作成實體激活卡,在全國各地的多家網(wǎng)絡(luò)終端銷售市場、手機維修店以及網(wǎng)店推廣售賣。
不法分子通過什么樣的手段侵入了這些網(wǎng)站?李某強交代,他們租用第三方的解析源,用戶通過他們的手機App,直接跳轉(zhuǎn)到相關(guān)視頻網(wǎng)站,點擊想看的VIP用戶視頻資源后,程序會把視頻地址發(fā)送給服務(wù)器,再由服務(wù)器自動解析,成功后用戶就可直接觀看。“相當于在我們開發(fā)的手機App里裝了一把‘萬能鑰匙’”。
“通過解析視頻真實地址對這些網(wǎng)站進行入侵,實現(xiàn)用戶在非會員的情況下也能觀看收費視頻資源。”辦案民警張繼說,解析地址的提供者是這些非法手機App得以運行的關(guān)鍵。由于作案手段隱蔽,突破了計算機信息系統(tǒng)安全驗證機制,多數(shù)權(quán)益受損企業(yè)直至案發(fā)仍毫無察覺。
今年3月,民警正在對一臺服務(wù)器取證時,突然發(fā)現(xiàn)有人更改了密碼,遂順藤摸瓜。4月26日,專案組在廣西南寧將提供解析地址的犯罪嫌疑人鄭某抓獲。
經(jīng)查,29歲的鄭某僅有小學文化,自學了編程等計算機技術(shù)。與李某強合作后,見“樂尚視界”每天擁有巨大訪問量,產(chǎn)生了“黑吃黑”的想法,就擅自更改服務(wù)器密碼,又找人破解了這款手機App,將之改頭換面成“新尚視界”。
“解析其實就是模擬生成一段會員密匙,讓官網(wǎng)誤認為訪問者是會員。”鄭某到案后交代,解析地址接口有些是自己付費購買的,有些是盜用他人的,自己將之全部整合起來提供給李某使用。鄭某稱,這樣提供解析地址的行為,網(wǎng)上并不少見,甚至有專門的圈子,基本都是按照點擊量多少進行收費,或者直接通過廣告收益分成的形式合作。
低價銷售擴大用戶群創(chuàng)收
犯罪嫌疑人劉某今年32歲,與李某經(jīng)營一家手機維修公司。一次偶然的機會,兩人看到了印刷推廣非法手機App實體激活卡的“商機”。據(jù)劉某交代,紙質(zhì)的實體卡成本僅為0.1元一張,塑料材質(zhì)的每張制作費用也不超過1元。
“銷售環(huán)節(jié)的利潤接近29倍,各級代理從中獲利數(shù)千元至數(shù)十萬元不等。”張繼說,以“酷視界”為例,年卡標明的零售價為59.9元,進價卻只需2元。
警方查明,李某強公司先后將2050萬個“樂尚視界”電子卡密以及550萬個“橙子視頻”電子卡密免費提供給劉某和李某。除去成本,作為總代理的劉某和李某,每張卡的利潤還不到1元,遠不及其他下線代理。
原來,作為解析地址提供商、軟件開發(fā)運營商以及實體激活卡的總代理,鄭某、李某強、劉某等人眼中盯著一塊更大的“蛋糕”——廣告收益。
“低價銷售是為了最大化地爭取用戶資源,再通過廣告收入實現(xiàn)盈利。”據(jù)李某強交代,他們主要通過互聯(lián)網(wǎng)和代理推廣,訪問量激增后,再通過App中預(yù)留的廣告位投放廣告盈利。通過事先約定,廣告收益三方平分。
“這里面所有的視頻網(wǎng)站會員費用要1700多元。”何某稱,他以2元錢一張購入“樂尚視界”會員卡,再通過微信等方式,以3至5元的價格批發(fā)銷售。
“大都流向一些小規(guī)模的手機營業(yè)廳,用于贈送給辦理業(yè)務(wù)的客戶。”張繼介紹,價格便宜,使得“樂尚視界”這類手機App會員卡很受歡迎。經(jīng)查,短短1年內(nèi),該團伙已在全國各地發(fā)展銷售代理近千人,發(fā)行實體激活卡超過3000萬張,活躍用戶總數(shù)達到360余萬,廣告收益逾百萬元。
通州區(qū)公安局網(wǎng)安大隊大隊長袁納新認為,販賣這些App實體激活卡的零售或微商人員涉嫌違法。“安裝使用這類App,可能會泄露手機上的個人信息和隱私,存在多種安全隱患”。
目前,李某強、鄭某等18名犯罪嫌疑人因涉嫌提供侵入計算機信息系統(tǒng)工具罪先后被依法執(zhí)行逮捕或取保候?qū)彛景敢驯灰扑彤數(shù)貦z察機關(guān)審查起訴。
T之家 2 月 28 日消息,密碼管理工具 LastPass 本周一發(fā)布公告,稱此前攻擊事件關(guān)聯(lián)的攻擊者已入侵了一名員工的家用計算機,并獲得了只有少數(shù)公司開發(fā)人員可以使用的解密庫(decrypted vault)。
報道稱這名攻擊者于 2022 年 8 月 12 日嘗試對 LastPass 發(fā)起攻擊,在 12-26 日期間該攻擊者進行了“一系列新的偵察、枚舉和滲透活動”。
在此過程中,該攻擊者從高級 DevOps 工程師那里竊取有效憑證并訪問 LastPass 數(shù)據(jù)保險庫的內(nèi)容。攻擊者還通過數(shù)據(jù)保險庫訪問了共享的云存儲環(huán)境。
IT之家翻譯 LastPass 內(nèi)容如下:
針對 DevOps 工程師的家用計算機,并利用易受攻擊的第三方媒體軟件包來實現(xiàn)攻擊。該軟件包啟用了遠程代碼執(zhí)行功能并允許威脅行為者植入鍵盤記錄程序惡意軟件。
在員工通過 MFA 進行身份驗證后,威脅參與者能夠在輸入時捕獲員工的主密碼,并獲得對 DevOps 工程師的 LastPass 公司保險庫的訪問權(quán)限。
日,卡巴斯基實驗室的研究人員發(fā)現(xiàn)了一種名為Slingshot的惡意軟件,該軟件能夠隱藏大約六年。雖然確切的數(shù)字還不知道,但該惡意軟件已感染了位于非洲和中東等不同國家的約100名用戶。
Slingshot被認為在2012年至2018年2月期間活躍。它是一個高度復(fù)雜的網(wǎng)絡(luò)間諜工具,與已知平臺Project Sauron和Regin的復(fù)雜性相匹配。
它感染W(wǎng)indows機器的方式之一是通過MikroTik路由器及其管理軟件Winbox Loader。研究人員包括受害者通過Windows有受到感染的可能性。
Slingshot首先感染路由器,然后在受害者的計算機上加載兩個名為Cahnadr(內(nèi)核模式模塊)和GollumApp(用戶模式模塊)的強大模塊。 之后,網(wǎng)絡(luò)間諜工具可以收集各種信息,包括USB連接,鍵盤,剪貼板數(shù)據(jù),網(wǎng)絡(luò)數(shù)據(jù),屏幕截圖,密碼等。
此外,借助內(nèi)核模式的設(shè)施,Slingshot后面的攻擊者可以完全控制受害者的計算機。研究人員寫道:“對用戶沒有限制也沒有保護(或者說任何惡意軟件都可以輕易繞過)。”
據(jù)研究人員介紹,考慮到Slingshot的先進性和強大性,Slingshot的研發(fā)可能涉及高昂的成本和技術(shù)。Slingshot的代碼表明它的開發(fā)者講英語,并且背后很可能有一些資本或者勢力支持。
Slingshot擁有自己的加密文件系統(tǒng)。它可以禁用Windows操作系統(tǒng)中的磁盤碎片整理功能,以防止Slingshot存儲在硬盤驅(qū)動器上的數(shù)據(jù)被重新定位。
MikroTik已經(jīng)提供了研究人員目前關(guān)于惡意軟件的有限集合信息。建議受影響的用戶將路由器固件更新到最新版本。Slingshot可能已經(jīng)感染了其他路由器的用戶。