黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版
本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。这些恶意代码旨在允许未经授权的访问,而且这些受影响的版本已经被多个 Linux 发行版合并,但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题,编号为 CVE-2024-3094,严重性评分为 10/10 。
xz 是被 Linux 发行版广泛使用的压缩格式之一, xz-utils (LZMA-utils)是一个开源项目,2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码,然后逐步接手该项目成为项目的主要贡献者,也是该项目当前唯一的活跃贡献者。恶意代码经过混淆,只能在完整的下载包中找到,而无法在 Git 发行版中找到,因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ,使攻击者可以使用精心构造的数据跳过 RSA 密钥检验,在未授权情况下授予攻击者不受限制的访问权限。
—— Red Hat
中国黑客组织在入侵并植入后门后安装漏洞补丁
Google 旗下的安全公司 Mandiant 在调查中发现,两起不同事件中利用的工具组合是来自中国的威胁行为者 UNC5174 所独有的。Mandiant 评估称,有迹象表明该团体是中国国家安全部的承包商,专注于执行访问操作。该组织已经入侵了数百家不同国家的政府和组织。据观察,攻击者在获得受害者组织的初步网络访问权限之后,正在试图出售高价值目标的访问权。此外,在被入侵的系统中创建后门之后,他们会给被其利用的漏洞打上补丁。此举可能是防止其他黑客组织利用相同的漏洞入侵系统。
—— Mandiant
研究人员发现被全球军警广泛使用的无线电设备加密算法有重大缺陷,极有可能是一个预留的后门
25年来,一项用于全球关键数据和语音无线电通信的技术一直处于保密状态,以防止任何人仔细检查其安全属性是否存在漏洞。 但现在,由于荷兰的一小群研究人员深入了解了它的内部结构并发现了严重缺陷,包括故意的后门,它终于得以公开亮相。
TETRA 是由欧洲电信标准协会 (ETSI) 在 90 年代开发的。 该标准包括四种加密算法:TEA1、TEA2、TEA3 和 TEA4,无线电制造商可以根据其预期用途和客户在不同产品中使用这些算法。 TEA1用于商业用途; 不过,根据 ETSI 文件,对于欧洲和世界其他地区关键基础设施中使用的无线电,它也设计供公共安全机构和军队使用,研究人员发现警察机构也在使用它。
TEA2 在欧洲仅限警察、紧急服务部门、军队和情报机构使用。 TEA3 适用于欧洲以外的警察和紧急服务——在墨西哥和印度等被视为对欧盟“友好”的国家; 那些不被视为友好的国家(例如伊朗)只能选择使用 TEA1。 研究人员表示,另一种商业算法 TEA4 几乎没有被使用。
研究人员在进行开源研究后发现,除美国外,世界各地绝大多数警察部队都使用基于 TETRA 的无线电技术。
研究人员购买了现成的摩托罗拉 MTM5400 无线电,并花了四个月的时间从无线电固件的安全区域中定位并提取算法。 他们不得不使用一些零日漏洞来破坏摩托罗拉的保护措施,并报告给摩托罗拉进行修复。 一旦他们对算法进行逆向工程,他们发现的第一个漏洞就是 TEA1 中的后门。
研究人员表示,所有四种 TETRA 加密算法都使用 80 位密钥,即使在发布二十多年后,仍然提供足够的安全性来防止有人破解它们。 但 TEA1 有一个功能,可以将其密钥减少到只有 32 位,不到密钥长度的一半。 研究人员能够使用标准笔记本电脑和四个密文在不到一分钟的时间内破解它。
研究人员不知道他们发现的漏洞是否正在被积极利用。 但他们确实在爱德华·斯诺登泄密事件中发现了证据,表明美国国家安全局 (NSA) 和英国 GCHQ 情报机构过去曾针对 TETRA 进行过窃听。
—— 连线杂志
黑吃黑:勒索软件有后门,赎金被上家窃取
使用勒索软件的网络犯罪分子抱怨说,他们租用的恶意软件可能包含隐藏的后门。
REvil是最臭名昭著和最常见的勒索软件形式之一,其已经造成几个重大勒索事件。REvil背后的团伙将他们的勒索软件出租给其他犯罪分子,以换取这些附属机构通过勒索比特币付款换取受害者需要的勒索软件解密密钥而获得的利润。
但对REvil背后的人来说,似乎这一切还不够:最近披露,他们的产品中编入了一个秘密的后门,允许REvil在没有联盟参与的情况下恢复加密的文件。
这可能允许REvil接管与受害者的谈判,劫持所谓的 “客户支持 “聊天记录–并为自己窃取赎金。
—— ZDNet
