外泄的政府服务凭证大多来自意大利,其他地区还有沙特阿拉伯、葡萄牙,可存取的政府服务涵盖义大利、以色列、波兰、罗马尼亚、法国、瑞士、保加利亚、匈牙利、克罗埃西亚等国家。
俄罗斯资安业者Group-IB本周指出,该公司发现黑客在黑市兜售全球超过30个国家的线上政府服务的逾4万名员工凭证,这类的使用者凭证在黑市出现的机率并不高,推估买家若不是网络犯罪者,就是由各国政府所支持的黑客集团。
这些凭证绝大多数来自意大利,占了52%,也有22%来自沙特阿拉伯,以及5%来自葡萄牙。这些凭证可用来存取波兰、罗马尼亚、法国、瑞士、保加利亚、匈牙利或克罗埃西亚的政府入口网站,或是罗马尼亚外交部网站、义大利外交部网站、义大利国防部网站、以色列国防部网站、乔治亚财政部网站及挪威移民局网站等。
研究人员分析,黑客应是藉由网钓邮件来散布间谍程式,这些网钓邮件夹带著伪装成合法的档案,一旦开启就会在受害者的电脑上植入间谍程式或键盘侧录程式,如Pony Formgrabber、AZORult与Qbot。
其中,Pony Formgrabber可从受害者电脑上的配置档案、资料库或秘密储存空间窃取登录凭证,再传送到黑客所掌控的命令暨控制(C&C)服务器;而AZORult不只可从主流的浏览器中窃取凭证,还能窃取加密货币钱包的资料;Qbot则会从受害者的键盘输入收集登入凭证。
Group-IB指出,取得政府网站的员工凭证之后,黑客不只能从这些网站找到机密资讯,还能渗透政府网络,就算只有一名政府员工的凭证外泄,都可能造成商业或政府机密的外泄。
如果感觉文章不错,分享让更多的人知道吧!
领取专属 10元无门槛券
私享最新 技术干货