駭客在黑市兜售全球逾30個國家的4萬個政府服務憑證

俄羅斯資安業者Group-IB本周指出,該公司發現駭客在黑市兜售全球超過30個國家的線上政府服務的逾4萬名員工憑證,這類的使用者憑證在黑市出現的機率並不高,推估買家若不是網路犯罪者,就是由各國政府所支持的駭客集團。

這些憑證絕大多數來自義大利,佔了52%,也有22%來自沙烏地阿拉伯,以及5%來自葡萄牙。這些憑證可用來存取波蘭、羅馬尼亞、法國、瑞士、保加利亞、匈牙利或克羅埃西亞的政府入口網站,或是羅馬尼亞外交部網站、義大利外交部網站、義大利國防部網站、以色列國防部網站、喬治亞財政部網站及挪威移民局網站等。

研究人員分析,駭客應是藉由網釣郵件來散布間諜程式,這些網釣郵件夾帶著偽裝成合法的檔案,一旦開啟就會在受害者的電腦上植入間諜程式或鍵盤側錄程式,如Pony Formgrabber、AZORult與Qbot。

其中,Pony Formgrabber可從受害者電腦上的配置檔案、資料庫或秘密儲存空間竊取登錄憑證,再傳送到駭客所掌控的命令暨控制(C&C)伺服器;而AZORult不只可從主流的瀏覽器中竊取憑證,還能竊取加密貨幣錢包的資料;Qbot則會從受害者的鍵盤輸入蒐集登入憑證。

Group-IB指出,取得政府網站的員工憑證之後,駭客不只能從這些網站找到機密資訊,還能滲透政府網路,就算只有一名政府員工的憑證外洩,都可能造成商業或政府機密的外洩。

原文來自 iThome Online