科技新聞

    ESET 專家與荷蘭國家高科技犯罪小組(NHTCU)合作進行調查,發現自 2009 年以來一隻名為 Ebury 的殭屍網絡已經感染了全球近 40 萬部 Linux 伺服器,而且在去年一次攻擊中,更一口氣增兵 7 萬,跟黑客採用的攻擊策略有極大關係。由於他們早前取得 Ebury 黑客集團使用的備份伺服器,因而有機會分析集團過去 15 年的演變歷史及攻擊策略。

    最初通過憑證填充攻擊

    專家認為對方最初的入侵是通過憑證填充攻擊,即是使用竊取的憑證登錄伺服器,之後惡意軟件就會從 wtmp 和 known_hosts 文件中竊取 SSH 連接列表及身分驗證密鑰,再利用這些密鑰嘗試登錄其他系統。如果 known_hosts 文件包含散列(hash)訊息,黑客還會嘗試對其內容進行暴力破解。

    從獲得的數據顯示,Ebury 黑客收集到的 480 萬個 known_hosts 條目中,約有 200 萬個條目使用了散列,而當中約有 40% 便成功以猜測或暴力破解奪取。另外,黑客還可能會利用伺服器上運行中的軟件已知漏洞,進一步提升訪問權限。

    進入下一階段,黑客會使用地址解析協議(ARP)攔截目標伺服器上的 SSH 流量,一旦用家通過 SSH 登錄受攻擊的伺服器,黑客就能捕獲登錄憑證。過往黑客入侵受感染的伺服器後,主要是攔截及竊取用家在電商平台輸入的信用卡訊息、重定向網絡流量以從廣告計劃中賺錢、利用被感染的伺服器發送垃圾電郵,以及出售捕獲的憑據。而在近年加密貨幣的熱潮下,黑客又會使用憑證自動清空受害者的電子錢包。

    現時仍有 11 萬部裝置受控制

    專家又指出,黑客集團會通過 Vidar Stealer 偽造或盜用身份,有時甚至冒用其他網絡犯罪分子的綽號來誤導執法部門。去到 2023 年底,ESET 專家還觀察到該惡意軟件引入了新的混淆技術和新的域名生成算法(DGA),使殭屍網絡能夠躲避檢測並提高其抵御攔截的能力。

    ESET 強調 Ebury 的生命力極頑強,雖然執法部門清除受感染伺服器的行動每天都在全球發生,但現時仍有約 11 萬部裝置受到控制。專家解釋,從最近 Ebury 的攻擊可見,對方傾向攻擊託管服務供應商,並對租用其虛擬伺服器的客戶實施供應鏈攻擊,以去年對方一次攻擊為例,他們成功感染了一間大型託管服務供應商,因而一口氣為殭屍大軍增兵 7 萬。由於殭屍網絡可用於發動 DDoS、賺取廣告費,因此依然是黑客最常用的攻擊之一,用家必須小心防範。

    資料來源:https://www.securityweek.com/400000-linux-servers-hit-by-ebury-botnet/

    唔想成為下一個騙案受害人?

    網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》,一系列影片助你自學網絡安全招數,遠離詐騙,安全意識輕鬆 Level Up!立即去片:https://www.wepro180.com/cybersafety/

    人工智能(AI)對商業環境產生很大影響,而 SAP 正是這個變革的領導者。參加年度旗艦活動——SAP NOW Hong Kong,與業界領袖、科技專家以及創新思想家一同分享他們應對不斷變化的數碼環境的策略。

    活動亦會一同探討如何善用 SAP 業務應用中內嵌的 AI 能力,展示最新解決方案,以開拓機遇、優化流程並提升客戶體驗。

    立即註冊,學識善用人工智能,在現時日益由 AI 驅動的世界中發揮最佳水平。

    立即報名

    香港科技大學一直致力開拓創新教學新模式,早於數年前便將 AI 融入傳統主修課程,更於去年成為香港首家在教研上有系統地採用生成式 AI 的學府。為支援校內使用 AI 等需要,在香港電訊(HKT)的協助下,最近決定採用 思科的解決方案,不但降低管理難度,更為整個資料中心網絡增加可見性。思科指相比現有 InfiniBand(IB)技術下每個連接埠的成本,新解決方案足足降低了 40 至 50%。

    今次科大在本身已有的 AI 數據中心之上,需要擴大其網絡設施,建構一個達 HPCIC 級的資料中心,要具備高性能計算和創新技術,以支援相關 AI 課堂、大型語言模型(LLM)訓練等需要。

    未來擴充時可應用同一套系統

    香港科技大學資訊科技總監關樹建表示,校方在高性能計算(HPC)領域使用 InfiniBand(IB)作為網絡架構已超過 10 年,現計劃建造新的 HPC Farm。在網絡層面上,科大決定採用思科的 Nexus 9K RoCEv2 解決方案,因 RoCEv2 是作為 IB 替代技術的新興技術,不但性價比高、且提供更多彈性,兼十分容易管理。

    思科香港、澳門及華南區總經理封小韵小姐指出,科大採用了思科 Nexus 9000 系列 Switches,提供低時延 200Gps 連接,可以滿足網絡基礎設施中對高效能及節能等各項要求;更有助科大應對現代數據中心不斷增長的網絡流量和需求,因它除了兼容現有數據中心,如果將來有需要擴充時,也可應用同一套系統協助。

    方案還包括了思科 Nexus Dashboard Fabric Controller(NDFC),有助整個  IT 基礎架構的日常營運可以更順利之餘,配合 Nexus Dashboard Insight(NDI),增加整個網絡的可視性,當一旦出現任何問題,IT 人員都可快速找到問題所在。

    做到快速傳遞及低時差問題等要求

    根據估算,思科的 N9K RoCEv2 相比 Infinite Brand,每個連接埠(Port)成本足足降低 40 至 50%,性價比十足。科大也可依靠思科方案來發展現有 NDFC,以管理新的儲存和人工智慧架構,並在熟悉的營運和管理平台上,加速其人工智慧的發展。

    至於思科在部署的過程中,除了本地技術專家,也有來自上海的團隊協助,全方位確保萬無一失。科大團隊對此十分滿意,對思科能滿足他們對 AI 數據中心要做到快速傳遞、無損失和低時差問題等要求,表示讚賞。

    HKT提供一站式服務令項目順利完成

    今次科大是在思科的 HK Gold Partner HKT 的協助下,引入相關方案。HKT 商業客戶業務總處副總裁梁樹恒先生稱:「憑藉 HKT 的本地專業團隊和豐富的系統集成經驗,以及我們在不同院校實施數碼轉型的成功案例,HKT 一直致力為科大校園提供多元化的網絡設備解決方案,並確保這些方案能夠與科大的發展進程完美配合。」

    HKT 擁有專業的思科網絡技術團隊,充當顧問角色,提供一站式服務,加上本身對科大的 IT 環境已十分熟悉,又提供相關的售前和售後服務,協助科大選擇和購買最適合的思科網絡設備解決方案。方案預計於 6 月部署完成,科大將利用 NDFC 和 NDI,提升整個數據中心網絡的可見性和管理能力。

    事實上,市場上各行各業對建構 AI 數據中心及高效能運算(High-Performance Computing,HPC)設施的需要已越來越高,亦是目前的大趨勢。隨著通用人工智能技術在各行各業變得越來越重要,任何需要為自己定制專屬的 GenAI 以支援大規模應用的企業,或是需要建構屬於自己的 AI 超級計算中心或數據中心的企業,都可以考慮採用思科的方案。

    ESET 專家與荷蘭國家高科技犯罪小組(NHTCU)合作進行調查,發現自 2009 年以來一隻名為 Ebury 的殭屍網絡已經感染了全球近 40 萬部 Linux 伺服器,而且在去年一次攻擊中,更一口氣增兵 7 萬,跟黑客採用的攻擊策略有極大關係。由於他們早前取得 Ebury 黑客集團使用的備份伺服器,因而有機會分析集團過去 15 年的演變歷史及攻擊策略。

    最初通過憑證填充攻擊

    專家認為對方最初的入侵是通過憑證填充攻擊,即是使用竊取的憑證登錄伺服器,之後惡意軟件就會從 wtmp 和 known_hosts 文件中竊取 SSH 連接列表及身分驗證密鑰,再利用這些密鑰嘗試登錄其他系統。如果 known_hosts 文件包含散列(hash)訊息,黑客還會嘗試對其內容進行暴力破解。

    從獲得的數據顯示,Ebury 黑客收集到的 480 萬個 known_hosts 條目中,約有 200 萬個條目使用了散列,而當中約有 40% 便成功以猜測或暴力破解奪取。另外,黑客還可能會利用伺服器上運行中的軟件已知漏洞,進一步提升訪問權限。

    進入下一階段,黑客會使用地址解析協議(ARP)攔截目標伺服器上的 SSH 流量,一旦用家通過 SSH 登錄受攻擊的伺服器,黑客就能捕獲登錄憑證。過往黑客入侵受感染的伺服器後,主要是攔截及竊取用家在電商平台輸入的信用卡訊息、重定向網絡流量以從廣告計劃中賺錢、利用被感染的伺服器發送垃圾電郵,以及出售捕獲的憑據。而在近年加密貨幣的熱潮下,黑客又會使用憑證自動清空受害者的電子錢包。

    現時仍有 11 萬部裝置受控制

    專家又指出,黑客集團會通過 Vidar Stealer 偽造或盜用身份,有時甚至冒用其他網絡犯罪分子的綽號來誤導執法部門。去到 2023 年底,ESET 專家還觀察到該惡意軟件引入了新的混淆技術和新的域名生成算法(DGA),使殭屍網絡能夠躲避檢測並提高其抵御攔截的能力。

    ESET 強調 Ebury 的生命力極頑強,雖然執法部門清除受感染伺服器的行動每天都在全球發生,但現時仍有約 11 萬部裝置受到控制。專家解釋,從最近 Ebury 的攻擊可見,對方傾向攻擊託管服務供應商,並對租用其虛擬伺服器的客戶實施供應鏈攻擊,以去年對方一次攻擊為例,他們成功感染了一間大型託管服務供應商,因而一口氣為殭屍大軍增兵 7 萬。由於殭屍網絡可用於發動 DDoS、賺取廣告費,因此依然是黑客最常用的攻擊之一,用家必須小心防範。

    資料來源:https://www.securityweek.com/400000-linux-servers-hit-by-ebury-botnet/

    唔想成為下一個騙案受害人?

    網絡安全公司Green Radar聯同 wepro180 最新推出《網安 2 分鐘》,一系列影片助你自學網絡安全招數,遠離詐騙,安全意識輕鬆 Level Up!立即去片:https://www.wepro180.com/cybersafety/