其他
电信网络运行重大事故:一个账号被盗,一个国家大面积断网数小时
关注我们
带你读懂网络安全
Orange西班牙公司的RIPE账号被盗,攻击者将其网络核心配置(BGP和RPKI)改为无效,导致全国互联网中断了大约3小时;
据悉,攻击者在信息窃取软件的数据集中发现了此次被利用的账号(未启用双因子认证),为了“找乐子”实施了此次攻击。
前情回顾·身份攻击成热点
黑客入侵RIPE账户,
破坏BGP协议
昨天,一名昵称为Snow的威胁行为者入侵了Orange西班牙的RIPE账户,并在推特上发贴要求该公司与他联系,以获取新的凭证。此后,攻击者修改了公司IP地址关联的自治系统编号,并启用了无效的RPKI配置。
凭据很可能是通过恶意软件窃取的
尽管Orange西班牙尚未透露其RIPE账户是如何被入侵的,但威胁行为者在推特发布截图提供了一条线索:被黑账户的电子邮件地址。网络安全情报公司Hudson Rock的员工Alon Gal告诉BleepingComputer,他在信息窃取恶意软件窃取的账户列表中找到了这个电子邮件地址和RIPE账户的关联密码。Hudson Rock的研究表明,“Orange西班牙员工的计算机于2023年9月4日被一种类似Raccoon的信息窃取恶意软件感染。在这台计算机上识别出了企业凭证,该员工持有部分凭证,并使用威胁行为者透露的电子邮件地址(adminripe-ipnt@orange.es)登录了https://access.ripe.net。” Alon Gal称,该帐户密码是ripeadmin。对于如此关键的账户来说,这条密码过于简单。黑客Snow后来确认了Hudson Rock的研究结果,并在推特上表示他正是从公开泄露的被窃取数据中找到了这个账户。Snow在推特发帖说,“很多人想知道我如何获取了这个账户的访问权,我只想说,密码安全性非常值得质疑。我只是在寻找泄漏的机器数据,偶然发现了RIPE账户,密码是ripeadmin。没有双重身份验证,毫无社交工程学(SE)措施。”当被问及为什么要黑入该账户,黑客表示是为了“找乐子”。RIPE也对此事件展开调查,表示他们已恢复了Orange西班牙的帐户,并建议用户启用多因素认证。RIPE在关于此次违规事件的页面上发帖,“我们鼓励账户持有者更新密码并为账户启用多因素认证。如果您怀疑账户可能受到影响,请向security@ripe.net报告。” 信息窃取恶意软件已成为企业的心腹大患。威胁行为者利用这些软件可以收集凭证,获得进入企业网络的初始访问权限。威胁行为者通常从网络犯罪市场购买被盗的凭证,然后用这些凭证侵入网络,进行数据窃取、网络间谍活动和勒索软件攻击。因此,所有账户都必须启用双因素或多因素认证。这样,即使账户被盗,攻击者也无法登录账户。
参考资料:bleepingcomputer.com
推荐阅读