拉斯普京用SQL注入侵入美选举系统

Posted 2021-04-11 malwarebenchmark

被称为Rasputin（拉斯普京）的黑客已经渗透的机构 — — Election Assistance Commission（EAC）美国选举援助委员会的证据被曝光。

 

EAC是一个独立的两党委员会，开发投票准则并提供关于选举管理信息，负责测试和核证投票的设备和系统，以确保它们符合安全标准。

 

黑暗网上的黑客愿意出售未打补丁的 SQL 注入漏洞，该漏洞会支持攻击者访问到EAC 网站和后端系统。除了知识的脆弱性，卖方也提供包括 100个可能受到影响的访问凭据，一些具有管理权限。

 

这些管理帐户可潜在地用于访问敏感信息，以及偷偷修改或植入恶意软件在EAC网站上，或有效利用水坑攻击临时政府官方资源。

Rasputin提供的EAC相关系统状态页面

Rasputin提供选举软件系统测试页面

而有记录显示这些信息的买家包括中东地区的政府代表。

 

同时，几位安全研究人员确定2015 年 12 月，有人销售 1 亿 9100 万美国选民记录给俄罗斯地下社区的成员。

2015年Rasputin的活动

EAC成员Thomas Hicks, Matthew Masterson 和 Christy McCormick，一份声明中称：可以肯定的是，恶意行为者可能看美国选举制度有可能成为目标。EAC已经意识到的潜在入侵到EAC网站的威胁。EAC目前正在与联邦执法机构调查潜在的影响... ...联邦调查局目前正在进行的刑事调查。

 

早在今年9月，FBI安全警报的提示，未知黑客已经从伊利诺伊州及亚利桑那州的选举委员会处窃取到大量美国选民信息。已经确定了针对乌克兰、土耳其与德国的攻击活动，与美国两个州的选举系统遭遇的网络入侵存在确切联系。

 

 

网络安全厂商ThreatConnect表示，发现部分证据能够将这些攻击同此前世界反兴奋剂组织(简称WADA)、体育仲裁法庭(简称TAS，亦称CAS)、DNC以及DCCC遭遇的恶意入侵联系起来。

 

 

 

另一IP则托管在FortUnix基础设施当中，俄罗斯黑客组织曾利用此托管服务在去年针对乌克兰的电力设施开展攻击，并随后又将其用于攻击乌克兰媒体。

 

该黑客组织曾利用多种工具(包括Acunetix与DIrBuster)以及与WADA、DNC乃至DCCC黑客活动相同的SQL注入式攻击。

 

他们还曾经使用另一套名为Phishing Frenzy的开源钓鱼框架，ThreatConnect团队对其进行了研究。在这款工具的控制面板当中，研究人员发现了113封以德语、英语、土耳其语及乌克兰语撰写的钓鱼邮件。

 

针对AKP的鱼叉式钓鱼攻击在时间进程上与近期维基解密公布的30万封AKP邮件相吻合，不过一位名叫Phineas Fisher的黑客承认此事是其所为。

 

 

目前这一系列证据均显示上述网络攻击行为与来自俄罗斯的黑客组织有着密不可分的关系，但该组织是否由政府支持，则目前还没有明确而充分的佐证能够说明。

而能通过SQL注入进入EAC，Pr0.s也是醉了，不知道是EAC的防护能力太弱，还是Rasputin等黑客组织攻击能力太强~！

相关报告链接

https://www.recordedfuture.com/rasputin-eac-breach/