首页
社区
课程
招聘
[推荐]【每日资讯】 | 美媒:国际黑客组织匿名者宣称对俄政府网站“被黑”负责 | 2022年2月28日 星期一
发表于: 2022-2-9 10:22 8029

[推荐]【每日资讯】 | 美媒:国际黑客组织匿名者宣称对俄政府网站“被黑”负责 | 2022年2月28日 星期一

2022-2-9 10:22
8029

2022年3月1日 星期二

今日资讯速览:

1、俄乌冲突期间“匿名者”黑客组织的行动速度比政府还要快


2、Conti勒索软件团伙“内讧” 分享诸多内部聊天记录


3、网络战发展成“第五战场”,这些数据告诉你乌克兰的网络现状



1、俄乌冲突期间“匿名者”黑客组织的行动速度比政府还要快


俄乌冲突爆发后,以美国为首的北约国家相继颁布了对俄罗斯的制裁。与此同时,国际黑客组织“匿名者”也很快发动了针对俄罗斯的网络攻击。截止周六上午,该组织一度瘫痪了克里姆林宫、俄罗斯国防部、以及俄罗斯杜马的网站,之后相关服务一直处于时断时续的状态。最新消息是,“匿名者”宣称已瘫痪俄罗斯国企 Tvingo 的网站。

此外该组织宣称正在搜集俄军通讯动向,且其它国家也可能正在挖掘这些数据。即使后者没有这么做,相关数据也可能是“匿名者”所披露的。

比如美国众议员 Marco Rubio,就在 Twitter 上对俄方高层的“心理健康状况”表示质疑。

但是对于多次涉足政治的“匿名者”黑客组织,其本身还是存在着不少争议。

【阅读原文】



2、Conti勒索软件团伙“内讧” 分享诸多内部聊天记录


在俄罗斯入侵乌克兰之后,Conti 勒索软件团伙于周五在其官方网站上发布了一条激进的亲俄信息后,该团队中的一名成员(据信是乌克兰人)泄露了该团伙的内部聊天记录。


这条公开的亲俄信息似乎让 Conti 的一些乌克兰成员感到不快,其中一人黑进了该团伙的内部 Jabber/XMPP 服务器。今天早些时候,内部日志已经通过电子邮件方式发给多名记者和安全研究人员。

Dmitry Smilyanets 是 Recorded Future 的威胁情报分析员,他过去曾与 Conti 团伙互动过,他证实了泄露的对话的真实性。泄露的数据包含 339 个 JSON 文件,每个文件由一整天的日志组成。从 2021 年 1 月 29 日到 2022 年 2 月 27 日的对话已被泄露。安全公司 IntelligenceX 提供了在线阅读。


在今天早些时候发布的电子邮件中,泄密者表示:“我们保证它非常有趣”。泄密者还表示他们计划在未来分享更多关于 Conti 的信息,而本次只是“开胃菜”。但这次泄密也是网络犯罪地下世界多日来动荡的结果,俄乌冲突也使这个社区出现了分裂。


虽然过去俄罗斯和乌克兰的黑客曾并肩作战,但自周二以来,这个兄弟会一直处于紧张状态,几个团体在两国的武装冲突中选择了立场。几个团伙已经站出来宣布计划发动网络攻击,支持双方中的一方,Conti 是众多选择站在俄罗斯一边的团伙之一。

【阅读原文】



2022年2月28日 星期一

今日资讯速览:

1、美媒:国际黑客组织匿名者宣称对俄政府网站“被黑”负责


2、乌克兰驻巴西使馆称受到俄罗斯网络攻击 官方网站瘫痪


3、受到勒索软件攻击之后,消息称英伟达把黑客黑了



1、美媒:国际黑客组织匿名者宣称对俄政府网站“被黑”负责


【环球网报道】包括克里姆林宫和俄罗斯国防部的一些俄罗斯政府网站26日无法打开,美国有线电视新闻网(CNN)刚刚消息,虽然这些网站无法打开的确切原因尚不清楚,但国际黑客组织匿名者宣称正在攻击这些俄政府网站。

CNN报道截图


该组织在社交媒体推特上宣称,“匿名者正在持续运作,以使.ru的政府网站离线”。


据媒体此前报道,当地时间26日早上,包括克里姆林宫官网、俄罗斯外交部、红星电视台在内的多家俄罗斯网站处于不稳定状态,部分用户无法正常打开页面。



有消息人士表示,美国情报机构曾建议拜登对俄罗斯发动“大规模网络攻击”,包括切断俄罗斯全境的互联网连接、停电和干扰铁路道岔的运行。

【阅读原文】



2、乌克兰驻巴西使馆称受到俄罗斯网络攻击 官方网站瘫痪


巴西当地时间27日,乌克兰驻巴西临时代办阿纳托利·特奇(Anatoliy Tkach)在接受采访时表示,乌克兰驻巴西使馆的官方对外沟通渠道遭到了来自俄罗斯的大规模网络攻击,目前,使馆官网和电子邮件系统都已瘫痪。

△乌克兰驻巴西临时代办阿纳托利·特奇(Anatoliy Tkach)
△乌克兰驻巴西临时代办阿纳托利·特奇(Anatoliy Tkach)


采访中,特奇建议,有意为乌克兰提供人道援助的个人或者团体可以暂时通过乌克兰驻巴西大使馆的社交媒体进行联络沟通。据特奇透露,目前已有技术专家正在积极修复瘫痪的官方对外沟通渠道,但修复时间还无法预计。


27日当天,总台记者从巴西和古巴分别尝试登录乌克兰驻巴西、阿根廷、古巴等拉美国家使馆的官方网站,均显示“无法访问”。

(总台记者 肖贺佳)

【阅读原文】



3、受到勒索软件攻击之后,消息称英伟达把黑客黑了


IT之家 2 月 26 日消息,今天早些时候,彭博社、每日电讯报、The Verge 等媒体报道英伟达受到了勒索软件攻击。之后,英伟达进行了回应,称正在调查这起事件,并表示英伟达业务和商业活动将继续正常进行。


现在,一个专门收集恶意软件样本的网站 vx-underground 称,是一个名为 LAPSU$ 的南美组织对英伟达实施了此次勒索软件攻击。

vx-underground 表示,LAPSU$ 勒索组织是一个在南美开展业务的组织,他们声称已入侵英伟达,并窃取了超过 1TB 的专有数据。LAPSU$ 还声称英伟达也对其进行了黑客攻击,并表示英伟达已成功恢复了他们的机器。

据 vx-underground 提供的截图,黑客一觉醒来发现他们自己的机器被黑,但是他们已经对数据进行了备份。

据 Videocardz 称,英伟达试图通过加密被盗数据来黑掉该组织,但是该组织已在虚拟机环境中制作了副本,这意味着英伟达的反击措施没有成功。另外,该黑客组织似乎获得了英伟达员工电子邮件帐户的访问权限,这就可以解释为什么英伟达在过去 2 天的邮件系统出现问题。该组织还晒出了英伟达驱动程序的源代码的截图。


据彭博社消息,英伟达此次受到的黑客攻击影响相对较小。

【阅读原文】



2022年2月25日 星期五

今日资讯速览:

1、俄媒:全球最大的黑客组织宣布对俄发起“网络战争”


2、跨越多代:三星修复影响上亿Android设备的硬件密钥安全漏洞


3、NVIDIA RTX 30显卡挖矿被100%破解?其实是恶意软件



1、俄媒:全球最大的黑客组织宣布对俄发起“网络战争”


俄罗斯卫星通讯社刚刚消息,全球最大的黑客组织宣布对俄罗斯发起“网络战争”。

俄罗斯卫星通讯社报道截图


国际黑客组织“匿名者(Anonymous)”就俄罗斯在乌克兰的军事行动宣布对俄发动“网络战争”,并声称对“今日俄罗斯”(RT)遭受的一次网络攻击负责。


该组织发推称:“‘匿名者’正式对俄罗斯政府发起网络战争。#匿名者#乌克兰。”


该组织还声称:“‘匿名者’已经关闭了#俄罗斯宣传台RT News。”


截至发稿前,环球网记者登录“今日俄罗斯”(RT)的新闻网站页面(https://www.rt.com),发现可以正常登录。

【阅读原文】



2、跨越多代:三星修复影响上亿Android设备的硬件密钥安全漏洞


SamMobile 报道称,尽管三星总能在 Google 正式发布修复之前,就为自家规模庞大的 Android 移动设备提供安全更新。然而过去多年销售的三星智能机,还是被发现存在一个出厂即有的安全漏洞,使得黑客能够轻易提取包括密码在内的敏感信息。以色列特拉维夫大学的研究人员指出,问题在于 Galaxy S8 / S9 / S10 / S20 / S21 等系列机型未能妥善存储其加密密钥。

OneUI4.jpg

在近日发布的一份报告(PDF)中,Alon Shakevsky、Eyal Ronen 和 Avishai Wool 详细介绍了他们是如何绕过三星设备的安全措施的。

1.png

研究配图 - 1:设备信任区的软硬件隔离架构解析


文中涉及许多安全技术专业术语,需要读者具有一定的知识基础。庆幸的是,消费者们无需对此感到过于担心,因为研究人员及时地向三星进行了通报,该公司早已完成对上述安全隐患的修复。

2.png

研究配图 - 2:一款 Android 应用的硬件密钥管理示例


据悉,首个修复从 2021 年 8 月的安全补丁开始推送,然后于 10 月份完成了所有修补。若你仍在使用老旧的版本,还请尽快更新到受支持的最新版本。

5.png

研究配图 - 5:安全密钥导入流程流程简析


最后,若设备已经超出了三星的官方支持期,也可考虑换用仍在提供安全更新的第三方定制 ROM 。

【阅读原文】



3、NVIDIA RTX 30显卡挖矿被100%破解?其实是恶意软件


这两天,一个号称能破解NVIDIA RTX 30全系显卡挖矿限制的工具“RTX LHR v2 Unlocker”得到广泛关注,据说可以全自动破解、算力几乎翻番、不损坏硬件,甚至发生了作者疑似跑路的闹剧。那么,这个工具真的这么神?经过分析发现,这个破解工具,其实就是个病毒,或者说是个恶意软件。

它的主执行文件LHRUnlocker Install.MSI不但起不到破解算力的作用,还会感染Windows命令行服务程序powershell.exe并绕过其执行策略,添加目录屏蔽Windows Defender安全服务,以挂起模式添加进程(疑似注入代码),获取硬盘序列号等敏感信息,等等,并导致CPU占用率过高。


目前来看,这个恶意软件的破坏力并不大,不会给用户系统造成致命伤害,但其威胁性还在进一步分析中,不排除有更多恶意行为。所以,对于破解类工具,一定要慎重,矿主们也不要欢呼雀跃了。

【阅读原文】



2022年2月24日 星期四

今日资讯速览:

1、乌克兰银行和政府网站疑遭网络攻击而陷入瘫痪


2、独家:美国国安局顶级后门被中国研究员首次曝光 十几年肆虐45个国家和地区


3、历经 30 多年文本引擎终与操作系统脱钩!微软 Win11 记事本新增 RichEdit 编辑:将持续稳定更新



1、乌克兰银行和政府网站疑遭网络攻击而陷入瘫痪


东欧国家数字转型部负责人表示,由于大规模分布式拒绝服务(DDoS)攻击,多个乌克兰政府网站于周三下线了。DDoS攻击通过使用大量的请求来提供网页进而使网站陷入瘫痪。Mykhailo Fedorov在Telegram上表示,一些银行网站也被关闭了。


乌克兰外交部、部长内阁和议会网站在周三早些时候仍无法使用。


CNBC指出,这次明显的网络攻击的来源未经证实,但它发生在俄罗斯军队包围乌克兰之际,美国总统乔·拜登于周二则称这是“俄罗斯入侵的开始”。

上周,乌克兰的军队和银行也有遭到了类似的攻击,安全专家警告称,俄罗斯可能会加剧对乌克兰的网络攻击,进而试图破坏该国政府和经济的稳定性。

【阅读原文】



2、独家:美国国安局顶级后门被中国研究员首次曝光 十几年肆虐45个国家和地区


【环球时报-环球网报道 记者 曹思琦】2月23日,《环球时报》记者从北京奇安盘古实验室独家获悉一份报告,该报告解密了来自美国的后门——“电幕行动”(Bvp47)的完整技术细节和攻击组织关联。盘古实验室称,这是隶属于美国国安局(NSA)的超一流黑客组织——“方程式”所制造的顶级后门,用于入侵后窥视并控制受害组织网络,已侵害全球45个国家和地区。


这是中国研究员首次公开曝光来自美国“方程式”组织APT(高级可持续威胁攻击)攻击的完整技术证据链条。


据研究人员介绍,“电幕行动”(Bvp47)在全球已肆虐十余年,广泛入侵中国、俄罗斯、日本、德国、西班牙、意大利等45个国家和地区,涉及287个重要机构目标。其中日本作为受害者,还被利用作为跳板对其他国家目标发起攻击。


目前全球的APT攻击日益频繁,侵犯范围更广、危害性和隐蔽性更强。《环球时报》记者获悉,中国是全球受到APT攻击最多的国家之一。研究人员呼吁,世界各国政府及产业链应携手合作有效应对威胁、捍卫网络安全。

【阅读原文】



3、历经 30 多年文本引擎终与操作系统脱钩!微软 Win11 记事本新增 RichEdit 编辑:将持续稳定更新


IT之家 2 月 24 日消息,据 Windows Latest 报道,微软最近升级了 Windows 11 记事本,并在微软商店中进行提供下载或者升级。与 Windows 11 的其他设计更新类似,记事本也获得了流畅设计的改造,支持 WinUI、黑暗模式,从设置中选择字体,以及新增专用设置页面等等。

新的记事本自去年 12 月以来一直可供测试,微软已决定将其向升级到 Windows 11 的用户推出。这是多年来最重要的更新,因为它包括几个标准的 RichEdit(丰富编辑控件)编辑增强功能,以实现对类似于微软 Word 的写作性能支持。


在迁移到新版本的同时,微软确保 RichEdit 支持经典应用中提供的功能。例如,“显示 Unicode 控制字符”功能最初在 RichText 中不起作用,后来更新了对新 Unicode 的支持,包括表情符号等。

微软官方证实,RichEdit 的功能与 Word、PowerPoint、Excel 和 OneNote 等微软应用程序中加载的功能相同。为了确保 RichText 能按预期工作,微软修复了 RichEdit 纯文本控件没有显示的各种问题。


由于 RichEdit 功能和记事本在微软商店的可用性,你可以期待更快的更新和新功能。


“尽管将新的记事本与 Office RichEdit 一起推出是一项挑战,但我们终于做到了!经过 30 多年,记事本的文本引擎最终与操作系统脱钩,使记事本在未来有可能快速、稳定地改进。我也很荣幸能在这个迷人的项目中与你们合作,”微软的一名员工指出。

在未来几个月里,微软将从自己的产品中为记事本增加新的功能。

【阅读原文】



2022年2月23日 星期三

今日资讯速览:

1、关于侵害用户权益行为的APP通报(2022年第1批,总第21批)


2、因UpdraftPlus插件存在漏洞 超200万个WordPress网站已强制更新


3、工信部部署做好工业领域数据安全管理试点工作



1、关于侵害用户权益行为的APP通报(2022年第1批,总第21批)


依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工业和信息化部近期组织第三方检测机构对移动互联网应用程序(APP)进行检查,截至目前,尚有107款APP未完成整改。同时,检测过程中发现,13款内嵌第三方软件开发工具包(SDK)存在违规收集用户设备信息的行为(详见附件)。


上述APP及SDK应在2月25日前完成整改落实工作。逾期不整改的,工业和信息化部将依法依规组织开展相关处置工作。


附件:工业和信息化部通报存在问题的APP(SDK)名单.docx


工业和信息化部信息通信管理局

2022年2月18日

【阅读原文】



2、因UpdraftPlus插件存在漏洞 超200万个WordPress网站已强制更新


UpdraftPlus 是一款可靠、易用的 WordPress 备份/还原和克隆插件。上周由于该插件存在严重漏洞,超过 200 万个 WordPress 网站得到了强制更新。该漏洞可能让未经授权的用户下载 WordPress 网站的备份。

tobqttm2.webp

QQ截图20220222094923.webp

JetPack 的开发人员在对 UpdraftPlus 进行内部审计时,发现了一个权限检查缺失的漏洞,该漏洞可能允许未经授权的用户访问这些备份。通常情况下,只有管理员才能访问它们。根据 UpdraftPlus 的图表,周四约有 170 万个网站下载了该更新。


JetPack 和 UpdraftPlus 都发布了关于该漏洞的警告。UpdraftPlus 的开发者指出如果你的 WordPress 网站已经对备份进行加密,那么存在的风险较小。这是因为 WordPress 对其存储的密码进行了加密,这应该可以保护它们不被获得未加密的备份的黑客攻击。JetPack 说大多数 Wordpress 网站已经更新,并敦促那些没有更新的网站安装最新的 UpdraftPlus 补丁。

【阅读原文】



3、工信部部署做好工业领域数据安全管理试点工作


各省、自治区、直辖市及计划单列市、新疆建设兵团工业和信息化主管部门,中国信息通信研究院、中国电子信息产业发展研究院、国家工业信息安全发展研究中心、中国电子技术标准化研究院、中国电子产品可靠性与环境试验研究所、中国工业互联网研究院:

        

根据《工业和信息化部办公厅关于组织开展工业领域数据安全管理试点工作的通知》(工信厅网安函〔2021〕295号,以下简称《通知》)要求,结合当前国家数据安全工作的形势和任务,经研究,决定在原计划基础上扩大工业领域数据安全管理试点范围,在辽宁等15个省(区、市)及计划单列市开展试点工作(详见附件)。现将有关事项通知如下:

        

一、各地工业和信息化主管部门要充分认识做好工业领域数据安全工作对于贯彻落实总体国家安全观、促进数字经济健康发展、推进制造强国和网络强国建设的重大意义。要认真学习贯彻《数据安全法》等法律法规、工业和信息化领域数据安全相关管理制度等要求,明确数据安全管理部门和负责人,指导本地区工业企业开展数据安全管理工作。

       

二、试点地区工业和信息化主管部门要根据《通知》要求,紧扣申报事项和计划节点,保质保量完成试点任务。要确定一名分管负责同志负责试点工作,组织精干力量,建立工作台账,将责任落实到人、任务落实到位。要加快提升行政执法能力,加大对行政执法人员和企业培训力度,鼓励有条件的地区统筹建立专业执法队伍。要强化政策支持和资金投入,加强数据安全监测、风险报送、事件处置等技术能力建设,全面提升本地区数据安全监管能力。

        

三、相关部属单位要加强与地方工业和信息化主管部门沟通对接,主动深入一线,从政策标准研制与解读、现场指导与检查、技术手段支持、试点成效评估评价、工作总结与成果转化、宣传推广等方面切实做好支撑服务保障。

        

四、部工业领域数据安全管理试点工作组将根据工作推进情况,适时开展宣贯培训、现场指导、中期检查、总结评估等。试点工作中的重大问题、重要进展、典型经验等,试点地区、相关部属单位应及时报告。

        

五、未参与试点的地区,可参照《通知》要求抓紧部署本地区工业领域数据安全管理工作,切实按照《数据安全法》等法律法规履行监管职责。

        

特此通知。


附件:工业领域数据安全管理试点地区名单


工业和信息化部办公厅

2022年2月17日 







附件:

图片

【阅读原文】



2022年2月22日 星期二

今日资讯速览:

1、[调研]2021年五分之三的公司遭遇软件供应链攻击


2、用户抱怨NFT无故丢失 OpenSea调查有关安全漏洞的传闻


3、豆瓣回应App内截图生成盲水印:小组内容防搬运新功能



1、[调研]2021年五分之三的公司遭遇软件供应链攻击


Anchore最近的调查研究表明,2021年里,五分之三以上的公司遭遇过软件供应链攻击。调查征集了IT、安全、开发和DevOps领域428位高管、主管和经理的意见,结果显示:近三分之一(30%)的受访者所在企业在2021年所受软件供应链攻击的影响为严重或中等。仅6%的受访者认为攻击对其软件供应链的影响很小。


调查结果呈现了Apache Log4实用程序漏洞暴露前后软件供应链攻击的变化。研究人员在2021年12月3日至12月30日期间编撰此调查报告,而Log4j漏洞是在12月9日披露的。12月9日之前,55%的受访者表示自己遭遇了软件供应链攻击。这个日期之后,表示遭遇软件供应链攻击的受访者上升到了65%。


Anchore高级副总裁Kim Weins表示:“这意味着有受访者在Log4j之前没有遭遇供应链攻击,还有受访者之前经历了攻击,但在Log4j之后所受影响加重了。”


科技公司受软件供应链攻击的影响更大


调查还发现,与其他行业相比(3%),受软件供应链攻击严重影响的科技公司更多(15%)。Wein称:“科技公司有可能提高恶意攻击者的投资回报率。只要攻击者可以染指软件产品,而该软件产品为成千上万的用户所用,那么攻击者就能在万千其他公司中立足。”


许多企业似乎也开始重视供应链安全了:54%的受访者将供应链安全视为首要或重要的关注领域。成熟容器用户对供应链安全的关注度甚至更高:70%的成熟容器用户表示供应链安全是其首要或重要关注点。


Weins表示:“你必须留意的依赖数量会随着容器和云原生部署而增加。因此,随着容器使用的愈加成熟,用户逐渐意识到自己必须关注这些依赖所引入的新增攻击面。”


软件物料清单(SBOM)是保护软件供应链的关键


调查报告指出,尽管很多受访者将保护软件供应链视为头等大事,但将软件物料清单(SBOM)纳入自身安全态势考量的受访者却很少。例如,仅不到三分之一的受访者遵从了SBOM最佳实践,而自家所有应用都具备完整SBOM的受访者更是仅有18%。


Weins称:“我们认为SBOM是确保软件供应链安全的重要基础,因为可以通过SBOM了解实际在用的软件。” 


曝出漏洞时,SBOM还有助于缩短安全团队的响应时间。资产管理和治理解决方案公司JupiterOne首席信息安全官Sounil Yu指出:“如果没有SBOM,修复这些漏洞的时间可能会延长至数月乃至数年”。


数字风险防护解决方案提供商Digital Shadows首席信息安全官Rick Holland补充道:“缺乏SBOM,客户就会购买黑盒解决方案,由此导致无法全面了解产品或服务中使用的所有组件。”


Weins坚定认为,SBOM是2022年必备。“大家都很清楚,软件安全始于了解你所拥有的一切,也就是拥有完整的组件列表,然后在交付软件之前对照检查是否全都安全。而在软件部署之后,你还需要持续监测软件的安全性。”

【阅读原文】



2、用户抱怨NFT无故丢失 OpenSea调查有关安全漏洞的传闻


在一系列来自恐慌的NFT交易者的病毒性推文蔓延之后,主要的NFT市场之一OpenSea表示,它正在调查关于与其平台相连的智能合约的"漏洞传闻",这个漏洞可能使得交易者失去了宝贵的代币。

图片.png

"我们正在积极调查与OpenSea相关的智能合约的漏洞传闻,"OpenSea周六晚上美国时间在Twitter上发布称。"这似乎是源于OpenSea网站之外的钓鱼攻击。请不要点击opensea.io以外的链接。"


美东时间晚上10点50分左右,OpenSea首席执行官Devin Finzer在一条推文中跟进说:"到目前为止,有32个用户签署了来自攻击者的恶意载荷,他们的一些NFT被盗"。他补充说,该公司"不知道最近向用户发送的任何钓鱼邮件",并暗示可能是一个欺诈性网站造成的。


OpenSea曾计划修订其智能合约(管理其交易平台的代码),并在周五发布了一个全新的合约。升级后的合约旨在确保平台上旧的、不活跃的资产最终会过期。

在Twitter上,交易员们分享了他们最初认为是OpenSea的官方邮件,关于从合约A到合约B的迁移过程。


审计智能合约的区块链安全公司PeckShield表示,传言中的漏洞"很可能是网络钓鱼"--一个隐藏在伪装的链接中的恶意合约。该公司引用了那封关于迁移过程的群发邮件作为链接的可能来源之一。


这个明显的攻击者的地址(区块链探索者网站Etherscan已经给它贴上了"钓鱼/黑客"的警告标志)持有价值约170万美元的ETH,以及Bored Ape游艇俱乐部的三个代币,两个Cool Cats,一个Doodle和一个Azuki。

【阅读原文】



3、豆瓣回应App内截图生成盲水印:小组内容防搬运新功能


针对网络热议的“豆瓣App截图添加盲水印,显示用户信息”一事,豆瓣方面回应凤凰网科技表示,这是小组内容防搬运的新功能,组长可选择开启或关闭。

新增的“小组内容防搬运功能”,小组组长可以在“小组管理→小组内容防搬运设置”开启或关闭。开启后,对该小组内容进行截图时,截图上将自动生成经加密的【截图用户ID、被截图帖子ID、截图时间】信息。已开启该功能的小组,在小组帖子下方可以看到“内容出自xxx小组,该小组已开启防搬运功能”的提示。

【阅读原文】



2022年2月21日 星期一

今日资讯速览:

1、Android Beta 全面公测!微软公布 Win11 运行子系统安卓 App 配置要求:要有 SSD


2、僵尸网络Kraken轻松骗过Windows Defender并窃取加密货币钱包数据


3、国家发改委发文引导外卖平台下调商户服务费 美团股价直接暴跌15%



1、Android Beta 全面公测!微软公布 Win11 运行子系统安卓 App 配置要求:要有 SSD


IT之家 2 月 18 日消息,据 Windows Latest 报道,微软的 Windows Subsystem for Android 经过几个月的“炒作”和用户的期待,终于推出了。虽然该功能已经在 Insider 设备上已使用了近 6 个月,但它现在已经向拥有运行 Windows 11 21H2 版本的支持设备用户全面开放。

在微软的 FAQ 网站上列出了安卓 Beta 测试版的支持,有近五个主要要求,你的设备必须满足这些要求,才能正常运行移动应用。目前支持安卓版本的 PC 的完整列表还没有出来,但你的设备如果满足 Windows 11 的要求,应该就可以运行移动应用。


具体来说,你需要一台运行 Windows 11 21H2 或更新版本的设备,至少拥有 8GB 的内存(而 Windows 11 本身需要 4GB 内存),并且有一款微软正式支持的处理器。此外,你还需要从可选功能页面启用虚拟机平台功能。

下面是完整的要求配置清单:

  • 内存:8GB(最低)和 16GB(推荐)。

  • 存储类型:固态驱动器(SSD)。

  • 处理器:你的设备应满足 Windows 11 的要求,即 Core i3 8th Gen,Ryzen 3000,Snapdragon 8c 或以上。

  • 处理器类型:x64 或 ARM64。

  • 虚拟机平台:这个可选的设置是用于虚拟化的,你需要从控制面板上启用该设置。

此外,如果你想从亚马逊 AppStore 下载并运行 1000 多个安卓应用程序,请确保设备的地区设置为美国地区,并使用英语语言。(实际上该限制已被破解,可以安装 APK 文件)

如果你满足上述要求,你可以下载并安装 Windows 11 最新的可选更新(KB5010414),其中包括安卓应用的公开预览版。对于美国的用户来说,他们可以在 Windows 11 上访问超过 1000 个亚马逊 AppStore 项目,包括流行的应用程序,甚至是游戏。


微软:全新 Win11 体验已发布,亚马逊应用商店预览版新增 1000 多个安卓 App,任务栏支持天气 / 静音 / 共享

微软 Win11 Build 22000.527 (KB5010414) 正式发布:商店运行安卓 App,任务栏天气小组件...(附更新内容大全)


这包括 Audible、Kindle、Subway Surfers 和更多。微软商店中的亚马逊商店集成让你在 Windows 11 上下载安卓应用,就像从微软商店下载其他应用一样。

你将能够通过微软商店发现这些应用程序,但下载是由亚马逊应用商店提供的。

Windows 11 的安卓子系统支持是来自于微软对 Windows Linux 子系统的贡献。

Android 集成是建立在开源安卓平台之上的,它得到了 Intel Bridge 技术的支持。安卓支持不限于亚马逊 AppStore,所以你也可以手动侧载应用程序,而不需要将地区和语言切换到美国(英语)。

【阅读原文】



2、僵尸网络Kraken轻松骗过Windows Defender并窃取加密货币钱包数据


微软最近对Windows Defender的排除权限进行了更新,没有管理员权限就无法查看排除的文件夹和文件。这是一个重要的变化,因为威胁者往往会利用这一信息在这种被排除的目录中提供恶意软件的载荷,以绕过防御者的扫描。

kraken-image-1-1024x394.jpeg

然而,这可能无法阻止ZeroFox最近发现的一个名为Kraken的新僵尸网络。这是因为Kraken只是简单地将自己添加为一个排除项,而不是试图寻找排除的地方来传递有效载荷。这是一种绕过Windows Defender扫描的相对简单和有效的方法。


ZeroFox已经解释了这是如何工作的。

在Kraken的安装阶段,它试图将自己移到%AppData%/Microsoft.Net中。

为了保持隐藏,Kraken运行以下两个命令:

powershell -Command Add-MpPreference -ExclusionPath %APPDATA%\Microsoft

attrib +S +H %APPDATA%\Microsoft\%

ZeroFox指出,Kraken主要是一个偷窃资产的恶意软件,类似于最近发现的微软Windows 11官网外观相同的欺诈网站。这家安全公司补充说,Kraken的能力现在包括窃取与用户的加密货币钱包有关的信息,让人联想到最近的假KMSPico Windows激活器恶意软件。

kraken2-1024x214.jpeg

最近增加的功能是能够从以下位置窃取各种加密货币钱包:

%AppData%\Zcash

%AppData%\Armory

%AppData%\bytecoin

%AppData%Electrum\wallets

%AppData%\Ethereum\keystore

%AppData%\Exodus\exodus.wallet

%AppData%\Guarda\Local Storage\leveldb

%AppData%\atomic\Local Storage\leveldb

%AppData%\com.liberty.jaxx\IndexedDB\file__0.indexeddb.leveldb

你可以在官方博客文章中找到更多关于Kraken工作方式的细节:

https://www.zerofox.com/blog/meet-kraken-a-new-golang-botnet-in-development/

【阅读原文】



3、国家发改委发文引导外卖平台下调商户服务费 美团股价直接暴跌15%


国家发改委日前发布《关于促进服务业领域困难行业恢复发展的若干政策》为帮助服务业领域困难行业渡过难关。

在餐饮业纾困扶持措施中,国家发改委提到引导外卖等互联网平台企业下调餐饮业商户服务费标准降低经营成本。

同时引导互联网平台企业对疫情中高风险地区所在的县级行政区域内的餐饮企业给予阶段性的商户服务费优惠等。

消息发布后互联网外卖领域市场占有率最高的美团股价直接暴跌,截至今日收盘美团港交所股价单日暴跌14.8%。


高额平台服务费有望下降:


餐饮等实体行业通常受各地区零星发生的疫情影响严重,主要是疫情发生后餐饮业可能要临时关闭店铺无法经营。

但商家依然要为店铺支付房租要为员工支付薪金,因此如果发生疫情无法正常经营的话会给商家带来较严重影响。

不过如果可以借助外卖平台继续配送的话则可以降低影响,例如前段时间杭州发生疫情但外卖依然可以正常配送。

然而外卖平台的高额平台服务费让商家利润微薄 , 通常情况下外卖平台会按照订单金额收取20%的平台服务费用。

此前还传出过美团二选一时如果商家同时进驻其他平台则服务费可能高达28% , 这对商家来说利润会被严重压缩。


去年年底美团因二选一涉嫌垄断遭监管部门34亿元罚款 , 现在虽然美团已经不再实行二选一但服务费率依然很高。

现在国家发改委介入进行引导降费,诸如美团和饿了么等平台的按订单金额抽取的平台服务费用应该会逐步下降。



美团股价暴跌14.8%:


作为国内最大的外卖平台,在国家发改委的介入进行引导降费后,美团的外卖业务经营收入可能会出现明显下滑。

这也是美团港股今天出现暴跌的原因,美团今天股价最高时出现16.7%的跌幅,收盘后单日跌幅也达到14.855%。

目前美团和饿了么等平台尚未就国家发改委的若干政策发布回应,不过对餐饮业商家来说平台费用降低是肯定的。

附加内容:国家发改委最新发布的《关于促进服务业领域困难行业恢复发展的若干政策》的全文可点击这里阅读。

【阅读原文】



2022年2月18日 星期五

今日资讯速览:

1、欧洲数据监督机构呼吁在欧盟范围内禁止Pegasus间谍软件


2、反思 | 乌克兰国防部、武装部队频繁被黑,“防御薄弱”背后是何原因?


3、犯罪集团持有超过250亿美元加密货币 它们来自众多非法来源



1、欧洲数据监督机构呼吁在欧盟范围内禁止Pegasus间谍软件


欧盟数据保护监督局(EDPS)呼吁在整个欧盟范围内禁止有争议的Pegasus间谍软件工具,警告说它的使用可能导致“前所未有的侵扰性”。以色列的NSO集团是这种臭名昭著的间谍软件的开发商,它声称只向政府出售Pegasus,目的是打击犯罪和恐怖主义。然而,多份报告显示,该间谍软件被用来针对几个欧盟成员国的记者、活动家和政治家,包括法国、西班牙和匈牙利。

就在上个月,公民实验室的研究人员发现,PegASUS被用来监视波兰政府的三名批评者,引起了对该国2019年议会选举合法性的质疑。


鉴于这些案例,负责向欧盟委员会提出指导和建议的EDPS呼吁 “禁止在欧盟开发和部署具有Pegasus功能的间谍软件”。该监督机构列举了该间谍软件的“强大”功能,例如它能够通过零点击攻击悄悄地安装在设备上,并获得对目标设备的近乎完全的访问权,包括他们的个人数据、照片、信息和精确位置。


这个位于布鲁塞尔的监督机构说,禁止类似Pegasus的间谍软件对保护 “基本自由但也对民主和法治”是必要的。


EDPS在其报告中说,一些成员国已经承认购买了这种间谍软件。然而,它补充说,真正的客户名单“可能会更多”,因为“看来一些成员国至少已经开始与NSO集团就该产品的许可进行谈判”。


EDPS补充说,它不能排除在特殊情况下部署间谍软件的需要,例如,为了防止非常严重的紧迫威胁,如恐怖主义。总部设在布鲁塞尔的这家监督机构还表示,如果政府确实使用Pegasus,他们应该采用八个步骤,包括确保任何形式的监测都是“有意义和有效的”,并严格执行欧盟的隐私规则。


一位不愿透露姓名的NSO发言人在一份声明中斥责了那些发现并公布已知Pegasus感染证据的学者和研究人员,包括针对记者和人权捍卫者。


在EDPS报告发布的几个月前,美国商务部将NSO列入其实体名单,禁止美国公司与这家监控软件制造商开展业务,除非他们得到明确许可。

【阅读原文】



2、反思 | 乌克兰国防部、武装部队频繁被黑,“防御薄弱”背后是何原因?


当地时间15日15时,乌克兰国防部、武装部队、国有银行等数十个官方网站因遭遇大规模DDoS攻击而被迫关闭,袭击以超过 150 Gbps的功率,自20:21开始持续了五个多小时。


尽管乌克兰官方一再强调并无造成实质损失,并将此次攻击评价为“制造恐慌的心理战”,但联系近来多次遇袭,从政府到国防所暴露出的“防御薄弱面”依然值得探讨。


本文,智库将反思复盘近年来乌克兰频发的安全事件,逐一剖析其“薄弱防御”背后的乌云:





反思一


政府命脉屡遭攻陷,软硬件供应成威胁发源地


值得一提的是,此事发生时距离上一次乌克兰政府官网被黑致瘫尚不足月余,当时乌克兰国库、部长级内阁、安防、外交部、能源部、教育部等将近70个官方网站被迫瘫痪下线。


事后据相关安全专家披露,入侵者是通过政府部门内部常用的共享软件渗入了网络,而后该结论随后也被各方证实。


令人惊讶的是,我们查阅以往资料发现, 乌克兰政府并非首次因“内部软件藏毒”而曝雷,其军政机构屡次深陷“险境”,软硬件供应链在其中都充当着“威胁发源地”的重要角色。

  • 2017年6月,乌克兰政府所使用的会计软件 MEDoc被名为Sandworm的俄罗斯黑客组织(隶属于俄罗斯GRU军事情报部门)劫持,分发 NotPetya数据擦除软件,导致包括乌克兰时任副总理在内的政要、机构部门遭受重创。


  • 2018年7月,俄罗斯情报机构被指利用VPNFilter 恶意软件,瞄准乌克兰氯气站的路由器发起攻击,意图劫持所有流量,破坏目标系统运营。


  • 2021年2月,乌克兰行政机关电子互动系统(SEI EB)被黑客组织利用,向乌克兰地方机构网站、安全服务和理事会散播恶意软件。


纵观上述攻击案例,乌克兰政府内部所用办公软件,和关键基础设施所用硬件设备在其中都起到了跳板突破口的作用。


而这也向我们释放出了一个信号:当软硬件供应链成为 “薄弱环节“,即便是小小一个恶意链接、勒索软件,都可造成致命损失,风险外溢,危及国防安全。未来,在网络空间战中,通过攻破一国军政内部软件供应链来实现精准打击的策略将愈发凸显。





反思二:


国防军事系统管理混乱,内部审核失职


乌克兰的网络安全“防御薄弱面”不止体现在政府机构,其国防军事体系内部也存在诸多隐患。


如果说乌克兰政府官网屡被攻陷尚可归因于对供应链管理的疏漏,那么以下所述两件事情便毫无疑问地彰显了其国防军事体系在网络安全管理上的无能与失职。


其一,军事系统使用默认账号密码“admin”和“123456”长达四年之久。


2018年5月25日,乌克兰独立新闻社记者披露,乌克兰武装部队的“第聂伯罗”军事自动化控制系统,服务器的用户名和密码竟然是admin和123456,这就意味着,任何一个人都能登录这组账号密码,访问乌克兰政府内部的军事机密。


而令人惊掉下巴的是,乌克兰军方相关部门对这个漏洞并非一无所知。在此之前,相关数据库专家曾针对此事先后向值班人员和国家安全局报告,但之后却石沉大海不了了之,如此严重的系统管理问题竟生生在外暴露了四年之久。


其二,乌克兰炮兵因使用安卓民用软件被俄罗斯黑客组织轻易定位。


2018年,一名陆军炮兵军官在个人博客上发布了一款苏制榴弹炮专用的简易火控计算机软件“定位-D30”。使用者依靠手机上安装的定位和传感器,再输入所需的炮兵诸元,该款软件便能够轻易地给出原本需要漫长计算过程的火炮操作数据。


尽管便利,但军用软件取自民间实属大忌,然而乌克兰政府军官不仅默许下载,还鼓励对之进行推广,当时已有超过9000名炮兵使用。


且不说其底层系统归属安卓,单就软件本身的安全性就无法得到有效保证,一旦出现事故将对乌克兰全军造成无法估计的损失。


果不其然,俄罗斯黑客组织“梦幻熊”发现后,便攻击了软件开发者的电子邮箱,篡改了“定位-D30”的公开发布版本,植入了后门程序,最终使乌克兰炮兵部队一溃千里损失惨重。


涉及国防安危的军事系统管理都如此离谱草率,也难怪外媒评价乌克兰此举是“杀死自己的国防力量”。


而此事也向我们敲响了警钟:国防军事系统对于国家安全来说至关重要,任何军事系统的建设都应该建立在安全的基础之上,容不得任何草率忽视。当前网络空间的战争正在激烈演变,网络安全国防问题绝不再是过去的一城一隅,而是演变成牵一发而动全身的全新格局。


智库时评


对于乌克兰而言,网络空间也是真实的战场。


当前,美俄乌三方局面对峙严峻,未来乌克兰所面临的网络威胁只多不少,国家机密系统、关键信息基础设施、甚至总统选举安排都被裹挟其中。若乌克兰不加紧反思复盘内部网络安全系统的管理,毫无疑问是在给自己打开了定时炸弹……


而对我们而言更要居安思危,需知当前网络空间形势多变,多维、多方的威胁防不胜防,构建落实纵深、有效、全面的防御体系迫在眉睫。这不仅对一国国防有着极为重要的战略性意义,更是为未来整个网络空间安全防御体系敲响了警钟。

【阅读原文】



3、犯罪集团持有超过250亿美元加密货币 它们来自众多非法来源


伦敦的大都会警察局(MPS)进行了英国有史以来最大的加密货币扣押,从一个涉嫌洗钱的人那里拿走了价值1.8亿英镑的加密货币。同时吗,美国司法部查封了与2016年Bitfinex黑客事件有关的价值36亿美元比特币,这是目前有史以来最大的加密货币或法币被盗资产的回收。


这些故事很重要,不仅因为它们允许对加密货币犯罪的受害者进行经济赔偿,而且还因为它们反驳了加密货币是一种无法追踪、无法确定的资产,非常适合犯罪的说法。如果网络犯罪分子知道执法部门有能力扣押他们的加密货币,这可能会降低他们在未来使用加密货币的动机。


这些案件也提出了一个重要问题。目前有多少加密货币被区块链上的已知犯罪实体持有,因此理论上可以被执法部门扣押?答案不仅是2021年基于加密货币的犯罪收入,而且是可见地址仍然持有的所有犯罪收入。下面,我们将分析可以追溯到非法来源的加密货币持有量总和,以及犯罪分子的总余额,即持有100万美元或以上加密货币的犯罪分子。


让我们先看一下过去五年的年终犯罪余额,按资金来源的非法活动类型进行细分。在这个分析中,犯罪余额指的是Chainalysis认为属于非法行为者的地址目前所持有的任何资金。这些地址可能属于犯罪服务,如x网市场,但在某些情况下也可能由私人钱包托管,如涉及被盗资金的情况。


有两件事最为突出:第一是2021年犯罪余额的巨大增长,在年底,犯罪分子持有价值110亿美元的已知非法来源的资金,而在2020年底,这一数字仅为30亿美元。第二个是被盗资金的主导程度。截至2021年底,被盗资金占所有犯罪余额的93%,为98亿美元。x网市场资金紧随其后,为4.48亿美元,其次是诈骗,为1.92亿美元,欺诈商店为6600万美元,勒索软件为3000万美元。


犯罪余额在全年也有波动,从7月的66亿美元的低点到10月的148亿美元的高点。这种波动提醒了加密货币调查中速度的重要性,因为在区块链上被成功追踪的犯罪资金可以被迅速清算。当然,犯罪余额的下降也可以有很好的理由。我们在上面看到的2022年2月犯罪余额的大幅下降是由于司法部扣押了2016年Bitfinex黑客攻击中被盗的36亿美元的比特币。在这次扣押之后,截至2022年2月9日,犯罪余额目前大约为50亿美元。

chart-4-whale-breakdown-1536x1001.png

从历史趋势来看,x网市场供应商和管理员往往在清算前持有其资金的时间最长,而被盗资金的钱包往往持有时间最短。最后一点可能令人惊讶,被盗资金的持有时间怎么会这么短,却占了犯罪余额的绝大部分?事实证明,这些持有的资金大多属于极其庞大的钱包,其持有时间比其他被盗资金类别中的典型时间要长。但真正突出的是持有时间全面减少,因为2021年的平均持有时间比所有类别的历史数据至少缩短75%。勒索软件运营商尤其体现了这一趋势,因为他们现在在清算前平均只持有资金65天。这可能是因为勒索软件攻击者面临的越来越大的执法压力。

【阅读原文】



2022年2月17日 星期四

今日资讯速览:

1、研究发现网络安全犯罪正朝向利用零日漏洞的方向快速发展


2、克罗地亚电话运营商披露数据泄露致20万人信息曝光


3、红十字国际委员会称“国家支持的”黑客利用未修复的漏洞发起攻击



1、研究发现网络安全犯罪正朝向利用零日漏洞的方向快速发展


2021年最后一个季度与第三季度相比,感染载体为CVE或零日漏洞的攻击数量疯狂增长了356%。Kroll公司的最新威胁景观报告显示,CVE/零日漏洞利用现在已经占到安全事件案例的26.9%,表明攻击者越来越善于利用漏洞,在某些情况下,甚至在概念验证漏洞出现的同一天就利用了这些漏洞。

q4-2021-threat-landscape-software-exploits-abound-graph-2.jpgq4-2021-threat-landscape-software-exploits-abound-graph-4.jpgq4-2021-threat-landscape-software-exploits-abound-graph-3.jpgq4-2021-threat-landscape-software-exploits-abound-graph-1.jpg

在本季度,专业服务部门是攻击的最大目标,其次是技术/电信、医疗保健、制造业、金融服务和教育部门。


尽管CVE和零日攻击的增加,网络钓鱼仍然是一个流行的感染载体,即使与上一季度相比减少了12%,它仍然是2021年最后一个季度所有可疑的初始访问方法的39%。


第四季度的勒索软件攻击数量略有下降,但它仍然是最受欢迎的攻击类型,占第四季度所有威胁的40%。Conti和LockBit是观察到的主流勒索软件变种。此外,分裂的勒索软件组正在出现,这意味着在某些情况下,网络犯罪分子将这些用于勒索的恶意程序访问权出售给其他团体。


Kroll公司网络风险总经理Keith Wojcieszek说:"网络钓鱼和勒索软件在Kroll公司的季度威胁景观报告中大放异彩并不奇怪,但网络犯罪集团的重新组合和重新攻击的程度却不寻常。虽然执法部门在瓦解攻击者方面取得了重大进展,但我们看到了新的勒索软件变种和勒索网站,再加上分裂的勒索软件集团,这表明这些犯罪集团的灵活运作和恶意的意图。被勒索软件运营商利用的软件漏洞数量较多,以及它们被破坏的速度,这就强调了对攻击者采取立法行动的重要性,以使他们完全停止运作"。


报告全文可从Kroll网站获取:

https://www.kroll.com/-/media/kroll/pdfs/q4-2021-threat-landscape.pdf

【阅读原文】



2、克罗地亚电话运营商披露数据泄露致20万人信息曝光


克罗地亚电话运营商 A1 Hrvatska 披露了一起数据泄露事件,该事件影响了 10% 的客户,大约 20 万人。威胁者可以访问客户的敏感个人信息,包括姓名、个人身份证号、地址和电话号码。威胁者没有访问在线账户,财务信息也没有暴露。目前,电话运营商没有透露有关安全漏洞的详细信息。

 

“不幸的是,尽管采取了先进的保护措施,并不断提高安全级别,但其中一个用户数据库发生了安全事件,导致A1部分用户的部分个人数据受到损害。正在开展大量工作以查明与安全事件相关的所有事实,到目前为止,计算机取证已确定可能受损的数据不到 A1 用户的 10%。” 阅读公司发布的数据泄露通知。“显示的数据是姓名、地址、OIB 和电话号码。我们强调银行卡和账户的信息不会被泄露,因为它在指定的数据库中不可用 ,我们将直接通知所有可能泄露个人数据的用户。”

 

该公司聘请了一个计算机取证团队来帮助调查,并正在通知执法部门和受影响的客户。

 

A1 克罗地亚非常重视这一令人尴尬的情况,在出现怀疑未经授权访问用户群的初步迹象后,立即立即阻止进一步未经授权的访问,并采取了额外的保护措施。

 

官方回应称:“A1 克罗地亚遵守最高的安全标准和数据保护,我们将继续加大投资以改善安全环境。此次安全事件的再次发生是不可能的,也没有也不会影响对客户的服务提供。”

 

据悉,安全漏洞并未影响 A1 Hrvatska 的服务和运营。与此同时,本周另一家移动运营商遭到严重的网络攻击。沃达丰葡萄牙遭受重大网络攻击,导致该国服务中断,媒体报道 4G/5G 通信和电视服务暂时中断。

【阅读原文】



3、红十字国际委员会称“国家支持的”黑客利用未修复的漏洞发起攻击


据TechCrunch报道,红十字国际委员会(ICRC)最近遭到网络攻击,超过51.5万名“高危人群”的数据被泄露,这很可能是国家支持的黑客所为。在周三发布的更新中,红十字国际委员会证实,最初的入侵可以追溯到2021年11月9日,即在1月18日攻击被披露之前的两个月,并补充说,其分析表明,入侵是对其系统的“高度复杂的”有针对性的攻击--而不是像红十字国际委员会最初所说的对第三方承包商系统的攻击。

红十字国际委员会表示,它知道这次攻击是有针对性的,“因为攻击者创建的代码只为在相关的红十字国际委员会服务器上执行。” 根据该更新,攻击者使用的恶意软件被设计为针对红十字国际委员会基础设施中的特定服务器。


黑客利用Zoho公司开发的单点登录工具中一个已知但未修复的关键等级漏洞进入红十字国际委员会的网络,该公司提供基于网络的办公服务。该漏洞是美国网络安全和基础设施安全局(CISA)在9月发布的公告的主题,其CVSS严重性评分为9.8(满分10分)。


红十字国际委员会称,通过利用这一漏洞,这些不知名的国家支持的黑客随后发起攻击,如泄露管理员证书,在整个网络中移动,并渗入注册表和域文件。


“一旦进入我们的网络,黑客就能够部署进攻性安全工具,使他们能够将自己伪装成合法用户或管理员。”红十字国际委员会说:“这反过来又使他们能够访问数据,尽管这些数据是加密的。”该机构补充说,它没有确凿的证据表明在这次攻击中被盗的数据已被公布或被交易,也没有提出赎金要求,但它表示正在联系那些敏感信息可能被访问的人。


红十字国际委员会说,在攻击发生时,其在目标服务器上的反恶意软件工具处于激活状态,并阻止了攻击者使用的一些恶意文件,但部署的大多数文件是“专门制作的,以绕过”其反恶意软件保护。


红十字国际委员会指出,这些工具通常由高级持续性威胁(APT)组织或国家支持的攻击者使用,但该机构表示,它尚未正式将这次攻击归于任何特定组织。


由于网络攻击,红十字国际委员会说它不得不使用电子表格来开展其重要工作,其中包括让因冲突或灾难而分离的家庭成员团聚。


红十字国际委员会总干事Robert Mardini在一份声明中说:“我们希望这次对弱势人群数据的攻击能够成为变革的催化剂。我们现在将加强与国家和非国家行为者的接触,明确要求将对红十字和红新月运动的人道主义使命的保护延伸到我们的数据资产和基础设施。”


“我们认为,关键是要有一个坚定的共识--在语言和行动上--人道主义数据决不能受到攻击。”

【阅读原文】



2022年2月16日 星期三

今日资讯速览:

1、虚拟货币不受法律保护!通过以太坊出借1000万元被法院判定无效


2、FBI警报:美国关键基础设施正遭受BlackByte勒索软件入侵


3、印度政府被曝又要以所谓“安全威胁”为由,禁用54款中国应用程序



1、虚拟货币不受法律保护!通过以太坊出借1000万元被法院判定无效


日前福建厦门市思明区人民法院公开审理涉及虚拟货币的民间借贷案件,法院审理后认定合同无效驳回原告请求。


根据此前监管部门发布的信息,网络虚拟货币不是由货币发行机关发行,因此不具有法偿性和强制性等货币属性。


虚拟货币也不是真正意义上的货币不具有与货币同等的法律地位,公民投资和交易虚拟货币均不受国家法律保护。


基于此此前已经有不少涉及虚拟货币相关的民事诉讼案件,这些案件的最终结果都是法院驳回原告全部诉讼请求。


虚拟货币不受法律保护!通过以太坊出借1000万元被法院判定无效


最新这起1000万元借款:


原告林某于2018年6月作为出借人与借款人刘某签订借款协议约定:刘某向林某借款 1000 万元,借款时间两年。


借款协议签订后林某购买1000 万元等值虚拟货币以太坊,然后转入刘某指定的账户,刘某再出具已收款的收据。

 

随后林某按约定购买以太坊转入刘某账户 ,  刘某收到3165枚以太坊后向林某出具收据称收到林某1000万元借款。


在当时的约定中林某还要求到期后刘某以人民币形式还款,也就是到 2020年6月 后刘某还款人民币1000万元整。


然而在到期后刘某并没有按照约定还款,因此林某向法院提起诉讼要求刘某偿还借款本金 1000 万元及相应利息。


注:2018年6月以太坊约600美元/枚,3165枚按现在市价3000美元算 , 大概是950万美元约合人民币6000万元。


法院驳回原告的所有请求:


厦门思明区人民法院审理后认为,虚拟货币不具有与货币等同的法律地位,不能也不应该作为货币在市场上流通。


同时有相关规定指出比特币和以太坊具有非货币当局发行、使用加密技术或类似技术、以数字化形式存在等特点。


这类虚拟货币不具有法偿性,任何法人、非法人组织和自然人投资虚拟货币及其衍生品,相关民事法律行为无效。


因此通过虚拟货币进行交易的引发的任何损失均由其自行承担,由此也可知以太坊并不能作为借款合同的标的物。


所以林某主张以交付以太坊完成借款交付的方式不符合法律规定的借款交付方式,借款协议不符法律规定的合同。


案设林某与刘某间关于以太坊的交易扰乱经济金融秩序、违背公序良俗,故借款协议无效损失由当事人自行承担。


完整内容前往人民法院报阅读:http://rmfyb.chinacourt.org/paper/html/2022-02/11/content_213703.htm

【阅读原文】



2、FBI警报:美国关键基础设施正遭受BlackByte勒索软件入侵


安全内参消息,美国联邦调查局(FBI)透露,勒索软件团伙BlackByte在过去三个月中至少对三个美国本土关键基础设施部门的组织网络实施过入侵。

这一消息披露自FBI与美国特勤局2月11日共同发布的联合网络安全咨询报告。

作为联邦政府级别的执法机构,FBI表示,“截至2021年11月,BlackByte勒索软件已经侵害多家美国及国外企业,其中包括至少三个美国关键基础设施实体(分别涉及政府设施、金融以及食品与农业领域)。”


“BlackByte是一个勒索软件即服务(RaaS)团伙,主要攻击手段是对受感染Windows主机系统上的文件实施加密锁定,包括物理与虚拟服务器。”


这份报告的重点,是为组织提供可用于检测及抵御BlackByte攻击活动的威胁指标(IOC)。例如在受感染微软IIS服务器上发现的可疑ASPX文件的MD5哈希值,以及勒索软件操纵者在攻击期间使用的命令列表。


受害者包括旧金山49人队


2月13日,美国职业橄榄球联盟(NFL)的旧金山49人队表示,他们正努力从BlackByte勒索软件的攻击中恢复正常。


BlackByte团伙承认发动了这次攻击,并表示在攻击期间成功从这支橄榄球队的服务器上窃取到数据,并已经把近300 MB的文件泄露在了数据泄露博客之上。


旧金山49人队在写给媒体的一份声明中证实了勒索软件攻击的存在,但强调攻击只是暂时中断了部分IT网络。


BlackByte勒索软件团伙至少从2021年7月起一直保持活跃,而且攻击矛头指向全球各地的企业受害者。


该团伙的招牌手段是利用软件漏洞(包括Microsoft Exchange Server漏洞)夺取对目标企业网络的初始访问权限。从这个角度看,尽早更新服务器软件有望阻遏他们的攻势。


2021年10月,安全厂商Trustwave创建并发布了免费的BlackByte解密器。这意味着该勒索软件团伙在多次攻击中反复使用相同的加密/解密密钥之后,一些受害者终于可以免费恢复自己的文件。

【阅读原文】



3、印度政府被曝又要以所谓“安全威胁”为由,禁用54款中国应用程序

鞭牛士 2月14日消息,印度又以所谓“安全威胁”为由,打压中国手机应用程序。综合《印度快报》、《印度斯坦时报》、News18新闻网等媒体今日报道,印度电子和信息技术部的一份声明称,该部收到了印度内政部的建议——根据“信息技术法案”第69条A款提出的紧急规定,封禁54款中国手机应用程序。电子和信息技术部将正式发布在印度禁用这些应用程序的通知。


据了解,早在2020年6月,印度曾以捍卫“领土完整性”的名义封禁了包括Tik Tok、微信、百度在内的59款中国应用程序。2021年2月,印方再次对这些APP下手,宣布把对59款APP实行的禁令“永久化”。涉及的APP包括Tik Tok、微信、百度、UC浏览器、微博、Bigo、小米视频电话、Club Factory等。

【阅读原文】



2022年2月15日 星期二

今日资讯速览:

1、因发现以太坊关键漏洞,苹果 iOS 越狱之父获 200 万美元巨额奖金


2、网络攻击致使该国最受欢迎电视台播放中断


3、RedLine 恶意程序伪装成 Windows 11 升级安装包



1、因发现以太坊关键漏洞,苹果 iOS 越狱之父获 200 万美元巨额奖金



IT之家 2 月 13 日消息,白帽黑客和 iOS 越狱软件 Cydia 开发者 Jay Freeman 近日在推特称,因其发现了一个以太坊的关键漏洞,获得了高达 200 万美元的巨额奖金。

价值200万美元的BUG!iOS越狱之父发现关键漏洞获奖

以太坊第二层扩展项目 Optimism 的开发人员称,这个 bug 本月早些时候被发现,目前已经打补丁修复。这个 bug 可以让黑客在 Optimism 账户余额中随心所欲地创造出更多的以太币(ETH)。


在一篇博文中,Optimism 团队指出,其链上的历史记录显示,除了以太坊数据创业公司 Etherscan 的一名工作人员意外激活外,该 bug 没有被利用。


IT之家了解到,Jay Freeman 还被誉为 iOS 越狱之父,早在 2007 年他就开发出了 Cydia 应用商店,甚至比苹果 App Store 还要早,Cydia 的主要目的是为越狱的 iOS 用户提供一个高级包装工具的图形界面前端以安装不被 App Store 接受的程序。

【阅读原文】



2、网络攻击致使该国最受欢迎电视台播放中断


安全内参消息,2月8日,中欧小国斯洛文尼亚境内最受欢迎的电视频道Pop TV遭遇网络攻击并引发运营中断,该事件被认为是一起以勒索为目的的犯罪活动。

这起攻击发生在上周二,影响了电视台的计算机网络,致使Pop TV每日新闻节目“24UR晚间版”被迫中断。


Pop TV当天发表声明称,受网络攻击影响,将取消晚间版新闻的播放,用户可以在线观看节目,或者在电视上观看回放。

尽管新闻播报在第二天已经恢复,但此次攻击还给Pop TV的其他网络运营工作造成影响。


在次日第二份声明中,Pop TV表示本次攻击还影响到部分Web服务器,包括专为母公司各频道、授权电影及电视剧提供点播支持的流媒体平台VOYO。


该公司表示,此次攻击致使员工无法向平台内添加新内容,也难以正常直播任何频道和体育赛事,比如北京冬奥会。由于意外错过比赛,不少付费用户群情激愤。


当地媒体称遭外国黑客勒索


24UR的发言人并没有回复我们关于事件性质的进一步询问,但斯洛文尼亚当地新闻媒体Zurnal24报道称,Pop TV此次遭到了外国黑客勒索。由此看来,这似乎是一场勒索软件攻击。


斯洛文尼亚计算机应急响应小组(SI-CERT)也发表了一份声明,确认正在与Pop TV电视台合作应对此次攻击,但没有透露其他任何细节。

过去几年来,全球已经有多家主要电视台遭受网络攻击侵扰,包括:

  • 法国M6(2019年10月)

  • 美国The Weather Channel(2019年4月)

  • 巴基斯坦Dawn TV(2020年8月)

  • 澳大利亚Nine Network‍(2021年3月)‍



  • 美国Cox Media Group(2021年6月)

  • 美国Sinclair Broadcast Group(2021年10月)

  • 葡萄牙SIC(2022年1月)

  • 伊朗IRIB(2022年2月)

  • ……

除了伊朗IRIB事件之外,以上大部分属于勒索软件攻击。攻击方的惯用手法是攻击电视台后端IT基础设施并导致节目播放受到影响。


不过,在之前的案例中,工程师们往往能够在几小时内就让系统重新恢复上线,由此来看Pop TV的风险抵御能力似乎不及之前的受害者“前辈”。

【阅读原文】



3、RedLine 恶意程序伪装成 Windows 11 升级安装包


RedLine 恶意程序被攻击者伪装成 Windows 11 升级安装程序提供给 Windows 10 用户。Windows 11 提高了硬件需求,很多 Windows 10 系统无法通过官方渠道升级到新操作系统,这就给攻击者创造了机会。RedLine 恶意程序能窃取密码、浏览器 cookies、信用卡以及加密货币钱包。惠普的研究人员称,攻击者通过 windows-upgraded.com 之类的域名传播恶意程序,网站外观模仿了微软官网,用户点击 Download Now 按钮之后会下载 1.5 MB 大小名字叫 Windows11InstallationAssistant.zip 的 ZIP 压缩文件。


————————————————

原文作者:佚名

转自链接:https://www.wangan.com/p/7fy7fy3a5525df3f

版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。



2022年2月14日 星期一

今日资讯速览:

1、研究人员谈论潜在的没有性能成本的CPU安全漏洞缓解措施


2、千亿营收、万人团队:微软安全已成为网络安全霸主


3、全球医疗领域频遭勒索攻击,卫生部门应做网络安全管理事前准备



1、研究人员谈论潜在的没有性能成本的CPU安全漏洞缓解措施


一位安全研究员在上周末的自由和开源软件开发者欧洲会议(FOSDEM)上围绕缓解像Spectre和Meltdown这样的处理器漏洞发表演讲,所提出的方式力求让性能成本可以忽略不计。

image.jpg

Cyberus科技公司的Sebastian Eydam在2022年FOSDEM会议上发言,谈到有可能在几乎没有性能成本的情况下缓解像Spectre和Meltdown这样的处理器漏洞。然而,目前这种方式处于安全研究阶段,而且只使用Hedron微型管理程序进行了原型测试。


这个替代现有软件缓解技术的缓解策略是将内核中与进程相关的信息转移到内核地址空间的进程本地部分。反过来,用户空间的攻击者将只能推断自己进程的信息,而不能推断其他进程的信息。

image.jpg

Eydam在他的摘要中总结道:"这种替代性的缓解措施涉及将内核中与进程相关的信息移到内核地址空间的进程本地部分。一个能够推断出其相关的内核页表内容的用户空间攻击者因此只能读取关于其自身进程的信息。在这些内核地址空间之间的切换是在不同进程的线程被安排时作为正常地址空间切换的一部分进行的,因此没有额外的性能开销。"


除了可能的缓解策略对性能的影响较低外,它也将是独立于CPU的... 但目前它只是处于研究阶段,唯一公布的代码是在Hedron微处理器上做的原型设计工作(GitHub工作)。

image.jpg

因此,如果这种方式像人们谈论的那样好,与今天的缓解措施的巨大性能成本相比,将会是用户端的一个胜利。然而,到目前为止,似乎还没有对这项研究进行任何独立的批判性分析,更不用说任何拟议的Linux内核补丁或类似的东西来显示其在现实世界中的可行性。如果英特尔工程师在研究Spectre和Meltdown的大约五年时间里,没有在内部考虑和评估过这种方法,那也是令人惊讶的。


那些错过了上周的研究报告的人可以看到PDF幻灯片和视频记录:

https://video.fosdem.org/2022/D.microkernel/seydam.webm

【阅读原文】



2、千亿营收、万人团队:微软安全已成为网络安全霸主


二十年前,微软优秀安全工程师米歇尔・霍华德(Michael Howard)和戴维・勒布兰科(David LeBlanc)撰写的《编写安全代码》一书被软件开发人员奉为圭臬。比尔・盖茨也深受影响。掩卷沉思后,他决定变革微软软件编写方式,把安全性和可靠性列为首要追求目标。


“我们的软件最终要从根本上对安全性做出保证,让用户永不为此感到焦虑,”他说。


承诺落空,

网络安全成重要赢利点


二十年过去了,盖茨的承诺成了竹篮打水。微软人发现自己身处的网络环境已充满威胁,与二十年前截然不同——勒索软件、供应链攻击、隐私漏洞、有国家背景的黑客、恶意程序、蠕虫病毒以及充满敌意的机器学习等等,无时无刻不再动摇着网络安全的根基。


微软出品的软件远未能达到盖茨向往的安全标准。仅上个月,微软公司就为其Windows操作系统及其他产品发布了近120个漏洞补丁,其中9个被标注为“重要”。最严重的一个漏洞被归类为“可像蠕虫般自我复制”,攻击者抓住它,就可以在不做任何干预的情况下启动连锁反应,把恶意程序从一台计算机传播到其他有漏洞的计算机。


外界普遍认为,微软是目前诸多网络问题和网络威胁的最根本原因——用户往往会因为使用了微软软件而遭到攻击,其中大部分用户对微软安全服务的体验感非常糟糕。“他们只知道发布补丁,”前微软技术顾问、安全技术公司Polyverse首席执行官阿历克谢・冈纳雷斯(Alex Gounares)说。不过人们依然对微软公司持有信心,认为该公司拥有应对网络安全威胁的核心技术。公司上下也正为此而努力。


不过,微软目前面临的需求已不仅仅是编写安全代码了。鉴于日益严峻的网络威胁,该公司已致力于构建全面的网络安全业务,承诺无论客户使用的是哪家公司提供的软件和服务,都会向其提供网络安全软件与服务。


目前,微软公司的网络安全业务已异军突起。根据上周发布的财务报告,该公司的网络安全产品在过去一年的营业收入比上一年度增加45%,创纪录地超过150亿美元,占同期公司总收入的8%,是市值最高的IT安全公司Palo Alto Networks年平均营收的三倍。


高调宣称“为责任不为赚钱”,

未来将加大安全投入


既然网络安全业务利润如此之大,微软还要不要继续承担产品售后服务,为不断发现的漏洞提供补丁程度呢?换句话说,未来的微软是更看重肩上的网络安全责任,还是希望通过提供网络安全服务赚更多钱呢?


德意志银行分析师布莱德・泽尔尼克把这个问题抛给了微软公司首席执行官萨蒂亚・纳德拉(Satya Nadella)。后者高调宣称,微软公司最基本的责任之一,就是在自己的产品中植入安全要素,而非利用日益猖獗的网络威胁赚取更多利润。“我们很看重这个责任,”他说。


但同时他还声称,微软也不会放弃网络安全业务这一利润点。“我们认为这是一个机会,一个让所有数字用户得到安全保障的机会。”他解释说,构成这个世界的基础设施并不只是微软一家公司提供的,还有其他很多公司的各种平台。“我们将向他们提供安全解决方案并收取费用,这才是我们的赢利点。”


微软网络安全团队则表示,公司将在下一个五年期间加大对网络安全业务的投入,推动相关技术、工具和团队能力的提高。预计花费在客户安全保护方面的资金将达到200亿美元。


新高管新部门,

微软为迎接新挑战做好准备


不可否认,保护软件和网络安全已成为微软及其他公司面临的最具挑战性的工作之一。为应对不可预知的未来,微软已开始有所动作——首先对公司内部的原有设置进行整合,成立新的安全、合规、身份与管理部门(Security, Compliance, Identity, and Management Organization)。预计该部门员工将达到1万人,占微软员工总人数(约20万人)的5%,主要职责是安全产品和服务的研究与发布。需要指出的是,新部门将主要从战略层面上对网络与软件安全工作做指导,具体产品的安全内核仍由产品团队内设的安全小组负责。


领导安全、合规、身份与管理部门的高级管理人员也是一名刚刚从亚马逊公司挖来的新人——查理・贝尔(Charlie Bell)。现年64岁的贝尔在亚马逊公司工作超过23年,长期担任该公司负责网络服务的高级副总裁。2021年10月,转任正职无望的贝尔接受了微软的邀请,出任微软公司高级副总裁,负责安全、合规、身份与管理部门的业务。

微软新任高级副总裁查理・贝尔(图片来源:微软)


他的下属包括首席信息安全官布莱特・阿森诺特(Bret Arsenault)、微软身份认证部门副经理乔伊・奇克(Joy Chik)、云安全部门副经理巴拉特・沙(Bharat Shah)等高级管理人员及其团队。此前,上述三人皆在负责云平台与人工智能业务的高级副总裁斯科特・古瑟利(Scott Guthrie)领导下工作。


“接下来,公司以及公司所在的整个行业都将面对一个巨大的挑战,即保证数字技术平台、设备和云服务的安全。这是我们必须承担的伟大任务,也是吸引查理来微软的原因,”微软CEO纳德拉通过内部邮件宣布查理・贝尔的任命时说。贝尔对此回应称,自己之所以加入微软,正是感受到了新挑战的激励。“我将迎接挑战,努力把世界从‘野蛮的中世纪数字时代’带到‘文明的数字时代’。”


亚马逊公司的老同事评价贝尔是一个“务实的领导者”,会“为了解决问题或寻找解决问题的机会废寝忘食”。微软公司内外的分析人士也认为贝尔是位“值得尊敬的领教者”,他的新眼光和新任命或许可以给公司以及整个网络安全行业带来前所未有的变化。


确定五大工作重点,

但仍存在需要解决的问题


在安全、合规、身份与管理部门之外,微软公司还设立有“数字犯罪调查小组”(Digital Crimes Unit),专门追踪并记录僵尸网络、勒索软件及其他网络犯罪活动,并致力于维护选举的公平性。微软公司在声明中称,之所以在内部设立多个网络与软件安全维护部门,皆因自己正身处一场史无前例的非对称战争之中——网络敌人的攻击过于强大,抵抗者被迫步步为营。


微软公司提供的数据显示,自2020年下半年SolarWinds公司遭到软件供应链攻击后,勒索软件攻击次数增加了150%,2021年钓鱼软件攻击数量增加600%以上,密码攻击频率增加到每秒钟579次。“网络攻击形势异常严峻和复杂,所以我们应该做点什么,”微软公司高级副总裁瓦苏・亚卡尔(Vasu Jakkal)说。


在此背景下,微软为接下来的安全工作确定了五大重点:

1. 从设计开始就将软件、云服务、计算机固件和硬件的安全因素纳入考虑;

2. 全面应用“零信任”策略。基于“所有网络活动均有漏洞”的假设,把访问请求的数量限制到最小,同时对用户身份进行绝对准确的验证;

3. 为使用其他公司云服务、计算平台和第三方应用软件的用户提供全方位保护;

4. 应用人工智能和自动化技术对网络威胁进行分析和监测;

5. 与其他网络安全公司展开密切合作。


尽管微软对本公司的安全业务充满信心,但外界仍对其提出了疑问。首先是该公司角色的定位。微软公司既是软件的编写者,又是安全产品和服务的提供者,在同行竞争者眼中扮演着“两边通吃”的角色。“(微软)一只手发布带有安全漏洞的软件,另一只手又向用户提供保护软件免遭网络威胁的安全服务。微软集网络安全救火队员、监测者以及漏洞软件编写者等角色于一身,很容易让人怀疑卖了矛又卖盾,”国家网络安全联盟董事会成员莱恩・卡勒姆伯(Ryan Kalember)说。微软公司也承认自己身份的特殊性,但具体如何解决却又一时没有合适的办法。


其次是收费问题。尽管微软CEO声称“责任第一,赚钱第二”,但该公司提供的先进安全解决方案价格之昂贵令人乍舌。“为取得微软安全解决方案的使用执照,公司用户必须付出惊人的费用,”独立分析师韦斯・米勒(Wes Miller)说。“很多用户会因不愿意或没有能力支付这笔费用而不得不远离微软方案。”他批评微软公司“眼睛只盯着钱”,在应对勒索软件等网络威胁方面还做得远远不够。前微软公司高级网络威胁情报分析师凯文・比奥蒙特(Kevin Beaumont)也认为,微软安全解决方案的收费过高,致使一些小型公司被迫在网络上“裸奔”。“事实上,我们不应该在网络安全方面划出一条贫富线来。”

【阅读原文】



3、全球医疗领域频遭勒索攻击,卫生部门应做网络安全管理事前准备


卫生部门对网络安全事件缺乏准备

2021年5月14日,爱尔兰卫生部门的IT系统遭遇Conti勒索软件攻击,被索要2000万美元赎金。虽然,爱尔兰卫生部门在发现攻击后关闭了其大部分计算机系统。但是Conti 团伙声称已访问 HSE 网络两周,在此期间,他们窃取了700 GB的未加密文件,包括患者和员工信息、合同、财务报表等。


此外,被盗文件样本还被上传至VirusTotal恶意软件扫描站点。据报道,截至2021年5月25日被盗数据归档在VirusTotal上的下载量为23次。


此次勒索软件攻击成为首次国家级卫生网络系统遭受威胁事件,也是造成服务中断周期最长的事件之一。爱尔兰卫生健康服务署恢复正常工作耗费四个多月,耗资超过6亿美元,其中有1.2亿美元的专项恢复资金用于更换和升级所有被勒索软件感染的系统。


在此次美国卫生与公众服务部发布的简报中,将上述事件中爱尔兰医疗部门对于勒索缺乏响应的行为归因于其自身准备不足。


“在事发期间,爱尔兰卫生健康服务署的高管或中层管理人员中,没有负责网络安全的负责人。该机构也没有专门的委员会,来指导和监督网络安全工作。同时,该机构也没有缓解网络风险的具体措施。”简报指出。


此外,简报认为爱尔兰卫生健康服务署此前没有部署安全监控解决方案,也是其缺乏应对措施的原因,这导致机构无法及时调查与响应在IT环境中检测到的安全威胁。

医疗行业网络信息安全事件频发

事实上,医疗领域是网络攻击的重灾区。《2021年度高级威胁态势研究报告》显示,2021年全球高级威胁攻击事件中,医疗部门成为了攻击的重点目标。

21世纪经济报道记者梳理发现,去年以来全球医疗行业重大网络攻击事件频发。


2021年1月,美国佛蒙特州一家医疗服务提供商遭到网络攻击,导致电子健康记录系统延迟推出,并造成数百万美元的收入损失。


2021年10月,加拿大纽芬兰和拉布拉多省的卫生网络遭到网络攻击瘫痪,导致全省数千人的医疗预约取消,多个地方卫生系统被迫重新使用纸张。


2021年11月,德国医疗软件巨头Medatixx遭到勒索攻击,影响了医疗机构的内部 IT 系统,导致其运营系统瘫痪。


据了解,针对医疗行业以及生物研究行业的攻击主要包括钓鱼攻击、勒索软件攻击以及部分APT攻击,攻击目的为经济获益或信息窃取。攻击者可以通过窃取的患者信息,进一步对受害者发起社会工程攻击,或根据窃取的商业和财务信息对医疗机构或企业展开勒索。


随着医疗行业网络安全问题日趋严重,已有一些国家采取措施推进医疗卫生相关政策法规及标准规范出台。例如,美国推出的《健康保险流通与责任法案》就是国际公认的针对个人健康信息的隐私安全法律保护体系。该法案提出,管理保护中必须遵循信息安全管理程序,具体可以分为风险分析、风险管理、惩罚政策和信息系统日志审查,同时还要求建立独立的健康照顾统计清算中心以防部门内部的信息泄漏、信息安全事件管理程序,突发事件应变计划和商业伙伴协议管理等。


而在我国,自从2017年网络安全领域的基础性法律《网络安全法》实施以来,对于信息安全的保护上升到了法律层面,系列配套的法律法规逐渐发布实施,形成了极具协调性、 整体性及可行性的网络安全保护法律体系。具体到医疗卫生领域,2018 年《全国医院信息化建设标准与规范( 试行) 》出台,以单独的章节重点阐述医院信息化建设的安全防护问题。2020 年 12 月国家标准化管理委员会发布《信息安全技术健康医疗数据安全指南》,从个人信息安全风险的角度出发划分数据分级,提出多场景下安全措施要点并给出安全指南。

【阅读原文】



2022年2月11日 星期五

今日资讯速览:

1、美英澳政府联合报告:2021年全球勒索软件威胁态势


2、恶意软件开发者主动公开Maze/Egregor/Sekhmet解密密钥


3、Vodafone Portugal遭严重网络攻击 数百万用户无法使用服务



1、美英澳政府联合报告:2021年全球勒索软件威胁态势


2021年,美国、澳大利亚、以及英国的政府网络安全当局观察到,全球范围内以关键基础设施相关组织为目标的高复杂度、高影响力勒索软件攻击正在持续增加。


这份由美国、澳大利亚及英国网络安全当局撰写的联合网络安全咨询报告,列举了观察到的行为与趋势,同时也提出了缓解建议,希望帮助网络防御方降低遭受勒索软件入侵的风险。


2021年威胁态势


美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)与国家安全局(NSA)观察到,全美16个关键基础设施部门中有14个曾经遭遇勒索软件事件,具体涵盖国防工业基地、紧急服务、食品与农业、政府设施与信息技术等多个部门。


澳大利亚网络安全中心(ACSC)则观察到,勒索软件正持续将矛头指向澳大利亚国内各关键基础设施实体,包括医疗保健、金融服务与市场、高等教育与研究、外加能源部门。


英国国家网络安全中心(NCSC)则将勒索软件视为英国面临的最大网络威胁,表示教育领域成为勒索软件攻击者的主要目标之一,同时发现针对地方各级政府及卫生部门内各企业、慈善机构、法律界乃至公共服务机构的攻击也是不一而足。


2021年,勒索软件攻击在策略与技术层面仍在继续发展,这表明勒索软件威胁攻击者的业务水平正日益纯熟,也由此令全球组织身陷更为可怕的威胁阴影。


勒索软件攻击的主要行为与趋势


美国、澳大利亚与英国的各网络安全部门在2021年内观察到网络犯罪分子存在以下行为与趋势:


通过网络钓鱼、被盗的远程桌面协议(RDP)凭证/暴力破解以及利用漏洞等方式访问目标网络


网络钓鱼电子邮件、利用RDP以及利用软件漏洞在2021继续成为勒索软件活动中的三大初始感染手段。一旦勒索软件攻击者在对方设备或网络中获得代码执行权限,即可进一步部署勒索软件。请注意:这些感染手段从2020年初步兴起到2021年持续蔓延,而且很可能在远程办公与学校远程教学的大背景下继续保持流行。新冠疫情催生出的远程办公/教育趋势极大扩展了远程攻击面,导致网络防御方很难用传统软件修复方法跟上安全需求的节奏。


网络犯罪服务租赁市场持续升温


勒索软件市场在2021年内正变得愈发“专业”,勒索软件的犯罪商业模式也已全面成熟。除了勒索软件即服务(RaaS)的广泛普及之外,勒索软件攻击者还开始借助独立服务进行款项协商、受害者赎金支付引导、甚至对各方网络犯罪分子之间的利益纠葛开展仲裁。英国网络安全中心观察到,部分勒索软件攻击者甚至向受害者提供24/7全天候帮助中心服务,用以加快对方支付赎金以及系统或数据的恢复速度。


注意:美国、澳大利亚及英国的网络安全当局评估认为,如果勒索软件犯罪商业模式能够持续为攻击一方带来经济回报,那么勒索软件事件将变得更加频繁。受害者的每一次就范、他们付出的每一笔赎金,都会让犯罪分子对于勒索软件商业模式的可行性与财务吸引力再增添一份信心。此外,美国、澳大利亚和英国的网络安全当局还指出,这种犯罪商业模式的出现往往令归因工作复杂化——由于参与攻击的开发者、附属组织及自由职业人士等成分太过复杂,调查一方往往很难确定勒索软件事件背后的实际操纵者。


分享受害者信息


欧洲和亚洲的各勒索软件组织会彼此分享受害者信息,进而形成更为多样的勒索攻击威胁态势。例如,在宣布正式关闭之后,BlackMatter勒索软件团伙就将原有受害者信息转移到另一团伙Lockbit 2.0的基础设施当中。2021年10月,Conti勒索软件团伙甚至直接出售受害者网络的访问权限,以供其他恶意攻击者实施后续攻击。


“大型猎物”攻击浪潮正远离美国


2021年上半年,美国和澳大利亚网络安全当局曾通过多起引人注目的网络安全事件发现,勒索软件攻击者正展开一波针对“大猎物”(即被认定为高价值的组织及/或提供关键服务的机构)的入侵浪潮。此番攻势的受害者包括科洛尼尔管道运输公司、JBS Foods以及软件商Kaseya。但勒索软件攻击一方还没有得意多久,就在同年年中遭到美国当局的打压。随后,FBI观察到部分勒索软件攻击者开始将目标从“大猎物”转向中等体量的受害者,希望借此转移审查压力。


澳大利亚网络安全中心观察到,2021年内澳大利亚本土的勒索软件攻势继续不分体量、持续肆虐,所以这里的关键服务机构与“大猎物”们还没法像美国同行们那样稍稍松口气。


英国网络安全中心则观察到,2021年英国本土不同规模的各类组织都未能幸免于难,其中也包括不少“大猎物”级别的受害者。过去一年,英国的勒索软件受害者涵盖教育、地方各级政府与卫生部门企业、慈善机构、法律界及公共服务等多个领域。


攻击方勒索金钱的方式也是多种多样


在对受害者网络完成加密锁定之后,如今的勒索软件攻击者开始更多运用“三重勒索”手段,即威胁要

(1)公开发布被盗的敏感信息;

(2)破坏受害者的互联网访问功能;及/或

(3)将攻击事件通报给受害者的合作伙伴、股东或供应商。


当然,澳大利亚网络安全中心也观察到不少更为老派的“双重勒索”事件,即攻击一方以加密系统加威胁泄露数据的组合迫使受害者支付赎金。


勒索软件攻击的新技术特点


勒索软件团伙还通过以下方式进一步增加了自身影响力:

瞄准云端。勒索软件开发者开始以云基础设施为目标,利用云应用程序、虚拟机软件及虚拟机编排工具中的已知漏洞。勒索软件攻击者还将矛头指向云账户、云应用程序编程接口(API)以及数据备份与存储系统,阻断指向云资源的访问请求并加密数据内容。除了利用漏洞直接获取访问权限之外,恶意攻击者有时还会入侵本地设备、进而横向移动至云系统以完成对云存储系统的渗透。再有,勒索软件攻击者也会尝试攻击云服务供应商以加密海量客户数据。

针对托管服务供应商。勒索软件攻击者当然不会放过托管服务供应商(MSP),因为他们手中掌握着广泛且受到信任的客户组织访问权限。通过入侵托管服务商,勒索软件攻击者可以一次渗透就攻陷多位受害者。美国、澳大利亚及英国的网络安全当局评估称,未来这类以托管服务商为跳板、以入侵托管服务客户为最终目的的勒索软件攻击事件还将持续增加。


攻击工业流程。尽管针对关键基础设施的大多数勒索软件事件总会影响到商业信息与技术系统,但FBI也观察到一部分勒索软件团伙正在开发专门打击关键基础设施或工业流程的恶意代码。


攻击软件供应链。2021年,勒索软件攻击者开始在全球范围内破坏软件供应链实体,并借此损害并勒索供应链客户。这种从供应链下手的攻击方式能够让威胁方一次行动就拿下多位受害者,从而有效扩大其攻击规模。


挑节假日和周末下手。FBI和CISA都观察到,网络犯罪分子开始在2021年的各个节假日和周末向美国实体发动攻击,并由此获得了更大的威胁影响力。勒索软件攻击者意识到节假日和周末期间组织机构往往无人值守,网络防御方的松懈与IT支持人员的休假自然成为提升攻击成功率的大好机会。

【阅读原文】



2、恶意软件开发者主动公开Maze/Egregor/Sekhmet解密密钥


昨晚,据称是恶意软件开发者在国外 BleepingComputer 论坛上发帖,公开了 Maze、Egregor 和 Sekhmet 勒索软件操作的主解密密钥。经安全公司 Emsisoft 确认这些解密密钥是合法的,该公司勒索软件专家和威胁分析师 Brett Callow 表示解密密钥的发布是高压政策下让网络犯罪分子已经感到担忧。

Maze 勒索软件于 2019 年 5 月开始运作,并迅速成名,因为他们负责使用现在许多勒索软件运作所使用的数据盗窃和双重勒索战术。在 Maze 于 2020 年 10 月宣布关闭后,他们在 9 月重新命名为 Egregor,后来在成员在乌克兰被捕后,他们消失了。Sekhmet行动在某种程度上是一个例外,因为它在2020年3月启动,而Maze仍在活动。


在 14 个月之后,上述三款勒索软件的解密密钥由一名网名为“Topleak”的用户泄露,他自称是所有三款勒索软件的开发者。


发帖人说,这是一次有计划的泄漏,与最近的执法行动没有关系,这些行动导致服务器被查封,赎金软件的附属公司被逮捕。


“Topleak”表示:“公开解密密钥是因为引起太多的线索,而且大部分都是假的,所以有必要强调这是一次有计划的泄漏,与最近的逮捕和取缔行动没有任何联系”。他们进一步表示,他们的团队成员都不会再回到勒索软件领域,而且他们销毁了勒索软件的所有源代码。

该帖子包括一个 7zip 文件的下载链接,该文件有四个档案,包含Maze、Egregor和Sekhmet的解密密钥,以及勒索软件团伙使用的'M0yv'恶意软件的源代码。这些档案中的每一个都包含公共主加密密钥和与特定"广告"相关的私人主解密密钥,或勒索软件操作的附属机构。

以下是每个勒索软件操作所发布的RSA-2048主解密密钥的总数。

● Maze:针对非企业用户的原始恶意软件的9个主解密密钥。

● Maze:30个主解密密钥。

● Egregor:19个主解密密钥。

● Sekhmet。1个主解密密钥。

EMSIsoft的Michael Gillespie和Fabian Wosar已经审查了这些解密密钥,并向BleepingComputer证实,它们是合法的,可以用来解密被这三个勒索软件家族加密的文件。

【阅读原文】



3、Vodafone Portugal遭严重网络攻击 数百万用户无法使用服务


一场“蓄意的恶意网络攻击”,导致服务葡萄牙企业和数百万人的服务瘫痪,其中还包括救护车和其他紧急服务。Vodafone Portugal 是英国沃达丰集团下属子公司,拥有 430 万手机用户和 340 万光纤用户。在最新发布的一份声明中,公司表示本次公司始于本周一晚上。攻击迅速摧毁了该子公司的 4G 和 5G 网络,并停止了固定语音、电视、短信以及语音和数字应答服务。

z4nqulkv.webp

据葡萄牙新闻网站 Lusa 报道,Vodafone Portugal 公司首席执行官 Mário Vaz 在一次新闻发布会上说:“[这是]一次针对网络的攻击,其目的肯定是蓄意的,故意让我们的客户没有任何服务”。这次攻击的目的显然是使我们的网络无法使用,而且其严重程度使服务水平尽可能的困难。


据 Lusa 和其他当地新闻机构报道,数以百万计的客户无法拨打语音电话,发送短信,使用互联网,或访问有线电视。该国 Multibanco 自动取款机网络的运营商说,这次攻击对其服务造成了“一些偶尔的不稳定”。其他企业和公共服务也受到影响,包括救护车运营商、消防部门和医院。


虽然在本周一晚些时候,Vodafone Portugal 已经恢复了该国大部分地区的 3G 语音和数据服务,但是截至本周三,依然有很多受到影响的服务尚未完全修复。恢复服务的工作正在优先考虑紧急服务。


公司官员在周二的声明中写道:“不幸的是,我们所遭受的犯罪行为的规模和严重性,意味着所有其他服务都需要谨慎和长时间的工作。他们补充说,恢复过程 涉及多个国家和国际团队以及外部合作伙伴”。

【阅读原文】



2022年2月10日 星期四

今日资讯速览:

1、库巴同名黑客或因任天堂破解软件被判入狱5年


2、俄罗斯搜索引擎将删除有100个以上盗版链接的域名索引


3、葡萄牙全国大面积断网:因沃达丰遭破坏性攻击



1、库巴同名黑客或因任天堂破解软件被判入狱5年

美国法院判决表示,一位和经典任天堂角色库巴(英文译为 Bowser)同名的黑客应入狱 5 年。

库巴同名黑客或因任天堂破解软件被判入狱5年

这位名叫 Gary Bowser 的黑客在 10 月的一场与任天堂的案件中败诉。此前,任天堂因为他参与的黑客组织 Team Xecuter 而追捕他。该组织以制造并宣传销售大量游戏机的改装芯片以及开发越狱软件而闻名。Gary Bowser 被控两项罪名,分别是“串谋规避技术措施”以及“贩运规避设备”,面临长达 10 年的牢狱之灾。


现在法院表示,Bowser 的多项罪名每项都将面临 60 个月(5 年)的有期徒刑,但将同时服刑。法庭文件显示其认为该建议是“适当考虑到‘犯罪的性质和情节’、‘被告的历史和特征’以及‘量刑的必要性’以反映犯罪的严重性,促进尊重法律,并以罪行提供公正的惩罚。”


除此之外,Bowser 还已被要求支付总计 1450 万美元的费用,包括 450 万用于最初的认罪,以及另外 1000 万美元的民事诉讼独立赔偿金额。

库巴同名黑客或因任天堂破解软件被判入狱5年

另一方面,Bowser 的律师辩称,他最多只能被判入狱 19 个月。根据另一份法庭文件,他的收入远低于共同被告 Max Louarn 以及一名中国被诉公民陈远宁(音译),目前两人都尚未面临美国的指控。他的律师写道:“因此,Bower 先生将首当其冲地受到所有的政府压力,包括法院必须通过判决长期徒刑来‘发出威慑信息’。”该文件继续声称,虽然 Louarn 和陈“一定赚了数百万”,但相比之下,Bowser 在七年内只赚了约 32 万美元。


辩方还表示,Bowser“已经对自己的行为承担全部责任,并表达了真诚地羞耻和悔恨”,称他的“角色、历史以及悔恨和已经采取地补偿措施”应该让他只获得 19 个月的刑期。

【阅读原文】



2、俄罗斯搜索引擎将删除有100个以上盗版链接的域名索引

俄罗斯的主要权利人和互联网公司已经签署了一项新的合作备忘录,旨在使盗版电影、电视节目和其他内容更难找到。除了在数小时内自动删除被举报的侵权链接外,搜索引擎还同意将所有带有100个或更多侵权内容链接的域名完全删除。


删除对付大量传播侵权内容链接的网站,对权利人来说是一项耗时的活动。许多人认为,科技部门应该加强合作,以减轻负担,在俄罗斯,这似乎正在发生。2018年,由主要权利人和包括Yandex在内的互联网公司签署的合作备忘录改变了处理侵权内容的方式。


在建立了一个集中的盗版内容数据库后,互联网公司同意每隔几分钟查询一次,以便在六小时内从其平台上删除相应的内容。在三年的时间里,超过4000万个侵权链接现在已经从搜索结果中删除。自推出以来,该备忘录已被多次更新,同时呼吁该系统向更广泛的权利人开放,例如那些在出版部门经营的权利人。虽然这种情况尚未发生,但最初的签署者刚刚签署了一份新的备忘录,其中包含一个更强大的反盗版工具。


根据目前的协议(将于2022年9月初到期),权利人必须向媒体通信联盟(ISS)控制的中央数据库提交侵权内容的具体URL。这些特定的URL随后被搜索引擎除名,但权利人抱怨说,同样的内容可以在新的URL下重新出现,这意味着必须重复这一过程。为了应对这种类型的盗版对策,新备忘录要求搜索公司采取更严格的行动。任何向数据库报告有100个或更多盗版链接的域名将被搜索引擎完全取消索引,这意味着它们对使用搜索引擎的人来说基本上是不可见的。


鉴于在非盗版网站上发布的侵权内容链接的数量,还将引入保障措施,以保护合法资源不被删除索引。这些资源包括媒体网站、政府项目、搜索引擎本身、社交网络和官方内容提供商。从搜索结果中删除恶意盗版网站的域名将是打击数字盗版的一个重大突破,这将大大优化版权持有人保护其权利的成本,并将促进合法视频消费的增长。

【阅读原文】



3、葡萄牙全国大面积断网:因沃达丰遭破坏性攻击

2月8日,国际电信巨头沃达丰的葡萄牙公司表示,由于遭受了一大波“以损害与破坏为目的的蓄意网络攻击”,其大部分客户数据服务被迫下线。


该公司的4G与5G移动网络、固话语音、电视、短信及语音/数字应答服务目前仍处于离线状态。


沃达丰发布声明称,“我们已经恢复了移动语音服务,目前葡萄牙国内的3G移动数据服务也基本恢复可用。但不幸的是,由于此次遭遇犯罪行为的规模和严重性都很高,其他各项服务恢复仍需努力。”


这是沃达丰葡萄牙公司迄今为止处理过的最大规模网络安全事件。沃达丰在葡萄牙拥有超过400万手机用户、340万家庭和企业互联网用户,此次网络攻击造成了大规模的网络中断问题。


该公司表示,他们正在与政府当局合作对事件开展调查。根据目前搜集到的证据,客户数据似乎并未泄露或遭到攻击者访问。


尽管网上出现一些传言,但沃达丰葡萄牙公司尚未将事件定性为勒索软件攻击。


网上之所以传言四起,是因为在过去一个月内,有勒索软件团伙攻击了葡萄牙国内最大的两家新闻媒体Impresa与Cofina。相关团伙名为Lapsus$,目前尚无法确定沃达丰葡萄牙公司遇袭事件与他们有关。


一位沃达丰葡萄牙公司员工透露,他们只知道发生了技术中断、但并未听说公司将事件归结为网络攻击的消息。从这个角度来看,这波发生在2月7号晚间到8号的突发袭击还没有在公司内部进行披露或者通报。

【阅读原文】



2022年2月9日 星期三

今日资讯速览:

1、国家级卫生网络遭勒索攻击瘫痪,美国监管部门总结问题及教训


2、能绕过MFA的网络钓鱼工具包开始流行


3、数据冲突升级! Meta威胁要把Facebook等产品撤出欧洲



1、国家级卫生网络遭勒索攻击瘫痪,美国监管部门总结问题及教训

美国卫生与公众服务部(HHS)日前发布一份威胁简报,介绍了2021年爱尔兰卫生健康服务署(HSE)遭受Conti勒索软件攻击期间的严峻状况和主要错误,并敦促各医疗保健机构进行审查是否存在同类问题。


那次攻击导致整个爱尔兰的医疗保健服务体系严重瘫痪,成千上万爱尔兰民众的COVID-19疫苗接种信息(包括大量应受保护的个人健康信息)也被攻击者从HSE网络中盗出,总数据量约为700 GB。


爱尔兰卫生健康服务署在2021年6月委托普华永道开展独立事后审查,美国卫生与公众服务部的简报正是根据此次审查的报告整理。审查发现,那次攻击之所以能对HSE的IT环境产生巨大的负面影响,主要是它自身缺乏应对此类突发事件的准备。



内部安全管理工作严重缺失


美国卫生与公众服务部在简报中提到,“在事发期间,HSE没有负责网络安全的负责人,无论是在高管或中层管理人员层面。HSE也没有专门的委员会,来指导和监督网络安全工作,以及着手组织关于缓解HSE网络风险的具体举措。”


“HSE还缺少网络安全讨论会议,导致他们较难开展细粒度的网络风险讨论与记录,以及识别和提供缓解控制的能力。HSE根本不具备管理与控制网络安全风险所必需的集中网络安全职能。”


更重要的是,HSE还没有部署任何安全监控解决方案,来帮助调查与响应在其IT环境中检测到的安全威胁。

以上种种原因,致使HSE对于Conti勒索软件团伙的恶意行为缺乏响应。



超八成IT环境遭加密,恢复成本超6亿美元


事实上这波攻势可以说是明目张胆,早在2021年5月7日,部署在多台HSE服务器上的Cobalt Strike beacon就已经被端点反病毒解决方案检测到,只是警报提醒一直没有得到重视。


美国卫生与公众服务部还提到,“HSE管理层报告称,在此次攻击当中,有80%的IT基础设施遭到勒索软件加密。”


“勒索软件攻击对通信造成了严重影响。因为HSE之前几乎只使用本地邮件系统(包括Exchange),在遭到加密之后,通信完全无法使用。”

HSE Conti勒索软件事件时间表(普华永道/HSE)


幸运的是,Conti勒索软件团伙为HSE提供了能够恢复系统的免费解密器,但警告称如果HSE不支付2000万美元赎金,则会出售或公开发布这批被盗数据。


Conti勒索软件团伙在交涉的聊天页面中表示,“我们会免费提供网络解密工具,但需要澄清一点,如果贵方未能与我们联系并尝试解决问题,我们将出售或公开发布大量私人数据。”

爱尔兰卫生部当时曾表示,“HSE确实获得了加密密钥,但需要首先对密钥进行安全评估调查,之后才能在HSE系统上实际使用。”


HSE恢复工作持续了四个多月,耗资超过6亿美元。其中有1.2亿美元的专项恢复资金主要用于更换和升级所有被勒索软件感染的系统。


此次勒索软件攻击成为国家整体卫生服务遭受网络事件影响的首批案例,也是恶意攻击者直接造成的中断周期最长的事件之一。相比之下,2017年席卷全球的WannaCry攻击也仅仅影响到部分英国国家卫生服务部门。


敏感数据外泄,曾被公开放出


尽管此次攻击事件导致爱尔兰的医疗保健服务系统陷入大面积瘫痪,但爱尔兰总理Taoiseach Micheál Martin表示,HSE绝不会支付任何赎金。


就在攻击之后,包含患者数据的被盗HSE文件样本归档很快被上传至VirusTotal恶意软件扫描站点。


爱尔兰法院随后向VirusTotal下令,要求其提供曾经下载或上传这批爱尔兰国家医疗保健机密数据(涵盖邮箱地址、电话号码、IP地址或真实居住地址)的订阅用户信息。


据外媒The Journal报道,截至2021年5月25日数据被删除之前,这份HSE被盗数据归档在VirusTotal上的下载量为23次。

【阅读原文】



2、能绕过MFA的网络钓鱼工具包开始流行


当前最流行的绕过方案是使用透明的反向代理将真实的目标网站呈现给受害者,然后捕获受害者输入的用户名和密码以及会话cookie,如下图所示:



图片






Proofpoint的安全研究人员最近发现了三个能够绕过MFA的网络钓鱼工具包:Modlishka、Muraena/Necrobrowser和Evilginx2。


这三个工具包的使用非常简单:它们安装在攻击者控制的服务器上,是一种“透明”反向代理——一个“位于”服务器前面并将浏览器请求转发给它的应用程序,反之亦然——获取并传递合法的受害者的登录页面。同时,攻击者嗅探通过代理的流量,以从捕获的会话中提取登录凭据和会话cookie。


研究人员解释说:“攻击者可以使用会话cookie来访问目标帐户,而无需用户名、密码或MFA令牌。”


这些网络钓鱼工具包中的每一个都有其独到之处。


例如,Muraena/Necrobrowser是代理(Muraena)和无头浏览器(Necrobrowser)的组合,可以立即使用捕获的会话cookie登录目标站点造成严重破坏:更改帐户密码、转储电子邮件、禁用Google工作区通知、更改GitHub中的SSH会话密钥以及下载所有代码存储库。(一般来说,网络钓鱼者的目标不仅仅是电子邮件账户,还包括网上银行账户、GitHub账户、社交媒体账户等)。


研究人员预测,随着时间的推移,此类能够绕过MFA的网络钓鱼工具包将变得越来越流行,这是由于人们越来越多地采用MFA,同时使用透明反向代理实施中间人攻击(MitM)的网络钓鱼页面相比“常规”网络钓鱼页面更不容易被发现和阻止。


Proofpoint引用石溪大学和Palo Alto Networks的研究人员最近的研究结果指出,标准网络钓鱼站点的生命周期不到24小时,而使用透明代理的网络钓鱼站点的存活期更长,后者15%的站点的存活期超过20天。


报告地址:

https://catching-transparent-phish.github.io/catching_transparent_phish.pdf


【阅读原文】



3、数据冲突升级! Meta威胁要把Facebook等产品撤出欧洲

财联社(上海,编辑 赵昊)讯,Meta Platforms Inc.在其提交给美国证券交易委员会(SEC)的10-K报表内称,如果不能在有法律保证的情况下将用户数据传送回美国,将把Facebook和Instagram撤出欧洲。


目前,欧洲监管机构正在重新制定关于欧洲数据跨越大西洋传输的法规,此前与美国的隐私保护协议在2020年7月被欧洲法院裁定无效。


(来源:10-K报表)


Meta写道,“如果没有新的协议让公司可以转移数据,那么它将可能无法在欧洲提供一些重要的产品和服务,其中包括Facebook和Instagram。”


外界认为,Meta不太可能将其旗舰产品撤出欧洲市场,但这份回应凸显了这家(原)社交媒体公司与立法者之间在用户数据所有权方面日益紧张的关系。


数据法


欧盟委员会周一表示,已经深入与美国政府的谈判,但他们“需要时间,因为讨论的问题很复杂,而且需要在隐私和国家安全之间取得平衡。”发言人补充说:“只有完全符合欧盟法院规定的要求才能提供大西洋两岸的利益相关者所期望的稳定性和法律确定性。”


2011年,一位奥地利律师认为Facebook侵犯他的隐私信息,并向爱尔兰数据保护专员提出了投诉。2020年,欧洲法院裁定“隐私保护盾”(Privacy Shield)不符合其公民的隐私权。这就是所谓的Schrems II决定,随着隐私保护盾以及安全港(Safe Harbor)的取消,任何依靠它授权转移欧盟公民个人数据的公司都是非法的。


律师事务所Cooley LLP的合伙人兼网络和数据主管Patrick Van Eecke表示,数据保护机构正在审查安全补救措施,这些措施使公司能够在没有新协议的情况下继续传输数据。Van Eecke说道 :“我并不感到惊讶,因为现在已经没有多少选择了。”


对于Meta来说,这不是第一次威胁要撤走其社交媒体服务。2020年,澳大利亚将要求Facebook和谷歌向澳大利亚媒体支付新闻内容的费用,当时未改名的Facebook就以这种方式回击。

【阅读原文】



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2022-3-1 10:23 被Editor编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//