你的位置:KOKO中文网 > CIRX中文网 > [推荐]【每日资讯】 | 埃隆·马斯克证实 Twitter 2.0 将为直接消息带来端到端加密 | 2022年11月30日 星期三-茶余饭后-看雪-安全社区|安全招聘|kanxue.com
[推荐]【每日资讯】 | 埃隆·马斯克证实 Twitter 2.0 将为直接消息带来端到端加密 | 2022年11月30日 星期三-茶余饭后-看雪-安全社区|安全招聘|kanxue.com
- 发布日期:2025-01-04 15:07 点击次数:139 2022年11月30日 星期三今日资讯速览:1、埃隆·马斯克证实 Twitter 2.0 将为直接消息带来端到端加密2、网灾降临!因遭遇网络攻击,这个国家政务网络瘫痪超三周3、宏碁部分笔记本电脑的漏洞可以用来绕过安全功能1、埃隆·马斯克证实 Twitter 2.0 将为直接消息带来端到端加密Hackernews 编译,转载请注明出处:推特首席执行官埃隆·马斯克证实了在该平台上为直接消息提供端到端加密(E2EE)的计划。这项功能是马斯克对Twitter 2.0愿景的一部分,预计将成为所谓的“万能应用”。据马斯克称,其他功能包括长篇推文和支付。该公司的加密消息计划于2022年11月中旬首次曝光,当时移动研究人员Jane Manchun Wong发现Twitter的Android应用程序中,引用E2EE聊天会话密钥的源代码发生了变化。值得注意的是,其他各种消息平台,如Signal、Threema、WhatsApp、iMessage、Wire、Tox和Keybase,都已经支持消息加密。此前,谷歌在其基于RCS的Android消息应用程序中启用E2EE进行一对一聊天,目前正在对群聊进行同样的尝试。同样,Facebook在去年8月开始默认为特定用户在Messenger上启用E2EE。马斯克进一步表示,该社交媒体平台的新用户注册数量创下了“历史新高”,截至11月16日,过去七天平均每天超过200万,比2021年同期增长66%。Twitter拥有超过2.538亿可盈利日活跃用户(mDAU)。本月早些时候,在推出改版后的Twitter Blue订阅服务前后,该服务的假冒行为激增。新的订阅等级暂定最早于2022年12月2日推出,采用多色验证系统,旨在为公司发放金色徽章,为政府发放灰色徽章,为个人账户发放蓝色徽章。【阅读原文】2、网灾降临!因遭遇网络攻击,这个国家政务网络瘫痪超三周安全内参11月29日消息,受网络攻击影响,太平洋岛国瓦努阿图政府已经离线约三个星期。民众难以获得服务,部分公务员也被迫重新拿起笔纸来办理事务。几天过去,有官员告知当地新闻媒体,政府网络、官方网站和在线服务曾在11月6日遭到“入侵”。在此之后,政府一直对攻击事件和系统恢复问题三缄其口,这招致了一些批评声音,有新闻媒体甚至将这次黑客攻击称为“我们最深处的秘密”。居民生活和工作受到极大影响这次网络攻击,发生在总理Alatoi Ishmael Kalsakau领导的新政府宣誓就职后的第二天。由于政务系统离线,对居住在几十个岛屿上的32万瓦努阿图民众生活造成了极大不便。太平洋咨询公司(一家与太平洋地区各企业及政府,包括瓦努阿图政府合作的咨询公司)管理合伙人Glen Craig表示,“这里的一切都通过电子邮件运行,所以邮件系统中断引发了很多问题。包括建筑许可、居留申请以及工作许可在内,很多待处理的事务都被搁置了。”紧急服务也受到了影响,有一条报警热线被关闭了约一周之久。政府工作人员的工资未能按时支付,部分人还表示自己难以正常纳税。在卢甘维尔岛帮助经营百万美元景观度假村的Gilbert Fries表示,“我有个朋友没法续签驾照,另一个朋友则无法在截止日期之前为一块土地上缴财产税。”他还提到,目前港口工人已经在用纸和笔来登记进出货物。居住在该国首都维拉港的Craig表示,虽然居民们可以亲自到政府办公室缴纳税款,但“整个缴税记录,也是以手动方式在电子表格上完成的”。攻击者索要赎金被拒,邻国正协助恢复业务瓦努阿图最大邻国澳大利亚的太平洋事务部长Pat Conroy上周五表示,澳方一直在帮助瓦国政府恢复正常运作。Conroy在瓦努阿图参加区域会议时告诉记者,“我们立即提供了帮助,并派出一支团队来协助应对这次可耻的网络攻击、做出事后响应。我们正努力让该国的IT系统恢复运转。”澳大利亚的《悉尼先驱晨报》本月报道称,黑客曾索取赎金,但瓦国政府拒绝支付。外媒通过电话、短信和邮件多次联络瓦努阿图国家首席信息官,但对方并未回复置评请求。尽管政府“每天”都会受到网络攻击,但系统被实际攻陷的情况并不多见。新南威尔士州大学网络安全研究所主任Nigel Phair表示,“这是因为政府一般在网络安全方面都做得很好。”Phair解释称,恶意黑客往往会瞄准政府愿意出钱保护的敏感数据。“比如说高度敏感的税务信息、社会保障或健康信息,以及总理部门经手的某些信息,犯罪分子往往能用这些数据换取更加有利的交换条件。相比之下,公园管理割草时间的IT系统的低敏感度信息则意义不大。”多方面因素导致瓦努阿图缺乏应急计划澳大利亚墨尔本莫纳什大学信息技术学院副院长Carsten Rudolph表示,由于人口稀少,瓦努阿图这个太平洋岛国很难养活足够应对网络安全挑战的全职政府雇员。他解释称,“这个问题不仅跟太平洋地区的特点有关,也跟瓦国幅员辽阔、居民常因气候变化和灾害风险而迁徙等具体问题有关。总之,网络安全是一个系统性问题,必须把它跟其他问题统一起来做整体分析。”Craig则表示,瓦努阿图政府缺乏在网络长时间中断的情况下继续维持政务的应急计划,这确实“令人失望”。他认为“有些部门表示不错,能立即在社交媒体上公布员工的备用Gmail账户。但也有些部门未作反应,导致人们根本不知道该如何与其沟通。”Craig还提到,瓦努阿图堪称全球自然灾害最频繁、灾害风险最高的国家,受到气候变化的影响也极大。今年1月,另一太平洋国家汤加刚刚因火山喷发而陷入瘫痪,原因就是该国与世界连通的唯一海底光缆在灾害中断开。Craig总结称,“在当今时代,对于像瓦努阿图遭遇的这类高风险事件,都应该有相应的强大系统来应对和解决。”【阅读原文】3、宏碁部分笔记本电脑的漏洞可以用来绕过安全功能Hackernews 编译,转载请注明出处:ESET宣布发现了一个影响宏碁笔记本电脑的漏洞,该漏洞允许攻击者停用UEFI Secure Boot。专家解释说,该漏洞被追踪为CVE-2022-4020,与联想公司本月早些时候披露的漏洞类似。与联想的情况一样,攻击者可以直接从OS创建NVRAM变量来触发这个漏洞,使UEFI安全引导失效。Secure Boot是最新的统一可扩展固件接口(UEFI)2.3.1的一个安全特性,旨在通过验证其数字签名来检测对引导加载程序、关键操作系统文件和未经授权的选项rom的篡改。在检测能够攻击或感染系统规范之前,它们将被阻止运行。能够绕过Secure Boot的攻击者可以绕过计算机上运行的任何安全措施,即使在重新安装操作系统的情况下也可以实现持久性。CVE-2022-4020影响宏碁Aspire A315-22的某些版本,该漏洞存在于这些宏碁笔记本设备上的HQSwSmiDxe DXE驱动程序中。与联想的问题类似,具有提升权限的攻击者可以利用该漏洞通过修改NVRAM变量来修改UEFI Secure Boot设置。如果NVRAM变量“BootOrderSecureBootDisable”存在,则DXE驱动程序BootOrderDxe只需禁用UEFI Secure Boot。ESET解释说,该漏洞仅影响Aspire A315-22/22G、A115-21和Extensia EX215-21/21G 5台设备。根据宏碁的说法,更新应该作为关键的Windows更新发布。或者,可以在此处下载更新的BIOS版本。【阅读原文】2022年11月29日 星期二今日资讯速览:1、《工业互联网密码支撑标准体系建设指南》《车联网(智能网联汽车)密码支撑标准体系建设指南》正式发布2、Twitter遭黑客攻击泄露540万户数据,影响比想象中严重3、印度最大医院遭网络攻击:业务中断超4天 只能手动处理工作1、《工业互联网密码支撑标准体系建设指南》《车联网(智能网联汽车)密码支撑标准体系建设指南》正式发布 为深入贯彻落实《中华人民共和国网络安全法》《中华人民共和国密码法》《加强工业互联网安全工作的指导意见》《关于加强车联网网络安全和数据安全工作的通知》等文件要求,充分发挥标准在工业互联网和车联网(智能网联汽车)密码支撑体系中的顶层设计和基础引领作用,系统推动商用密码在工业互联网和车联网(智能网联汽车)领域的应用,加快构建统一、科学、高效的密码应用标准体系,在工业和信息化部网络安全管理局指导下,工业和信息化部商用密码应用推进标准工作组现正式发布《工业互联网密码支撑标准体系建设指南》《车联网(智能网联汽车)密码支撑标准体系建设指南》。 《工业互联网密码支撑标准体系建设指南》明确了工业互联网密码支撑标准体系建设思路及目标,提出密码应用共性、设备密码应用、控制系统密码应用、网络密码应用、边缘计算密码应用、平台密码应用、数据密码应用、密码行业应用、密码应用管理与支撑等九个方面的标准建设内容,对加快指导研制工业互联网密码应用标准,强化工业互联网安全防护能力,推动工业互联网产业高质量发展具有重要支撑作用。 《车联网(智能网联汽车)密码支撑标准体系建设指南》从基础共性、智能网联汽车、信息通信、服务与平台、智能交通、密码应用管理与支撑等六个方面构建车联网密码应用标准体系,进一步明确了建设思路及目标,用于指导相关标准研制,为规范车联网(智能网联汽车)密码应用,保障车联网(智能网联汽车)安全,促进车联网(智能网联汽车)产业高质量发展保驾护航。 附件: 1. 《工业互联网密码支撑标准体系建设指南》 2.《车联网(智能网联汽车)密码支撑标准体系建设指南》【阅读原文】2、Twitter遭黑客攻击泄露540万户数据,影响比想象中严重 推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码,预计影响到多达540多万用户。据悉,这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。 威胁者在流行的黑客论坛Breached Forums上提供出售被盗数据。1月,一份发表在Hacker上的报告声称发现了一个漏洞,攻击者可以利用这个漏洞通过相关的电话号码/电子邮件找到Twitter账户,即使用户在隐私选项中选择了防止这种情况。 该漏洞允许任何一方在没有任何认证的情况下,通过提交电话号码/电子邮件获得任何用户的twitter ID(这几乎等同于获得一个账户的用户名),即使用户在隐私设置中已经禁止了这一行为。该漏洞的存在是由于Twitter的安卓客户端所使用的授权程序,特别是在检查Twitter账户的重复性的程序。 zhirinovskiy通过漏洞赏金平台HackerOne提交的报告中读到了这样的描述。这是一个严重的威胁,因为人们不仅可以通过电子邮件/电话号码找到那些被限制了能力的用户,而且任何具有基本脚本/编码知识的攻击者都可以枚举一大块之前无法枚举的Twitter用户群(创建一个具有电话/电子邮件到用户名连接的数据库)。这样的数据库可以卖给恶意的一方,用于广告目的,或者用于在不同的恶意活动中给名人打标签。 卖家声称,该数据库包含从名人到公司的用户数据(即电子邮件、电话号码),卖家还以csv文件的形式分享了一份数据样本。 8月,Twitter证实,数据泄露是由研究人员zhirinovskiy通过漏洞赏金平台HackerOne提交的现已修补的零日漏洞造成的,他获得了5040美元的赏金。 据悉,这个错误是由2021年6月对我们的代码进行更新导致的。当我们得知此事时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。 本周,网站9to5mac.com声称,数据泄露的内容比该公司最初报告的要多。该网站报告说,多个威胁者利用了同一个漏洞,网络犯罪地下的数据有不同的来源。去年Twitter的一次大规模数据泄露,暴露了500多万个电话号码和电子邮件地址,比最初报告的情况更糟糕。我们已经看到证据表明,同一个安全漏洞被多人利用,而被黑的数据已经被几个来源提供给暗网出售。 9to5Mac的说法是基于由不同的威胁行为者提供的包含不同格式的相同信息的数据集的可用性。消息人士告诉该网站,该数据库 "只是他们看到的一些文件中的一个"。似乎受影响的账户只是那些在2021年底启用了 "可发现性|电话选项(在Twitter的设置中很难找到)"的账户。 9to5Mac看到的档案包括属于英国、几乎所有欧盟国家和美国部分地区的Twitter用户的数据。专家们推测,多个威胁者可以进入Twitter数据库,并将其与其他安全漏洞的数据相结合。 账号@chadloder(Twitter在消息披露后)背后的安全研究员告诉9to5Mac.电子邮件-Twitter配对是通过这个Twitter可发现性漏洞运行现有的1亿多电子邮件地址的大型数据库得出的"。该研究人员告诉该网站,他们将与Twitter联系以征求意见,但整个媒体关系团队都离开了该公司。【阅读原文】3、印度最大医院遭网络攻击:业务中断超4天 只能手动处理工作安全内参11月28日消息,印度主要公共医疗机构之一,全印度医学科学研究所(AIIMS)遭遇网络攻击,出现业务中断。此次中断影响到数百位使用基础医疗保健服务的患者和医生,波及患者入院、出院和计费等系统。AIIMS成立于1956年,拥有数千位医学本科生和研究生。该机构同时也是印度最大的国有医院之一,可容纳2200多张病床。医院方面表示,上周三(11月23日)发生的网络攻击似乎是一起勒索软件攻击,因为黑客修改了受感染文件的扩展名。AIIMS管理人员接受采访时表示,自上周三上午开始,其患者护理服务受到了严重影响。由于负责记录患者数据的服务器停止工作,该机构只能转向手动操作,包括手写病患记录。中断还导致排队周期延长,应急处置工作也开始出现失误。在经历最初几个小时的中断之后,医院方面发布一份声明,确认了网络攻击的存在。中断一直持续到次日。一位住院医生在采访中表示,“有很多采血样本无法发送,没法进行影像学研究,也看不到之前的报告和图像。大量操作只能以手动方式完成,但这样既耗时也更容易出错。”到上周四晚些时候,医院方面指示医生继续手写记录,包括在系统中断期间手写出生和死亡证明。据mint报道,直到上周六,医院服务器依然受影响,相关工作继续以人工方式进行。印度国家信息中心的一支团队正与印度计算机应急响应小组密切合作,帮助AIIMS尽快恢复系统。据一位直接了解事件的人士称,目前正努力从备份中恢复数据。与此同时,包括中央调查局和德里警局情报整合与战略行动部在内的多个执法机构,也在着手调查这起事件的幕后黑手。警方已经就此事提出正式控告。目前还不清楚,恶意黑客能否访问到患者的细节数据。【阅读原文】2022年11月28日 星期一今日资讯速览:1、网络犯罪猖獗,国际刑警组织截获价值 1.3 亿美元的资产2、一团伙假装应聘潜入电商公司安装木马软件,盗取物流信息3、AI看了70000小时《我的世界》视频学会人类高级技巧,网友:它好痛苦1、网络犯罪猖獗,国际刑警组织截获价值 1.3 亿美元的资产The Hacker News 网站披露, 国际刑警组织宣布,在一项全球打击网络犯罪的活动中,逮捕近 1000 名嫌疑人并扣押价值 1.3 亿美元的虚拟资产。据悉,这场名为“HAECHI-III”的网络犯罪打击行动开始于 2022 年 6 月 28日,在为期五个月时间里,共处理 1600多起案件,逮捕 975 名嫌疑人,冻结近 2800 个用于洗钱的银行和虚拟资产账户。值得一提的是,逮捕嫌疑人中包括两名被韩国通缉的逃犯,这两人涉嫌参与庞氏骗局,从 2000 名受害者身上骗取近 2800 万欧元。此外,抓捕行动还涉及到一起印度呼叫中心骗局,一群犯罪分子冒充国际刑警组织和欧洲刑警组织的官员,网络诱骗奥地利的受害者转移资金。网络犯罪分子”通知“受害者,由于其个人身份信息被盗,其他人以他们的名义犯下了与毒品有关的罪行,恐吓受害者汇款。印度中央调查局(CBI)上月披露,大部分受害者为消除嫌疑,被迫通过银行转账、加密钱包、礼品卡代码或凭证代码将其资产/金钱转移到犯罪分子的银行账户。此次国际刑警组织的突击行动没收印度呼叫中心骗局 25.83 比特币和不同数字钱包中约 3.7 万美元,其中一名嫌疑人银行账户中持有的 37000 美元也被冻结。国际刑警组织指出,呼叫中心骗局导致受害者转移了总计 15.9 万美元,并缴获了骗子使用的四个加密货币钱包。根据执法部门的说法,此次调查行动特别指出了一系列网络金融犯罪,如语音网络钓鱼、浪漫骗局、性侵犯、投资欺诈和与非法网络赌博相关的洗钱。当局强调,一些新发现的网络犯罪趋势包括各种各样的”浪漫骗局“、性侵犯以及使用加密消息应用程序推广虚假的加密钱包计划。【阅读原文】2、一团伙假装应聘潜入电商公司安装木马软件,盗取物流信息今年“双十一”以来,浙江慈溪网警大队接到多家电商公司报警,客户刚在网店下单,随后就接到诈骗电话,引发许多客户不满。电商公司百思不得其解——明明按正常流程发的货,怎么骗子就知道了我们平台的发货信息呢?慈溪网警对受害网店的电脑进行勘查,发现部分连接打印机的电脑中被植入了不明木马软件。顺线循迹深挖,民警最终确定了犯罪嫌疑人。慈溪警方果断出击,抓获了一个专门入室安装木马软件盗取打印信息的团伙,而背后的利益链条令人咋舌。经查,犯罪嫌疑人蒙某和吴某拥有一定技术水平,此前通过境外聊天软件进行交流,购买木马软件。随后,他们在慈溪电商聚集地撒网,通过应聘等方式,寻找可以下手的电商公司。深夜,他们秘密潜入电商公司,他们从不偷盗,只是在电商公司的办公电脑上安装木马软件,在他们眼中,海量的客户信息远比实物本身更有价值。这些木马软件已被设置成自动将秘密窃取的客户信息上传到境外服务器,上家一旦通过木马软件获取打印的客户信息,便会支付高额的佣金。为了赚取佣金,早在“双十一”购物节前夕,犯罪嫌疑人蒙某和吴某就连续多次作案,在慈溪6家电商公司里的电脑上安装了木马软件。截至案发,他们非法获取物流信息3000余条,目前两名犯罪嫌疑人均已被依法采取刑事强制措施。【阅读原文】3、AI看了70000小时《我的世界》视频学会人类高级技巧,网友:它好痛苦AI看70000小时《我的世界》视频,能达到一个什么水平?以“钻石镐”(diamond pickaxe)为例,这个东西高级人类玩家要快速点击20分钟、约2.4万个动作才能制作完成。而现在的AI,已然能够轻松hold住了。哐哐找到各种材料,一步步进行各种合成:这就是来自OpenAI号称最强的《我的世界》AI——MineDojo。它还是世界第一个能够打造“钻石工具”的AI。不仅如此,像打造“石镐”、“简易避难所”都不在话下:当然,在《我的世界》里其它的常规操作,在MineDojo手里也游刃有余。例如游泳、狩猎、支柱跳等等:至于OpenAI为什么要让AI学会这些技巧,研究人员Bowen Baker表示:很大程度上是因为我们在模拟人类上网时的行为。MineDojo是如何炼成的?正如我们刚才提到的,MineDojo的“炼成之道”,就是看视频。这些视频内容都是人类玩家发布在油管上,展示自己如何玩《我的世界》的。然后在看完70000小时视频之后,这个AI就学会了如何执行游戏中的各种任务。这种方式一般被称为模仿学习(imitation learning),就是训练神经网络通过观察人类行为来学习。虽然此前也有众多相关研究,但仍有一些问题尚待解决。“贴标签”就是其中之一。传统方式就是在每一个动作上贴上标签:这么做会发生这件事、那么做会发生那件事。但这种方式可想而知的后果,就是工作量太大了,导致可以用来训练的数据较少。因此,OpenAI的研究人员便另辟蹊径,想出了不一样的研究思路——视频预训练(Video Pre-Training,VPT):这个方法的核心思路,就是训练另一个神经网络,专门来处理繁琐的“贴标签”的工作。为此,研究人员先是找来一批玩家让他们先玩《我的世界》,当然,娱乐的同时也要记录下键盘、鼠标的点击次数。如此一来,研究人员先是得到了2000小时带标记的一些数据。在这基础上,他们便开始训练一个模型,来匹配键盘、鼠标动作和屏幕上的结果——例如在什么情况下点下鼠标,会让游戏中的角色挥舞斧头。把这个模型训练出来之后,就要引入70000小时没有标签的视频了;在它的加持下,庞大且可用的数据集就诞生了。再接下来,就是回到之前模仿学习的思路,用这些新数据来训练AI。虽说模仿学习可以说是强化学习的一个分支,但OpenAI的研究人员发现,VPT训出来的AI,能够完成单靠强化学习无法完成的任务。比如制作木板并把它们变成一张桌子(大约需要970个连续动作)。不仅如此,研究人员还发现,若是把模仿学习和强化学习做个结合,那么效果是最好的。而由《我的世界》这次的研究拓展开来,OpenAI的研究人员还表示:我们的AI还可以执行其它任务,例如鼠标浏览网站、预订航班或在线购物。《我的世界》已经成为AI技术试验田其实OpenAI这次研究的亮点,刨除VPT方法本身,其研究的两大要素——《我的世界》和视频,也成为人们热议的焦点。《我的世界》这款游戏的一大特点就是开放性,玩家可以在这个虚拟世界里做出许多意想不到的杰作。不同于以往强化学习训练AI的游戏环境,大多都是以“输赢”为结果而终止了,但往往AI后期训练出来的能力可能是超越这种“限制”的。但《我的世界》就没有“输赢”之说了,AI可以在这里尽情的发挥。因此OpenAI研究人员表示:《我的世界》是训练AI很好的试验田。而这也赢得了NeurIPS的认可——MineDojo拿下了今年这个顶会的一个奖项。至于这项研究第二个热议点“视频”,正如索尼执行董事Peter Stone所述:视频是一种潜力巨大的培训资源。但似乎OpenAI的研究人员还不满足此次的成果,他们认为,收集100万小时《我的世界》的视频,会让它们的AI变得更加出色。当然,这项研究也引来不少网友们的围观,也有一些比较有意思的讨论:人们想让AI有意识,但它们有意识之后才发觉,自己需要被迫看这么久的视频,有够累的。论文地址:https://openai.com/blog/vpt/参考链接:[1]https://www.reddit.com/r/technology/comments/z58fmi/a_bot_that_watched_70000_hours_of_minecraft_could/[2]https://www.youtube.com/watch?v=Z2FsxrRmDPQ[3]https://www.youtube.com/watch?v=fJn9B64Znrk【阅读原文】2022年11月25日 星期五今日资讯速览:1、微软发布带外更新,紧急修复补丁引发的Kerberos问题2、俄罗斯导弹袭击致使乌克兰及邻国互联网中断3、网络犯罪团伙越来越多地使用 Aurora 信息窃取恶意软件1、微软发布带外更新,紧急修复补丁引发的Kerberos问题编译:代码卫士微软发现最近的一个Windows 补丁可导致 Kerberos 认证问题后,发布带外安全更新。11月补丁星期二,微软修复了影响 Windows Server 的提权漏洞CVE-2022-37966。该高危漏洞可导致能够收集目标系统信息的攻击者获得管理员权限。微软在安全公告中指出,“未认证攻击者可执行攻击,利用RFC 4757和MS-PAC中的加密协议漏洞,绕过Windows AD 环境中的安全特性。”然而,就在补丁发布几天后,用户开始抱怨Kerberos认证问题。微软快速行动并在几天后提供了缓解措施。11月17日,微软发布带外更新。微软告知客户称,“尚未安装11月8日发布的安全更新的客户,应当安装该带外更新。已经安装Windows安全补丁且遇到问题的客户,应当安装该带外更新。”虽然CVE-2022-37966并未遭在野利用且并未公开披露,不过微软仍然给出“更可能利用”的评级。原文链接https://www.securityweek.com/microsoft-releases-out-band-update-after-security-patch-causes-kerberos-issues【阅读原文】2、俄罗斯导弹袭击致使乌克兰及邻国互联网中断安全内参11月24日消息,昨天,数十枚俄罗斯导弹袭击了乌克兰多处城市,导致乌克兰及其邻国摩尔多瓦的互联网连接中断,全国大规模停电。互联网状态监控服务NetBlocks公布的数据显示,在俄罗斯袭击乌克兰电力设施后,乌克兰的互联网可用性下降了近65%。城市地区的电力基础设施受到的破坏最为严重,因此城区互联网连接也成为影响重灾区。比如乌克兰西部的利沃夫市,白天至少有几个小时没有电力供应。导弹袭击在摩尔多瓦也造成了类似的破坏。摩尔多瓦与乌克兰接壤,而且与乌方电网直接连通。图:俄罗斯导弹袭击引发大面积停电,导致乌克兰在12:00 UTC(当地时间14:00)后遭遇严重互联网中断。摩尔多瓦副总理安德烈·斯皮努 (Andrei Spinu) 表示,摩尔多瓦超过一半的地区也失去供电,包括首都基希讷乌以及俄罗斯支持分裂的德涅斯特河沿岸地区。摩尔多瓦总统马娅·桑杜(Maia Sandu)称,“摩尔多瓦无法相信一个让国家处于黑暗和寒冷中的政权”。这已经是摩尔多瓦本月第二次因俄乌战争而陷入停电。11月15日,一次导弹袭击曾导致摩尔多瓦一条主要供电路线中断,致使“超过六个城市”无电可用。本周三,俄罗斯共向乌克兰发射了70枚导弹、派出5架无人机,共造成5人死亡、35人受伤。就在不久前,欧洲议会将俄罗斯认定为支持恐怖主义的国家。在周三袭击发生后,乌克兰所有核电站和大部分火力发电厂暂时关闭。部分在线服务,包括Glovo外卖平台,也因停电而中断。俄乌战争后,乌克兰断网已成家常便饭事实上,断网在乌克兰已然成为新的“日常”。俄罗斯导弹袭击已经摧毁了乌克兰近半数能源系统,迫使政府多次进行三到六个小时的白天临时停电。由于紧急停电,成千上万乌克兰人失去了供水、供暖和网络宽带服务。由于电信运营商无法处理暴增的流量,所以移动互联网也时断时续。乌克兰数字转型部长米哈伊洛·费多罗夫 (Mykhailo Fedorov)表示,乌克兰网络运营商会使用发电机为民众提供网络连接。每台发电机可在不中途加油的情况下持续工作8至40小时。地方当局还计划在整个乌克兰引入免费WiFi热点。这样即使停电持续数天,民众也仍然可以正常上网和为设备充电。为了在大部分网络设施被俄军摧毁的城市中恢复通信,乌克兰电信运营商使用了由美国公司SpaceX提供的Starlink星链卫星互联网终端。乌克兰目前拥有超22000台星链终端,由当地志愿者、欧洲盟友、美国政府和私营公司提供。SpaceX公司自身也向乌克兰捐赠了约4670台终端。【阅读原文】3、网络犯罪团伙越来越多地使用 Aurora 信息窃取恶意软件Hackernews 编译,转载请注明出处:一种名为Aurora Stealer的基于Go的新兴恶意软件正被越来越多地部署,用于从受攻击主机上窃取敏感信息。网络安全公司SEKOIA表示:“这些感染链冒充合法软件的下载页面,包括加密货币钱包或远程访问工具,以及911方法,利用YouTube视频和搜索引擎优化(SEO)的假冒破解软件下载网站。”Aurora于2022年4月首次在俄罗斯网络犯罪论坛上发布广告,作为商品恶意软件提供给其他黑客,被称为“具有窃取、下载和远程访问功能的多用途僵尸网络”。在过去的几个月里,该恶意软件的规模已经缩小到一个窃取者,可以从40个加密货币钱包和Telegram等应用程序中获取感兴趣的文件、数据。Aurora还附带了一个加载器,可以使用PowerShell命令部署下一阶段的负载。这家网络安全公司表示,至少有不同的网络犯罪组织,称为traffers,负责将用户的流量重定向到由其他参与者操作的恶意内容,已经将Aurora添加到了他们的工具集中,无论是单独添加还是与RedLine和Raccoon一起添加。SEKOIA表示:“Aurora是另一个以浏览器、加密货币钱包、本地系统的数据为目标的信息窃取者,并充当加载器。收集到的数据在市场上以高价出售,网络犯罪分子对这些数据特别感兴趣,这让他们能够开展后续有利可图的活动,包括大型狩猎活动。”帕洛阿尔托网络Unit 42的研究人员详细介绍了另一款名为Typhon stealer的增强版本。这种新变体被称为Typhon Reborn,旨在从加密货币钱包、网页浏览器和其他系统数据中窃取数据,同时删除先前存在的功能,如密钥记录和加密货币挖掘,以尽量减少检测。Unit 42的研究人员Riley Porter和Udai Pratap Singh表示:“Typhon Stealer为黑客提供了一个易于使用、可配置的构建器。”Typhon Reborn的新反分析技术正在沿着行业路线发展,在规避策略方面变得更加有效,同时拓宽了他们窃取受害者数据的工具集。【阅读原文】2022年11月24日 星期四今日资讯速览:1、印度证券业关键机构遭恶意软件入侵,部分设备已隔离2、Windows版iCloud遭遇重大Bug 用户宣称看到陌生人的照片3、美国当局没收用于“杀猪”加密货币诈骗的域名1、印度证券业关键机构遭恶意软件入侵,部分设备已隔离安全内参11月22日消息,总部位于孟买的印度领先中央证券存管机构Central Depository Services Limited(CDSL)表示,其系统已遭恶意软件入侵。上周五(11月18日),该证券存管机构向印度国家证券交易所提交一份文件,称其检测到“一些内部设备”已遭恶意软件影响。文件指出,“出于谨慎考量,我公司立即隔离了这些设备,并脱离资产交易市场以避免影响其他部分。”CDSL表示将继续开展调查,但截至目前,“尚无迹象表明有任何机密信息或投资者数据因此事件而遭泄露。”CDSL并未透露该恶意软件的具体细节。截至本文撰稿时,该公司网站已经关闭,且CDSL拒绝解释网站关停是否与攻击事件有关。CDSL发言人Banali Banerjee表示暂时无法回答其他问题,包括公司是否保存有能确定哪些数据被泄露(如果确有泄露)的日志记录。发言人只表示,“我们正在努力解决问题。”中央证券存管机构为印度证券业运转关键机构CDSL号称维护并服务于全国各投资者的近7500万个交易员账户(在印度被称为demat账户),该公司的重要股东包括孟买证券交易所、渣打银行和印度Life Insurance Corporation(LIC)人寿保险公司。CDSL成立于1999年,是印度唯一一家公开上市的同类公司,也是仅次于印度最早证券存管机构National Depository Services Limited(NDSL)的第二大存管机构。CDSL允许用户以电子形式持有证券及相关交易,并协助证券交易所进行贸易结算。印度证券交易委员会要求,所有想交易印度证券的人都必须拥有Demat账户。而只有国家证券存托有限公司和中央存托服务有限公司这两个机构才能批准Demat账户开设。CDSL公司在提交的文件中表示,“CDSL团队已经向有关当局上报了此次事件,目前正与政府网络安全顾问合作,共同分析事件影响。”参考资料:https://techcrunch.com/2022/11/18/cdsl-malware-internal-systems/【阅读原文】2、Windows版iCloud遭遇重大Bug 用户宣称看到陌生人的照片从理论上讲,将照片和视频上传到云端应该是确保你的文件安全可靠的一种便捷方式。但在Windows版iCloud的情况下,结果似乎正好相反。来自MacRumors的一份报告指出了一系列来自iCloud for Windows用户的投诉,他们解释说,在将他们的视频上传到云端后,文件最终被完全损坏,以至于无法再观看它们。然而,更令人担忧的是,一些用户最终获得了属于他人的照片,原因至今都还没有确定。目前还不太清楚为什么会出现这种情况,但苹果公司还没有对这个bug发表评论。但根据上述消息来源,整个事情有可能是由服务器端问题引起的,删除iCloud forWindows并重新安装该应用似乎并不能使事情恢复正常。"iCloud for Windows正在破坏从iPhone14 Pro Max录制的视频,导致出现带有一条白色扫描线的黑色视频。在极少数情况下,它还会显示可能是其他人的iCloud账户里的内容,我在我的iCloud账户中看到了我在生活中从未见过的其他人的家庭照片,足球比赛和其他随机照片。显然,这非常令人担忧,并不完全让我感到使用iCloud有足够安全。"一位用户解释说。在这一点上,看起来Windows版iCloud运行的平台不是主要原因,因为这个问题在Windows 10和Windows 11上都会发生。目前官方似乎还没有提供解决的办法。访问问题报告全文:https://forums.macrumors.com/threads/icloud-for-windows-corrupting-videos-downloading-other-peoples-photos.2370666/【阅读原文】3、美国当局没收用于“杀猪”加密货币诈骗的域名Hackernews 编译,转载请注明出处:美国司法部(DoJ)当地时间11月21日宣布关闭七个与“杀猪盘”加密货币骗局有关的域名。美国司法部表示,该欺诈计划从2022年5月至2022年8月运作,从五名受害者那里净赚了超过1000万美元。杀猪,也被称为杀猪盘,是一种骗局,骗子引诱毫无戒心的投资者发送他们的加密资产。犯罪分子在约会软件、社交媒体网站和短信上遇到了潜在的受害者。这些人发起虚假关系,试图建立信任,只是为了欺骗他们在虚假平台上进行加密货币投资。美国司法部表示:“一旦钱被发送到虚假投资应用程序,骗子就会消失,带走所有的钱,给受害者造成重大损失。”该机构指出,被查封的七家门户网站都模仿了新加坡国际货币交易所(SIMEX)。但是,一旦资金被转移到这些域名提供的钱包地址,数字货币会立即通过一系列私人钱包和交换服务,来隐藏踪迹。“情感的操纵、友好的语气,以及事先利用阶段的持续时间,让真实的情感得以发展,黑客利用这种情感获得经济利益,有时会损失数百万美元。”美国联邦调查局(FBI)上个月发布的一份咨询报告指出,当受害者试图撤回投资时,他们被要求支付额外的税款或罚款,从而导致更多的损失。今年4月,该情报机构透露,它在2021年收到了4300多起与加密浪漫诈骗有关的投诉,造成超过4.29亿美元的损失。Proofpoint最近的一份报告还详细介绍了欺诈者采取的一些其他策略,包括建议将对话转移到Telegram或WhatsApp进行“更私密的聊天”,并鼓励受害者发送有损隐私的照片。研究人员Tim Krombhardt和Genina Po表示:“除了基于加密货币的诱饵,这些犯罪企业还利用黄金、外汇、股票和其他对象来剥削受害者。”“这种计划之所以成功,是因为导致‘屠杀’的对话具有亲密性质。对于利用这种社会工程剥削受害者的黑客来说,制造羞耻和尴尬是关键目标,类似于浪漫诈骗。”【阅读原文】2022年11月23日 星期三今日资讯速览:1、大连警方侦破全省首例利用“跑马机”设备非法控制计算机信息系统案2、美国CISA、NSA、ODNI联合发布保护软件供应链安全指南3、某医疗机构公众号系统漏洞遭利用,攻击者窃取10余万条公民数据境外售卖被抓1、大连警方侦破全省首例利用“跑马机”设备非法控制计算机信息系统案近日,大连警方成功侦破全省首例利用“跑马机”设备非法控制计算机信息系统案。抓获涉嫌提供侵入、非法控制计算机信息系统程序、工具和涉嫌非法控制计算机信息系统罪的犯罪嫌疑人2人。扣押能够采集学员照片视频,并在学员不在场的情况下,帮助学员签到或者不定时上传学员照片视频给计时打卡终端,从而实现学员本人不在现场时也可以练车的录像机和播放机;以及与录像和播放机配合使用能够实现学员不在驾校练车,便可自动计学时、计里程的功能的“跑马机”等设备9套。该案的成功侦破不仅有效维护了各驾校之间的合法权益,为各驾校公平合法经营提供了保护。据警方介绍,大连市公安局网安支队在工作中发现我市部分驾校教练有频繁网购“科目三跑马机”的异常行为。经民警进一步工作发现,所谓的“跑马机”由三个组件组成,分别为采集并上传照片和视频的录像机、用于回看学员学车视频的播放机及具备自动计学时、计里程功能的“跑马机”。该设备已涉嫌非法控制辽宁省驾驶员培训计时管理平台。经民警调查发现,大连开发区多个驾校的教练车辆均有安装该设备,且设备大多来自于某驾校教练李某明。民警以此为线索开展进一步工作,发现李某明于2021年7月间在上家傅某鑫处大量购买“跑马机”。前期,大连市公安局网安支队联合开发区公安分局网安大队在开发区某驾校科目三训练场将犯罪嫌疑人李某明抓获,在开发区某驾校科目二训练场将犯罪嫌疑人傅某鑫抓获。二人到案后对其提供并使用“跑马机”的犯罪事实供认不讳。目前,犯罪嫌疑人李某明、傅某鑫因涉嫌提供侵入、非法控制计算机信息系统程序、工具罪已被大连开发区公安分局依法刑事拘留,案件正在进一步工作中。【阅读原文】2、美国CISA、NSA、ODNI联合发布保护软件供应链安全指南10月18日,美国网络安全和基础设施安全局(CISA)与国家安全局(NSA)和国家情报总监办公室(ODNI)合作发布了关于保护软件供应链的三部分系列文章的最后一部分。该出版物遵循2022年8月发布的开发人员指南和2022年10月发布的供应商指南,为客户提供了推荐做法,以确保软件在采购和部署阶段的完整性和安全性。其中包括使用业务流程使安全要求和风险评估保持最新,并要求充分保护和控制所有数据和元数据的地理定位。文章描述了威胁行为者可能利用的各种场景。其中包括旨在应对威胁的安全要求不是特定领域或不包括组织要求的事实,以及安全要求分析中的差距可能导致解决方案或所选安全控制不匹配。此外,文章还指出,公司应分配特定员工来验证特定领域和组织的安全要求,并协调风险概况定义与任务和企业领域等。最近的网络攻击,如针对SolarWinds及其客户的攻击,以及利用Log4j等漏洞的攻击,都突出了软件供应链中的弱点;这一问题既涉及商业软件,也涉及开源软件,对私营企业和政府企业都有影响。软件供应链可能会被国家对手使用类似的战术技术和程序(TTP)进行攻击,因此越来越需要软件供应链安全意识。文章中还提到,白宫对此特地发布了关于改善国家网络安全的行政命令(EO 14028)。该命令确立了保护联邦政府软件供应链的新要求。这些要求包括对软件供应商和开发人员以及为联邦政府购买软件的客户的系统审查过程改进和安全标准。CISA写道:“当产品没有得到适当的保护,当客户与可疑的地理位置和元数据相关联,或者当客户被怀疑与外国利益相关时,一般的安全漏洞也可能普遍存在。”JupiterOne首席信息安全Sounil Yu表示:“软件生产通常由行业完成,因此会有一些行业力量拒绝生产软件物料清单(SBOM)。由于行业和政府都使用软件,支持共享SBOM符合行业和政府的最大利益。但是,我们会看到政府内部的阻力较小。”CISA还表示,还应建立所有收购的安全要求。通过分拆公司、外部实体或第三方供应商获取软件时,客户应对整个供应链风险管理 (SCRM) 计算实施持续监控,并采取适当的控制措施来减轻假设变化和安全风险。【阅读原文】3、某医疗机构公众号系统漏洞遭利用,攻击者窃取10余万条公民数据境外售卖被抓“网络通”麻某本可以靠自身技能找工作赚干净钱,却抵不住金钱的诱惑走上邪路,一手好牌被自己打的稀烂,硬生生将自己送进“班房”,冰城警方果断出手斩断了麻某非法窃取公民信息的“黑手”。近日,哈尔滨市公安局南岗分局网安大队民警在工作中发现,境外某黑客论坛上有一名用户于2022年10月发贴出售公民个人信息数据,自称持有数据量约20GB,售价0.2比特币,该用户还公布了29条数据样本,样本中还包括了公民姓名、联系电话、家庭住址等个人信息。由于该线索涉及侵犯公民个人信息犯罪,且涉案数据量较大,立即引起了各级网安部门的高度重视。在哈尔滨市公安局网安支队统一指挥下,两级网安部门成立专案组,合力开展侦查工作。专案组民警在调查中发现,犯罪嫌疑人精通电脑操作及网络知识,隐藏得很深,给侦查工作造成了不小的难度。专案组的民警们昼夜不眠,将被泄露数据在海量的数据源中进行比对、分析,经过96小时的艰苦奋战,最终确定了犯罪嫌疑人的作案手法、作案时间段及使用的IP地址。10月22日,南岗公安分局民警在哈尔滨市平房区将涉嫌非法获取计算机信息系统数据的犯罪嫌疑人麻某抓获,并在其电脑中查获非法获取的公民个人信息10万余条。经审讯,犯罪嫌疑人麻某供述,其为IT行业从业人员,利用某医疗机构微信公众号的系统漏洞,在今年4月至10月间,通过技术手段非法获取该计算机系统数据10万余条,而后在境外某黑客论坛发帖出售,截至落网前,已非法获利1500美元。目前,麻某已因涉嫌非法获取计算机信息系统数据罪被依法批准逮捕,案件正在进一步工作中。【阅读原文】2022年11月22日 星期二今日资讯速览:1、湖南网信部门开出数据安全领域行政执法首张罚单2、宣布破产后,加密货币交易平台 FTX 拟出售或重组部分业务3、谷歌发现 34 个 Cobalt Strike 黑客工具包的破解版本1、湖南网信部门开出数据安全领域行政执法首张罚单近日,在湖南省网信办的指导下,湘西州网信办依法对湘西州某县自来水公司作出行政处罚。该县自来水公司缴费系统因未采取相应防护措施履行数据安全保护义务,违反《湖南省网络安全和信息化条例》第二十六条第一款规定。湘西州网信办依据《湖南省网络安全和信息化条例》第五十五条规定,对该县自来水公司予以警告和责令整改,并对公司法人作出罚款的行政处罚。该自来水公司负责人表示,真诚接受行政处罚,并按要求全面整改。此次在数据安全领域开展的行政执法活动,标志着全省网信部门从网络信息内容执法加快向网络安全、数据安全、个人信息保护等领域执法拓展,也是《湖南省网络安全和信息化条例》正式施行以来开出的首张罚单。湖南省网信办相关负责人表示,网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为,切实维护网络安全、数据安全和社会公共利益,有力保障广大人民群众合法权益。【阅读原文】2、宣布破产后,加密货币交易平台 FTX 拟出售或重组部分业务IT之家 11 月 20 日消息,据路透社报道,当地时间周六,宣布破产的加密货币交易平台 FTX 表示,已启动对其全球资产的战略评估,并准备出售或重组部分业务。FTX 及其约 101 家关联公司还寻求法院救济,以允许新的全球现金管理系统运行并向关键供应商付款。宣布破产后,加密货币交易平台 FTX 拟出售或重组部分业务IT之家了解到,11 月 11 日,FTX 宣布已在美国启动破产程序。FTX 在一份声明中表示,CEO Sam Bankman-Fried 已经辞职,但将继续留在公司,协助公司有序过渡。此外,John Ray 被任命为 FTX 的新任 CEO。路透社指出,这是最引人注目的加密货币崩盘之一,导致约 100 万客户和其他投资者面临总计数十亿美元的损失。FTX 新任首席执行官 John Ray 在一份声明中称,FTX 将探索出售、资本重组或对部分部门进行其他战略交易。在周六提交给法院的一份文件中,FTX 请求获得许可,在临时订单后向关键供应商支付 930 万美元的预申诉索赔,在最终订单输入后支付至多 1750 万美元的预申请索赔。FTX 表示,如果未能获得所请求的法院救济,将对其业务造成“立即和不可弥补的伤害”。FTX 在另一份提交给法院的文件中称,截至 11 月 16 日,公司已确认 216 个债务人银行账户的余额为正,但迄今为止只能核实 144 个账户的余额。目前,FTX 已指定 Perella Weinberg Partners LP 作为其主要投资银行,协助完成出售过程,具体情况有待法院批准。【阅读原文】3、谷歌发现 34 个 Cobalt Strike 黑客工具包的破解版本Hackernews 编译,转载请注明出处:谷歌云(Google Cloud)上周披露,它在野外发现了34个不同的Cobalt Strike工具黑客版本,其中最早的版本于2012年11月发布。根据谷歌云威胁情报(GCTI)团队的调查结果,这些版本从1.44到4.7,总共有275个独特的JAR文件。Cobalt Strike的最新版本是4.7.2版。Cobalt Strike由Fortra(née HelpSystems)开发,是一种受欢迎的对抗框架,红色团队使用它来模拟攻击场景并测试其网络防御能力。它包括一个作为指挥和控制(C2)中心的团队服务器,以远程控制受感染的设备,以及一个旨在提供下一阶段有效负载的stager,称为Beacon,这是一个功能齐全的植入物,可向C2服务器报告。由于该软件具有广泛的功能,越来越多地黑客将其未经授权的版本武器化,以推进他们的后开发活动。谷歌Chronicle子公司的逆向工程师Greg Sinclair表示:“虽然Cobalt Strike的意图是模拟真实的网络威胁,但黑客已经掌握了它的能力,并将其作为受害者网络中横向移动的强大工具,作为第二阶段攻击有效载荷的一部分。”为了解决这种滥用,GCTI发布了一套开源的YARA规则,以标记恶意黑客组织使用的软件的不同变体。Sinclair说:“我们的想法是删除坏版本,同时保留合法版本,我们的目的是将这个工具移回合法红色团队的领域,让攻击者难以滥用它。”【阅读原文】2022年11月21日 星期一今日资讯速览:1、全球医疗机构因勒索软件攻击累计停机超7千天,造成经济损失920亿美元2、Meta宣布与国际足联合作 遏制世界杯举办时期的网络骚扰行为3、杭州一海归硕士被公诉:利用境外软件破解无人机禁飞系统获利1、全球医疗机构因勒索软件攻击累计停机超7千天,造成经济损失920亿美元【阅读原文】2、Meta宣布与国际足联合作 遏制世界杯举办时期的网络骚扰行为2、Meta宣布与国际足联合作 遏制世界杯举办时期的网络骚扰行为Meta公司正试图在2022年国际足联世界杯期间阻止网络骚扰问题,阐述了该公司为保护球员和球迷免受有害内容影响而采取的措施。去年,Facebook和Instagram都因未能保护英格兰国家足球队的黑人球员免受种族主义虐待而受到批评,球员们在2021年欧洲杯比赛期间遭到骚扰,导致英格兰各地的球队和组织在社交媒体上抵制。在今天的一篇博文中,Meta公司表示,它正在与国际足联等球队和协会合作,教球员如何使用Instagram上的反骚扰功能,如"关键词过滤"和"限制"。它还强调,它在今年早些时候向Instagram推出了新的提示,阻止用户回复攻击性评论,并表示它在今年4月至6月期间能够对超过1700万件仇恨言论采取行动。不过,这些功能都不是新的,也不是专门为处理世界杯而设计的。Meta博文中写道:"我们有明确的规则,反对欺凌、暴力威胁和仇恨言论--我们不希望它出现在我们的应用上。该声明是在2022年国际足联世界杯的紧张局势下发表的,因为球迷和球员都批评主办国对移民工人、妇女和LGBTQ群体存在大量侵犯权益的行为。"关于已经存在的其他保护措施,Meta公司强调了一些工具,这些工具允许用户自己进行调节:包括逐个管理帖子评论权限;可以禁用公共直接信息;阻止攻击性用户。但这些解决方案对于希望与粉丝自由交流的公众人物来说可能并不理想。Meta公司为减少Instagram上的辱骂性信息所做的其他努力包括简单地要求用户不要过于刻薄。国际足联和更广泛的足球行业围绕其球迷和成员的行为已经有了不好的名声,但即将在卡塔尔举行的2022年国际足联世界杯特别引发了关注。自从赛事被授予卡塔尔以来,围绕针对卡塔尔人权的抗议活动一直在进行,美国司法部此前认为这一决定是国际足联官员受贿的结果。2021年的一项调查发现,至少有6500名移民工人因卡塔尔的极端工作条件(包括缺乏水)而死亡。【阅读原文】3、杭州一海归硕士被公诉:利用境外软件破解无人机禁飞系统获利无人机出厂时设有禁飞系统,未经审批不能在禁飞区飞行,但杭州海归硕士陈某利用国外网站购买的代码破解禁飞系统牟利。11月16日,从杭州拱墅区检察院获悉,该院日前以提供侵入、非法控制计算机信息系统程序、工具罪对陈某提起公诉。今年初,“发烧友”孙某在某平台看到“飞行者”发布的信息:“无人机完全破解,无视禁飞区、解除飞行限高。需要私信!”他一直想航拍家附近的湖面全景,因湖面部分位置是“禁飞区”,操控无人机进入会被提示“前方禁飞区”。孙某与“飞行者”沟通,对方表示“550块可完全破解”。孙某转账后按对方指令远程控制电脑、连接无人机,约20分钟后对方表示已破解,孙某“验货”,无人机进入湖面后果然不再被提示有禁飞区。警方调查发现,“飞行者”陈某系海归硕士,从事教育培训工作,也是无人机发烧友。据交代,他在某讨论群看到有人提到过“翻墙”破解无人机禁飞系统,利用自身的计算机技能,通过某国外网站购买破解代码。该代码相当于“解禁”证书,专门破解某品牌无人机禁飞系统,输入后可以解除禁飞系统,飞行高度也不再受限。尝试破解后,陈某在“飞友群”展示成果并以每次500至550元兜售,至案发向不特定无人机用户提供有偿破解服务17次,非法获利8900元。【阅读原文】2022年11月18日 星期五今日资讯速览:1、中美俄首次参与网安演习 明年将面对面对抗2、研究人员在 Spotify 的后台发现了严重的 RCE 漏洞3、Log4j漏洞难修补!美国联邦政府遭入侵,FBI称黑手为伊朗黑客1、中美俄首次参与网安演习 明年将面对面对抗韩联社16日报道称,韩国国防部当天宣布,东盟防长扩大会议网络安全专家工作组第9次会议于16日至17日以视频方式举行。韩国和马来西亚作为共同主席国主持会议,中国、美国、俄罗斯、日本、印度、澳大利亚、新西兰和东盟的十个成员国参与其中。会议内容包括网络安全跨国演习,这将是中美俄首次共同参与此类演习。报道称,16日,与会国讨论网络安全演习课题,以增强各方在网络安全领域制定和落实国防政策的能力。17日,与会国将共同实施应对网络安全威胁的模拟演习。在演习中,两国组成一队,共同解决勒索软件攻击等网络安全问题。韩国国防部期望“此次演练有助于缩小各国之间网络响应能力的差距”。各方还将于明年下半年在韩国以面对面的方式实施演习。今年5月,韩国正式加入北约网络防御中心,成为首个加入该组织的亚洲国家。韩国媒体宣称,此次牵手北约是韩国在网络空间领域软、硬实力的体现,也是“韩国与北约关系持续深化拓展的折射”。此后,韩国分别与荷兰、澳大利亚和德国进行了网络安全对话会议,围绕评估对手网络攻击能力、制定政策法规、规划战略等内容展开经验交流。在不久前结束的北约峰会上,网络安全领域合作成为韩国与比利时、英国等国双边会晤的重要议题。此次韩军计划接连参加两场北约组织的网络战演习,目的是进一步加强其与北约国家在新型作战领域的军事合作。按计划,在美国主办的“网络旗帜”多国联合军演中,韩军将派遣20名网络战人员,模拟构建韩国网络作战司令部指挥中心,重点演练联合友军帮助“基础设施受到网络攻击的盟友”进行防御、溯源和反击。韩国国防部介绍称,演习结束后,韩军网络作战司令部将分批次派遣不同层级的军官赴美交流。在北约网络防御中心主办的演习中,韩国将以正式成员身份参加竞技比武。韩军将派出网络领域专家团,围绕演习进程和效果,研究讨论网络空间“作战规则”。【阅读原文】2、研究人员在 Spotify 的后台发现了严重的 RCE 漏洞Hackernews 编译,转载请注明出处:安全公司Oxeye的研究人员在Spotify的后台发现了一个关键的远程代码执行漏洞(CVSS评分为9.8)。Backstage是Spotify用于构建开发人员门户的开源平台,它被多个组织使用,包括美国航空公司、Netflix、Splunk、Fidelity Investments和Epic Games。此问题可通过触发vm2第三方库中最近披露的虚拟机沙箱逃逸漏洞(CVE-2022-36067 又名Sandbreak)来利用。Oxeye研究人员通过Spotify的漏洞赏金计划报告了这个RCE漏洞,Backstage开发团队在1.5.1版本中迅速修复了这个漏洞。“未经身份验证的黑客可以通过利用Scaffolder核心插件中的vm2沙箱逃逸,在Backstage应用程序上执行任意系统命令。”Oxeye发布的建议写道。该漏洞存在于允许开发人员在Backstage中创建组件的软件模板工具中。研究人员解释说,模板引擎利用vm2库来防止不可信代码的执行。“在审查如何限制这种风险时,我们注意到可以通过在隔离环境之外使用带有Nunjucks的用户控制模板,来运行shell命令。因此,Backstage开始使用vm2 JavaScript沙盒库来降低这种风险。在早期的研究论文中,Oxeye发现了一个vm2沙盒逃逸漏洞,导致主机上的远程代码执行(RCE)。研究人员在Shodan中对Backstage favicon哈希进行了简单的查询,并发现了500多个暴露在互联网上的Backstage实例。专家们注意到,默认情况下部署Backstage时没有身份验证机制或授权机制,允许来宾访问。一些公开的Backstage实例不需要任何身份验证。通过进一步的测试,专家们可以确定,在许多情况下,不需要身份验证就可以利用该漏洞。“任何基于模板的虚拟机转义的根源都是在模板中获得JavaScript执行权限。通过使用“无逻辑”模板引擎(如Mustache),可以避免引入服务器端模板注入漏洞。尽可能将逻辑与演示文稿分离,可以大大减少您受到最危险的基于模板的攻击风险。有关缓解基于模板的漏洞的更多信息,请参阅PortSwigge的技术公告。如果您使用Backstage进行身份验证,请同时在前端和后端启用它。”【阅读原文】3、Log4j漏洞难修补!美国联邦政府遭入侵,FBI称黑手为伊朗黑客安全内参11月17日消息,美国FBI与网络安全与基础设施安全局(CISA)日前发布一份联合报告称,某个由伊朗支持的未具名威胁组织入侵了一个联邦民事行政部门组织,并部署了XMRig加密货币挖矿恶意软件。攻击者利用的是未安装Log4Shell(CVE-2021-44228)远程代码执行漏洞补丁的VMware Horizon服务器,抓住机会成功入侵了联邦网络。在部署加密货币挖矿程序后,这批伊朗恶意黑客还在被感染的服务器上设置了反向代理,希望能在该机构网络内持久驻留。这份联合咨询报告写道,“在事件响应过程中,CISA确定了恶意黑客利用的是未经修复的VMware Horizon服务器内的Log4Shell漏洞、安装了XMRig加密货币挖矿软件、横向移动至域控制器(DC)、夺取凭证,而后在多台主机上植入了Ngrok反向代理以期持久驻留。”FBI和CISA还补充称,所有尚未对VMware系统安装Log4Shell补丁的组织都应假设其已遭利用,并建议各方主动在网络中寻找恶意活动的踪迹。CISA曾于今年6月警告称,VMware Horizon及统一访问网关(UAG)服务器中的Log4Shell漏洞仍面临着多方恶意黑客的攻击,包括国家支持的黑客团伙。一旦遭受远程利用,Log4Shell漏洞会导致服务器暴露在本地或互联网访问之下,恶意黑客将可进一步在入侵网络内横向移动、访问存储敏感数据的其他内部系统。国家支持黑客正加紧利用Log4Shell漏洞自2021年12月披露之后,已经有多方恶意黑客几乎立即开始扫描并利用这些未安装Log4Shell补丁的系统。攻击者包括受到伊朗、朝鲜和土耳其等国家支持的黑客团伙,以及与各勒索软件团伙关系密切的访问代理。CISA建议各拥有易受攻击VMware服务器的组织做好最坏打算,假定其已遭入侵并采取威胁搜寻行动。VMware方面也在今年1月敦促客户尽快安装补丁,保护其VMware Horizon服务器免受Log4Shell攻击影响。自今年1月以来,暴露在互联网上的VMware Horizon服务器已先后被使用中文的恶意黑客部署了Night Sky勒索软件、被来自朝鲜的Lazarus APT组织部署了信息窃取程序,并被作为伊朗盟友的TunnelVision黑客团伙部署了后门程序。在此次联合咨询中,CISA和FBI强烈建议各组织采取建议的缓解与防御措施,具体包括:将受影响的VMware Horizon和统一访问网关(UAG)系统更新至最新版本。最小化组织面向互联网的攻击面。根据云安全联盟(CSA)MITRE ATT&CK企业版框架中列出的威胁行为,执行、测试并验证所在组织的安全程序。根据公告中提及的ATT&CK技术,测试您组织的现有安全控制成效。【阅读原文】2022年11月17日 星期四今日资讯速览:1、上万条居民信息被“共享”,创收70余万,青浦破获一起侵犯公民个人信息案!2、研究人员在 Spotify 的后台发现了严重的 RCE 漏洞3、美国情报行业协会组织推经保密认证的共享办公空间理念1、上万条居民信息被“共享”,创收70余万,青浦破获一起侵犯公民个人信息案!“你好先生,你的房产需要出售吗?”“你好女士,你的房产需要装修吗?”当你接到类似的推销电话时很有可能你的个人信息已经被泄露了。近日,青浦警方经过缜密侦查,成功破获一起侵犯公民个人信息案件,抓获8名犯罪嫌疑人。青浦公安分局网安支队在工作中发现,辖区大量新开发及新交付楼盘业主纷纷表示自6月以来不断遭到家装人员电话骚扰。获悉该情况后,网安支队立即会同白鹤派出所开展侦查工作。根据群众反应的情况,民警意识到这些业主的个人信息可能已被泄露。通过实地走访了解、相关账户排查梳理等方式开展调查,经过综合研判、分析,发现田某、杨某等人有非法获取公民信息的嫌疑。经过深入调查,民警发现田某等人在非法获取到公民信息后,不仅将这些信息交给自己员工用于“开拓市场”,同时还将信息转卖给其他装修公司和家装行业从业人员,上万条居民的信息被“共享”。在充分掌握田某等人利用购买和交换的客户信息进行电话和短信群发营销的犯罪手法后,警方开展了集中收网行动。9月中旬,先后在本市青浦、奉贤、普陀等区及安徽抓获涉嫌侵犯公民个人信息的犯罪嫌疑人田某、杨某等8人。经查,犯罪嫌疑人田某系本区某家具店的运营经理,其为了提升业绩拓展业务,长期与相关行业的同行交换客户信息,并通过某知名电器商超员工杨某及某些品牌家具的业务员处非法购买、收受大量公民信息数据后,采用电话、短信、微信等方式招揽客户推销店内家具,累计为门店创收70余万元,获利7万余元。目前,田某、杨某等8人因涉嫌非法侵犯公民个人信息罪已被青浦警方依法采取刑事强制措施,案件正在进一步侦办中。来源:劳动观察【阅读原文】2、研究人员在 Spotify 的后台发现了严重的 RCE 漏洞Hackernews 编译,转载请注明出处:安全公司Oxeye的研究人员在Spotify的后台发现了一个关键的远程代码执行漏洞(CVSS评分为9.8)。Backstage是Spotify用于构建开发人员门户的开源平台,它被多个组织使用,包括美国航空公司、Netflix、Splunk、Fidelity Investments和Epic Games。此问题可通过触发vm2第三方库中最近披露的虚拟机沙箱逃逸漏洞(CVE-2022-36067 又名Sandbreak)来利用。Oxeye研究人员通过Spotify的漏洞赏金计划报告了这个RCE漏洞,Backstage开发团队在1.5.1版本中迅速修复了这个漏洞。“未经身份验证的黑客可以通过利用Scaffolder核心插件中的vm2沙箱逃逸,在Backstage应用程序上执行任意系统命令。”Oxeye发布的建议写道。该漏洞存在于允许开发人员在Backstage中创建组件的软件模板工具中。研究人员解释说,模板引擎利用vm2库来防止不可信代码的执行。“在审查如何限制这种风险时,我们注意到可以通过在隔离环境之外使用带有Nunjucks的用户控制模板,来运行shell命令。因此,Backstage开始使用vm2 JavaScript沙盒库来降低这种风险。在早期的研究论文中,Oxeye发现了一个vm2沙盒逃逸漏洞,导致主机上的远程代码执行(RCE)。研究人员在Shodan中对Backstage favicon哈希进行了简单的查询,并发现了500多个暴露在互联网上的Backstage实例。专家们注意到,默认情况下部署Backstage时没有身份验证机制或授权机制,允许来宾访问。一些公开的Backstage实例不需要任何身份验证。通过进一步的测试,专家们可以确定,在许多情况下,不需要身份验证就可以利用该漏洞。“任何基于模板的虚拟机转义的根源都是在模板中获得JavaScript执行权限。通过使用“无逻辑”模板引擎(如Mustache),可以避免引入服务器端模板注入漏洞。尽可能将逻辑与演示文稿分离,可以大大减少您受到最危险的基于模板的攻击风险。有关缓解基于模板的漏洞的更多信息,请参阅PortSwigge的技术公告。如果您使用Backstage进行身份验证,请同时在前端和后端启用它。”【阅读原文】3、美国情报行业协会组织推经保密认证的共享办公空间理念就像美国联邦政府的许多机构那样,探索新的工作模式对当前在与硅谷、华尔街等高收入雇主的人才竞争中持续处于下风的美国情报界而言已是当务之急,而美国情报行业协会组织“情报与国家安全联盟”(INSA)近期提出了一个新主意:既然美国情报界及其承包商现有的工作场所在环境条件上对年轻一代缺乏吸引力,那么为何不考虑推出“涉密人员专用的WeWork”即经保密认证的共享办公空间?根据美国政府现行的保密要求,涉密工作必须在“敏感隔离信息设施”(Sensitive Compartmented Information Facilities,SCIF)中开展。这类仅允许获得相应安全密级资质的工作人员在其中实施涉密项目和处理涉密信息的安全房间或安全设施,通常修建在美国情报界及其承包商位于华盛顿大都市圈的园区或办公楼内,因此对于它们的使用者来说,漫长的上下班通勤是家常便饭。此外,随着近些年来硅谷、华尔街等雇主对掌握外语、前沿科技及其他技能的人才开出越来越高甚至超过美国情报界两倍以上的薪酬,且无需在入职前进行耗时费力的安全密级资质申请流程,加之在新冠肺炎疫情背景下远程工作模式渐成气候,美国情报界及其承包商已越来越难招募及留住人才。对此,情报与国家安全联盟认为,以WeWork为代表的共享办公空间理念已成功实践了近十年,而随着疫情期间远程工作模式的快速普及,美国企业界对其雇员完成工作的方式及如何衡量雇员工作产出有了新的见解,因此同样的逻辑应该也适用于美国情报界及其承包商——修建经保密认证的共享办公空间,既可让它们的雇员免于漫长的上下班通勤,也能让没有实力修建“敏感隔离信息设施”的中小及初创企业得到争取美国情报界外包合同的更多机会。但现实并不像情报与国家安全联盟认为的那样乐观。美国国家情报总监办公室(ODNI)在其2020年9月的报告《通用敏感隔离信息设施报告》(Report on Common Sensitive Compartmented Information Facility)中指出,每一个SCIF认证都需要根据具体项目的需求及承办单位进行单独审查,无法通用。同时,由于维护SCIF认证的费用高昂,“通用的敏感隔离信息设施”实际上与美国国会的拨款方针是冲突的,国会参议院版本的2023财年《情报授权法案》甚至还要求美国政府问责办公室(GAO)每年提交一份针对“敏感隔离信息设施”使用情况的报告,“以避免这类设施闲置浪费”。因此,在美国国会支持有关“通用敏感隔离信息设施”的立法之前,美国情报界不太可能接受所谓的“涉密人员专用的共享办公空间”理念。【阅读原文】2022年11月16日 星期三今日资讯速览:1、俄罗斯企业频发数据泄露事件,720万用户数据在黑客论坛出售2、加密货币交易巨头 FTX 遭黑客攻击申请破产,6 亿美元资产流出!3、美军拟设立专门针对外国网络部队的情报中心1、俄罗斯企业频发数据泄露事件,720万用户数据在黑客论坛出售近日,黑客开始在黑客论坛上出售包含720万客户详细信息的数据库后,俄罗斯踏板车共享服务Whoosh确认发生数据泄露。据悉,Whoosh 是俄罗斯领先的城市出行服务平台,在40个城市运营,拥有超过75,000辆电动滑板车。 一名威胁行为者开始在黑客论坛上出售被盗数据,据称其中包含可用于免费访问该服务的促销代码,以及部分用户身份和支付卡数据。该公司本月早些时候通过俄罗斯媒体的声明证实了网络攻击,但声称其 IT 专家已成功阻止了攻击。 在今天与RIA Novosti分享的一份新声明中,Whoosh承认存在数据泄露,并告知其用户群他们正在与执法当局合作,采取一切措施阻止数据的分发。 Whoosh的一位发言人表示:“此次泄露并未影响敏感的用户数据,例如账户访问、交易信息或旅行详情。我们的安全程序还排除了第三方获取用户银行卡全部支付数据的可能性。” 据悉是“Breached”黑客论坛上的一位用户发布了一个数据库,其中包含大约720万 Whoosh客户的详细信息,包括电子邮件地址、电话号码和名字。 该数据库还包含1,900,000名用户子集的部分支付卡详细信息。卖家还声称,被盗数据包括 3,000,000 个促销代码,人们可以使用这些代码免费租用 Whoosh 滑板车。 卖家表示,他们仅以每人 4,200 美元或 .21490980 比特币的价格将数据出售给五个买家,根据用于交易的SatoshiDisk平台,还没有人购买该数据库。 在Telegram上单独出售的数据中,威胁者声称它是在2022年11月对 Whoosh 的攻击中被盗的。 俄罗斯数据库泄露 根据俄罗斯互联网监管机构 Roskomnadzor 2022年8月的一份报告,自今年年初以来,已确认有4起俄罗斯公司数据泄露事件。 2022年9月,Group-IB发布了一份报告,声称仅在今年夏天就观察到140起俄罗斯公司的数据库销售被盗,暴露的记录总数达到 3.04 亿条。 就今年的影响而言,最显着的泄密事件是外卖应用程序 Yandex Food的泄密事件,它导致了多项附属数据的泄露。【阅读原文】2、加密货币交易巨头 FTX 遭黑客攻击申请破产,6 亿美元资产流出!当地时间11月11日,据外媒报道,加密货币交易所FTX在其Telegram频道宣布遭到黑客攻击,加密钱包中被盗资金超过6亿美元。在同一天,FTX向纽约证券交易所申请破产保护。申请破产的包括负责全球交易网站FTX.com的FTX Trading Ltd.、由创始人创立的交易公司Alameda Research,以及美国用户平台FTX.US。破产申请文件显示,该公司债权人超过10万名,负债规模在100亿到500亿美元之间,这将使其成为有史以来规模最大的加密货币相关破产案。文件还显示,此次连带一并破产重组清算的公司并非仅一家实体,而是包括FTX.com、FTX US、Alameda Research Ltd等多家巨头公司在内的,超过130家公司的集合体。据彭博社援引两名知情人士透露,FTX至少有10亿美元(约合人民币71亿元)的客户资金不知所终。FTX总法律顾问莱恩·米勒(Ryne Miller)表示,公司启动了预防措施并将所有数字资产转移到冷库(术语,意为离线储存),这意味着所有加密钱包不再连接互联网。同时,FTX还建议用户删除交易应用程序、暂缓登录FTX官网以确保安全。大部分FTX流出的资金,从泰达币、稳定币转为以太币,以太币是仅次于比特币的第二大加密货币,这也是黑客常用来防止资金被没收的常用技术。FTX 此前是世界第二大加密货币交易所,但由于无法应对用户提款需求的增加,现已在美国申请破产保护,该公司可能因 FTX 代币被盗而面临更大的损失。值得注意的是,受到FTX危机影响的名单越来越长。有统计显示,由于FTX的破产,截至目前,已超过130家FTX相关公司寻求法院保护,但却没有提交任何法院动议或美国大型破产案中的解释性文件。11月14日,港股上市公司新火科技(原火币科技)发布公告称,无法从加密货币交易所FTX提取资金,涉及1810万美元。11月13日,据福布斯报道,FTX暴雷事件正在摧毁Solana NFT生态并引发抛售潮。公开数据显示,Solana链上NFT市场Magic Eden、OpenSea和Solanart的NFT交易量从一周前的每日8万余枚增加了2倍多,一度超过25万枚,表明持有者正在快速抛售NFT。此外,Solana链上NFT项目地板价也大幅受挫,DeGods地板价已下跌66%降至2700美元,Solana Monkey Business和y00ts的地板价也均下跌了70%左右。此外,据加密市场分析平台Nomics数据显示,在FTX提交破产申请后,Coinbase的交易量暴跌了约75%,表明加密投资者或因市场日益动荡而对整个加密货币行业产生怀疑。瑞穗高级分析师丹·多列夫 (Dan Dolev) 表示,FTX提交破产申请之后,越来越多投资者开始重新评估是否要交易加密货币。【阅读原文】3、美军拟设立专门针对外国网络部队的情报中心美国网络司令部正在探索在国防部内建立网络情报中心,以提供有关外国网络部队的情报。美国网络司令部情报主管马特奥·马尔特穆奇反映,网络司令部近日与美国防情报局合作开展一项为期30天的任务分析,结果表明需要一个基础网络情报中心来提供对外军网络能力的见解;美国网络司令部司令兼国家安全局局长保罗·中曾根与国防情报局局长斯科特·贝瑞尔已经原则上同意设立该中心,美国国会对此动向“非常清楚”并询问了所需资源;此次分析确定了该中心将提供何种类型和数量的情报产品等细节,下一步工作将是确定需求,例如预算、人员数量和所需的办公空间数量。马特奥·马尔特穆奇表示,针对世界上庞大而有能力的网络力量,美军需要以对待敌方陆军、海军和空军的方式进行评估、编目和跟踪,而现存的中心都无法生成基础的对手网络战斗序列情报;自下而上的增长和自上而下的需求都表明,网络领域已经足够成熟,需要设立专门的情报中心;除美国网络司令部外,其他职能地理作战司令部也日益诉诸网络域行动来实现低于武装冲突水平的军事目标,实现上述网络行动需要越来越多的量身定制情报;新的以网络为中心的情报机构类似于现存的科技情报中心,如国家航空航天情报中心(NASIC)、海军情报办公室、国家地面情报中心和新成立的国家太空情报中心等,将补充现有机构并提供其所不能提供的情报产品。奇安网情局编译有关情况,供读者参考。【阅读原文】2022年11月15日 星期二今日资讯速览:1、乌克兰警方逮捕了每年获利 2 亿欧元的诈骗团伙成员2、澳大利亚考虑禁止向勒索软件黑客支付赎金3、美国CISA称:选举中期投票不受网络攻击影响1、乌克兰警方逮捕了每年获利 2 亿欧元的诈骗团伙成员Hackernews 编译,转载请注明出处:乌克兰网络警察和欧洲刑警组织逮捕了一个跨国诈骗集团的五名成员,该集团每年造成超过2亿美元的损失。这些逮捕行动是在阿尔巴尼亚、芬兰、格鲁吉亚、德国、拉脱维亚和西班牙执法人员的支持下进行的联合行动的结果。在这些国家,该团伙建立了办事处和呼叫中心,雇佣了2000多人进行犯罪活动。该组织通过加密货币和证券的伪投资计划欺骗投资者,调查始于2020年。投资者被诱骗进行了一系列虚假投资。该团伙运营其网站和平台,向储户提供加密货币投资和证券(股票、债券、期货、期权)交易的超额利润。他们还通过这些平台模拟资产增长,但投资者无法提取资金。据欧洲刑警组织称,全球数十万人受到跨国集团非法活动的影响。每年损失估计超过2亿欧元。执法人员在涉案人员的家中,以及基辅和伊万诺-弗兰基夫斯克呼叫中心的地址进行了搜查,查获了500多件电脑设备和手机,同时,在其他国家对该团伙其余成员的居住地进行了搜查。警察在被捕者的家中以及基辅和伊万诺-弗兰基夫斯克呼叫中心的办公室进行了搜查。已根据《乌克兰刑法》第190条(欺诈)第3部分启动刑事诉讼。该条款的制裁规定最高可判处8年监禁。【阅读原文】2、澳大利亚考虑禁止向勒索软件黑客支付赎金澳大利亚内政部长 Clare O’Neil 周日表示政府考虑将向勒索软件黑客支付赎金列为非法行为。澳大利亚最大健康保险公司 Medibank 上个月遭到了勒索软件的攻击,攻击者窃取了近千万用户数据,并按照每位用户数据一美元的价格勒索千万美元。澳大利亚政府官员表示黑客属于俄罗斯的一个有组织犯罪团伙。澳执法机构 Australian Federal Police (AFP)和情报机构 Australian Signals Directorate 之间将设立一个联合组织专门致力于打击网络犯罪。总理 Anthony Albanese 此前表示将竭尽所能限制 Medibank 黑客攻击的影响。【阅读原文】3、美国CISA称:选举中期投票不受网络攻击影响网络安全和基础设施安全局 ( CISA ) 主任 Jen Easterly 周三发表声明称,中期投票程序没有受到网络攻击的干扰或破坏。他说:“我想对担任投票工作人员的选举工作人员和数十万美国人表示感谢。”据 Jen Easterly 说,州和地方选举工作人员已经投入了很长时间,并将在未来几天继续这样做,以证明选举结果。 此外,CISA 主任表示,该机构没有看到任何证据表明任何投票系统删除或丢失选票、更改选票或在该国任何地方受到损害。目前,选举官员正在对选票进行制表、审查程序以及测试和审计设备,作为最终确定和认证结果的严格选举日后流程的一部分。 Jen Easterly 解释说,重要的是要记住,这个过程可能需要几天或几周的时间,具体取决于州法律。这些严格的程序是美国人民对选举的安全性和完整性充满信心的原因。我们敦促每个人向您所在州和地方的选举官员寻求有关计票的最准确和最新的信息,并在选举官员继续履行职责并执行认证过程时保持耐心。 这一消息是在CISA 首次敦促选民批判性地评估他们收到的有关中期选举的任何信息一个月后发布的,因为部分人对结果会产生怀疑。 此前10月6日,联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA) 发布了一份联合公共服务公告,内容涉及旨在破坏选举基础设施的恶意网络活动。根据此前发布的文件,这些机构表示,破坏选举基础设施的尝试不太可能导致大规模中断或阻止投票。 联邦调查局和中央情报局追踪的任何尝试都保持本地化,并被阻止或成功缓解,对选举过程的干扰最小或没有。 该公告还澄清说,官员们使用各种控制措施来降低恶意网络活动影响选举基础设施系统的机密性、完整性或可用性的可能性。 为此,CISA曾在去年8月发布了一份针对选举社区的免费网络安全工具清单。 公告中写道“鉴于广泛的保障措施和选举基础设施的分布式性质,联邦调查局和中央情报局继续评估,大规模操纵选票的企图很难不被发现。FBI 和 CISA 将继续对任何潜在威胁做出快速反应,提供加强选举基础设施的建议,将威胁和入侵活动通知利益相关者,并对试图威胁美国选举的网络行为者施加风险和后果。” 联邦调查局和中央情报局并不是在中期选举期间支持公众的唯一政府机构。 8月底,美国网络司令部 (USCYBERCOM) 和国家安全局 (NSA)成立了选举安全小组(ESG),该机构旨在保护选举程序在11月选举之前和期间免受黑客攻击和虚假信息的影响。【阅读原文】2022年11月14日 星期一今日资讯速览:1、加拿大最大肉类生产商被黑:部分运营中断 食品供应受影响2、加拿大零售巨头Sobeys遭勒索软件攻击,部分服务受影响3、最新披露!三星手机组件发现三个高危漏洞1、加拿大最大肉类生产商被黑:部分运营中断 食品供应受影响安全内参11月11日消息,加拿大肉类生产巨头Maple Leaf Foods(也称枫叶食品)在上周日(11月6号)证实,经历了一起网络安全事件,导致系统与运营中断。Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商,共拥有21处制造工厂、雇佣14000名员工,并承包超700处库房。2021年,该公司总销售额达33亿美元。恶意黑客经常在周末发动网络攻击,这是看准目标正在放假、应对人手不足,希望最大限度提高成功机率。尽管攻击者时机选得不错,但这家加拿大包装食品巨头表示,其IT团队还是立即采取了应对措施。目前,该公司专员正与网络安全和恢复专家们合作,希望尽快解决问题。Maple Leaf Foods在公告中表示,“我公司正在执行业务连续性计划,着手恢复受到影响的系统。”“但预计全面解决中断仍然需要时间,且期间部分运营和服务将无法正常进行。”Maple Leaf Foods表示将继续与客户及合作伙伴携手,尽量缓和加拿大市场上的食品供应中断。该公司发言人还在发给媒体的评论中指出,他们正在对事件开展调查,但尚未确定此次攻击是如何发生的。声明提到,“中断已经造成部分运营和服务无法正常进行,具体情况依各业务部门、工厂和地点而定。”至于接下来的恢复阶段,这位发言人预计系统恢复期间会继续发生中断,但他们会努力将这种影响降至最低。“目前,我们专注于恢复业务连续性。”“在恢复过程中,预计我们的运营和服务还会出现一定波动。但我们的团队正在部署业务连续性计划并实施变通办法,着力减轻对我们运营和业务造成的影响。”——Maple Leaf Foods该公司最后补充称,他们还未发现此次事件对其他合作伙伴造成的任何可能影响。截至本文撰稿时,各网络犯罪论坛或勒索软件团伙门户上也尚未列出关于Maple Leaf Foods的任何公告。参考资料:https://www.bleepingcomputer.com/news/security/maple-leaf-foods-suffers-outage-following-weekend-cyberattack/【阅读原文】2、加拿大零售巨头Sobeys遭勒索软件攻击,部分服务受影响据BleepingComputer当地时间11月11日报道,自上周末以来,加拿大食品零售巨头Sobeys旗下的杂货店和药房一直出现IT系统问题。Sobeys是加拿大两家全国性的杂货零售商之一,拥有134,000名员工,为所有十个省的1,500家商店网络提供服务,旗下有多个零售品牌,包括 Sobeys、Safeway、IGA、Foodland、FreshCo、Thrifty Foods和Lawtons Drugs。在周一(11月7日)发布的新闻稿中,Sobeys的母公司Empire透露,虽然其杂货店仍在营业,但该公司范围内的IT问题影响了一些服务。该零售商透露:“公司的杂货店仍然开放为客户提供服务,目前没有出现重大中断。但是,一些店内服务间歇性或延迟运行。”“此外,公司的某些药房在开具处方方面遇到了技术困难。然而,公司仍致力于为其所有药房患者提供连续性护理。”该公司还补充说,它正在努力解决影响其IT系统的问题,以减少商店中断。在Sobeys官方网站上发布的另一份声明中,其中包含有关零售商商店服务的“重要信息”,Sobeys补充说,所有商店仍在营业,“没有经历重大中断”。然而,根据员工报告,所有计算机都被锁定在受影响的Sobeys商店中,销售点(POS)和支付处理系统仍然在线并正常工作,因为它们被设置为在单独的网络上工作。在BleepingComputer本周早些时候联系后,Sobeys尚未回复评论请求。BleepingComputer周日(11月6日)联系了Sobeys,要求发表评论,但尚未收到回复。Black Basta勒索软件攻击导致的IT问题尽管该公司尚未披露将此次持续中断与网络攻击联系起来的任何信息,但当地媒体报道称,来自魁北克和阿尔伯塔省的加拿大省级隐私监管机构已确认收到该零售商的“机密事件”通知。正如魁北克监管机构告诉加通社的那样,此类警报仅在个人信息被泄露的事件发生后才会发送。此外,根据BleepingComputer看到的赎金记录和谈判聊天记录,攻击者部署了Black Basta勒索软件有效载荷来加密Sobeys网络上的系统。多个消息来源告诉BleepingComputer,袭击发生在周五(11月4日)晚些时候/周六(11月5日)早上。Sobeys员工在网上分享的照片还显示,店内电脑显示了一张Black Basta赎金票据。Sobeys 赎金票据(Redflagdeals,Reddit)Black Basta勒索软件于2022年4月中旬首次在攻击中被发现,该行动在未来几个月内迅速加大了对全球公司的攻击力度。尽管该团伙对受害者的赎金要求可能不同,但BleepingComputer知道至少有一起事件,受害者收到了超过200万美元的解密器要求,以避免被盗数据在网上泄露。到2022年6月,人们已经看到Black Basta在之前被Qbot(QuakBot) 操作员破坏的系统上部署了有效载荷。尽管关于这个勒索软件团伙的细节很少,但这可能不是一个新的行动,而是一个品牌重塑,因为他们的谈判风格和快速破坏新受害者的能力。一些研究人员认为Black Basta与Conti勒索软件有关,但BleepingComputer目前还无法证实这一点。在此之前,加拿大肉类生产巨头Maple Leaf Foods(也称枫叶食品)在上周日(11月6号)证实,经历了一起网络安全事件,导致系统与运营中断。Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商,共拥有21处制造工厂、雇佣14000名员工,并承包超700处库房。2021年,该公司总销售额达33亿美元。2021 年,肉类供应商JBS和总部位于阿尔伯塔省的JBS Canada发起了更大规模的网络安全攻击,导致该公司支付了1100万美元的比特币赎金。而近年来有关食品生产、零售行业网络勒索事件已屡见不鲜。比如美国乳制品巨头遭勒索攻击:工厂瘫痪数天,食品供应链被扰乱;全球最大肉类加工企业遭遇网络攻击停产;FBI发布行业重要预警,勒索软件多次中断食品/农业供应链,等等。参考资源1、https://www.bleepingcomputer.com/news/security/canadian-food-retail-giant-sobeys-hit-by-black-basta-ransomware/2、https://www.empireco.ca/news/empire-company-limited-impacted-by-it-systems-issue3、https://www.reddit.com/r/Winnipeg/comments/yp19qk/sobeyssafewayfreshco_currently_suffering_a/4、https://www.sobeys.com/en/important-information-regarding-our-store-services/5、https://www.thestar.com/business/2022/11/11/two-provincial-privacy-watchdogs-confirm-sobeys-experiencing-data-breach.html【阅读原文】3、最新披露!三星手机组件发现三个高危漏洞日前,谷歌Project Zero报告披露了三个三星手机漏洞,分别为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370,目前已被一家监控公司利用。这三个漏洞具体表现为:CVE-2021-25337:SMR Mar-2021第1版之前的三星移动设备中剪贴板服务的访问控制不当,允许不受信任的应用程序读取或写入某些本地文件。CVE-2021-25369:SMR MAR-2021第1版之前的sec_日志文件中存在一个不正确的访问控制漏洞,将暴露用户空间内敏感的内核信息。CVE-2021-25370:SMR Mar-2021第1版之前,dpu驱动程序中处理文件描述符的实现不正确,导致内存损坏,内核死机。而这家监控供应商正是将上述的三个漏洞链接起来,以危害三星手机。目前TAG团队只获得了三星手机可能处于测试阶段的部分漏洞链,研究人员指出,这家监控公司在其间谍软件中包含了对这三个漏洞的攻击,这些漏洞在被攻击时为零日漏洞。研究人员称:“这条攻击链是一个很好的例子,值得进一步分析。它与我们过去看到的许多Android攻击相比,具有不同的攻击面和“形状”。此链中的所有3个漏洞都在制造商的定制组件中,而不是AOSP平台或Linux内核中。值得注意的是,3个漏洞中有2个是逻辑和设计漏洞,而不是内存安全。”专家们进一步解释说,该漏洞样本针对的是运行内核为4.14.113和Exynos SOC的三星手机。这种特定的SOC常被于欧洲和非洲销售的手机使用。该漏洞依赖于针对Exynos三星手机的马里GPU驱动程序和DPU驱动程序。据悉,该样本可以追溯到2020年底,而在2020年底运行4.14.113内核的三星手机为S10、A50和A51。在2020年底发现这些漏洞后,谷歌立即向三星报告了这些漏洞,该供应商也于2021年3月份解决了这些漏洞。谷歌没有透露监控供应商的名字,只是强调了与其他针对Android用户的活动的相似之处。Project Zero指出,三星发布的关于这些问题的建议没有提到它们在野外的开发。报告总结道:“当已知漏洞在野外被利用时,标记对目标用户和安全行业都很重要。当在野零日漏洞未被透明披露时,我们无法使用该信息进一步保护用户,只能使用补丁分析和变体分析来了解攻击者已经了解的情况。”经历了此次事件之后,研究人员说:“对这一漏洞链的分析为我们提供了新的见解,它让我们进一步了解攻击者是如何针对Android设备展开攻击的。这也突出了对制造商特定组件进行更多研究的必要性。”【阅读原文】2022年11月11日 星期五今日资讯速览:1、石油和天然气企业使用的关键系统中被曝高危漏洞2、监控供应商利用三星手机零日漏洞3、微软透露:基于密码的黑客攻击在过去一年中增加了74%1、石油和天然气企业使用的关键系统中被曝高危漏洞工业安全公司 Claroty 发布报告指出,石油和天然气组织机构都在使用的一个系统中存在高危漏洞(CVE-2022-0902,CVSS评分8.1),可被攻击者用于注入并执行任意代码。该漏洞是位于ABB Totalflow 流量 (flow) 计算机和远程控制器中的一个路径遍历漏洞,“攻击者可利用该漏洞在ABB流量计算机上获得根访问权限、读写文件,并远程执行代码”。ABB 是一家瑞典-瑞士工业自动化企业,在负责任地披露后,于2022年7越14日发布了固件更新。流量计算机是石化制造商所使用的专用电子仪器,用来解释流量计中的数据并计算和记录物质(如天然气、原油和其他烃类流体)在特定时间点的容积。这些气体测量工具不仅对进程安全性至关重要,而且在散装液体或气体产品在交易时被用作输入,对于准确捕获流量测量发挥着重要作用。简言之,该漏洞是位于ABB对其专有的Totalflow TCP协议实现的路径便利漏洞。该协议用于远程配置计算机。该漏洞和允许导入和导出配置文件的特性有关,可使攻击者利用认证绕过问题绕过安全码并上传任意文件。远程恶意人员可利用该漏洞控制设备并阻止设备正确地记录石油和天然气的流速。研究人员提到,“成功利用该漏洞可阻止公司支付客户账单的能力,导致服务中断,类似于2021年Colonial Pipeline遭勒索攻击造成的后果。”原文链接https://thehackernews.com/2022/11/high-severity-flaw-reported-in-critical.html【阅读原文】2、监控供应商利用三星手机零日漏洞Hackernews 编译,转载请注明出处:谷歌Project Zero研究人员报告称,一家监控供应商正在使用三星手机的三个零日漏洞,分别追踪为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370。这三个漏洞是:CVE-2021-25337:SMR MAR-2021第1版之前的三星移动设备中剪贴板服务访问控制不当,允许不受信任的应用程序读取或写入某些本地文件。CVE-2021-25369:SMR MAR-2021第1版之前的sec_log文件中存在一个不正确的访问控制漏洞,导致敏感的内核信息暴露给用户空间。CVE-2021-25370:SMR Mar-2021第1版之前,dpu驱动程序中处理文件描述符的实现不正确,导致内存损坏,从而导致内核崩溃。研究人员指出,这家监控公司在其间谍软件中包含了这三个漏洞,而这些漏洞在被利用时是零日漏洞。这个野外漏洞利用链是一个很好的例子,它展示了与我们过去看到的许多Android漏洞不同的攻击面和“形状”。该链中的三个漏洞都在制造商的自定义组件中,而不是在AOSP平台或Linux内核中。并且3个漏洞中有2个是逻辑和设计漏洞,而不是内存安全漏洞。监控供应商利用上述漏洞入侵三星手机。TAG团队仅获得了可能处于测试阶段的三星手机的部分漏洞链。专家透露,该样本可追溯到2020年底。该链值得进一步分析,因为它是一个3个漏洞链,其中所有3个漏洞都在三星自定义组件中,包括Java组件中的漏洞。专家们解释说,该漏洞样本针对的是运行内核4.14.113和Exynos SOC的三星手机。在欧洲和非洲销售的手机使用这种特定的SOC,该漏洞依赖于Exynos三星手机的Mali GPU驱动程序和DPU驱动程序。2020年末运行4.14.113内核的三星手机包括S10、A50和A51。Google在2020年末发现这些漏洞后立即向三星报告,该供应商于2021年3月解决了这些漏洞。谷歌没有透露监控供应商的名字,只是强调了与其他针对Android用户活动的相似之处,即意大利和哈萨克斯坦。Project Zero指出,三星针对这些漏洞发布的公告并未提及它们在野外的利用。当已知漏洞在野外被利用时,标记对于目标用户和安全行业都很重要。如果野外零日漏洞没有被披露,那么我们无法使用该信息来进一步保护用户,使用补丁分析和变体分析来了解攻击者已经知道的情况。对这个漏洞链的分析为我们提供了新见解,让我们了解到了攻击者是如何瞄准Android设备的。这突出了对制造商特定组件进行更多研究的必要性。【阅读原文】3、微软透露:基于密码的黑客攻击在过去一年中增加了74%今天的网络犯罪分子使用一系列的方法来破坏系统,但最久经考验的方法仍然是最受欢迎的:窃取别人的密码。根据一份新的报告,每秒钟有近1000次基于密码的攻击,与去年相比增加了74%。这些数据来自微软的《2022年数字防御报告》,该报告分析了来自微软全球产品和服务生态系统的数万亿信号,以揭示全球网络威胁的规模。访问报告全文:https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE5bUvv?culture=en-us&country=us黑客事件的数量从今年年初至今大幅增加,这主要是由于俄罗斯在2月份入侵乌克兰,以及由此引发的国家间的网络战争。但黑客仍然喜欢基于密码的攻击;微软估计,每分钟有921起这样的攻击发生。暴力穷举仍然是未经授权访问密码系统的一种常见方法。NVIDIA的RTX 4090显卡的强大计算能力使得这类攻击更加有效(在特定情况下)。研究人员最近展示了Lovelace旗舰显卡产品如何在短短48分钟内循环完成一个八字密码的所有2000亿次尝试。由于许多人在多个网站和服务中循环使用账户凭证,大规模数据泄露后在线泄露的密码是黑客的主要收获地。2012年发生的大规模LinkedIn漏洞被认为使黑客能够在2016年进入马克·扎克伯格的Twitter和Pinterest账户。目标窃取密码的钓鱼式攻击仍然很猖獗。最近,犯罪分子一直试图利用Twitter的验证改革,通过钓鱼方式获取已验证账户的密码,甚至Steam用户也成为了目标。这种增长的部分原因是微软在Windows11 22H2更新中加入了增强的网络钓鱼保护。微软写道,90%的黑客账户没有受到"强认证"的保护,"强认证"是指正在使用的单层保护,不包括多因素认证(MFA)。微软警告说,使用MFA的账户数量很低,甚至在管理员账户中也是如此,尽管这些额外的保护层并不能保证账户100%安全。除了在有MFA的地方使用MFA之外,如果你想让黑客难以下手,通常的建议也适用:避免重复使用密码(考虑一个好的密码管理器),保持你的软件有最新的补丁,并避免那些仍然莫名其妙地流行的可怕的弱密码。【阅读原文】2022年11月10日 星期四今日资讯速览:1、乌克兰“网军”入侵俄罗斯央行,公布大量敏感数据2、美国网络司令部举行“网络旗帜23-1”多国战术演习3、欧盟网络安全局称地缘政治推动网络攻击1、乌克兰“网军”入侵俄罗斯央行,公布大量敏感数据安全内参11月9日消息,乌克兰黑客分子称已成功入侵俄罗斯中央银行,并窃取到数千份内部文件。外媒The Record审查了上周四(11月3日)公开发布的部分“被盗”文件,总计2.6 GB,包含27000个文件。从内容上看,这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。黑客分子们在Telegram上写道,“如果俄罗斯央行无法保护自己的数据,又怎么保证卢布的稳定?”这起入侵事件出自乌克兰IT军成员之手,该组织在俄乌战争爆发后建立,有超20万名网络志愿者,各成员协同对俄罗斯网站开展分布式拒绝服务攻击。中央银行是俄罗斯最重要的金融机构之一,也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道,央行方面否认其系统遭黑客入侵,并表示这些所谓外泄文件原本就存放在公开域内。泄露数据时间跨度大,涉及未来战略规划这已经不是黑客首次宣称攻破俄罗斯央行。今年3月,匿名者(Anonymous)组织的黑客曾声称,从俄央行处窃取到35000份文件,并发布到了网上。数据安全公司Very Good Security的分析师Kenneth Geers认为,“对于间谍、媒体和人权活动家们来说,这次泄露的文件可能是个宝库,其中也许包含会对俄罗斯造成灾难性打击的消息和故事。”到目前为止,还很难断言这批泄露文件到底有多重要。部分已公开的文件可以追溯到近20年前,还有一些文件概述了俄罗斯央行未来两年的战略。部分文件详细说明了俄罗斯用国内技术替代进口计算机程序/软件的政策,旨在“确保银行支付系统能顺利运行”。由于俄乌战争爆发后的国际制裁,不少跨国科技企业目前已退出俄罗斯市场或暂停运营,迫使俄罗斯方面寻求国内替代方案。乌克兰IT军还发布了其他一些文件,据称其中包含俄罗斯军人的个人数据、电话号码和银行账号。俄乌冲突爆发后,俄罗斯银行业屡遭网络攻击自俄乌开战以来,俄罗斯银行一直是乌克兰黑客们最热衷于攻击的目标。今年9月初,乌克兰IT军还入侵了俄罗斯第三大银行Gazprombank(俄罗斯天然气工业银行)。据乌克兰IT军称,该银行网站在DDoS攻击下瘫痪了四个小时,导致客户无法付款、访问个人账户或使用手机银行。IT军一位代表在采访中表示,“为了成功完成攻击,我们遍历了对方的整个网络并从中找到了漏洞。”为了绕过俄罗斯的DDoS保护服务,IT军宣称创建了一款“特殊程序”,能够“以非标准方式攻击系统,因此对方很难抵挡。”俄罗斯天然气工业银行证实了9月的黑客攻击事件,副总裁Olexander Egorkin甚至称赞了乌克兰黑客的“创造力”和“专业精神”。Egorkin在9月的一次会议上表示,“这次攻势极为猛烈,就连俄罗斯最大的电信运营商Rostelecom都感到压力巨大。”尽管如此,目前还无法断言IT军在俄乌之间的网络战进程中究竟起到了怎样的作用。只能说部分行动确实暂时性扰乱了俄罗斯的业务,或者至少引发了俄方关注。据俄罗斯媒体报道,自俄乌开战以来,俄罗斯银行业对于网络攻击和数据泄露的防御性服务需求开始急剧增加。随着思科、IBM、甲骨文、Imperva、Fortinet、诺顿和Avast等全球技术与网络安全厂商纷纷退出俄罗斯,俄罗斯企业也更易受到网络攻击影响。这也从另一方面鼓舞了IT军的士气,他们坚称,“我们的目标仍旧不变:让银行难以正常支付、拖慢财务履约速度,把怀疑的种子播撒在收款人们的心中。”【阅读原文】2、美国网络司令部举行“网络旗帜23-1”多国战术演习美国网络司令部于10月17日至28日举行“网络旗帜23-1”(CF23-1)多国战术演习,并于10月27日至28日举行多国研讨会(MNS)和桌面演习(TTX)。“网络旗帜”是美国网络司令部年度防御性网络演习,在虚拟培训环境中向参演人员提供针对恶意网络行为者活动的现实“键盘动手培训”。该演习旨在通过与参与团队和观察员进行现实的防御性网络空间培训进行协作,从而提高战备状态和互操作性。来自澳大利亚、法国、日本、新西兰、韩国、新加坡、英国和美国的250多名网络专业人员参加了此次演习,相关人员组成了13个网络团队。在美国方面,美国网络司令部、美国陆军网络司令部、美国海军舰队网络司令部和美国海军陆战队网络司令部人员参加了演习,“联合部队总部-国防部信息网络”(JFHQ-DODIN)提供了支持。各防御性网络团队独立工作,以检测、识别和缓解各自网络上的敌对存在或活动,同时还开展团队协作并使用创造性的解决方案来推进防御措施。该演习利用了美国防部测试资源管理中心(TRMC)的国家网络靶场(NCR)。通过此次演习,各国加强了彼此关系,了解各自能力,为加强集体网络防御打下了基础。与美国网络司令部7月举行的“网络旗帜22”(CF22)演习专注于欧洲战区不同,CF23-1是该演习系列首次聚焦亚太战区,并纳入来自该地区的合作伙伴。除演习活动外,美国网络司令部还与30多个机构间和国际合作伙伴一起举办了为期两天的多国研讨会和桌面演习。该活动包括一系列简报、协调讨论和会议,重点关注亚太战区的互操作性和网络空间挑战,以及与区域和“五眼”合作伙伴相关的问题。奇安网情局编译有关情况,供读者参考。美国网络司令部分别于10月17日至28日和10月27日至28日在弗吉尼亚州萨福克的联合参谋人员训练基地举办了“网络旗帜23-1”(CF23-1)多国战术演习,以及多国研讨会(MNS)和桌面演习(TTX)。来自8个不同国家的250多名网络专业人员构成了CF23-1的主要培训对象。他们以13个国家和多国网络团队的形式运作,其中包含用于对抗联合对立部队团队的三个支持要素。“网络旗帜”是美国网络司令部年度防御性网络演习,该演习在虚拟培训环境中针对名义上的恶意网络行为者的活动提供现实的“键盘动手培训”。该演习旨在通过与参与团队和观察员进行现实的防御性网络空间培训进行协作,从而提高战备状态和互操作性。美国网络司令部演习和训练主管、美国海岸警卫队海军少将约瑟夫·布泽拉表示,“美国网络司令部的演习计划对我们在网络空间领域的文化和地位来说是独一无二的。在‘网络旗帜’中发生的培训和同步有助于我们提高准备状态和互操作性、增强我们的能力并加强防御性网络操作人员间的伙伴关系社区。”CF23-1的参与国包括来自澳大利亚、法国、日本、新西兰、韩国、新加坡、英国和美国的团队。除美国网络司令部外,美国陆军网络司令部、美国海军舰队网络司令部和美国海军陆战队网络司令部的人员也参与其中,由联合部队总部——国防部信息网络(JFHQ-DODIN)提供作战支持。英国国防部国防数字机构行动主管主任、英国海军少将尼克·沃什表示,“网络不承认地理边界。我们与合作伙伴的关系提供了巨大的共同利益;像美国网络司令部这样的行动将我们的专业知识付诸实践并加强我们的集体防御。”通过与合作伙伴一起培训,各国加强了关系,了解了能力,为集体网络安全提供了信息,并确认了开放、可靠和安全互联网的重要性。该演习利用了美国防部测试资源管理中心(TRMC)的国家网络靶场(NCR)。NCR可实现所有合作伙伴在现实世界中以战术为重点的培训和战术、技术和程序的信息共享。该平台为演习设计人员提供了一定程度的多功能性,可以根据网络保护团队(CPT)在日常防御行动中可能遇到的情况调整培训情况。演习团队通过通往危机的道路框架来密切关注各种情景,以应对名义上的高级持续性网络威胁。防御性网络团队独立工作,以检测、识别和缓解各自网络上的敌对存在或活动。由于训练场景具有适应性,因此演习挑战需要团队协作并使用创造性的解决方案来推进其防御措施。除演习活动外,美国网络司令部还与30多个机构间和国际合作伙伴一起举办了为期两天的多国研讨会和桌面演习。该活动包括一系列简报、协调讨论和会议,重点关注亚太战区的互操作性和网络空间挑战,以及与区域和“五眼”合作伙伴相关的问题。在“网络旗帜CF21-1”(CF21-1)和“网络旗帜CF22”(CF22)期间启动的框架的基础上,相关会议将通过检查各实施层面的网络空间协调来加强培训机会、伙伴关系和信息共享的价值。“网络旗帜”演习今年已经举行两次,包括7月的“网络旗帜22”演习(CF22)和10月的“网络旗帜23-1”演习(CF23-1)。此前的CF22专注于欧洲战区。CF23-1是该演习系列首次聚焦亚太战区,并纳入来自该地区的合作伙伴。【阅读原文】3、欧盟网络安全局称地缘政治推动网络攻击欧盟网络安全局(ENISA)表示,黑客国家队攻击了支持乌克兰的42个国家的128个政府机构。一年来,持续不断的俄乌冲突造成激进黑客活动愈演愈烈,支持乌克兰的42个国家共有128个政府机构遭到了黑客国家队的攻击。此外,第10版ENISA威胁态势报告透露,可能是为了收集情报,一些黑客组织在冲突伊始就攻击了乌克兰和俄罗斯实体。今年的报告题为《动荡地缘政治动摇2022年网络安全威胁形势》。报告指出,总体上,地缘政治情况继续对网络安全产生重大影响。黑客国家对使用零日漏洞和DDoS攻击今年的报告列举了黑客国家队经常采用的几种攻击类型。其中包括零日漏洞和严重漏洞利用、运营技术(OT)网络攻击、使用数据清除器摧毁和中断政府机构与关键基础设施实体的网络,以及供应链攻击。社会工程、虚假信息和数据威胁亦在黑客国家队常用攻击手法之列。东南亚地区、日本和澳大利亚等国的实体也遭遇了黑客国家队的攻击。由于亚洲特定国家和地区间的局势持续升温,黑客国家队还盯上了与台湾地区建立更紧密关系的一些国家(包括欧盟成员国)。ENISA指出:“我们将会看到越来越多的国家和地区部署网络能力来收集情报,尤其是在紧张局势或冲突加剧的时候。”同时,各国政府一直在公开宣称和指认网络攻击是对手组织发起的,并对其采取法律行动。ENISA指出:“在我们看来,随着网络行动成为各国政府的重点之一,我们肯定会看到各国政府加强对网络行动的公开溯源,抓紧破坏对手的基础设施,以及为‘点名羞辱’对手而起诉所谓的攻击者。”勒索软件依然位列网络攻击类型榜首今年,勒索软件仍旧是最主要的网络犯罪攻击类型。调研时间段内,每月被盗数据超过10TB,而网络钓鱼是此类攻击最常见的初始切入点。报告还指出,受影响机构中60%可能支付了攻击者要求的赎金。第二大最常用攻击形式是DDoS。阿卡迈的一家欧洲客户(使用其Prolexic平台)在2022年7月遭遇的DDoS攻击堪称史上最大,持续14个小时的攻击中,峰值一度达到853.7Gbps和659.6Mpps(兆数据包每秒)。尽管所有领域都沦为了网络攻击的受害者,但公共管理和政府实体受到的影响最大,占了网络攻击受害者的24%。数字服务提供商和普通百姓次之,分别占网络攻击受害者的13%和12%。仅这前三甲就构成了今年所有攻击的50%。《ENISA 2022年威胁态势》下载链接https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022【阅读原文】2022年11月9日 星期三今日资讯速览:1、马斯克裁掉了Twitter整个网络安全团队2、970 万用户数据泄露,Medibank 拒绝支付赎金3、骇人听闻/印度黑客集团 窃取全球名人信息1、马斯克裁掉了Twitter整个网络安全团队网络安全团队被“连根拔起”意味着这个周末将成为黑客攻击Twitter的最佳时机。本周五下午,在Twitter裁员50%的风波中,一个更为惊人的消息传来,马斯克在没有发出任何通知的情况下突然宣布裁掉Twitter整个网络安全团队,这是继数据工程团队后,被马斯克“连根拔起”的第二个技术团队。安全团队裁员消息传出后,Twitter新任首席信息安全官Lea Kissner发推间接确认了此事:上周马斯克入住Twitter后原地解雇了包括首席执行官Parag Agrawal、公司法律总顾问Sean Edgett和法务与安全负责人Vijaya Gadde等高级管理人员,并宣布将成立一个包容多方观点的内容审核委员会。过去一周业界一度传闻马斯克将裁掉75%的Twitter员工(实际为3700人,约占50%),表现颇受争议的网络安全团队成为裁员的“热门人选”之一。此前,Twitter前首席信息安全官Peiter Zatko曾在8月份的举报信中称Twitter的数字安全防御严重不足,员工中有外国间谍潜伏,而前首席执行官Agrawal甚至要求他在董事会上粉饰安全问题,夸大安全防御工作成果。Zatko还指责Twitter的访问管理混乱,所有工程师都可(以较高的权限)访问生产环境却没有日志信息记录其访问和操作,导致生产环境始终存在较高内部风险。而且Twitter工程师的个人设备如办公电脑也缺乏安全控制和监控,40%的设备连基本的安全防护标准都达不到。网络安全专家,蜘蛛实验室创始人Nick Percoco认为,马斯克突然裁掉整个安全团队可能会带来巨大的内部人员“反水”风险:作为内部威胁的临时管理办法,据BI报道,马斯克发布了新规则禁止Twitter工程师之间交谈。高级安全分析师Elise Thoma认为,网络安全团队被“连根拔起”意味着这个周末将成为黑客攻击Twitter的最佳时机。前美国国家安全局黑客,安全公司Scythe的网络威胁情报主管Jake Williams表示:“整体裁掉网络安全团队的做法极为罕见,虽然在任何重组中首先被裁减的一些人员是参与非职能活动的人员,例如安全专家和内部政策监督。但是,裁掉整个安全团队可能意味着Twitter个人数据(包括DM信息)将面临较大风险。”【阅读原文】2、970 万用户数据泄露,Medibank 拒绝支付赎金Hackernews 编译,转载请注明出处:澳大利亚医疗保险公司Medibank证实,在勒索软件事件发生后,约970万客户的个人数据被盗。据公司称,该攻击于10月12日在其IT网络中被发现,并称其“与勒索软件事件的前兆一致”,促使该公司隔离其系统,但不是在攻击者泄露数据之前。“这个数字代表了大约510万Medibank客户,280万ahm客户和180万国际客户。”Medibank指出。泄露的详细信息包括姓名、出生日期、地址、电话号码和电子邮件地址,以及ahm客户的医疗保险号码(但不是有效期),以及国际学生客户的护照号码(但不是有效期)和签证详细信息。该公司进一步表示,该事件导致约16万名Medibank客户,约30万名ahm客户和约2万名国际客户的健康索赔数据被盗。这一类别包括服务提供商名称、客户接受某些医疗服务的地点以及与诊断和实施的程序相关的代码。然而,Medibank表示,财务信息和身份证件(如驾照)并没有作为安全漏洞的一部分被窃取,自2022年10月12日以来也没有发现异常活动。“鉴于这起犯罪的性质,不幸的是,我们现在认为所有被访问的客户数据都可能被罪犯窃取。”该公司敦促客户警惕任何潜在的泄露。在一份独立的投资者声明中,该公司还表示不会向黑客支付任何赎金,并表示这样做只会鼓励攻击者勒索其客户并使澳大利亚成为更大的目标。【阅读原文】3、骇人听闻/印度黑客集团 窃取全球名人信息【大公报讯】综合《星期日泰晤士报》、路透社报道:英媒5日发布一篇调查报道,揭露印度职业黑客非法窃取欧盟、英国及巴基斯坦等多个国家或地区的政府官员、商界巨鳄、体育明星及记者的资料。《星期日泰晤士报》的记者今年初假扮英国军情六处退休特工,在伦敦一家企业调查公司卧底期间发现,“客户”包括印度政府、英国律师事务所等的黑客集团正在全球开展入侵活动。 《星期日泰晤士报》5日发布的调查报道显示,受僱于英国机构的印度黑客非法入侵多国名人账户,受害者包括瑞士总统卡西斯、英国前财政大臣哈蒙德、英国前首相特拉斯的幕僚长富布鲁克、BBC政治新闻编辑梅森、巴基斯坦前总统穆沙拉夫、欧洲足协前主席帕天尼、德国车企宝马的大股东匡特等,囊括政商界名流、体育明星及新闻记者,总数超过百人,规模之大令人咋舌。 伦敦成全球黑客中心 调查显示,僱佣黑客的机构主要是位于伦敦金融城的大型律师事务所。曾担任英国内阁大臣的戴维斯表示,这项调查揭露了伦敦如何成为“全球黑客中心”。在英国,黑客行为属刑事犯罪,最高可判处十年监禁。 调查还揭露了黑客的作案手法,他们通常会在社交媒体上找到目标,与目标攀谈并交上朋友,随即发送网络链接,一旦目标点击链接,就会自动下载恶意软件。 记者扮退休英国特工攞料 涉事黑客集团之一名为WhiteInt,“办公”地点位于印度首都新德里西南部、科技中心古尔格拉姆郊区的一栋四层公寓内。集团首脑是31岁的Aditya Jain,他的公开身份是英国德勤会计师事务所印度办事处的员工。七年来,Jain带领着手下替英国私家侦探做事,他们不仅能利用“网络钓鱼”技术入侵目标的电子邮件,还能控制目标的电脑摄像头、麦克风,开展监听工作。 今年早些时候,《星期日泰晤士报》的两名记者扮成刚刚从英国军情六处退休的特工,成功进入伦敦梅菲尔的一家名为Beaufort Intelligence的企业调查公司工作,利用调查员身份前往印度探查黑客集团并成功与Jain取得联系。Jain告诉记者,他能在30天内入侵世界上任何人的电邮账户,并向记者展示了秘密数据库,详细列明其客户及入侵目标。 数据库显示,前英国大都会警察罗索僱佣WhiteInt对至少40个目标发起攻击;瑞士企业调查公司Diligence员工雷伊僱佣WhiteInt的次数最多,这间公司为前英国军情五处官员Nick Day所有,其姊妹公司位于伦敦金融城。 Jain披露其中一个项目的详细信息,他声称自己的客户背后金主是卡塔尔当局,后者想要获取有关国际足联的消息。受僱于卡塔尔政府的律师否认当局僱佣黑客。 黑客自称受僱印度政府 《星期日泰晤士报》的记者还联系了其他在印度活动的黑客,其中一位身处班加罗尔、自称巴尔加瓦的黑客与记者进行了在线交谈。巴尔加瓦表示,他一直在替印度政府工作,入侵了土耳其、巴基斯坦、埃及、柬埔寨和加拿大等国不同部门的网络系统,“我们的工作是获取数据并移交给他们(印度政府)。”巴尔加瓦还透露,他使用以色列公司开发的飞马(Pegasus)间谍软件成功入侵目标的WhatsApp、Signal和Telegram账户。 另外,前印度陆军准将奇拉尔创立了网络情报公司Phronesis,他表示自己能通过暗网找到此前曾洩露的所有个人数据。毕业于印度拉贾斯坦技术大学的拉索尔则表示,英国90%的私家侦探选择僱佣印度黑客从事入侵活动,“不止英国人,全世界都在利用印度黑客。” 今年早些时候,《华尔街日报》前记者所罗门入禀华盛顿联邦法院,指控美国大型律师行德杰(Dechert LLP),僱佣印度黑客窃取他和其中一位经常向他提供消息的人士、伊朗裔美籍航空行政人员阿兹马之间的电邮通讯,损害他的声誉并导致他丢掉工作。【阅读原文】2022年11月8日 星期二今日资讯速览:1、俄黑客组织披露乌军总司令大量信息2、网络攻击迫使丹麦最大铁路公司火车全部停运3、携手构建网络空间命运共同体1、俄黑客组织披露乌军总司令大量信息近日俄罗斯黑客组织“顿涅茨克小丑”,成功黑入了乌克兰武装部队总司令扎卢日内的个人社交账号,并下载了大量聊天记录与信息,随后这位武装部队总司令的各种丑闻就被爆料了出来。黑客披露称,发现扎卢日内通过社交平台私信功能,与乌克兰大量女性士兵进行私聊调情。扎卢日内还因为某些女兵“非常漂亮”就给她们赠送汽车,甚至是晋升军衔,或者将这些女兵安排到安全的部队之中。【阅读原文】2、网络攻击迫使丹麦最大铁路公司火车全部停运安全内参11月7日消息,由于受到网络攻击影响,欧盟国家丹麦在上周六(11月5日)出现多列火车停运。该事件再次证明,针对第三方IT服务提供商的攻击会对物理世界造成重大破坏。据丹麦广播公司DR报道,上周六早上,丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运,连续数个小时未能恢复。从现象来看,这似乎是针对DSB运营技术(OT)系统实施恶意攻击的事件。但实际恰恰相反,遭受攻击的是丹麦公司Supeo,该公司专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。Supeo可能经受了一次勒索软件攻击,但该公司并未披露任何信息。DSB方面的一名代表告诉路透社,这是一起“经济犯罪”。在发现黑客攻击之后,Supeo决定关闭其服务器,导致列车司机们使用的一款软件无法正常工作,最终引发了列车运营中断。Supeo公司提供了一款移动应用,可供火车司机访问运行的各项关键运营信息,例如限速指标和铁路运行信息。据媒体报道,Supeo关闭服务器的决定令该应用停止工作,司机们只能被迫停车。攻击铁路部门的恶意黑客并不少见,最近一段时间的受害者包括白俄罗斯、意大利、英国、以色列和伊朗。虽然研究人员已经证明,现代火车系统确易受到黑客攻击影响,但近期攻击活动针对的主要是铁路网站、票务及其他IT系统,没有直接针对控制系统。美国运输安全管理局(TSA)最近发布一项新指令,希望改善铁路运营中的网络安全水平。【阅读原文】3、携手构建网络空间命运共同体新华社北京11月7日电 国务院新闻办公室7日发布《携手构建网络空间命运共同体》白皮书。全文如下:携手构建网络空间命运共同体(2022年11月)中华人民共和国国务院新闻办公室目录前言一、构建网络空间命运共同体是信息时代的必然选择(一)网络空间命运共同体是人类命运共同体的重要组成部分(二)构建发展、安全、责任、利益共同体(三)构建网络空间命运共同体的基本原则二、中国的互联网发展治理实践(一)数字经济蓬勃发展(二)数字技术惠民便民(三)网络空间法治体系不断完善(四)网上内容丰富多彩(五)网络空间日益清朗(六)互联网平台运营不断规范(七)网络空间安全有效保障三、构建网络空间命运共同体的中国贡献(一)不断拓展数字经济合作(二)持续深化网络安全合作(三)积极参与网络空间治理(四)促进全球普惠包容发展四、构建更加紧密的网络空间命运共同体的中国主张(一)坚持尊重网络主权(二)维护网络空间和平、安全、稳定(三)营造开放、公平、公正、非歧视的数字发展环境(四)加强关键信息基础设施保护国际合作(五)维护互联网基础资源管理体系安全稳定(六)合作打击网络犯罪和网络恐怖主义(七)促进数据安全治理和开发利用(八)构建更加公正合理的网络空间治理体系(九)共建网上美好精神家园(十)坚持互联网的发展成果惠及全人类结束语【阅读原文】2022年11月7日 星期一今日资讯速览:1、波音子公司遭网络攻击,致使全球多家航司航班规划中断2、智利阿塔卡马射电望远镜因网络攻击而瘫痪 曾因拍摄黑洞图像而闻名3、印度地铁智能卡被发现"免费充值"漏洞 黑客轻松零元充1、波音子公司遭网络攻击,致使全球多家航司航班规划中断安全内参11月4日消息,美国航空航天巨头波音的全资子公司Jeppesen是一家位于科罗拉多州的导航与航班规划工具供应商。该公司昨天证实,由于发生网络安全事件,导致部分航班被迫中断。11月2日(本周三),Jeppesen公司网站上出现了红色提示条幅,警告称“我们的部分产品、服务和沟通渠道出现了技术问题”。波音公司一位发言人透露,这是一起网络安全事件,Jeppesen方面正在努力恢复服务。该发言人表示,“我们的子公司Jeppesen遭遇到网络事件,已经有部分航班规划产品和服务受到影响。部分航班规划被中断,但目前我们判断此次事件应该不会对飞机或飞行安全构成威胁。我们正与客户和监管机构沟通,并努力在最短时间内全面恢复服务。”尽管航班中断的严重程度还不明确,但此次事件至少已经影响到当前及后续空中任务通知(NOTAM)的接收和处理。NOTAM是指向航空当局提交的通知,用于提醒飞行员注意航线上的潜在危险。图:Flynas发布公告称将调整部分航班,安全内参截图伊拉克航空、沙特Flynas航空、加拿大太阳之翼航空均发布公告,称Jeppesen系统发生了中断。Flynas表示部分航班被重新调整,太阳之翼还称北美多家航司受影响。图:加拿大太阳之翼航空发布公告,安全内参截图旅游博客Live And Let’s Fly的博主Matthew Klint称,有消息人士透露,此次事件属于勒索软件攻击。但波音发言人称系统“仍处于活动状态”,暂时无法证实事件与勒索软件有关。航空业网络威胁形势日趋严峻当前,航空业已经成为网络攻击乃至勒索软件攻击的高频目标。今年5月,印度香料航空(SpiceJet)公司报告称遭受勒索软件攻击,导致众多乘客因航班停飞在滞留在机场。今年8月,为多家大型航空公司提供技术方案的Accelya称遭受勒索软件攻击,幕后黑手为BlackCat团伙。去年8月,曼谷航空公司称有黑客对其发动勒索软件攻击,事后还通过入侵窃取了乘客信息。据报道,波音公司也在2018年受到广泛传播的WannaCry勒索软件的打击,好在服务很快恢复了正常。波音公司发言人接受《西雅图时报》采访时称,“漏洞只影响到几台设备。我们部署了软件补丁,所以包括777喷气式飞机在内的所有项目均未发生中断。”今年8月,美国运输安全管理局(TSA)出台规定,强制要求各航空公司在24小时内向网络安全与基础设施安全局(CISA)上报一切网络安全事件。【阅读原文】2、智利阿塔卡马射电望远镜因网络攻击而瘫痪 曾因拍摄黑洞图像而闻名世界上最先进的射电望远镜之一在一次网络攻击后处于离线状态,目前还不清楚何时能再次开始科学运作。位于智利的阿塔卡马大型毫米/亚毫米阵列(Alma)天文台在10月29日受到了网络攻击,天文台在周三的一条Twitter上说。这次攻击阻碍了天文台的计算机系统,使天文台的公共网站和射电望远镜的天线都处于离线状态。"鉴于这一事件的性质,现在还不可能估计恢复正常活动的日期,"该天文台在推文中补充说。根据该天文台的公告,这次攻击并没有损坏阿尔玛的66个无线电天线,这些天线排列在智利北部的沙漠中。Alma是一个干涉仪,一个由多个较小的望远镜阵列组成的望远镜,在一起工作时就像一个更大的仪器。据该天文台称,Alma收集到的科学数据目前也是安全的。Alma是欧洲南方天文台、美国国家科学基金会的国家射电天文台和日本国家天文台的合作项目。自2013年开始全职科学运作以来,Alma已经揭示了从星尘中形成的行星,观察到附近恒星上剧烈的太阳耀斑,并对被称为伽马射线暴的强大宇宙辐射爆炸提供了新的见解。Alma也是事件地平线望远镜项目的一部分,该项目在2019年首次拍摄了黑洞的直接图像。【阅读原文】3、印度地铁智能卡被发现"免费充值"漏洞 黑客轻松零元充印度的大众快速交通系统依赖通勤智能卡,而这些智能卡容易被利用,并允许任何人有效地免费旅行。安全研究员Nikhil Kumar Singh发现了一个影响德里地铁智能卡系统的漏洞。该研究人员表示,该漏洞利用了充值过程,允许任何人为地铁列车的智能卡充值,金额与次数不限。Singh表示,他是在无意中使用德里地铁站的一个储值机为自己的地铁智能卡免费充值后发现这个漏洞的。Singh说,这个错误的存在,是因为当旅客使用地铁站的储值机给他们的地铁智能卡充值时,地铁充值系统没有正确地验证付款。他说,缺乏检查意味着,即使储值机显示购买失败,智能卡也会被欺骗,以为它已经充值。在这种情况下,付款被标记为待定,随后被退回,使该人能够有效地免费乘坐地铁。"我在德里地铁的系统上试了一下,能够获得免费的充值额度,"Singh表示。"我仍然需要通过使用PhonePe或Paytm支付来启动充值,但由于充值仍未完成,30天后会被退回。这就是为什么在技术上是免费的,"他说。Singh分享了他在2月份录制的概念验证视频,展示了智能卡如何被骗到德里地铁卡上增值。在更好地了解该漏洞后,该研究人员在一天后联系了德里地铁公司(DMRC)。作为回应,DMRC要求Singh通过电子邮件分享该漏洞的细节,他这样做了,同时还提供了一份技术报告和演示该漏洞运行的日志文件。3月16日,Singh收到了一份模板式的回复,承认收到了他的邮件,但没有收到任何进一步的回复。这个尚未修复的问题存在于智能卡本身。德里地铁依靠的是荷兰芯片制造商恩智浦半导体公司(NXP)生产的MiFare DESFire EV1智能卡。印度除了首都以外的其他地铁系统,包括班加罗尔,也使用同样的智能卡系统。如果其他州的地铁列车的技术基础设施是一样的,那么这个错误在那里也会起作用。这不是安全研究人员第一次发现同一品牌的智能卡的问题。过去的研究发现类似的漏洞影响了德里地铁使用的相同的DESFire EV1智能卡,以及其他欧洲大众交通系统。2020年,MiFare推出了DESFire EV3作为其非接触式解决方案,具有更好的安全性。Singh建议,如果地铁系统迁移到DESFire EV3卡,智能卡的错误可以得到修复。DMRC的三位发言人没有回答多封寻求评论的电子邮件,恩智浦的发言人表示暂时无法提供评论。负责该市地铁服务的班加罗尔地铁公司也没有发表评论。【阅读原文】2022年11月4日 星期五今日资讯速览:1、美国新闻业遭遇大规模供应链攻击:数百家报纸网站被植入“后门”2、美国财政部:2021年金融机构因勒索攻击损失超12亿美元3、美国科技“寒冬”来袭:亚马逊冻结招聘,Lyft 与 Strip 大裁员1、美国新闻业遭遇大规模供应链攻击:数百家报纸网站被植入“后门”安全内参11月3日消息,有恶意黑客侵入并操纵某家未公开名字的媒体公司基础设施,在美国数百家报纸的网站上部署了SocGholish JavaScript恶意软件框架(又名FakeUpdates)。美国安全厂商Proofpoint威胁研究与检测副总裁Sherrod DeGrippo向媒体证实,“被黑的是一家主要向新闻机构提供视频和广告内容的媒体公司,一直服务于美国多个市场上的不同企业。”这次供应链攻击背后的恶意团伙被Proofpion命名为TA569,他们将恶意软件注入各新闻媒体网站加载的正常JavaScript文件中。该恶意JavaScript文件随后会安装SocGholish,后者会在网站上显示虚假更新警告,再利用伪装成浏览器更新但实为恶意软件有效载荷的文件(例如Chromе.Uрdatе.zip、Chrome.Updater.zip、Firefoх.Uрdatе.zip等)感染网站访问者。Proofpoint公司威胁洞察团队在推文中透露,“我们观察到,一家为众多主要新闻机构提供服务的媒体公司发生了间歇性恶意注入。这家媒体一直通过JavaScript为各合作伙伴提供内容。”“原来的正常JavaScript代码文件遭到篡改,恶意黑客借此部署了SocGholish。”图:恶意JavaScript文件混淆内容据Proofpoint安全研究人员介绍,该恶意软件已被安装在250多家美国新闻媒体网站之上,其中包括不少重量级新闻机构。虽然尚不清楚受影响新闻机构的确切数量,但Proofpoint表示包括国家新闻机构在内,已经有纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的多家媒体因此受害。DeGrippo还提到,“TA569此前就曾利用媒体公司资产传播过SocGholish。这种恶意软件可能引发后续感染,包括潜在的勒索软件攻击。”“必须密切监视这种情况。Proofpoint已经观察到,TA569曾在目标资产被修复的几天之后,再次将其感染。”与勒索软件攻击有关Proofpoint之前还曾观察到,有SocGholish恶意活动利用虚假更新和网站重新定向来感染用户,并在有效载荷中添加勒索软件。Evil Corp网络犯罪团伙也曾在一起类似的攻击中使用过SocGholish,当时他们通过数十个被感染的美国报纸网站发送虚假软件更新警报,借此蒙蔽了30多家美国主要私营企业中的员工。一旦成功感染目标计算机,这群恶意黑客就会将这些设备作为入侵企业网络的跳板,尝试部署该团伙的WastedLocker勒索软件。根据赛门铁克发布的报告,他们成功阻止了Evil Corp针对多家私营企业实施网络加密锁定的尝试。当时的事件共影响到30家美国企业,其中8家为财富500强公司。SocGholish最近还曾配合Raspberry Robin恶意软件感染后门网络,微软将此事定性为Evil Corp团伙实施勒索攻击之前的准备行为。【阅读原文】2、美国财政部:2021年金融机构因勒索攻击损失超12亿美元安全内参11月2日消息,美国金融监管机构发布报告称,2021年勒索软件攻击与赎金支付数量再创历史新高,多数勒索软件变种的幕后操纵者据信与俄罗斯有关。总体来看,2021年金融机构根据美国《银行保密法》要求上报的勒索攻击总损失,已经由前一年的4.16亿美元骤升至12亿美元。这些数据出自周二美国财政部下辖金融犯罪执法网络(FinCEN)发布的最新报告。2021年内上报事件总计1489起,远高于2020年的487起。研究人员报告称,“勒索软件持续对美国各关键基础设施部门、企业及公众构成重大威胁。”报告写道,“过去两年以来,勒索软件攻击者开始从广撒网转向针对性入侵,通过精心挑选受害者、重点针对大型企业和提出高额赎金要求等方式,尽可能提高‘投资’回报。”与此同时,美国白宫周一举办反勒索软件倡议全球峰会,接待来自30多个国家/地区的代表,共商勒索软件难题的解决之道。目前,勒索软件在全球范围内日益猖獗。值得注意的是,俄罗斯官员缺席了此次会议。FinCEN表示,绝大多数勒索软件攻击均可溯源至俄罗斯。报告发现,目前五大顶级勒索软件变种均与俄罗斯有关,而且近70%的勒索攻击事件“与俄罗斯、其代理人或俄方行动代表有关。”报告指出,“虽然很难确定恶意软件的具体归属,但从这些变体的开源信息中确实发现了一些共性,例如使用俄语代码,通过编码刻意绕开俄罗斯或其他前苏联国家,主要在俄语网站上投放广告等。”今年下半年,勒索软件攻击数量急剧增加。7月1日后上报的攻击事件已经达到793起,而俄罗斯恶意软件变种继续在其中占比四分之三。【阅读原文】3、美国科技“寒冬”来袭:亚马逊冻结招聘,Lyft 与 Strip 大裁员11 月 4 日消息,美国当地时间周四,随着亚马逊公开宣布冻结招聘,以及 Lyft、Stripe 等其它几家科技公司宣布裁员,美国科技行业似乎陷入了新的就业“寒冬”。亚马逊表示,该公司高管本周决定暂停人才招聘,因为经济“处于不稳定状态”。上个月,这家电子商务巨头停止了零售业务中企业和技术人员的招聘。亚马逊负责人力资源的高管贝丝・加莱蒂(Beth Galetti)在公司内部和公司博客上发文称:“我们预计在接下来的几个月里保持这种冻结状态,并将继续关注我们在经济和业务中看到的新形势。”与此同时,网约车公司 Lyft 表示将裁员 13%,即在 5000 名员工中裁汰约 650 人。支付处理平台 Stripe 宣布将裁员 14%,大约有 1100 人会受到影响。几个月来,包括 Meta 和亚马逊在内的科技巨头都在放缓招聘速度,而 Robinhood 和 Coinbase 等规模较小的科技公司则宣布裁员。然而,很少有如此多的裁员和招聘冻结消息在同一天被披露。在过去十年里,科技公司引领了美国经济的发展,在新冠肺炎疫情最糟糕的日子里帮助提振了股市。但最近几周,许多大型公司公布的财务业绩表明,它们感受到了全球经济紧张、通胀飙升和利率上升的影响。尤其是社交媒体公司,在过去几个月里始终在努力应对数字广告支持减少的困扰。Facebook 和 Instagram 母公司 Meta 上周表示,到明年年底,其员工人数将“大致持平”。该公司计划缩减部分团队规模,只在高优先级领域招聘。Snapchat 的母公司 Snap 在 8 月份解雇了 20% 的员工,原因是宏观经济环境带来的挑战压力越来越大。上周,微软告诉投资者,本季度新增员工的数量“应该很少”。同时,谷歌和 YouTube 母公司 Alphabet 也表示,本季度招聘的新增员工人数将不到第三季度的一半。亚马逊告诫投资者,本季度营收增长可能放缓至 20 年来的最低水平,即使即将到来的是关键假日购物季。在 2020 年和 2021 年员工人数翻了一番后,亚马逊自今年年初以来始终在收缩规模。截至第三季度末,该公司雇佣了 150 万名员工。科技公司正在进行更多的裁员。上周斥资 440 亿美元收购推特后,埃隆・马斯克 (Elon Musk) 已下令对该公司进行裁员,该公司约有 7500 名员工。推特员工已经开始散发《裁员指南》,里面有如何应对裁员的小贴士。美国当地时间周四,Lyft 表示公司已决定裁员,以应对“明年可能出现的经济衰退”。该公司创始人洛根・格林(Logan Green)和约翰・齐默(John Zimmer)在给员工的电子邮件中表示,所有团队都将受到影响。格林和齐默写道:“采取这些积极主动的行动,确保我们能够加快执行速度,专注于推动盈利增长的最佳机会,并带来强劲的业务业绩,这一点很重要。”今年夏天,Lyft 裁减了 2% 的员工,主要是因为关闭了汽车租赁业务,并冻结了招聘。但该公司创始人表示,Lyft 仍需“变得更精简”。它“不能幸免于通胀和经济放缓的现实”,这导致了拼车保险成本的增加。Lyft 还表示,计划出售其第一方车辆服务业务,并预计该团队的员工将能继续保留工作机会。Stripe 联合创始人兼首席执行官帕特里克・克里森(Patrick Collison)表示,在疫情暴发期间,该公司雇佣了太多员工,在运营方面花钱太快,结果今年却面临通胀、高利率、能源成本攀升和创业资金减少等问题。克里森在给员工的一封电子邮件中说:“我们对互联网经济的短期增长过于乐观,并低估了更大范围放缓的可能性和影响。”克里森补充说,裁员不会在各团队之间均衡进行。比如,招聘等团队的裁员力度将更大,因为公司明年将减少招聘活动。今年 7 月,Stripe 将其内部估值下调了 28%,至 740 亿美元。【阅读原文】2022年11月3日 星期四今日资讯速览:1、网络揽萃:美国防部发布《2022年美国国防战略》2、微软发布 Win11 Dev 预览版 Build 25236 更新,带来多项问题修复3、微软 Azure Cosmos DB 的严重“CosMiss”RCE 漏洞被披露1、网络揽萃:美国防部发布《2022年美国国防战略》编者按:美国防部10月27日发布新版国防战略,提出四大防御优先事项,并提出推进上述优先事项的三大方法,即综合威慑、开展军事活动和建立持久优势。《战略》将网络空间安全威胁视为美军所面临严峻安全环境的重要促成因素,同时提出将通过运用网络威慑手段、开展网络空间行动和提高网络空间能力等方式来应对竞争挑战并获取军事优势。《战略》提出,现在和未来二十年,美国防部面临着战略性挑战,新兴技术、“灰色地带”活动助推了上述挑战;竞争对手试图利用美国战争方式中的弱点,包括利用网络和太空领域获得作战、后勤和信息优势;俄罗斯、伊朗等国通过网络和信息行动,构成严重且持续的风险;在网络和太空领域,由于行为规范和升级阈值不明确、复杂的领域交互和新能力,无意升级的风险较高。《战略》提出,将通过“通过拒止威慑”“通过弹性威慑”“通过直接和集体施加成本进行威慑”三种方式实施综合威慑,在作战领域、战区、冲突范围、美国国家力量的所有工具以及美国联盟和伙伴关系网络之间进行无缝协作,以应对竞争对手的整体战略挑战。其中,在“通过拒止威慑”方面,将发展非对称方法,开发创新的作战理念,发展新的作战能力,并改善非动能工具的集成;在“通过弹性威慑”方面,将提高应对重要网络和关键基础设施遭受多域攻击时的行动能力,优先考虑提高网络和太空领域弹性,如通过现代加密和零信任架构来增强网络弹性;在“通过直接和集体施加成本进行威慑”方面,将通过进攻性网络行动等手段直接施加成本,并领导制订网络空间领域国际行为规范从而对恶意和攻击性行为进行集体归因和响应。《战略》提出,美国防部将通过开展军事行动来加强威慑并获得优势,以对抗竞争对手强制性措施,从而推进明确的、与战略一致的优先事项;将通过开展军事活动来限制、挫败和破坏竞争对手活动,特别是在“灰色地带”开展的活动;将开展网络空间行动,以降低竞争对手的恶意网络活动,并为在危机或冲突中使用的网络能力做好准备;将开展量身定制的信息行动,以支持并在某些情况下领导美国防部的响应行动。《战略》提出,为了巩固综合威慑和作战的基础,美国防部将紧急采取行动,在整个国防生态系统中建立持久优势,从而创造和加强联合部队的技术优势;将更好地调整需求、资源和采购,确定最有前途的概念,将新兴技术纳入军事领域,以解决关键作战挑战;将推动先进能力的研发,加强国防工业基础,以确保生产和维持为美国、盟国和合作伙伴部队提供竞争优势所需的全方位能力;将积极寻求填补特定的技术空白,包括网络、数据和人工智能专业,并与高校合作,帮助构建未来劳动力。奇安网情局编译有关情况,供读者参考。美国防部10月27日正式发布《2022年美国国防战略(NDS)》。《战略》提出,美国防部的愿景是专注于迫切挑战;美国防部的核心职责是发展、结合和协调美军优势以发挥最大作用,这是综合威慑的核心,也是《2022年美国国防战略》的核心;综合威慑意味着使用国防部可以使用的所有工具,与美国政府的同行以及盟国和合作伙伴密切合作,以确保潜在的敌人了解“侵略的愚蠢”;针对特定的竞争对手和挑战,国防部将调整政策、投资和活动以维持和加强威慑,并在国防部内外进行协调和同步。《战略》列出了美国防部必须追求的四个顶级防御优先事项。包括:● 保卫国土,应对对手日益增长的多域威胁● 威慑对美国、盟国和伙伴的战略性攻击● 必要时威慑侵略,同时准备在冲突中获胜;优先考虑在印太地区和欧洲面临的挑战● 构建有弹性的联合部队和防御生态系统美国防部长劳埃德·奥斯汀表示,《战略》提供了三种方式来推进上述优先事项,其中包括综合威慑、开展军事活动和建立持久优势。1►擎画所面临严峻安全环境《战略》提出,现在和未来二十年,美国防部面临着战略性挑战,这些挑战源于:快速变化的全球军事能力平衡间的复杂互动;新兴技术;对美国本土和战略稳定构成新威胁的竞争理论;竞争对手在“灰色地带”的强制性和恶意活动升级;对联合部队和国防体系提出新要求的跨界挑战。《战略》提出,竞争对手战略试图利用美国战争方式中的弱点,包括利用网络和太空领域获得作战、后勤和信息优势;俄罗斯在关键领域构成严重且持续的风险,包括网络和信息行动;伊朗通过支持恐怖组织和军事代理人、使用自己的准军事部队、进行军事挑衅以及开展恶意的网络和信息行动,进一步破坏了中东的稳定;在网络和太空领域,由于行为规范和升级阈值不明确、复杂的领域交互和新能力,无意升级的风险特别高。《战略》指出,竞争对手现在通常使用“灰色地带”方法寻求对现状的不利改变,其中俄罗斯在多个国家对美国及其盟国和合作伙伴开展虚假信息、网络和太空行动,朝鲜和伊朗等国使用类似的手段但目前较为有限;先进导弹、无人驾驶飞机系统和网络工具向军事代理人扩散,使竞争对手能够以间接和可否认的方式威胁美国军队、盟国和合作伙伴。2►提出通过综合威慑来应对战略挑战《战略》提出,竞争对手正在推行整体战略,采用各种形式的胁迫、恶意行为和侵略来实现其目标,并削弱稳定和开放的国际体系的基础;应对上述挑战需要整体应对,即综合威慑;综合威慑需要在作战领域、战区、冲突范围、美国国家力量的所有工具以及美国联盟和伙伴关系网络之间无缝协作;综合威慑涉及“通过拒止威慑”“通过弹性威慑”“通过直接和集体施加成本进行威慑”。在“通过拒止威慑”方面,《战略》提出,为了阻止侵略,特别是在潜在对手可能采取行动迅速夺取领土的情况下,美国防部将发展非对称方法并优化拒止态势;近期,将继续开发创新的作战理念,并通过投资成熟的高价值资产来补充当前的能力和态势;中长期,将发展新的能力,包括远程打击、海底、高超音速和自主系统,并改善信息共享和非动能工具的集成。在“通过弹性威慑”方面,《战略》提出,拒止侵略获益需要弹性,即承受、战斗并从破坏中迅速恢复的能力;美国防部将提高其日益增多的重要网络和关键基础设施面面对多域攻击时的行动能力,由于网络和太空领域赋予整个联合部队力量,美军将优先考虑在这些领域建立弹性,例如通过现代加密和零信任架构来增强网络弹性;在太空领域,国防部将通过部署多样化、有弹性和冗余的卫星星座来降低对手的早期攻击动机。在“通过直接和集体施加成本进行威慑”方面,《战略》提出,拒止和弹性策略是必要的,但并不总是足够的,有效的威慑也可能取决于是否有能力通过直接和集体施加成本进行威慑;直接施加成本方法包括除核力量外广泛的手段,包括常规远程火力、进攻性网络行动、非常规战争、对外国内部防御的支持以及经济制裁、出口管制和外交措施等机构间工具;美国在为网络、太空和其他新兴技术领域的适当行为制定规范方面的领导地位将通过提高关于恶意和攻击性行为的国际共识来加强威慑,从而增加在违反这些规范时集体归因和回应的可能性。《战略》还提出,国防部将采用综合威慑方法,利用常规、网络、太空和信息能力的定制组合,以及核武器的独特威慑效果,来慑止战略性攻击。《战略》同时提出,安全环境的变化(特别是在太空和网络领域)可能会在危机或冲突期间增加不透明度,从而威胁到战略稳定;美国防部将制定量身定制的方法来评估和管理危机和冲突中的升级风险,包括对升级途径和阈值进行分析,以及针对领域感知下降和沟通受损的情况进行规划;美国防部将通过与竞争对手的对话、加强指挥、控制和通信的单边措施以及通过发展防御和架构弹性来加强战略稳定性,以在冲突期间保持网络空间和太空的作战能力;与盟友、合作伙伴以及竞争对手建立和实践危机沟通,是减少相互误解和帮助管理升级的重要工具。3►提出通过开展军事活动来获取军事优势《战略》提出,美国国防部将通过开展军事行动来加强威慑并获得优势,以对抗竞争对手最重要的强制性措施;开展军事行动意味着执行和排序逻辑相关的军事举措,旨在随着时间的推移推进明确的、与战略一致的优先事项;军事活动改变环境,有利于美国和我们的盟国和合作伙伴,同时限制、挫败和破坏竞争对手活动,特别是在“灰色地带”开展的活动。《战略》提出,通过开展军事活动来获取军事优势、增强威慑力和应对“灰色地带”挑战;美国防部将明智地使用国防资源并努力打击竞争对手在“灰色地带”行动中的胁迫行为,因为传统的军事工具可能并不总是最合适的回应;在许多情况下,美国其他部门和机构在信息领域开展的情报共享、经济措施、外交行动和活动可能会更加有效;美军将开展网络空间行动,以降低竞争对手的恶意网络活动,并为在危机或冲突中使用的网络能力做好准备;量身定制的信息行动可用于支持并在某些情况下领导美国防部的响应;美国防部在活动中将仔细评估和管理升级风险。4►提出通过建立持久优势来巩固综合威慑和作战的基础《战略》提出,为了巩固综合威慑和作战的基础,美国防部将紧急采取行动,在整个国防生态系统中建立持久优势,从而创造和加强联合部队的技术优势;建设推进战略目标所需的未来联合部队,需要对生成和管理军事能力的方式进行广泛而深刻的改变;为了为未来的军事优势奠定持久的基础,国防部将与其他美国联邦部门和机构、国会、私营部门以及盟国和合作伙伴合作,迅速采取行动,以五种方式影响变革:● 改造未来部队的基础● 进行正确的技术投资● 调整和加强国防生态系统● 增强弹性和适应性● 培养所需要的劳动力《战略》提出,美国防部将更好地调整需求、资源和采购,并开展一场学习运动,以确定最有前途的概念,将新兴技术纳入商业和军事领域,以解决关键作战挑战;美国防部将推动先进能力的研发,包括定向能、高超音速、综合传感和网络;美国防部将加强国防工业基础,以确保生产和维持为美国、盟国和合作伙伴部队提供竞争优势所需的全方位能力;美国防部将积极寻求填补特定的技术空白,包括网络、数据和人工智能专业,并与高校合作,帮助构建未来劳动力。【阅读原文】2、微软发布 Win11 Dev 预览版 Build 25236 更新,带来多项问题修复IT之家 11 月 3 日消息,微软今日面向 Windows 11 Dev 预览版用户推送了 Build 25236 更新,带来了多项内容修复。据官方博客,微软正在美国测试 Windows 11 任务栏搜索图标的提示框,从而提高该工具的使用率和使用效率。此外,Windows Dev 预览版 Build 25236 带来了多项修复,以下为修复内容:旁白修复了导致自然声音无法在讲述人中说话的问题。任务栏和系统托盘修复了如果打开隐藏的图标浮出控件,则会导致文件资源管理器条目显示在任务栏中的问题。修复了在使用 Windows 键 + (#) 键盘命令尝试在窗口之间切换时,导致任务栏预览冻结或显示为空白且无法打开的问题。系统托盘中的“显示隐藏图标”浮出控件现在应响应式地再次随更改调整大小,以防止出现空格和分行。修复了与任务栏相关的多个问题,这些问题影响 explorer.exe 的可靠性。修复了导致系统托盘中的音量图标错误地显示为静音的问题。修复了与更新任务栏中的通知中心图标相关的 GDI 句柄泄漏,该泄漏最终会导致收到大量通知的设备出现 explorer.exe 崩溃。讲述人现在将在任务栏中播报应用的固定和取消固定状态。文件资源管理器修复了某些用户在关闭选项卡时文件资源管理器崩溃的问题。对可能导致文件资源管理器导航窗格中分隔线错误的问题进行了另一个修复。设置在连接 UPS 时隐藏“电源和电池”页面上的电池图,因为在这种情况下显示的容量信息不正确。如果用户没有设置自助服务终端,系统将更新 帐户 > 其他用户 > 自助服务终端 上的文本,以更清楚地表明用户需要这样做。修复了如果进入音频设备的属性,可能会使其意外显示在 系统 > 声音 的输出设备列表中,尽管它实际上是输入设备。在颜色滤镜的辅助功能设置中,反转选项将恢复正常工作,而不仅仅是将电脑设置为灰度颜色。其他修复了导致某些预览体验成员在最近的版本中看到 SYSTEM_THREAD_EXCEPTION_NOT_HANDLED 错误检查的问题。已知问题常规正在调查有关某些用户在升级到最新版本后音频停止工作的报告。正在调查有关最近版本中几个不同应用和游戏崩溃的报告。正在调查有关应用中各种 UI 元素似乎正在消失的报告,有时会在最近的版本中重现。正在调查有关某些应用程序(如 Microsoft Edge)在上个版本后意外地在窗口侧面显示粗线的报告。使用最新的 ISO 安装 Dev 版本时,用户可能会收到一个 SYSTEM_SERVICE_EXCEPTION 错误检查,引用 win32kfull.sys 的错误。正在调查此版本中的一个问题,使用 WIN + P / 快速设置的项目部分切换投影模式不起作用。用户可以暂时使用系统托盘中的投影图标(Win + K)切换投影模式。任务栏在桌面姿势和平板电脑姿势之间转换时,任务栏有时会闪烁。使用右下边缘手势查看“快速设置”时,任务栏有时会停留在展开状态,而不是关闭为折叠状态。系统托盘Chat 应用不会闪烁新消息,也不会在系统托盘中悬停时打开预览。开始菜单正在调查开始菜单中的文件夹在第一次尝试时无法打开的报告。正在调查中国用户的开始菜单所有应用列表的导航标题中出现乱码的问题。输入正在调查有关将鼠标悬停在文本字段上时文本光标变为白底白字的报告。小部件在从右到左的显示语言(如阿拉伯语)中,当点击小部件面板的展开视图时,在小部件调整大小之前,内容会以动画形式显示在视图之外。IT之家了解到,微软还更新了 Windows 11 应用商店,最新版为 22210.1401.x,新增了发现并兑换新电脑提供的优惠功能。用户能够更轻松地发现设备附带数字附加优惠(Office、Game Pass 或独立游戏)并兑换它。【阅读原文】3、微软 Azure Cosmos DB 的严重“CosMiss”RCE 漏洞被披露Hackernews 编译,转载请注明出处:微软周二表示,它解决了Azure Cosmos DB的Jupyter Notebooks中的身份验证绕过漏洞,该漏洞启用了完全读写访问权限。这家科技巨头表示,该漏洞于2022年8月12日出现,并于2022年10月6日在全球范围内得到纠正,两天后,Orca Security披露了该漏洞,并将其称为CosMiss。研究人员Lidor Ben Shitrit和Roee Sagi说:“如果攻击者知道笔记本的‘forwardingId’,即笔记本工作区的UUID,他们将拥有笔记本的完全权限,而无需进行身份验证,包括读写访问权限,以及修改运行笔记本的容器的文件系统的能力。”此容器修改最终可以通过覆盖与Cosmos DB 资源管理器相关联的Python文件来生成反向 shell,从而为在笔记本容器中获取远程代码执行铺平道路。然而,要想成功利用该漏洞,攻击者必须拥有唯一的128位forwardingId,并在一小时内使用该id,之后临时笔记本将自动删除。Redmond说:“即使知道forwardingId,该漏洞也无法执行笔记本,无法自动将笔记本保存在受害者(可选)连接的GitHub存储库中,也无法访问Azure Cosmos DB帐户中的数据。”微软在自己的公告中指出,它没有发现恶意活动的证据,并补充说客户不需要采取任何行动。它还将该问题描述为“难以利用”,因为128位forwadingID的随机性及其有限的使用寿命。“不使用Jupyter Notebooks的客户(99.8%的Azure Cosmos DB客户不使用Jupyter Notebooks)不容易受到此漏洞的影响。”该公司进一步表示。【阅读原文】2022年11月2日 星期三今日资讯速览:1、网络安全事件迫使斯洛伐克议会暂停会议,今年欧洲近十国议会遭黑2、欧盟最大铜矿公司遭网络攻击,IT系统被迫中断服务3、Snatch 集团声称入侵了军事供应商 HENSOLDT France1、网络安全事件迫使斯洛伐克议会暂停会议,今年欧洲近十国议会遭黑安全内参11月1日消息,欧洲内陆国家斯洛伐克议会IT系统遭遇网络安全事件,导致上周举行的会议被迫暂停。上周四(10月27日),斯洛伐克议会议长鲍里斯·科拉尔(Boris Kollár)在电视简报会中解释称,为了着手调查此次安全事件,原定的议会投票被迫取消。科拉尔在简报会上透露,“我们发现了一起网络安全事件……有一个信号来自某个点,干扰了我们的系统和计算机,甚至为议员们服务的自助餐厅都受到了影响。”斯洛伐克国家安全办公室(NSB)后续发表声明,确认收到了关于国民议会期间“网络安全事件”的报告。该办公室拒绝提供关于情况的更多细节,也没有回应置评请求。值得一提的是,官员们给出的事件信息间存在冲突。有人说国民议会“报告称当天早上记录到IT服务中断”,并导致会议提前结束。但斯洛伐克国家安全局(NBU)发言人彼得·哈巴拉(Peter Habara)提醒说,这起(网络安全)事件可能不是网络攻击,只是普通的系统中断,网络攻击是一种“故意行为”。据斯洛伐克共和国通讯社(TASR)发言人米凯拉·尤尔乔娃(Michaela Jurcová)介绍,“对这起网络安全事件的初步分析表明,网络通信确实出现了异常,结果导致所有组件功能均受到影响,包括接入网络基础设施的投票设备。”该国执法机构目前正与国家安全局合作开展调查。科拉尔称这起事件“非常严重”,并取消了11月8日之前的所有原定会议。他还指出,如果能早点解决问题,议会也可以考虑在下周重启会议。斯洛伐克一些反对党派对事件本身以及应对决定提出了质疑。反对党政客安娜·泽马诺娃(Anna Zemanová)在采访中表示,把会议推迟到11月8日简直“荒谬”,并声称此次攻击可能是在故意拖延时间,避免执政党的几位政客在重要立法会议上缺席。继罗马尼亚、意大利、立陶宛、挪威、波兰、芬兰和拉脱维亚之后,斯洛伐克成为又一个议会遭受网络攻击的国家。就在上周,保加利亚政府网站也受攻击影响,官员们将事件归咎于某亲俄罗斯黑客团伙。据路透社报道,波兰议会上周四同样遭遇了网络攻击。【阅读原文】2、欧盟最大铜矿公司遭网络攻击,IT系统被迫中断服务安全内参10月31日消息,德国铜生产商Aurubis(中文名为奥鲁比斯)宣布遭受网络攻击,被迫关闭IT系统以防止影响蔓延。Aurubis是欧洲最大、世界第二的铜生产商,在全球拥有6900名员工,年产阴极铜100万吨。Aurubis已经在官网上发布公告,称虽然各地IT系统已经关闭,但正常生产并未受到影响。公告中指出,“冶炼厂的生产和环保设施正在运行,进出货物也已转入人工维护。”目前,该公司仍在评估网络攻击引发的影响,并与政府当局密切合作以加快调查进度。Aurubis的当务之急是将产量保持在正常水平,保证原材料供应和制成品的平稳交付。为此,该公司已经将部分操作转为手动模式,希望能在计算机辅助自动化功能重新上线之前,尽量保持冶炼厂货物的正常进出。Aurubis公司指出,暂时无法估算需要多长时间才能让全体系统恢复正常运行。在全面复原之前,该公司计划建立过渡性解决方案,为自身及客户提供暂时沟通渠道。目前,联络Aurubis的唯一途径只剩下电话呼叫。尽管种种迹象表明这似乎是一起勒索软件攻击,但Aurubis方面并未提供关于攻击细节的任何说明。值得注意的是,Aurubis提到这次攻击只是“针对金属及采矿业的更大规模袭击中的一部分”。外媒已经联系该公司,希望了解关于此次事件的更多消息,并将第一时间带回置评回复。最近一次针对超大型金属生产商实施勒索软件攻击的事件发生在2019年3月,当时LockerGoga团伙实施攻击,迫使铝业巨头Norsk Hydro关闭了自家IT系统。【阅读原文】3、Snatch 集团声称入侵了军事供应商 HENSOLDT FranceHackernews 编译,转载请注明出处:Snatch勒索软件组织声称已经入侵了法国公司HENSOLDT France。HENSOLDT是一家专门从事军事和国防电子产品的公司。HENSOLDT France公司为法国和国外的航空、国防、能源和运输部门提供各种关键电子解决方案、产品和服务,无论是航空、海军还是陆地应用。根据公司网站,HENSOLDT France公司提供任务管理系统、世界级传感器、嵌入式系统;测试与仿真;氢气和电力转换、命令与控制、机械解决方案、支持和咨询以及安全通信和网络安全。该公司开发特定的电子解决方案,并为危险环境提供专用的COTS解决方案。它们完全符合军事和航空标准,以及测试、集成和仿真解决方案,以确保关键系统的开发。Snatch勒索软件组织将HENSOLDT France添加到其Tor泄密网站公布的受害者名单中。该组织发布了被盗数据样本(94 MB)作为黑客攻击的证据。Snatch勒索软件于2019年底首次被发现,Sophos研究人员发现了该勒索软件可以将感染的计算机重新启动到安全模式,以绕过常驻安全解决方案。【阅读原文】2022年11月1日 星期二今日资讯速览:1、公开征求对《道路机动车辆生产准入许可管理条例(征求意见稿)》的意见2、第三届中国互联网基础资源大会将于 11 月 2 日在北京召开:包括域名注册管理、IPv6 发展等3、用户8小时无法访问账户:Instagram表示已修复软件漏洞1、公开征求对《道路机动车辆生产准入许可管理条例(征求意见稿)》的意见为健全车辆生产管理法治体系,全面落实车辆生产许可管理责任,持续一体化推进“放管服”改革,推动汽车产业高质量发展,工业和信息化部会同有关部门起草了《道路机动车辆生产准入许可管理条例(征求意见稿)》,现向社会公开征求意见。意见反馈截止时间为2022年11月27日。传真:010-66013726电子邮箱:[email protected]通信地址:北京市西城区西长安街13号工业和信息化部装备工业一司,邮编:100804,并在信封上注明“道路机动车辆生产准入许可管理条例征求意见”。附件:道路机动车辆生产准入许可管理条例(征求意见稿)工业和信息化部装备工业一司2022年10月28日【阅读原文】2、第三届中国互联网基础资源大会将于 11 月 2 日在北京召开:包括域名注册管理、IPv6 发展等IT之家 10 月 31 日消息,中国互联网基础资源大会将于 11 月 2 日在北京辽宁大厦召开,由工业和信息化部主办,中国互联网络信息中心、中国科学院计算机网络信息中心、中国工业互联网研究院联合承办。IT之家获悉,本届大会以“聚焦网络基础 创享数字未来”为主题,会期 1 天,将聚焦互联网基础资源行业发展,展示前沿创新技术,搭建起行业交流、合作创新、共谋发展的平台,更好服务制造强国和网络强国建设。工信部领导将出席大会并致辞,多位院士和业内知名专家将出席大会,相关科研院所学者、企业代表、域名注册管理和服务机构代表、IP 地址分配联盟会员代表等参会。大会同步举办 6 场分论坛,分别是域名行业合作与发展高峰论坛、IPv6 发展创新论坛、前沿技术与自主创新论坛、互联网治理论坛、算力网络与资源公钥基础设施论坛、工业互联网网络基础资源服务论坛。【阅读原文】3、用户8小时无法访问账户:Instagram表示已修复软件漏洞新浪科技讯 北京时间11月1日早间消息,据报道,当地时间周一,Instagram表示,已修复一个软件漏洞,该漏洞导致数千名用户无法访问该照片分享平台约8小时,并导致账户被封的投诉。 Meta平台公司旗下Instagram周一在一篇推文中表示:“我们现在已经解决了这个漏洞——它导致世界各地的人们无法访问他们的账户,并导致粉丝的数量暂时发生了一些变化。” Instagram发言人没有就账户被封一事发表评论。几名Instagram用户发推文表示,他们被要求提供电子邮件ID和电话号码才能访问被冻结的账户。 美国东部时间10时9分,中断跟踪网站Downdetector上有超过7500份用户报告,而在美国东部时间下午6时左右,用户报告的数量下降到近500份。 Downdetector从多个来源整理状态报告,包括用户在其平台上提交的错误。这次服务中断可能会影响到更多的用户。在股市普遍下跌的背景下,Meta的股价收盘时下跌6.1%。【阅读原文】 [培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
相关资讯