文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
英国政府秘密向苹果下达命令,要求创建一个 iCloud 后门,允许其安全官员不受阻碍的访问全世界用户的加密数据。这一要求史无前例,从未有任何其他民主国家提出类似要求。英国内政大臣是以“technical capability notice(技术能力通知)”的形式发布这一命令的,要求苹果根据英国 2016 年的 UK Investigatory Powers Act(IPA)法案提供后门访问。苹果拒绝对此置评。英国内政部也拒绝置评,拒绝确认或否认有此类通知的存在。为了避免违反对用户的安全承诺,苹果可能选择停止在英国提供加密储存。
Goolge 本月初释出了两组安全补丁 2025-02-01 和 2025-02-05,修复了 48 个漏洞,其中包括一个 Android 内核 0day 高危漏洞。该漏洞编号 CVE-2024-53104,影响 Linux 内核的 USB Video Class(UVC)驱动,属于越界写入 bug,存在于 uvc_driver.c 的 uvc_parse_format()函数中。该漏洞会导致内存损坏、程序崩溃甚至任意代码执行。攻击者可利用该 bug 提权,可用于安装恶意程序、更改或删除数据,或创建拥有完整管理权限的新帐户。该漏洞已被用于针对性的有限攻击。Android 用户最好立即更新到最新的安全补丁。
以色列间谍软件开发商 Paragon Solutions 证实它的客户包括了美国政府及其盟国。此前 WhatsApp 指控 Paragon 的间谍软件被用于攻击近 90 名记者和公民社团成员。至少有两人公开称自己是目标,其中包括意大利记者 Francesco Cancellato 和生活在瑞典的利比亚活动人士 Husam El Gomati。Paragon CEO John Fleming 在声明中表示,该公司要求客户同意禁止非法攻击记者和其他公民社团活动人士的条款,该公司对此类行为零容忍,将终止任何违反服务条款的客户。Fleming 没有证实该公司是否因客户违反条款而终止服务,他拒绝对 WhatsApp 的终止函发表评论。Cancellato 是新闻网站 Fanpage.it 的负责人,该网站去年发表了一份调查报告,针对的是意大利总理 Giorgia Meloni 的 Fratelli d’Italia 党下属青年组织 Gioventù Meloniana,调查披露该组织成员发表过亲纳粹和墨索里尼的口号。El Gomati 也批评过意大利和利比亚合作阻止移民跨越地中海抵达欧洲。
WhatsApp 警告近百名记者和公民社团成员成为以色列公司 Paragon Solutions 的间谍软件的攻击目标。目前不清楚幕后攻击者的身份,类似其它间谍软件开发商,Paragon 的产品主要供政府客户使用,WhatsApp 表示无法确定下令攻击的客户身份。Paragon 间谍软件使用了零点击漏洞,也就是目标不需要点击任何恶意链接就会被感染。WhatsApp 拒绝披露受害者的位置,它已经向 Paragon 发去了“中止令(cease and desist)”信函,考虑采取法律行动。Paragon 的间谍软件被称为 Graphite,其功能与 NSO Group 的 Pegasus 间谍软件相当,手机一旦感染就能被完全控制,能够访问 WhatsApp 和 Signal 等加密应用的信息。
SecurityScorecard 的研究人员披露了朝鲜黑客组织 Lazarus Group 发动的大规模供应链攻击。这一行动被称为 Phantom Circuit,攻击者通过克隆开源项目植入后门,将恶意版本托管在 Gitlab 等平台,诱骗加密货币等行业的开发者使用,然而入侵其机器窃取凭证。朝鲜黑客组织去年 11 月瞄准了欧洲科技行业的 181 名受害者,12 月受害者扩大到 1,225 人,其中印度 284 人,巴西 21 人。1 月受害者又增加了 233 人,其中印度 110 人。窃取的数据包括了凭证、身份验证令牌、密码等。被植入后门的项目包括了 Codementor、CoinProperty、Web3 E-Store,以及其它加密货币相关的软件包。研究人员报告,Lazarus Group 会使用多种混淆方法隐藏其来源,其中包括使用 Astrill VPN 路由流量,将窃取的数据上传到 Dropbox。
在上月底举行的 38C3 混沌计算机俱乐部会议上,研究人员披露中欧地区的可更新能源设施使用未加密无线电信号接收命令向电网输送或切断电力。研究人员是在分析柏林路灯使用的无线电接收器时意外获得这一发现的,他们试图通过逆向工程无线电接收器去控制柏林全市的路灯去展示能从空中看到的特定模式,结果意外发现控制可更新能源设施的系统与控制路灯的系统相同。安装在路灯上的接收器也用于小型太阳能发电厂这一事实并不令他们感到惊讶,他们感到震惊的是其规模。研究人员估计,在特定条件下向发电设施发送一系列恶意信息足以摧毁整个欧洲电网。电网安全专家对此说法持怀疑态度。
大英博物馆(British Museum)网络基础设施遭被解雇的 IT 雇员破坏而于周五部分关闭。博物馆本周末继续开放,但付费展如丝绸之路展只有少数持票者能参观,因为管理预订的 IT 系统无法使用。博物馆发言人称,上周被解雇的 IT 合同工周四晚上闯入博物馆关闭了多个系统,警察到场逮捕了他。
当攻击者利用后门在目标网络获得访问权限之后,他们希望其努力成果不会被竞争对手利用或被安全软件监测出。他们可使用的一种应对之策是为后门配备一个被动代理,该代理将保持休眠状态,直到接收到“魔法封包”。安全公司 Lumin Technology 的研究人员报告了 J-Magic 后门使用“魔法封包”悄悄控制了数十个运行 Juniper Network Junos OS 的企业 VPN。J-Magic 是轻量级后门程序,只运行在内存之中,这增加了其被安全软件检测出的难度。研究人员是在 VirusTotal 上发现了 J-Magic,发现它在 36 个组织的网络内运行,他们不清楚后门是如何安装的。J-Magic 从 2023 年中期至少活跃到 2024 年中期,其目标覆盖半导体、能源、制造业和 IT 垂直企业。
安全研究人员发现信用卡巨头万事达卡的 DNS 服务器存在域名配置错误,可能会导致其流量被恶意攻击者拦截。该问题存在了五年之久。安全公司 Seralys 的创始人 Philippe Caturegli 发现,从 2020 年 6 月到 2025 年 1 月,万事达卡五个 DNS 服务器之一的域名存在拼写错误,错误地指向了 akam.ne 而不是 akam.net。他花了 300 美元通过尼日尔域名管理机构注册了该域名,以防止域名被利用。万事达卡表示拼写错误已修正,坚称其系统没有风险。
微软周二释出了 2025 年 1 月的例行安全更新,修复了多达 161 个安全漏洞,其中包括 3 个正被利用的 0day。三个 0day 的编号分别为 CVE-2025-21333、CVE-2025-21334 以及 CVE-2025-21335,是连续的三个漏洞,都位于 Windows Hyper-V 中,都属于提权漏洞。修复的漏洞中还有危险等级高达 9.8/10 的,其中之一是 CVE-2025-21298,攻击者通过诱惑目标打开恶意 .rtf 文件去执行任意代码,微软警告该漏洞很可能被利用。
美国司法部周二宣布清除了中国黑客在数千台电脑中植入的恶意程序。被称为 PlugX 的恶意程序感染了全世界数千台电脑,主要用于窃取信息。黑客组织被称为 Mustang Panda 和 Twill Typhoon,恶意程序主要通过感染的 USB 设备传播。安全公司 Sekoia 在 2023 年 9 月识别了 PlugX 的 CC 设施,它随后与法国执法部门合作于 2024 年 7 月控制了该设施。FBI 与法国当局合作,识别了 PlugX 感染的美国设备,向每台设备发送自我删除指令。
Netblocks 的监测显示,俄罗斯圣彼得堡 ISP Nodex 的固网和移动网络全面瘫痪,这一事件目前还在持续之中。该公司报告它遭受了乌克兰的网络攻击,导致其网络被破坏。而乌克兰黑客组织 Ukraine Cyber Alliance 称他们删除了包括备份在内的 Nodex 数据。
安全公司 ESET Germany 指出,随着 Windows 10 即将停止支持,全世界将面临比 Windows 7 停止支持时更危险的情况。今天 Windows 10 的市场份额仍然高达六成,而 Windows 7 于 2020 年 1 月停止支持时其接替者 Windows 10 的份额已经超过七成,Windows 7 的份额只有二成左右。微软的建议是换运行 Windows 11 的新 PC,ESET Germany 的建议是不支持 Windows 11 的旧电脑可以尝试 Linux。
在 AT&T、Verizon、 Lumen Technologies 和 T-Mobile 之后,又有三家美国电信公司—— Charter Communications、Consolidated Communications 和 Windstream——据报道被中国黑客组织 Salt Typhoon 入侵。黑客还利用未及时打上补丁的 Fortinet 设备漏洞,入侵了思科的大型网络路由器。中国否认了入侵,指责美国散布虚假信息。对于最新的报道,思科和 Fortinet 拒绝置评。
圣诞节前夕,数据丢失预防服务 Cyberhaven 的开发者收到了据称来自 Google 的邮件,称该公司的 Chrome 扩展没有遵守 Google 的条款,要求立即采取行动,否则扩展将会被下架。邮件包含的链接指向了一个 Google 同意屏幕,要求获得 OAuth 应用 Privacy Policy Extension 的访问授权。Cyberhaven 的一名开发者同意了授权,攻击者利用该授权向 Chrome Web Store 上传了包含后门的新版本。从 12 月 25 日 1:32 AM UTC 到 26 日 2:50 AM UTC 之间,运行中的 Chrome 浏览器会自动下载恶意版本 v24.10.4。Cyberhaven 注意到这一安全事件,迅速释出了新版本。这一攻击事件公开之后,安全研究人员发现至少 36 个 Chrome 扩展遭到了相似的钓鱼攻击,其中部分被植入后门的恶意扩展在 Chrome Web Store 存在了 18 个月之久。这些扩展的总安装量约 260 万。大部分受影响扩展与 AI 工具和 VPN 相关,如 GPT 4 Summary with OpenAI,Proxy SwitchyOmega(V3),Wayin AI,AI Assistant - ChatGPT and Gemini for Chrome,等等。
AT&T、Verizon、Lumen Technologies、T-Mobile 等美国电信公司证实遭中国黑客组织 Salt Typhoon 入侵。此次入侵被官员形容为美国历史上最严重的电信黑客攻击事件。AT&T 在声明中表示,外国间谍入侵了少数客户,已被它从其网络中驱逐,它表示黑客的目标是一小部分外国情报人员。Verizon 称黑客访问了一小部分政府和政界的知名客户,它的后续跟踪没有发现黑客在其网络中继续活动。Lumen Technologies 也表示已将黑客从其网络中清除,它没有发现客户数据被访问的证据。T-Mobile US 表示它挫败了黑客对其系统的攻击。白宫官员表示有 9 家电信公司遭到入侵。
远程管理软件 BeyondTrust 于 12 月 8 日通知美国财政部它遭到了黑客入侵,黑客窃取了被用于保护一云服务的密钥,该服务被用于为美财政部办公室用户提供远程技术支持。利用窃取的密钥,黑客绕过安全防线访问了用户的工作站和部分非机密文件。黑客被认为来自中国 APT 组织。美国财政部表示被入侵的 BeyondTrust 服务已经下线,没有证据表示对方能继续访问财政部的系统或信息。
日本航空公司周四表示,当天早晨 7 点 25 分前后起,公司内外联网的设备遭网络攻击,乘客值机托运行李时使用的系统等出现问题。目前已造成至少 24 个国内航班延误,最长延误时间为约 1 小时。国际航班也出现延误。它暂停了当天的新机票销售,已预订机票不受影响。它已经将网络攻击报告给了东京警视厅。全日空等日本其他航空公司未发现遭网络攻击,航班运营没有受到影响。
网络安全公司 CloudSEK 的安全研究员称,中国黑客正在操控 Androxgh0st 僵尸网络。另一家安全公司 Check Point 认为 Androxgh0st 是目前流传最广的恶意程序,在 11 月有 5% 的组织受到影响。该恶意程序能感染 Windows、Mac 和 Linux 等主流操作系统。Androxgh0st 集成了去年关闭的 Mozi 僵尸网络的功能,Mozi 能感染存在漏洞的普联(TP-Link)路由器,而集成了 Mozi 的 Androxgh0st 能利用 VPN、防火墙、路由器和 Web 应用等的漏洞,感染数以万计的平台。其中包括 Cisco ASA、Atlassian JIRA、Sophos Firewalls、Spring Cloud Gateways、PHP frameworks 以及多种 IoT 设备。美国 FBI 和 CISA 是在今年 1 月首次对 Androxgh0st 发出警告。
2024 年朝鲜黑客在 47 次攻击中窃取了价值 13.4 亿美元的加密货币,比 2023 年增长 102.88%,占到了全球加密货币盗窃总损失金额的 61%。2024 年加密货币相关网络攻击达到了创纪录的 303 起,但总损失金额并没有创纪录,2022 年仍然是加密货币盗窃总损失金额最高的一年,达到了 37 亿美元。今年最大的两起加密货币盗窃案分别是 5 月的 DMM 事件,损失逾 3.05 亿美元;7 月的 WazirX 事件,损失 2.35 亿美元。DeFi 平台和中心化服务是遭受损失最大的平台;加密货币私钥泄漏占到了 44%,利用漏洞入侵则只占 6.3%。