文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
白俄罗斯黑客周一宣布用勒索软件感染国营铁路系统的网络,只有白俄总统卢卡申科(Alexander Lukashenko)在俄罗斯军队对乌克兰发动可能入侵之前停止对其的援助,他们才会提供解密密钥。自称 Cyber Partisans(网络游击队)的组织在 Telegram 上写道:“在恐怖分子卢卡申科的指挥下,BelZhD(白俄罗斯铁路) 这些天允许占领军进入我们的土地。作为‘Peklo’网络行动的一部分,我们加密了 BelZhD 的大部分服务器、数据库和工作站,以减缓和破坏铁路的运行。备份已被破坏。”该组织还在 Twitter 上宣布了这次袭击。
该组织的一位代表在私信中表示,Peklo 网络行动针对特定实体和政府经营的公司,目标是向白俄罗斯政府施压,要求其释放政治犯,并阻止俄罗斯军队进入白俄罗斯,利用该国领土对乌克兰发动袭击。该代表写道:“政府继续压制白俄罗斯人的自由意志,监禁无辜的人,他们继续非法关押着……数千名政治犯。”“主要目标是推翻卢卡申科政权,维护主权,建设一个有法治、独立机构并保护人权的民主国家。”BelZhD 网站上的几项服务确实无法使用。如在线购票功能无法正常工作。该代表表示,除了票务和调度瘫痪之外,此次网络攻击还影响到了货运列车。据报道,俄罗斯一直通过铁路向与乌克兰接壤的白俄罗斯运送军事装备和人员。@belzhd_live 周五表示,在一周之内,超过 33 列满载装备和部队的俄罗斯军用列车抵达白俄罗斯,进行联合战略演习。@belzhd_live 是一个白俄罗斯铁路工人组织,跟踪着该国 5512 公里铁路的状况。该工人团体当时表示,预计在接下来的几天内,将总共有 200 个梯队抵达。
该组织的一位代表在私信中表示,Peklo 网络行动针对特定实体和政府经营的公司,目标是向白俄罗斯政府施压,要求其释放政治犯,并阻止俄罗斯军队进入白俄罗斯,利用该国领土对乌克兰发动袭击。该代表写道:“政府继续压制白俄罗斯人的自由意志,监禁无辜的人,他们继续非法关押着……数千名政治犯。”“主要目标是推翻卢卡申科政权,维护主权,建设一个有法治、独立机构并保护人权的民主国家。”BelZhD 网站上的几项服务确实无法使用。如在线购票功能无法正常工作。该代表表示,除了票务和调度瘫痪之外,此次网络攻击还影响到了货运列车。据报道,俄罗斯一直通过铁路向与乌克兰接壤的白俄罗斯运送军事装备和人员。@belzhd_live 周五表示,在一周之内,超过 33 列满载装备和部队的俄罗斯军用列车抵达白俄罗斯,进行联合战略演习。@belzhd_live 是一个白俄罗斯铁路工人组织,跟踪着该国 5512 公里铁路的状况。该工人团体当时表示,预计在接下来的几天内,将总共有 200 个梯队抵达。
color 和 faker 开发者的 Marak Squires 本月早些时候通过加入无限循环故意破坏了这两个广泛使用的依赖库。在包管理器 NPM 上,colors 的周下载量超过 2000 万次,有近 19000 个项目依赖它;faker 的周下载量超过 280 万次,有超过 2500 个项目依赖它。在事故发生之后,GitHub 平台短暂封禁了其账号,在解封之后其发行权仍然被剥夺。faker 之后出现了社区管理的分支。Marak Squires 想要拿回发行权,他声称自己的邮件没有收到任何回应,而他有一百个包需要维护,“每个人都会不时犯下编程错误,没有人是完美的。”但无心之过和故意破坏显然是两码事,他的请求几乎无人支持,认为他的故意破坏损害了开源生态系统的信任原则。
Jetpack 安全研究人员发现了一起利用 WordPress 扩展的供应链攻击。Jetpack 来自 WordPress 母公司 Automattic。如果网站从 AccessPress Themes 网站下载了主题扩展,那么网站有可能遭到了入侵。如果是从 WordPress.org 下载了相同的主题扩展,那么它们应该是安全的。攻击者修改的是 AccessPress Themes 网站上托管的主题扩展,悄悄植入了后门。攻击者在主题目录中加入了一个脚本 initial.php,它充当了下载程序,能从 wp-theme-connect[.]com 下载和安装后门。一旦安装后门下载程序会自毁以隐藏其活动。安全研究人员对攻击起始时间有不同看法,Jetpack 的研究人员认为供应链攻击始于去年 9 月,但另一家安全公司 Sucuri 的研究人员 Ben Martin 认为攻击可以追溯到三年前。
卡巴斯基研究人员透露了植入到 UEFI 固件中的恶意程序 MoonBounce。该恶意程序被认为来自于 APT41 aka Winnti 或 Double Dragon。恶意程序修改了主板上名为 SPI flash 的元件,它不在硬盘上,因此格式化硬盘或更换硬盘不会清除恶意程序。修改后的固件镜像允许攻击者拦截引导序列的执行流,引入一个复杂的感染链。研究人员认为,黑客对 UEFI 系统的工作原理有着深刻的理解。感染链只在内存中运行,硬盘上没有留下攻击痕迹。黑客主要对 IT 行业、社交媒体、电信、非营利组织和医疗机构进行攻击。
未知身份的黑客入侵了瑞士一家为红十字会提供数据储存服务的承包商,窃取了 Restore Family Links 项目大约 515,000 名用户的个人数据。该项目被用于帮助因战乱、灾难或移民而分离的家庭成员团聚。红十字会发布新闻稿,请求攻击背后的黑客不要公开或出售数据,以免给已遭受苦难的人带来更多伤害。红十字会没有透露更多攻击细节,暂时不清楚攻击是勒索软件黑帮、国家支持黑客还是其他人所为。
知名字幕站 Opensubtitles 宣布遭到黑客入侵。事情始于 2021 年 8 月,黑客通过 Telegram 发送消息称能访问网站的用户表下载数据库,黑客勒索 1 BTC 换取不公开漏洞并承诺删除数据。黑客还提供了如何修复漏洞的方法。之后几个月风平浪静,但在 2022 年 1 月 11 日网站管理员再次收到了相同漏洞的勒索要求,可能来自第一位黑客的合作伙伴,漏洞事实上没有修复。1 月 14 日网站数据泄露,在获悉之后网站管理员立即锁定了所有账号并强制要求更改密码,18 日披露了这一安全事故。Opensubtitles 成立于 2006 年,当时对安全还不够重视,用户密码使用的 md5() 储存,没有加盐处理,弱密码会很容易破解。如果用户在其它网站重复使用了密码,网站管理员建议一同修改。
根据以色列商业媒体网站 Calcalist 的调查,以色列警方在未经授权的情况下,使用 NSO 集团备受争议的 Pegasus 间谍软件对包括政治家和活动人士在内的以色列公民进行电话侦听。报道称这些侦听针对的目标包括本地市长、反对前总理内塔尼亚胡(Benjamin Netanyahu)的政治抗议活动领袖以及前政府雇员。监控以色列公民需要法院监督,这些监控是在缺少法院监督的情况下进行的,对于数据如何使用也缺乏监督,以色列警方和一位政府部长明确否认这一说法。以色列日报《国土报(Haaretz)》的另外一则报道称,据报社看到的发票,NSO 集团在 2013 年向以色列警方开具了 270 万谢克尔(86.2万美元)的发票,显然是该计划的基本版本。以色列 NSO 集团设计了 Pegasus并将其出售给外国政府,虽然出现了许多滥用 Pegasus 的报道,但最近的报道标志着情况出现了重大变化,以色列人也成了侦听的目标。《卫报》从熟悉 NSO 授权的消息人士处了解到,虽然 NSO 出售给国外第三方客户的软件不能在国外针对美国和以色列的电话号码,但购买间谍软件的以色列执法机构——例如警方——可以针对以色列的手机号码。虽然报道没有提及消息来源,但它声称使用间谍软件的命令是由高级官员下达的,由警方的电子侦听专家执行。这一说法意义重大,因为它首次反驳了向以色列人做出的保证,即他们不会成为 Pegasus 的目标,对以色列人免于非法入侵的观点提出了质疑。
NordicTrack 公司的 X32i 跑步机售价高达 4000 美元,配备了 32 英寸的显示屏,客户在锻炼时可以观看各类视频。NordicTrack 一直尝试让客户订阅其母公司 iFit 的锻炼应用,限制观看外部视频。它有一个 God Mode 允许用户安装第三方应用,观看外部视频。从去年 10 月开始,NordicTrack 通过更新阻止客户使用 God Mode,不让客户访问 Netflix、YouTube 等流视频服务。这激怒了消费者。他们投诉指出,NordicTrack 的跑步机非常昂贵,他们本应该能完全掌控设备。NordicTrack 和 iFit 的发言人则回应称限制 God Mode 是出于安全考虑。客户开始寻找各种方法绕过 NordicTrack 的限制,目前最流行的做法是恢复出厂设置,配置路由器屏蔽 NordicTrack 推送自动更新。虽然出厂时安装的软件比较旧,但客户可以完全控制跑步机。
针对 Linux 设备的恶意程序数量去年增长 35%,这些恶意程序主要通过感染物联网设备组建僵尸网络发动 DDoS 攻击。运行不同 Linux 版本的物联网设备功能有限,但联合起来能发动规模惊人的 DDoS 攻击。除了发动 DDoS 功能,Linux 物联网设备还能用于挖掘加密货币,发送垃圾邮件等等。安全公司 Crowdstrike 的报告称,2021 年针对 Linux 系统的恶意程序数量比 2020 年增加了 35%;其中 XorDDoS、Mirai 和 Mozi 恶意程序家族占到了 22%;其中尤以 Mozi 数量最多,Mozi 恶意程序样本数量同比增长了 10 倍,XorDDoS 同比增长了 123%。
安全公司 Intezer 的研究人员发现了一个几乎所有杀毒软件都无法识别的跨平台后门 SysJoker。跨平台恶意程序相当罕见,绝大部分都是为特定平台如 Windows 开发的。SysJoker 是从头开始开发的,使用了 4 个独立的指令控制服务器,显示背后的攻击者投入了大量资源。其 Windows 和 macOS 版本的后缀是 .ts,表明它伪装成 Type script 应用通过 npm JS 库传播。 .ts 扩展名也可能意味着它伪装成视频流内容。研究人员发现,几乎所有的杀毒软件引擎都未能将其识别出来。
HardenedVault 写道 "近期相传已久关于Intel在新处理器中停止对SGX支持的消息得到了确认,第12代处理器将放弃所有SGX特性。Intel官方的解释是处于市场的考虑而最终作出的决定,会有包括蓝光防盗版DRM在内的诸多应用受到影响。Intel SGX(software guard extension)是自从2015年发售的第6代处理器Skylake中支持的,其主要目的是为了更好的解决云计算环境下云厂商和租户信任的问题,这种方案被称为飞地(Enclave),SGX自诞生之日起就引起了众多争议,赛博堡垒的可信/机密计算方案中对于SGX的失败的总结主要有几点:1)过度设计和实现导致复杂性失控。2)错的离谱的威胁模型,SGX的威胁模型中把操作系统和固件都当成不可信,但实际情况是操作系统可以轻松发起侧信道攻击,而CSME的“上帝模式“打破了诸多威胁模型中的假设。3)不可审计性,大部分核心组件都是闭源的所以几乎难以得到完备的审计结果。4)保护的应用的同时也可以用于保护恶意代码,这让恶意代码检测成为摆设。5)第三方证明服务推出的时间太晚。6)SGX内核主线化进程缓慢,2016年提交给Linux内核社区最终到了2021年才合并,而2020年关于SGX会停止支持的消息已经传出。7)市场过度宣传,这个问题在中国地区或许更突出,大厂不断鼓吹SGX可以成为"下一代"银弹级别的方案,实际情况是安全领域的总原则是没有银弹。"
俄罗斯联邦安全局周五宣布逮捕 14 名 REvil 勒索软件黑帮成员。执法机构在莫斯科、圣彼得堡、列宁格勒和利佩茨克地区展开了突击搜查行动,扣押了 4.26 亿卢布、60 万美元和 50 万欧元的现金,以及加密货币钱包、计算机和 20 辆豪华汽车。联邦安全局表示是应美国当局要求展开行动的,它向美国通报了行动结果。REvil 是近期最活跃的勒索软件组织之一,最知名的行动是攻击了肉制品巨头 JBS Foods。在美国向俄罗斯施压之后,REvil 在去年 7 月关闭了服务器,但其管理员在 9 月尝试重启业务,随后其暗网网站遭到美国执法机构关闭,之后彻底消失。俄罗斯政府没有披露被捕者的身份,媒体透露了其中两人的身份:Roman Muromsky 和 Andrei Bessonov。Twitter 上的逮捕视频。
法国计算机科学与随机系统研究所的一组研究人员使用单板电脑 Raspberry Pi 创建了一个反恶意软件系统,该系统可扫描设备中的电磁波。该安全设备使用示波器(Picoscope 6407)和连接到Raspberry Pi 2B 的 H-Field 传感器检测受到攻击的计算机发出的特定电磁波中的异常情况,研究人员称这种技术已被用于“获得关于恶意软件类型和身份的准确信息。” 检测系统依靠卷积神经网络(CNN)确定收集到的数据是否表明威胁存在。使用这种技术,研究人员声称可以记录 10 万条被真正恶意软件样本感染的物联网设备的测量轨迹,并以高达 99.82% 的准确率预测三种通用恶意软件和一种良性恶意软件。最重要的是,不需要任何软件,你在扫描的设备也不需要以任何方式进行操作。因此用混淆技术隐藏恶意代码,瞒过恶意软件检测软件的尝试不会成功。研究人员在论文中写道:“我们的方法不需要对目标设备进行任何修改。它可以独立于可用资源进行部署,无需任何开销。而且我们的方法的优点在于,恶意软件作者几乎无法探测并规避它。”
为防止恶意脚本悄悄在浏览器上执行本地 HTTP 请求,Chrome 将实现名为 Private Network Access (PNA)的 W3C 新规格阻止这一被恶意程序滥用的行为。新功能将在今年上半年推出,PNA 将在 Chrome 中引入一个机制,外部域名在尝试与本地网络设备建立连接前需要征得系统许可,如果本地设备如服务器或路由器没有回应,尝试建立连接的请求将被阻止。
随着崔昂(Ang Cui)为电网注入更多能量,架空电线开始发出亮橙色的光。几秒钟之内,电线就在一阵浓烟中蒸发了,曼哈顿的整个区域都陷入黑暗之中。幸运的是,没有真实的建筑物或人遇到了断电,因为这只是一个模拟——一个曼哈顿的桌面立体模型,配有细小的铜电源线,自由女神像被搬到了简易的中央公园。崔昂在 Red Balloon Security 的同事发布了几行恶意代码,破坏了一台旨在保护电线的计算机。现实世界的后果显而易见:黑客可以瞄准保护系统切断城市部分地区、工业厂房或者体育场的电力供应。Red Balloon 的首席执行官兼创始人崔昂挥舞着双手,试图驱散弥漫在他的四楼办公室周围的烟雾,说:“呼……需要开一下窗。”立体模型中的电线只留下烧焦的塑料杆残骸。
崔昂的团队针对的安全设备是现代电网稳定运行的关键。它们被称为保护继电器,当故障或异常电流可能损坏设备或伤害人员的时候,它们会切断电源。Red Balloon 的研究人员在法国施耐德电气(Schneider Electric SE)制造的名为 Easergy P5 的继电器上发现了漏洞。该公司周二发布了软件修复程序,这款设备尚未在美国销售。施耐德电气的发言人表示,该公司“对网络威胁高度警惕,不断评估和改进产品和研发工作,以更好地保护产品,并保护客户防范它们。”发言人表示:“在得知 Schneider Electric Easergy P5 保护继电器的漏洞后,我们立即着手解决这些问题。”“我们敦促该产品的用户遵从我们将在 1 月 11 日安全通知提供的指导,该通知中包含一个解决直接风险的软件补丁,是我们披露过程的一部分。用户在操作中应该采用一般网络安全最佳实践以保护他们的系统。”
崔昂的团队针对的安全设备是现代电网稳定运行的关键。它们被称为保护继电器,当故障或异常电流可能损坏设备或伤害人员的时候,它们会切断电源。Red Balloon 的研究人员在法国施耐德电气(Schneider Electric SE)制造的名为 Easergy P5 的继电器上发现了漏洞。该公司周二发布了软件修复程序,这款设备尚未在美国销售。施耐德电气的发言人表示,该公司“对网络威胁高度警惕,不断评估和改进产品和研发工作,以更好地保护产品,并保护客户防范它们。”发言人表示:“在得知 Schneider Electric Easergy P5 保护继电器的漏洞后,我们立即着手解决这些问题。”“我们敦促该产品的用户遵从我们将在 1 月 11 日安全通知提供的指导,该通知中包含一个解决直接风险的软件补丁,是我们披露过程的一部分。用户在操作中应该采用一般网络安全最佳实践以保护他们的系统。”
斯堪的纳维亚的一家连锁酒店上个月成为勒索软件攻击的受害者,酒店采取了一种新颖的应对方法——将所有受到影响的系统切换成 Chrome OS。Nordic Choice Hotels 在北欧经营着 200 多家酒店,12 月 2 日,酒店成了勒索软件攻击的受害者,黑客用 Conti 勒索软件对其部分内部系统进行加密。攻击让酒店员工无法访问客人的预订数据,也无法向新到来的客人发放房门卡。但是在刚刚发布的新闻稿中,Nordic Choice 表示,酒店没有联系黑客协商获得解锁受感染设备的解密密钥的赎金,而是选择将其整个 PC 机群从 Windows 迁移到 Chrome OS。
连锁酒店解释称:“在不到 24 小时内,第一家酒店就用上了 Google 的 Chrome OS 生态系统。在接下来的两天里,整个公司的 2000 台计算机都完成了切换,涉及在五个不同国家的 212 家酒店。”Nordic Choice Hotels 的技术副总裁 Kari Anna Fiskvik 表示,在攻击之前,该酒店就已在进行一个试点项目测试该工具,希望通过这种要求不高的操作系统重新使用旧电脑以节省资金。Fiskvik 表示:“因此当我们突然不得不应对网络攻击时,在几秒钟之内就做出了全力以赴加快项目进度的决定。”Nordic Choice 表示,除了在攻击期间迁移的 2,000 台计算机之外,它还计划将另外 2,000 台计算机迁移到 Chrome OS 上。这家连锁酒店表示,让旧电脑改用 Chrome OS 而不是购买新硬件,有望省下 670 万美元。
连锁酒店解释称:“在不到 24 小时内,第一家酒店就用上了 Google 的 Chrome OS 生态系统。在接下来的两天里,整个公司的 2000 台计算机都完成了切换,涉及在五个不同国家的 212 家酒店。”Nordic Choice Hotels 的技术副总裁 Kari Anna Fiskvik 表示,在攻击之前,该酒店就已在进行一个试点项目测试该工具,希望通过这种要求不高的操作系统重新使用旧电脑以节省资金。Fiskvik 表示:“因此当我们突然不得不应对网络攻击时,在几秒钟之内就做出了全力以赴加快项目进度的决定。”Nordic Choice 表示,除了在攻击期间迁移的 2,000 台计算机之外,它还计划将另外 2,000 台计算机迁移到 Chrome OS 上。这家连锁酒店表示,让旧电脑改用 Chrome OS 而不是购买新硬件,有望省下 670 万美元。
Patchwork 是 2015 年 12 月起活跃自今的一个印度黑客组织,主要对巴基斯坦的目标发动钓鱼攻击。过去几个月它的攻击目标是分子医学和生物学领域的大学研究人员。安全研究人员对 Patchwork 使用的指令控制服务器进行分析后发现,黑客自己的开发机感染了自己的恶意程序。指令控制服务器包含了恶意程序上传的屏幕截图和记录的按键。Patchwork 成功入侵了巴基斯坦的国防部、Islam Abad 国防大学、巴基斯坦 UVAS 大学生物科学学院等研究机构。安全研究人员从截图中意外发现了测试恶意程序的开发机,显示黑客在运行 VirtualBox 和 VMware 进行测试,测试主机使用的键盘为英语和印度语双键盘布局。黑客还使用 VPN Secure 和 CyberGhost 隐藏 IP 地址。