据外媒报道，瑞典交通运输局于 2015 年 9 月将所有数据库上传至 IBM 与 NCR 管理的云服务器后发生数据泄露。直至 2016 年 3 月，瑞典相关机构才察觉并展开调查。时隔两年，瑞典政府于近期曝光该起事件缘由。 瑞典政府发表声明，指出由于瑞典交通运输局并未雇用技术人员维护服务器管理系统，导致 IBM 与 NCR 两家公司的任何员工均能访问所有数据信息。其泄露数据包括政府军事机密单位成员照片、姓名与家庭地址等敏感信息。 知名媒体 PrivacyNewsOnline 透露，虽然瑞典交通运输局局长 MariaÅgren 在数据泄露事件后引咎离职，但政府当即进行起诉。2017 年 7 月，瑞典法院受理此案并判定 MariaÅgren 未承担监管国家机密信息的责任。可笑的是，据称此次案件处罚是瑞典史上最为 “ 严重 ” 的惩罚：要求 MariaÅgren 支付 8500 美元（这仅仅相当于 MariaÅgren 半个月薪水）。 PrivacyNewsOnline 证实，该起事件的泄露信息可能仍然遭受境外国家操控使用，这意味着无论是瑞典安全局（ SÄPO ）还是交通运输局，都无法制止更多操作人员窃取信息，而这些泄露信息或将危及瑞典国家安全。目前，瑞典相关部门还在继续展开调查并初步表示，可能今年秋天才能妥善解决这个问题。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 23 日报道，安全专家 Vikas Anil Sharma 发现 PayPal 服务器存在文件上传漏洞，允许攻击者远程执行恶意代码。以下是 Vikas 验证漏洞过程： 安全专家 Vikas 利用 Burp 软件访问 PayPal Bug Bounty 页面 http://paypal.com/bugbounty/ ，跳出如下响应。 随后，专家集中分析 PayPal 域名列表中所提及的安全内容策略：域名标头 。尤其是https：//*.paypalcorp.com。此外，Vikas 通过复制本地子域名列表并运行 “ dig -f paypal +noall +answer ” 后发现，所有子域名实际采用某种简单方式指向多个域名。例如，子域名 “ brandpermission.paypalcorp.com ” 指向 “  https://www.paypal-brandcentral.com/  ”，这是一家托管 PayPal 的供应商网站，其供应商与合作伙伴在线支持 PayPal 系统网站并请求获取更多授权。 据称，该网站允许用户上传标识图样以及品牌相关图形设计。因此，专家首先通过上传简单图像 finished.jpg 分析目标图片文件夹、创建工单（网络软件管理系统）并被存储于目录 “ /content/helpdesk/368/867/finishedthumb.jpg ” 中。Vikas 发现工单编号与文件编号是以串行方式生成。 此外，Vikas 还上传了 .php 格式扩展文件而并非图像，发现应用程序无需验证文件类型与内容。不同的是，Vikas 从上传图像文件中注意到多数情况下不会发现上传路径。然而，Vikas 在上传文件 success.php 时，跟上传图片类似，假设这个文件会存储为 success_thumb.php 并决定爆破文件所在目录。 一旦发现文件所在目录，专家将远程执行恶意代码： https： //www.paypal-brandcentral.com/content/_helpdesk/366/865/success.php?cmd=uname-a;whoami   目前，安全专家虽然已修复该漏洞，但他们又在 PayPal 服务器中发现另一漏洞。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，29 岁黑客 BestBuy 于 7 月 21 日在德国法庭认罪，曾使用 Mirai IoT 恶意软件自定义版本劫持德国电信路由器逾 90 万台。目前，德国预计此次网络攻击损失超过 200 万欧元。 7 月初，调查人员布莱恩·克雷布斯（Brian Krebs）表示，他们发现黑客 BestBuy 真实身份，即英国丹尼尔·凯耶（Daniel Kaye）。调查显示，BestBuy 在该起网络攻击活动中提供了恶意软件源代码，包括代码签名数字证书（ 网络黑市 TheRealDeal 中售价接近 4.5 比特币 ）。 英国警方表示，BestBuy 于 2016 年 11 月下旬通过恶意代码新变种感染德国电信路由器，发动 DDoS 攻击。随后，这黑客又于 12 月使用另一版本恶意软件 Mirai ，造成英国 10 万台路由器处于离线状态。据悉，BestBuy 于 2017 年 2 月底在伦敦机场被捕后被引渡德国。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全公司 ESET 研究人员警示，僵尸网络 Stantinko 于过去五年内一直处于雷达控制状态，其成功感染逾五十万台计算机设备，并允许攻击者在受感染主机上执行任意操作。自 2012 年以来，僵尸网络 Stantinko 为大规模恶意软件活动提供动力，其主要针对俄罗斯与乌克兰等国家。由于该僵尸网络具备加密代码及迅速适应能力，方可规避安全软件检测。 Stantinko 是一款模块化后门，其中包括加载程序执行 C＆C 服务器并直接在内存中发送任何 Windows 可执行文件。由于插件系统较为灵敏，攻击者可在受感染系统上执行任意代码。 调查显示，为检测受感染用户设备，攻击者使用应用程序 FileTour 作为初始感染媒介，能够在受害者设备上安装各种程序，同时启动僵尸网络 Stantinko 进行传播。Stantinko 不仅会安装浏览器扩展、执行广告注入与点击欺诈，还能在 Windows 服务中执行任意操作（例如：后门攻击、Google 搜索以及强制操控 Joomla 与 WordPress 管理员面板等）。 研究人员表示，僵尸网络在攻击后将会安装两款恶意 Windows 服务，每款均具备重新安装其他程序的能力，因此用户必须同时删除这两款程序才能完全去除恶意软件。目前，僵尸网络幕后黑手正试图通过多款恶意活动访问 Joomla 与 WordPress 网站管理帐户，并在暗网转售帐户登录凭证，或是通过与 Facebook 交互插件进行社交网络欺诈。 虽然这一僵尸网络对用户来说影响并不广泛，但它仍是极大的威胁，因为它为网络犯罪分子提供了充足的欺诈收入来源。此外，功能齐全的 Stantinko 后门还能允许攻击者监视所有受害设备。 原作者：Ionut Arghire，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 19 日报道，德国安全研究人员 Nils Dagsson Moskopp 近期发现 GNOME Files 文件管理器存在一处代码注入漏洞 Bad Taste（ CVE-2017-11421 ），允许黑客在目标 Linux 计算机系统上执行恶意代码。 Bad Taste 漏洞驻留在 “ Gnome-Exe-Thumbnailer ”（ Gnome 图像处理工具软件 Thumbnailer ）中，其主要利用 GNOME 工具从 Windows 可执行文件（.exe / .msi / .dll / .lnk）中生成缩略图像，并要求用户在其系统上安装 Wine 应用程序方可查看。 Wine 是一款免费开源软件，可以让 Windows 应用程序在 Linux 操作系统上运行。Moskopp 表示，他在检测包含 .msi 文件目录时发现，GNOME Files 将文件名称作为可执行输入并创建运行缩略图像。为成功利用此漏洞，攻击者可以发送一个精心制作的 Windows 安装程序（ MSI ）文件，其文件名中包含恶意脚本代码。如果在易受攻击的系统上下载，则无需用户进一步交互便能损害系统设备。 目前，该漏洞影响 0.9.5 之前版本的 Gnome-Exe-Thumbnailer。因此，如果用户使用 GNOME 桌面运行 Linux 操作系统应及时更新并检查应用程序。与此同时，Moskopp 还建议用户删除 / usr / share / thumbnailers 中的所有文件、不要使用 GNOME 文件以及卸载任何便于自动执行文件名作为代码的恶意软件。 原作者：Swati Khandelwal，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，俄罗斯议会于 7 月 21 日投票表决通过一项新法律，旨在以传播极端主义内容为由禁止使用 VPN 或其它代理服务器并要求 ISP 屏蔽提供 VPN 服务网站。 此项法案指示俄罗斯电信监管机构 Roskomnadzor 编制匿名服务清单，并要求任何网站遵守俄罗斯发行禁令。不过，多数俄罗斯公民正利用 VPN 服务访问政府屏蔽的网站。 据悉，此法案有助于屏蔽互联网极端主义内容传播且它将在总统签署后正式生效。目前，俄罗斯多家互联网组织谴责法案模糊并存在限制。此外，下议院议员杜马要求任何使用在线留言服务的公民需要通过电话号码识别身份。尽管俄罗斯反对派团体严重依赖互联网进入主流媒体，但由于安全问题，俄罗斯当局已开始加强在线服务管制。 本文根据 securityweek 与 Solidot奇客翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 7 月 20 日报道，思科（ Cisco ）根据长期积累的研究成果最新发布《 2017 年中网络安全报告 》，指出全球行业安全状况有所改善，网络威胁变化与复杂程度有增无减。据称，其改善主要体现在检测时间。2015 年 11 月检测时间长达 39 小时，2016 年 11 月至 2017 年 5 月检测时间已缩短至 3.5 小时。 从另一个角度看，科技发展创造了一个日益增长、亟待维护的威胁局面，但 IT 动态环境可见度的缺乏、影子 IT 带来的风险、安全警报此起彼伏、IT 安全环境的复杂程度致使资源匮乏的安全团队不得不与当下强劲多变的网络威胁奋力搏杀。 该报告不仅分析了现有威胁，还针对不断演变的攻击手段进行点评，对愈发冷酷无情的敌对势力做出两种令人堪忧的预测。第一种预测是针对 IoT 设备开展的大规模 DDoS 攻击的滞后行为不容乐观。物联网僵尸网络活动表明，部分操作人员正为大范围、高冲击力的攻击活动做着准备，此举可能危及互联网自身。第二种预测是采取锁定系统、销毁部分数据行径的勒索软件正逐步演变为 “ 破坏服务 ”（ DeOS ）威胁。 思科指出，对于攻击者的经济价值来说，勒索软件的杀伤力远低于针对企业电子邮件入侵（ BEC ）。BEC 的诈骗目标主要为可能已采取成熟威胁防御与防诈措施的大型组织机构。然而，BEC 邮件不包含恶意软件或可疑链接，可以绕过最为复杂的威胁防御工具展开攻击活动，因此成功率较高。目前，思科还强调了恶意软件发展的五大趋势。 第一种趋势：攻击者正通过需要用户采取某种积极行动的分发系统展开攻击，例如受密码保护的恶意文档（电子邮件正文提供密码）在沙箱环境不显示任何恶意证据，正常转发至其他用户群体。 第二种趋势：勒索软件开发人员通过利用开放源代码库（如 Hidden Tear 与 EDA2 ）以教育目的为由快速、便捷、廉价地公开发布勒索软件源代码。 第三种趋势：Satan 等勒索软件即服务（ RaaS ）平台的持续增长为那些期待无需写代码即可发动攻击的懒人提供便利。 第四种趋势：无文件或内存驻留恶意软件日益盛行。这种做法完全依赖 PowerShell 或 WMI 在内存中运行恶意软件，无需在文件系统或注册表中写入任何代码，除非攻击者想要将持久机制放置于适当位置。由于硬盘上没有恶意软件，因此可以有效规避检测。 第五种趋势：攻击者更多地依赖匿名与中心化基础设施为命令与控制造成混淆，例如 Tor2web。 另外，使用漏洞工具包传送恶意软件的情况正在减少，垃圾邮件数量攀升，尤其是包含宏负载恶意文件的垃圾邮件，因为此类垃圾邮件需要用户交互才能感染系统并提供有效负载。 原作者：Kevin Townsend，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Tor 项目与美国知名漏洞众测平台 HackerOne 于 7 月 20 日联手推出一项 “ 漏洞赏金 ” 计划，旨在找寻反监控网络漏洞。据悉，研究人员根据漏洞严重程度，每篇 PoC 最高可获 4000 美元赏金。 Tor 网络是一种用于屏蔽在线活动的节点与中继系统、未被普通网络搜索引擎索引的互联网访问区域，作为一款隐私保护工具备受激进分子、隐私维护者及新闻工作者青睐，虽然时而会牵涉暗网不良资产非法交易。 此项计划主要针对 Tor 网络后台驻留程序与 Tor 浏览器安全漏洞，以下领域提交报告将予以优先考虑：远程代码执行漏洞、本地提权漏洞、非授权访问漏洞、导致中继节点或客户端加密信息泄露的攻击方法。Tor 网络并非百分之百安全，必须防微杜渐、积极修复任何薄弱环节。 长久以来，网络犯罪分子与政府机构出于监控目的从未停止过找寻 Tor 系统漏洞。今年年初，FBI 就曾利用 Tor 网络 “ 未公开 ” 漏洞调查儿童色情案件嫌疑人，但因当局拒绝透露具体技术细节而半途中止。 原作者：Charlie Osborne，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在数字时代背景下，社交媒体的出现为情报机构窃取机密信息增加了难度。脸部扫描、生物识别、大数据分析等先进技术在为人类提供极大便利的同时也埋下严重隐患。互联网技术的发展改写数字时代游戏规则已成为不争事实。美国中央情报局（ CIA ）、英国军情六处（ MI6 ）或英国秘密情报局（ SIS ）等情报机构官员均已意识到该问题的严重程度。 前 CIA 局长丹尼尔·霍夫曼（Daniel Hoffman）表示：“ 国家情报机构社交媒体账户已成为敌对势力的重点关注对象。一旦某个情报人员或普通公民被怀疑为有价值的追踪目标，那么该用户的所有社交媒体账户都将被剖析得体无完肤。” 前 CIA 国家秘密行动处副主任马克·凯尔顿（Mark Kelton）感慨：“ Facebook、Twitter、LinkedIn 等社交媒体平台使涉外人员的工作变得愈加复杂。情报人员的社交媒体活动必须与外界报道保持一致。有些情报机构可能正在为未来 10 年即将加入情报机构的官员建立社交媒体档案。无论是谁，只要被怀疑为间谍，都将受到反间谍组织严密监控，相应社交渠道也将受到密切关注。例如，全球反情报官员将通过扫描每个公民的 LinkedIn 等在线资料与某时间段内发生的既成事实进行核对、利用面部识别软件收集嫌疑人在机场出入境安检口提供的身份信息等。任一场网络攻击活动通常始于简单的操作失误，例如监控记录的留存。情报人员需要将各因素考虑周全。” 英国情报机构官员近期就人脸识别、社交网络等先进技术的利弊之争发表评论，指出现代计算机系统加剧了乔装出行的难度。MI6 处长 Alex Younger 于 2016 年 9 月 21 日在华盛顿特区举办的一场安全会议上对美国国家安全局（ NSA ）工作予以肯定的同时表示：“ 信息革命从根本上改变了我们的作战环境。在未来五年内，世界将会出现两类情报机构。第一类：了解这一事实、成功存活的情报机构；第二类：不了解这一事实、被时代淘汰的情报机构。我断定 MI6 属于前者。” 原作者：Jason Murdock，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，维基解密（ Wikileaks ）近期最新曝光一批 Vault7 文档，旨在揭露美国中央情报局（ CIA ）任命雷神黑鸟（ Raytheon Blackbird ）科技公司为远程开发部门（ RDB ）提供情报，即分析黑客所使用的高级恶意软件与 TTP 通信协议等机密信息。 维基解密泄露文件显示，在 2014 年 11 月至 2015 年 9 月期间，雷声黑鸟科技公司向 CIA 共计提交至少 5 份报告，作为 CIA UMBRAGE Component Library（ UCL ）项目的其中一部分。UMBRAGE 项目主要包含恶意软件功能模块（例如：键盘记录仪、密码收集器、销毁数据仪、控制权限，以及反杀毒软件等），其目的是为隐藏攻击手段，规避安全软件检测。 2017 年 7 月 19 日，维基解密在线公布雷神黑鸟科技公司为 CIA UCL 项目提供的情报文件，其文件多数包含恶意软件攻击载体的概念验证 PoC 与评估，部分成果基于安全研究人员与计算机安全领域的私营企业公开发布的文档。据悉，雷神黑鸟科技公司作为 CIA 远程开发部门的 “ 技术侦察员 ” 分析黑客使用的恶意软件并提出进一步调查与 PoC 开发建议，用于研发更为高级的恶意软件项目。以下是雷神黑鸟科技公司提供的报告信息。 报告 1：HTTPBrowser 远程访问工具新变种 雷神黑鸟科技公司研究人员详细介绍了一款由 APT 组织 Emissary Panda 使用的 HTTPBrowser 远程访问工具新变种。据悉，这一新变种于 2015 年 3 月建立，并通过未知初始攻击载体进行部署。 报告 2：NfLog 远程访问工具新变种 报告详细介绍了 NfLog 远程访问工具新变种，也被称为 “ IsSpace ”，由 APT 组织 SAMURAI PANDA 用于网络间谍活动。此外，报告不仅指出 IsSpace 利用 Hacking Team 开发的 Adobe Flash 漏洞（ CVE-2015-5122 ）开展攻击活动，还表明该变体通过 Google App Engine （GAE）托管并与 C2 服务器进行代理通信。 报告3：Regin 间谍工具 这份报告是对 2014 年首次发现的间谍工具 Regin 进行高级分析。据称，Regin 网络间谍工具由美国国家安全局情报机构开发，是一款极其复杂的恶意软件样本。迹象表明，该恶意软件早在 2008 年就已开始使用，但多数人认为，当前的 Regin 迭代可追溯到 2013 年。Regin 似乎专注于目标监视与数据收集。其模块化体系结构提供了高度灵活性的攻击能力。而隐蔽性则是 Regin 另一个令人印象深刻的特性，能够规避检测。 报告 4：HammerToss 恶意软件 这份报告详细描述了 2015 年初发现的恶意软件 HammerToss。研究人员表示，这是俄罗斯黑客开发的恶意代码，自 2014 年底以来一直运行。HammerToss 还是一款极其有趣的恶意软件，因为它的架构可以利用 Twitter 账户、GitHub 账户、受攻击的网站与云存储攻击指挥与控制（C2）服务器。 报告 5：Gamker 木马 这个文档详细描述了自编码的注入与 API 连接方法，以致窃取敏感信息。2015 年 8 月，Virus Bulletin 发布三页报告，其中包含 Gamker 木马技术详细信息。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。