本周一，丹麦政府发文公开谴责俄罗斯 APT28 黑客组织入侵其国防部电子邮件系统。 俄罗斯 ATP28 黑客组织（又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team）除针对丹麦国防部展开网络间谍活动外，还曾涉嫌参与多起欧洲国家网络攻击事件，其中包括攻击欧洲防务展览会、干预法国德国重大选举、针对联邦议院发起鱼叉式网络钓鱼攻击等。 丹麦网络安全中心于上周日发布一份报告，指控俄罗斯 APT28 黑客组织曾于 2015 年至 2016 年入侵其国防部职工电子邮件系统。 丹麦新闻社 Ritzau 援引国防部部长克劳斯·霍特·弗雷德里克森（Claus Hjort Frederiksen）评论，“ 这是俄罗斯在此领域开展持久战的一部分，我们将看到一个极具侵略性的俄罗斯。” 弗雷德里克森还告知当地 Berlingske 报社，本次行动的可控性极高。考虑到 APT28 黑客组织关乎俄罗斯政府情报机构或核心部门，并非仅出于乐趣而展开攻击的小型黑客组织，与之斗争必然要经历一个长期而艰巨的过程。 调查表明，虽然邮件内容不涉及任何敏感信息，但此次攻击活动仍对丹麦存有严重威胁。因为被窃取信息可用于招募、勒索或进一步筹划间谍攻击活动。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全公司 Heimdal Security 近期发现一起伪造达美航空支付确认邮件传播恶意软件、企图获取受害者银行账户信息的金融诈骗案。 研究人员表示，诈骗邮件并非像常规邮件那样提及航班信息，而是仅仅留有一个敦促用户快速点击的链接。另外，如果用户仔细观察接收到的电子邮件就会发现地址栏中呈现的是 @deltaa 而非 @delta.com。据悉，这宗诈骗案背后的整个逻辑是让受害者误认为有人通过盗取自身凭证购买机票，即受害者邮箱里会出现一张署有他人名称的电子收据。在这种情况下，慌乱之中的受害者往往会在接到邮件后点击邮件中包含的所有链接，以便了解事件的来由及潜在开销。 毫无疑问，恶意链接会将受害者引至受感染网站，而这些网站用于托管感染 Hancitor 恶意软件的 Word 文档。Hancitor 是一款多功能恶意软件，常用于网络钓鱼攻击。一旦用户设备遭受感染，就会被网络犯罪分子用来下载恶意软件。 研究人员表示，一旦受害者下载并打开恶意 Word 文档，Hancitor 就会使用 PowerShell 代码激活并感染 PC 中的合法系统进程，将受害者 PC 连接至一台或多台恶意命令与控制（ C＆C ）服务器。受害者 PC 上随后安装的其他恶意软件均属于用于窃取 VPN、Web 浏览器、FTP 或消息应用密码与用户名等敏感信息的 Pony 恶意软件家族。 此外，经下载的另一个恶意软件 Zloader 为银行恶意软件，可用于窃取受害者银行账户信息、将账户内钱款洗劫一空。 原作者：Gabriela Vatu，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 24 日报道，以色列安全研究团队近期开发出一项新型技术，可通过恶意软件控制扫描仪，从物理隔绝网络 PC 端窃取数据信息。该团队由本古里安大学（Ben-Gurion University）网络安全研究中心研究生 Ben Nassi 及其导师 Yuval Elovici 组成。此项研究基于杰出密码学家 Adi Shamir 的观点。 攻击者可以利用该技术在物理隔绝网络目标机器上运行的恶意代码与攻击者之间建立一个隐蔽信道，通过平板扫描仪向目标受害者网络上运行的恶意代码发送命令。 研究人员表示，“ 我们的方法对攻击者传输至平板扫描仪的光加以利用，通过安装在组织机构中的恶意软件进行光提取。我们将组织机构内部扫描仪作为内网网关，在恶意软件与攻击者之间建立一个隐蔽信道。攻击者可在距离扫描仪很远的位置控制光源。” 为了从物理隔绝网络传输数据，研究人员使用扫描仪附近光源接收命令。扫描仪在检测到玻璃板上的反射光源后将其转换成二进制文件与图像。扫描仪对周围环境中的任何光线变化都极其敏感，甚至当在玻璃上覆盖一张纸或光源是红外线时也能立即感知。此外，攻击者还可通过劫持安装在扫描仪附近的光源向恶意软件发送消息，使其误以为是智能灯泡。 研究人员在测试时发现，专家团队能够通过激光向隔着玻璃围墙 900 米外的目标系统发送 “ erase file xxx.doc ” 命令，进而删除文件。在实际攻击情景下，可在无人机内部安置一把激光枪，以便在目标机构窗外飞行时进行控制。为了保证攻击行动顺利完成，除了必须在目标设备上安装恶意软件，还需使连接 PC 端的扫描仪盖子部分开启以接收光源。此外，攻击者还可以利用此项技术实施勒索软件攻击、从停车场发送命令加密汽车数据，或通过三星 Galaxy S4 蓝牙控制震动灯泡。 据悉，攻击者在驾车时手持三星 Galaxy S4 ，通过安装在手机上的特制应用程序执行攻击。应用程序扫描 MagicBlue 智能灯泡并建立连接，通过从 BLE 信道发送的一系列 “ 开 ”（ 1 比特）与 “ 关 ”（ 0 比特）信号变换既定指令，实现对光序列的控制。 攻击过程中使用的扫描仪可以检测智能灯泡的亮度变化（光强度减少 5％ 以及持续时间少于 25 毫秒的情况）。人眼无法察觉具有这种特征的攻击。 研究人员提出一个使扫描仪断开内网连接的潜在对策，但考虑到可能会对目标公司员工日常工作造成影响，最终认为该方案并不可行。最好的对策是设置一个代理系统，使扫描仪通过线缆（例如，使用 USB 接口）连接至内网上的一台计算机（代理）、而不是直接连接至该网络，防止攻击者在无需采取极端变化的情况下建立隐蔽信道。代理将提供一个 API，计算机在接收扫描请求后启动扫描并处理分类器输出，对恶意扫描进行有效监测。 原作者： Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，美国法院已强制谷歌交出在海外存储的 Gmail 私人邮件。理由很简单：能够在美国境内查看的信息必然受美国搜查令约束。 美国加利福尼亚州地方法官 Laurel Beeler 于 4 月 19 日听证会上否决了谷歌公司针对此事提出的异议。谷歌方面曾提交一份撤销该搜查令的动议，但被否决。此项搜查令发布于 2016 年 6 月 30 日，要求谷歌交出大量 Gmail 账户信息，包括邮件正文、附件、元数据与位置数据等。 目前谷歌已按照搜查令要求将所有请求数据交付美国特工，但拒绝交出两个帐户的相关信息以及另外两个账户的附件访问权限，坚持称该数据并不在美国搜查令覆盖范围内，与微软电子邮件风波中的情况相似。然而，Beeler 法官不同意  Chocolate Factory 的评估结果，认为如果谷歌能够在美国境内自有机器上提取信息，此类信息就理应属于美国法院管辖范围。此外，由于信息提取自山景城谷歌总部，不应被视为海外信息，与微软隐私案中提及的将信息存储在爱尔兰的情况有所不同。 Beeler 表示，谷歌公司作为该地区的服务提供商受该地区法院管辖，同样，搜查令也仅针对该公司有权访问与交付政府所请求信息的情况。谷歌信息存储方式不同于微软：微软信息存储位置与用户报告的位置相一致，而谷歌则通过信息自动分发算法提高网络效率，不涉及存储决策。目前，谷歌已按照政府要求提供搜查令中规定的所有 Gmail 帐户和邮件信息，但拒绝对此事发表任何评论。 原作者：Shaun Nichols，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

本月初，俄罗斯黑客 Peter Levashov 于西班牙被捕，因涉嫌串谋诈骗、盗窃身份被指控八项罪名。此外，Levashov 还被认为代号为“ Severa”的黑客、操纵 Kelihos 僵尸网络（全球规模最大的垃圾邮件网络）的幕后黑手。 康涅狄格州联邦陪审团提交起诉书并于本周五列出美国法庭对 Levashov 提出的所有指控罪名，其中包括从事威胁损坏受保护计算机的阴谋活动以及对受保护计算机造成蓄意破坏、访问受保护计算机以促进诈骗与电信诈骗的身份窃取恶性行为。 36 岁的 Levashov 于 4 月 7 日在西班牙被捕，消息传出数小时后，Levashov 被证实与 2016 年美国大选期间民主党电子邮件泄漏事件有关。在接下来的数小时内，Levashov 操纵僵尸网络 Kelihos 的事实也得到确认。公诉人认为该僵尸网络用于向数百万用户传播垃圾邮件与恶意软件。司法部表示，Levashov 被捕后当即展开了对该僵尸网络的拆除工作。 原作者：Gabriela Vatu，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 21 日报道，世界顶级情报机构领导人将于 4 月 22、 23 日在新西兰秘密举行会议。“Five Eyes” 情报联盟也将出席此次会议。 “Five Eyes” 又称“五眼联盟”，是由英国、美国、加拿大、澳大利亚与新西兰五个国家级情报机构组成的秘密情报联盟。前身是英美战后多项秘密协议催生的多国监听组织“UKUSA”。 据报道，联邦调查局（ FBI ）局长詹姆斯·科米、美国中央情报局（ CIA ）局长麦克·蓬佩奥、新美国国家情报局局长以及新西兰政府通信与安全局（ GCSB ）和安全情报局（ SIS ）部长预计出席本次秘密会议。此外，新西兰总理比尔·英格利希证实，数名高级官员也将出席会议。 据《新西兰先驱报》报道，新西兰旅游圣地“皇后镇”目前已处于高度戒备状态，有消息透露此次会议或有某位“非常非常”重要人士出席。 战略研究中心高级研究员 Jim Rolfe 表示，此次会议或将讨论网络威胁渐增问题。参与此次会议的重要官员对网络威胁与网络安全极其重视，这也是全球面临的最大难题之一。 CIA 与 FBI 目前对于此次会议尚未发表任何声明。 原作者：India Ashok，译者：青楚，译审：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 20 日报道，安全专家 Lukasz Olejnik 发现一种新技术攻击方法，通过内置环境光传感器 API 从多台笔记本电脑或智能手机的浏览器中窃取敏感数据。环境光传感器以自动更改屏幕亮度安装于电子设备中。研究显示，攻击者可以利用该方法通过环境光传感器分析亮度变化窃取认证机制网页上包含 QR 码等敏感数据。 如何通过环境光传感器提取私人数据？主要基于以下两点： 1、用户屏幕的颜色能携带有用信息，而网站出于安全原因无法直接访问。 2、攻击者能够通过光传感器读数区分不同屏幕颜色。 作为例子，Olejnik 提醒用户，用户访问站点后链接颜色将会做相应改变，而专家可以通过环境光传感器检测到这些变化并获得用户历史访问记录。 不过专家也指出，该种攻击方法的速度极其缓慢，他们检测一个 16 位字符的文本字符串花费 48 秒，而识别一个 QR 码则耗时三分二十秒。Olejnik 解释道，原则上，浏览器传感器可以传输 60 Hz 读取速率。然而，并不意味着我们实际上每秒钟就能够提取 60 位，因为最终的检测极限与传感器检测屏幕亮度变化速率有关。 Olejnik 团队进行了屏幕亮度测试，结果表明读数延迟为 200 至 300 毫秒，而对于一个完全可靠的利用来说，假设每 500 毫秒传输一位更加实际。据悉，在某些情况下，该种攻击方法并不可行，因为用户不会在屏幕上长时间保持 QR 码搜索。 此外，Olejnik 还提出一个对策，通过限制环境光传感器 API 读数频率、量化其输出数据以减轻攻击。据悉，该对策不会影响传感器防止任何滥用行为。目前该提案足以限制传感器读数频率（低于 60Hz）与限制传感器输出精度（量化结果）。 原作者：Pierluigi Paganini，译者：青楚，译审：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

澳大利亚网络安全发展机构（ ACSGN ）于本周四在悉尼宣布目标发展路线图——网络安全行业竞争力计划（ SCP ），旨在使全国网络安全行业规模翻三番，从今年的 20 亿澳元收益增长至 60 亿澳元。 SCP 由工业、创新与科学部部长 Arthur Sinodinos 参议员发起，旨在识别澳大利亚组织机构在本地与国际网络安全市场竞争中所面临的严峻挑战，为加强澳大利亚网络安全行业发展、构建充满活力与创新的生态系统铺平道路。SCP 阐明了将澳大利亚打造成全球网络安全解决方案领导者以促进投资、提供更多就业机会、振兴澳大利亚经济所需的步骤与行动。 Sinodinos 表示，此项计划目标明确而宏大，但考虑到澳大利亚所拥有的人才、技术与系统在全球网络安全方面均处于领先地位，成为全球领域领导者的梦想并非遥不可及。经 ACSGN 报道，澳大利亚构建网络安全行业时将面临三个具体挑战： 首先，虽然澳大利亚表现出优秀与世界领先的网络安全研究能力，但目前的研究与商业化进展仍处于低效状态。 其次，为制定该计划与公开招标数据而进行的专家访谈表明，当前市场环境限制了澳大利亚小型网络安全企业与初创公司的发展前景。 第三，严重的技能短缺限制了澳大利亚网络安全行业的发展。虽然高校近期已经开始引进几门新型研究课程，但在不久的将来未必能够输出足够的毕业生以满足行业需求。 ACSGN 宣布任命两名董事会成员，并在堪培拉创建了第二个网络安全创新节点，加入在墨尔本创建的首个节点。 澳大利亚工业集团前首席执行官、在众多商业社区机构担任主席的Heather Ridout AO与澳大利亚信号理事会（ASD）前高级成员、近期担任Telstra首席信息安全官的Mike Burgess为新董事会成员。据悉，他们与 Data61 首席执行官 Adrian Turner、IBM 前全球销售与分销业务高级副总裁兼集团执行官 Doug Elix、ACSGN 首席执行官 Craig Davies 共同担任主席。Davies 仍对澳大利亚网络安全部门的潜力持乐观态度，并再次强调需要加快发展的步伐。 Davies 团队于今年 2 月将 20 家澳大利亚网络安全创业公司带到 RSA 信息安全会议。他的目标是在 2018 年将 50 家公司带到 RSA 会场。Davies 被告知 ACSGN 正寻找下一个 “ Atlassian ”（常指代澳大利亚成功的创业公司，Davies 本人也曾经担任 Atlassian 安全主管的角色。Davies 表示，事实并非如此，他们正寻找接下来 50 个 Atlassians。此外，ACSGN 还宣布两款在澳大利亚开发的网络安全硬件产品。 原作者：Stilgherrian，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 21 日报道，安全研究人员近期发现暗网市场中正在出售一种新型勒索软件 Karmen 以及其衍生出的“勒索软件即服务（RaaS）模式”。调查显示，俄罗斯网络犯罪组织 DevBitox 以用户名 Dereck1 的身份在顶级暗网中出售这款勒索软件。 勒索软件 Karmen 于 2017 年 3 月在暗网中被发现出售，但首次感染事件可追溯至 2016 年 12 月。与其他变体一样，该勒索软件加密受害者数据，并要求缴纳赎金方可提供解密密钥。目前攻击者主要针对美国与德国用户设备。 攻击者除了将勒索软件 Karmen 设计为人性化通用技能与知识外，还采用了先进的安全逃避技术。例如，在系统中检测到沙箱环境或任何其他类型的安全分析软件，Karmen 将自动删除解密部分，重新获取受害者文件访问权限。 此外，勒索软件还具备专用控制面板功能，允许人们定制个性化攻击服务。Recorded Future 研究人员表示，对于购买勒索软件 Karmen 的网络犯罪分子来说，使用控制面板是极其简单的事情，因为仅需极少的技术与知识。 Recorded Future 安全团队主管 Andrei Barysevich 透露，目前只要花个 175 美元，就连五岁小孩都能进行勒索软件攻击了。而勒索软件 Karmen 附带的“ 客户端 ” 页面还能让购买者跟踪已感染设备，并提供支付赎金的更新状态。 至今为止，DevBitox 组织已销售 20 份勒索软件 Karmen ，还剩 5 份可供潜在客户购买。据统计显示，暗网上利用 RaaS 模式出售勒索软件的趋势显著增长，网络犯罪分子通过定制出售恶意软件，旨在允许技术知识有限的人员发起大规模攻击。   原作者：India Ashok，译者：青楚，译审：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 19 日报道，美国政府日益关注可使国家陷入瘫痪的大规模电网攻击行为。美国国防部（ DoD ）表示正着手开发一个自动化系统，计划赶在 2020 年前完工，以加快受攻击电网的恢复能力，实现一周内迅速恢复的目标。 美国能源部于今年 1 月发布了一份长达 494 页的报告, 描述网络攻击如何为美国生命线网络、国防关键基础设施与经济发展带来重要威胁、甚至可能危及数百万公民健康与安全，并详细介绍了美国电网面临的严峻风险。 五角大楼研究机构 Darpa 项目经理 John Everett 在一份声明中指出，如果今天国家电网遭到一次精密策划的网络攻击，那么恢复供电所需时间将引发一场令人生畏的国家安全挑战。据悉，未及时恢复电网除了会对国内经济与人力成本方面造成影响，还将阻碍军事动员与物流、削弱政府为国际危机解决方案投入的力量。 调查表明，DoD 推出的这项新举措名为“ 黑客行为迅速检测、隔离与界定 ”（RADICS）计划，旨在打击针对电网的主要黑客攻击行为。Darpa 打算为 RADICS 计划花费 7,700 万美元，主要目标是恢复民用电力与通信功能。据报道， BAE 系统公司（ BAE Systems ）于上月获得 860 万美元资金，专门用于开发检测与控制电网攻击事件的安全应急网络（SEN）技术。 经美国军方新防御系统网站报道，BAE 系统公司 SEN 技术主要依靠收音机、无线网络或卫星功能帮助受攻击电网迅速恢复应急电源与通信。Darpa 表示，由于存在互联网基础架构在遭受攻击后无法运行或黑客在电力公司 IT 系统中嵌入恶意代码的情况，建立允许电源供应商在发生电力攻击后进行通信的安全应急网络可谓至关重要的决策。 BAE 系统公司通信与网络部高级首席工程师兼经理 Victor Firoiu 表示，该计划的主要目标是提供一种快速隔离企业 IP 网络与电力基础设施网络、摧毁恶意网络攻击的先进技术。 原作者：India Ashok，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接