北约和欧盟谴责与俄罗斯有关的威胁组织APT28（又名“森林暴雪”、“ Fancybear ”或“ Strontium ”）针对欧洲国家开展的网络间谍活动。 本周，德国联邦政府以最强烈的措辞谴责 APT28 组织针对德国社会民主党执行委员会开展的长期间谍活动。 “联邦政府针对此次活动的国家归因程序得出的结论是，在相对较长的一段时间内，网络攻击者 APT28 利用了 Microsoft Outlook 中当时尚未识别的关键漏洞来危害众多电子邮件帐户。”德国联邦监管局发布的公告中说。 自 2022 年 4 月以来，APT28 利用 0day 漏洞 CVE-2023-23397 对欧洲实体进行攻击。这个与俄罗斯相关的 APT 组织还针对北约实体和乌克兰政府机构。 CVE-2023-23397漏洞是一个 Microsoft Outlook 欺骗漏洞，可导致身份验证绕过。 2023 年 12 月，Palo Alto Networks 的 Unit 42 研究人员报告称，APT28组织 在针对欧洲北约成员国的攻击中利用了 CVE-2023-23397 漏洞。 专家们强调，在过去 20 个月中，APT黑客针对了 14 个国家的至少 30 个机构，这些机构可能对俄罗斯政府及其军队具有战略情报意义。 2023 年 3 月，Microsoft 发布了调查利用已修补的 Outlook 漏洞（跟踪为CVE-2023-23397 ）的攻击指南 。 在微软威胁情报于 2023 年底发现的攻击中，攻击者主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。 据Unit 42称，APT28于2022年3月开始利用上述漏洞。 “在此期间，Fighting Ursa 至少进行了两次利用此漏洞进行的活动，并且这些活动已被公开。第一次发生在 2022 年 3 月至 12 月期间，第二次发生在 2023 年 3 月。”Unit 42发布的分析报告这样描述。 “Unit 42 研究人员发现了第三个最近活跃的活动，其中 Fighting Ursa 也利用了此漏洞。该组织在 2023 年 9 月至 10 月期间开展了最近一次活动，目标是七个国家的至少 9 个组织。” 研究人员指出，在第二次和第三次活动中，攻击者继续使用众所周知的 Outlook 漏洞。这意味着这些行动所产生的访问和情报的好处被认为比被发现的潜在后果更重要。 目标清单很长，包括： 除乌克兰外，所有目标欧洲国家均为北约组织 (NATO) 成员 至少一支北约快速反应部队 以下部门内与关键基础设施相关的组织：能源、运输、电信、信息技术、军工基地 微软威胁情报还警告称，与俄罗斯有关的网络间谍组织 APT28 正在积极利用 CVE-2023-23397  Outlook 漏洞劫持 Microsoft Exchange 帐户并窃取敏感信息。 10 月，法国国家信息系统安全局 ANSSI  （国家信息系统安全局） 警告称 ，与俄罗斯有关的 APT28 组织一直针对多个法国机构，包括政府实体、企业、大学、研究机构和智库。 该法国机构注意到，攻击者使用不同的技术来逃避检测，包括破坏位于目标网络边缘的受监控和低风险设备。政府专家指出，在某些情况下，该组织并没有在受感染的系统中部署任何后门。 ANSSI 观察到 APT28 在针对法国组织的攻击中至少使用了三种攻击技术： 零日漏洞； 攻击路由器和个人电子邮件帐户； 使用开源工具和在线服务。 ANSSI 调查确认 APT28 利用了 Outlook 0day 漏洞 CVE-2023-23397。 据其他合作伙伴称，在此期间，还利用了其他漏洞，例如影响 Microsoft Windows 支持诊断工具的漏洞（MSDT、 CVE-2022-30190，也称为 Follina）以及针对 Roundcube 应用程序的漏洞（CVE- 2020-12641、CVE-2020-35730、CVE-2021-44026）。 根据德国政府最近发布的公告，APT28活动针对的是德国、其他欧洲国家和乌克兰的政府当局、物流公司、军火、航空航天工业、IT服务、基金会和协会。该组织还对 2015 年德国联邦议院的网络攻击负责。这些行为违反了国际网络规范，需要特别关注，特别是在许多国家的选举年期间。 捷克外交部也谴责APT28组织的长期网络间谍活动。该部的声明还证实，从 2023 年起，捷克机构已成为与俄罗斯相关的 APT28 的目标，该组织利用 Microsoft Outlook 0day漏洞。 “根据情报部门的信息，自 2023 年起，一些捷克机构成为利用 Microsoft Outlook 中先前未知漏洞进行网络攻击的目标。这些攻击的操作模式和重点与攻击者 APT28 的个人资料相符。” 北约、 欧盟理事会以及美国和英国政府也发表了类似声明。 APT28组织  （又名 Fancy Bear、  Pawn Storm、 Sofacy Group、  Sednit、BlueDelta 和 STRONTIUM）至少自 2007 年以来一直活跃，其目标是世界各地的政府、军队和安全组织。该组织还参与了针对2016 年总统选举的一系列攻击 。该组织隶属于俄罗斯总参谋部主要情报局 (GRU) 。 大多数 APT28 的活动都利用了鱼叉式网络钓鱼和基于恶意软件的攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/BQuLzaxvmlzuPUUsa6xe8Q 封面来源于网络，如有侵权请联系删除

过去十年中，美国海陆空三军的关键作战平台以及涉密系统大量采购并使用了质量低劣、故障频发的假冒伪劣思科路由器设备，是美国军方近年来曝光的最为严重的网络安全危机事件。 美国司法部(DOJ)上周四宣布，佛罗里达州居民 OnurAksoy（又名Ron Aksoy和Dave Durden）因售卖假货被判处 78 个月监禁。Aksoy 通过销售假冒（思科）网络设备非法获利 1 亿美元，并危及美国军方的网络安全。 Aksoy 于 2022 年 6 月 29 日在迈阿密被逮捕，并于同日被指控贩运假冒商品、实施邮件欺诈和电信欺诈等多项罪名，2023 年 6 月 5 日 Aksoy 对起诉书中的两项罪名供认不讳。 2024 年 5 月 1 日，Aksoy 被美国法院判处 78 个月监禁，宣判结果还包括向思科支付 1 亿美元的赔偿金、4 万美元的罚款以及三年的监管释放期。美国司法部表示，Aksoy 还需在法院未来确定的日期向其他受害者支付一笔金额。 根据起诉书，Aksoy 大约从 2013 年 8 月开始策划售假骗局，一直持续到至少 2022 年 4 月。 Aksoy 使用了至少 19 家公司和约 15 个亚马逊商店、10 个 eBay 店铺以及直接销售渠道（统称为 Pro Network Entities）来销售数万台计算机网络设备。他从中国大陆和中国香港进口二手和报废产品，并使用假冒的思科包装、标签和文件将它们伪造成全新正品出售。根据起诉书，按照正品价格计算，这些假货的总售价将超过 10 亿美元。 进货成本只有正品的 2% 根据美国司法部的起诉书，Aksoy 售卖的大部分“欺诈性产品”确实是思科产品，但通常是二手翻新产品（“较旧、较低型号或更便宜的思科产品，其中一些已经售出或被丢弃”）。 Aksoy 以正品 2-5% 的价格大量采购二手思科产品甚至报废产品，然后改装翻新，以次充好（冒充更高级别产品）。具体方法包括使用盗版软件和“未经授权、低质量和不可靠的组件”对硬件进行改装，其中一些组件可以骗过软件许可和设备真伪检查方法。此外，Aksoy 还涉及制造假产品序列号，这些序列号通常是以前使用过的思科序列号。 根据起诉书，Aksoy 将这些破解和翻新过的设备以低于正品厂商建议零售价 60% 至 88% 的超低折扣价进行销售。 假冒伪劣思科设备充斥美国空军、陆军和海军关键基础设施 美国国防部政府官员证实，由于美国军方从 Aksoy 大量采购了假冒伪劣思科设备，严重威胁到了美国军队的敏感应用，包括美国战斗机和其他军用飞机的支撑平台。 美国国防部(DoD)监察长办公室国防刑事调查局西部现场办公室负责人 Bryan Denny 本周在一份声明中表示，Aksoy “故意欺骗国防部，将其供应链中引入假冒产品，这些产品经常出现故障或根本无法工作”。 他补充道：“Aksoy 将假冒的思科产品出售给国防部，这些产品被发现部署在众多军事基地和各种系统中，包括但不限于美国空军 F-15 和美国海军 P-8 飞机的飞行模拟器。” 司法部声明称，Aksoy 的假冒设备最终“用于高度敏感的军事和政府应用，包括涉密信息系统，其中一些涉及美国海军、美国空军和美国陆军的作战和非作战行动，支持 F-15、F-18 和 F-22 战斗机、AH-64 阿帕奇攻击直升机、P-8 海上巡逻机和 B-52 战略堡垒轰炸机的平台。” 声明还表示，除军方和政府外，Aksoy 的假冒思科设备还流入了医院和学校。 “IT 灰色供应链”与思科的困扰 美国司法部并未进一步说明美国军方是如何购买到假冒思科设备，以及从 Aksoy 处购买了多少假冒技术和产品。据调查，亚马逊和 eBay 等电商平台充斥着大量有问题的 IT 产品，但是如果美国政府实体，尤其是军方，居然也通过此类方式和渠道采购“低价”设备，将是一件令人震惊的事情。另据 Arstechnica 报道，与美国政府机构合作的买家和转销商也可能直接购买了 Pro Network Entities 的产品。 与其他知名 IT 品牌一样，思科也一直饱受“IT 灰色供应链”困扰，未经授权的公司在“灰市”上销售其产品的仿冒版本。2022 年，思科估计 IT 灰市每年让思科渠道损失 12 亿美元，三年新冠疫情加剧了 IT 灰市的泛滥。 同年，思科全球品牌保护法律总监 Al Palladin 在接受 CRN 采访时表示，即使是正规的思科渠道合作伙伴也会为了提高周转速度通过非正规渠道采购产品。当时，思科渠道负责人 Oliver Tuszik 表示，如果合作伙伴被发现参与此类销售行为，将面临严厉处罚，但除非被抓到两次，否则不会被禁止加入思科的经销商计划。 根据起诉书，亚马逊和 eBay 已经删除了 Aksoy 店铺的 listings 页面，并有可能对其 storefront 商家账户采取了冻结或终止措施。 有史以来最大规模的 IT 售假案 令人费解的是，早在 2014 年思科和美国政府就知道 Aksoy 在销售假货，但过去十年 Aksoy 的业务越做越大，甚至美国军方和政府的关键基础设施也大量采购了 Aksoy “物美价廉”的假货。 根据美国司法部的声明，2014 年至 2022 年间，美国海关和边境保护局（CBP）共查获了大约 180 批从中国大陆和中国香港运往 Aksoy 公司的设备。Aksoy 使用了用虚假报关文件（化名 Dave Durden），他的供应商则将“货物拆解成小包裹，在不同的日子运送”。声明补充说：“在边境保护局查封货物并发出通知后，Aksoy 仍继续向同一家供应商订购假冒的思科产品。” 据报道，思科从 2014 年到 2019 年也向 Aksoy 发送过七封停止并终止售假活动的信函，据称，Aksoy 对其中至少两封信函做出了回应，“让律师向思科提供了伪造的文件”。 美国司法部表示，官员们在 2021 年曾突袭了 Aksoy 的仓库，没收了 1156 台假冒思科设备，零售价值超过 700 万美元。 新泽西州地区法院检察官 Vikas Khanna 在一份声明中表示，Aksoy 经营着“有史以来最大规模的 IT 假货销售和贩运活动之一”。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16275.html 封面来源于网络，如有侵权请联系删除

Keonne Rodriguez 和 William Lonergan Hill 被美国司法部指控通过 Samourai（他们运营了近十年的加密货币混合服务）从各种犯罪企业洗钱超过 1 亿美元。 正如替代起诉书中详细描述的那样，犯罪分子还使用 Samourai 的 Whirlpool 加密货币混合器在 2015 年至 2024 年 2 月期间处理了超过 20 亿美元的非法资金。 除了加密货币混合服务外，Samourai 还提供了一项名为“Ricochet”的服务，该服务允许用户使用额外的和不必要的中间交易发送加密货币，以阻止执法和加密货币交易追踪来自犯罪活动的资金。 据称，这项洗钱活动为两位创始人从 Whirlpool 和 Ricochet 交易中赚取了约 450 万美元的费用。 “自 2019 年左右启动 Whirlpool 服务以及 2017 年左右启动 Ricochet 服务以来，超过 80,000 BTC（按每笔交易时的 BTC 兑美元汇率计算，价值超过 20 亿美元）已通过这两个渠道Samourai 运营的服务”，起诉书称。 Samourai 的 Wallet 移动应用程序下载量也超过 10 万次，允许用户存储他们控制的 BTC 地址的私钥，并在匿名金融交易中与其他 Samourai 用户交换资金。 冰岛执法部门已查封 Samourai 的域名（samourai[.]io 和 samouraiwallet[.]com）和网络服务器，Google Play 商店在收到查封令后删除了 Android 移动应用程序。 罗德里格斯今天早上被拘留，并将在接下来的几天内在宾夕法尼亚州西区的美国治安法官面前出庭。 希尔今天上午也在葡萄牙因美国刑事指控而被捕，美国政府计划要求将他引渡到美国，以便他可以接受审判。 他们均被指控犯有两项共谋罪：洗钱（最高刑期 20 年）和经营无证汇款业务（最高刑期 5 年）。 美国司法部表示：“被告在提供 Samourai 作为‘隐私’服务时，知道这是犯罪分子进行大规模洗钱和逃避制裁的避风港。” “Samourai 清洗了超过 1 亿美元的犯罪所得，这些犯罪所得除其他犯罪来源外，还包括丝绸之路和 Hydra 市场等非法暗网市场；各种电信欺诈和计算机欺诈计划，包括网络服务器入侵、鱼叉式网络钓鱼计划以及诈骗多个去中心化金融协议的计划和其他非法行为。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/pU4AlNI8VyIAlfuOBs2llQ 封面来源于网络，如有侵权请联系删除

中东在以色列和伊朗的复杂冲突中，见证了另一种形式的冲突：网络战。约旦发现自己处于这场战斗的最前沿，面临着各种黑客组织精心策划的一系列所谓网络攻击。 BlackMaskers 团队已成为一个突出的威胁，他们声称对约旦进行了网络攻击，且目标是约旦从证券交易所到私营企业的重要实体。 约旦支持以色列对抗伊朗的事件就是一个例证。BlackMaskers 团队宣布约旦是他们的首要目标。 他们对约旦网站的攻击以及随后的数据泄露引发了广泛担忧，加剧了国家基础设施和私营公司的脆弱性。 约旦当局正在处理网络攻击的报告，同时也因其支持以色列对抗伊朗的决定而面临公众批评。受影响的组织疑似包括约旦证券交易所和约旦自来水公司 Yarmook。 黑客组织威胁要泄露更多约旦公司有关的敏感信息时，约旦网络被攻击的严重性也凸显出来了。这一警告加上样本文件的发布，进一步扰乱了该国的局势。在混乱之中，网络攻击者仍然难以捉摸，他们利用约旦组织的漏洞来逃避检测。 据称，泄露的样本数据包含敏感文件和信息、约旦钢铁等公司的财务审计报告、据称对约旦协助以色列应对伊朗威胁的深入了解，以及其他来自约旦实体的文件。 约旦人表现出了针对政府的叛乱，这一叛乱的影响超出了约旦边界，与该地区更广泛的地缘政治格局相交叉。有关约旦协助以色列应对伊朗威胁的报道在国内引发了轩然大波和异议，当地公众感到自己被政府背叛了。 这些事件在社交媒体平台上引起强烈反响，加剧了大众的猜测和不满。背叛和与以色列勾结的指控充斥着网络言论，描绘了约旦人的不满情绪。 据报道，约旦政府因支持以色列反对伊朗袭击而引起公众的愤怒。许多约旦人感到政府的立场背叛了他们，这导致了大家对与以色列结盟的强烈抗议。 混乱之中约旦的漏洞再次暴露，一个陌生的黑客组织声称对多个组织同时进行了网络攻击。 此次未经证实的入侵突显了中东地区当前的局势：黑客、政府和当地公众正在选边站队，而战争正在扰乱普通公民的生活。   转自安全客，原文链接：https://www.anquanke.com/post/id/295789 封面来源于网络，如有侵权请联系删除

随着 2024 年巴黎奥运会倒计时的开始，组织者围绕备受期待的盛大开幕式，正在做好准备应对潜在的网络安全威胁和迫在眉睫的恐怖主义幽灵。尽管面临着这些挑战，但人们对于组织者应对 2024 年巴黎奥运会的任何网络攻击充满信心。 定于 7 月 26 日至 8 月 11 日在巴黎举行的第三十二届夏季奥运会将受到当局和网络安全组织的密切监控，严密排查任何网络攻击和安全漏洞的迹象。 今年巴黎夏季奥运会负责防御网络威胁的团队负责人弗兰兹·雷古尔 (Franz Regul) 十分清楚其中的风险。雷古尔在巴黎奥组委总部的办公室发表讲话，预计未来会发生一些不可避免的事情：“我们将受到攻击。” 2024 年巴黎奥运会网络攻击风险及预防措施 在配备服务器和监控屏幕的高科技房间里，很多像雷古尔这样的团队时刻警惕着 2024 年巴黎奥运会期间的任何网络攻击。巴黎运营中心甚至拥有红色警报系统，可以发出最严重的危险信号。 到目前为止，网络攻击仍没有中断。随着奥运会的临近，黑客攻击的频率和严重程度预计将急剧升级。与其他组织在没有具体时间表的情况下为 2024 年巴黎奥运会做好可能遭受网络攻击的准备不同，雷古尔的团队明确知道要应对影响的时间节点：7 月和 8 月。 虽然传统上重大赛事的安全问题主要围绕恐怖主义等物理威胁，但数字入侵的出现让网络攻击成为奥运会组织者首要关注的问题。 为了了解有关 2024 年巴黎奥运会网络攻击风险的更多信息，《网络快报》已联系该组织。 2024 年巴黎奥运会回复称，诈骗者会冒充 2024 年巴黎奥运会代表，瞄准毫无戒心的受害者实施行动。 2024 年巴黎奥运会的诈骗和网络攻击 2024 年巴黎奥运会发言人进一步解释了针对该赛事的网络攻击和诈骗的全部范围。在这些案件中，诈骗者冒充巴黎2024或On Location代表，采用虚假电子邮件、销售材料和法律文件等欺骗手段，引诱企业参与所谓的奥运场馆交易。 发言人表示，对奥运会和残奥会的呼吁正引发一些公司冒充巴黎 2024 年奥运会或巴黎 2024 年独家接待供应商 On Location ，用提供与奥运会相关的虚假服务进行诈骗。 这些诈骗者以餐馆、店主等人为目标，承诺在奥运会期间提供虚假的奥运会场馆的席位并索要押金。巴黎 2024 和 On Location 已采取法律行动，对进行欺诈、身份盗用和伪造等犯罪行为人提出刑事诉讼。 网络安全专家面临的最大挑战 即将举行的 2024 年巴黎奥运会预计将吸引超过 40 亿观众，这将带来巨大的网络安全挑战。来自 206 个国家的 1000 万观众、20,000 名记者和 15,000 名运动员齐聚巴黎，赛事的规模无疑放大了风险。 包括网络犯罪分子、黑客活动分子，甚至是国家资助黑客在内的一系列潜在网络威胁，都旨在破坏奥运会。他们的目标范围从支持新闻发布室和票务的 IT 系统到体育场入口系统、电视广播，甚至包括活动场地的电力供应。 据《纽约时报》引用的专家说法，俄罗斯、中国、朝鲜和伊朗等黑客组织和国家拥有先进的能力，不仅能够瘫痪计算机网络，还能瘫痪数字票务系统和活动计时系统。 2018 年韩国平昌冬奥会警醒了人们网络攻击对重大体育赛事的现实影响。开幕式期间的一次成功攻击造成了广泛的破坏：Wi-Fi 网络出现故障，奥运会官方手机应用程序出现故障，转播无人机也被停飞。 随着 2024 年巴黎奥运会的临近，网络安全成为人们关注的焦点。网络威胁有可能破坏这一全球盛事的完整性，让其无法顺利运作，这也突显了对潜在网络威胁进行强有力防御的迫切需要。   转自安全客，原文链接：https://www.anquanke.com/post/id/295746 封面来源于网络，如有侵权请联系删除

据非营利性分析机构 AI Forensics 的一份新报告称，一个已知网络一直在 Meta 平台（Facebook、Instagram、Messenger 和 Threads）上针对法国和德国的欧盟选举进行亲俄宣传。 AI Forensics 称，在过去六个月中，该活动已触及超过 3800 万个账户，其中大部分广告未被 Meta 及时识别为政治性广告。 Meta 广告审查不力 标题为《未见禁令：Meta 让亲俄宣传广告席卷欧盟》的报告于2024年4月17日发布，该报告突显了科技巨头 Meta 在处理其平台上的虚假信息和错误信息方面的失误。 据 AI Forensics 估计，Meta 发布的大多数政治广告并未被标记为政治广告。报告中涉及的16个欧盟国家中，有 66% 的政治广告未被声明为政治广告，其中只有不到 5% 被Meta视为政治广告进行审查。这导致大量未经审查的政治广告出现，其中一些源自试图影响欧洲选民的恶意行为者。 此外，AI Forensics 还认为，Meta的内容审查通常与其政策不一致。 研究人员指出：“在被审查为政治广告的未声明广告中，实际上有 60% 的广告与 Meta 的审查规定不符。这可能会让广告商感到困惑，也解释了为什么他们的自我声明同样不一致，只有不到一半被判定为政治广告。” 亲俄宣传网络 在搜索协调活动时，研究人员在欧盟发现了一个由 3826 个网页组成的亲俄宣传网络。 报告写道，以法国和德国为例，在 2023 年 8 月至 2024 年 3 月期间，这一宣传活动触及了 3800 万用户，其中只有不到 20% 的广告被 Meta 作为政治性广告进行了审核，且通常是在内容通过网络传播之后（最终被 Meta 审核的广告已被展示了 260 万至 360 万次）。 根据 Meta 自己的服务条款，广告商只允许在其居住国投放政治广告，且必须验证身份，并附有 “Paid for by “免责声明。 AI Forensics 进一步指出，一组协调的页面网络正在向 Facebook、Instagram 和 Messenger 传播大量虚假投资诈骗信息。仅在 2024 年 1 月和 2 月期间，这一活动就影响了 10 个欧盟国家的至少 1.28 亿个账户。 欧盟选举：数字服务法案的压力测试 该研究的首席研究员保罗-布舍（Paul Bouchaud）表示，Meta 在审查政治广告方面的系统性失误令人担忧，尤其是在大选即将来临之际，亲俄宣传的激增就是一个最好的例子。由于多次发出警告，Meta 公司最终承认了这一问题，该公司声称在安全和安保方面投入了大量资金，却忽视了有效解决广告审查的问题，这让人产生了其对民主诚信的承诺的怀疑。 保罗-布舍进一步指出，欧盟选举将是一次关键的压力测试，以检验欧盟新立法《数字服务法》（DGA）在采取果断行动打击网络影响力方面的效率如何。 AI Forensics 总监马克-法杜尔（Marc Faddoul）认为，新立法将有助于解决大科技公司的此类失误。 他说：”如果说有什么值得庆祝的话，那就是欧盟对平台的新透明度要求被证明是有效的，如果没有 Meta 公司认真执行的这些规则，我们就无法获得数据，从而揭露这一行动。” AI Forensics 呼吁欧盟委员会对 Meta 在打击俄罗斯协调政治行动方面的不作为提起侵权诉讼，并强制要求所有平台在透明存储库中披露广告内容，以方便外部调查。 该报告基于布舍的科学论文《关于 Meta 的政治广告政策执行：协调活动和亲俄宣传的分析》。 自 2023 年 8 月以来，Meta 的广告库在 16 个欧盟国家进行了扩展，以符合欧盟新的《数字服务法案》。它在 2024 年 1 月和 2 月发布的 3000 万条广告中发现了未申报的政治广告。   转自FreeBuf，原文链接：https://www.freebuf.com/news/398315.html 封面来源于网络，如有侵权请联系删除

美国网络司令部（USCYBERCOM）去年派出工作人员前往十多个国家参加所谓的“hunt forward（向前狩猎）”行动，其中包括监视和威慑对手。 美国网络司令部司令兼国家安全局局长Timothy D. Haugh将军本周向参议院军事委员会分享了这一信息。 美国网络司令部的网络国家任务部队（CNMF）负责通过威慑、破坏和击败对手的行动在网络空间保卫美国。 网络部队的搜寻任务包括前往盟友和合作伙伴并帮助他们检查其网络是否存在入侵和漏洞。 去年，CNMF 人员参加了 17 个国家的 22 次前向搜寻行动，目标是限制对手、帮助合作伙伴加强网络防御，并为美国自身的防御提供见解。 Timothy D. Haugh在证词中说： “在司令部历史上，这是第一次在所有地理司令部责任区同时进行主动搜寻行动。” “这些任务导致公开发布了 90 多个恶意软件样本，供国家网络安全社区进行分析。此类披露可以使世界各地数十亿互联网用户的上网更加安全，并挫败对手的军事和情报行动。”他补充道。 关于前向搜寻操作的信息并未共享。 2022 年 5 月，美国网络司令部在帮助立陶宛保护政府网络后表示，自 2018 年以来已开展了 28 次搜寻行动。到 2023 年末，这一数字增加到 55 次，当时 CNMF 宣布对 27 个国家的超过 75 个网络开展行动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ewcINyzWMW9ohMIsPtVDUw 封面来源于网络，如有侵权请联系删除

个人隐私在网络泄露往往并非源于高级黑客攻击，而是用户自己的疏忽大意，即使是顶尖间谍也会百密一疏，阴沟翻船。 以军情报头子出书泄密 近日，一位化名“准将YS”的匿名人士撰写了一本名为《人机团队》的书籍，在亚马逊上公开发行出售，宣扬可将先进人工智能技术与人类特工结合打造超级特工。 然而，经过英国《卫报》的调查，该书电子版中引用的一个私人匿名电子邮件地址（下图）却轻易暴露了作者的真实身份——以色列8200情报部队（相当于美国国家安全局或英国政府通信总部）的指挥官和人工智能战略架构师Yossi Sariel。 YossiSariel担任以色列8200情报部队指挥官的身份是以军最高机密之一，而8200情报部队则是世界上最强大的情报机构之一，建立了庞大的情报系统来密切监视巴勒斯坦领土，其情报能力可与美国国家安全局相媲美。 调查显示，Yossi Sariel在著作出版中犯下多个低级错误，例如： 作者笔名YS是Yossi Sariel姓名首字母缩写 书中的示例使用了Yossi Sariel私人谷歌（邮件）帐户，以及与该帐户关联的地图和日历配置文件链接。 据以色列国防部消息来源证实，该谷歌邮件账户与Sariel相关，多方信源也确认了他就是该书作者。对于一位潜伏了20多年的顶尖间谍来说，以如此低级的方式轻易暴露身份令业界感到震惊。 真实身份：“智能杀人工厂”推荐算法架构师 Yossi Sariel领导的8200情报部队目前正处于舆论的风口浪尖。去年10月哈马斯袭击以色列时，号称世界上最强大的情报机构之一的8200部队对袭击事件一无所知，没有发出任何预警，因而饱受国内舆论批评。 但是令人费解的是，在随后以色列对加沙地带的报复性轰炸中，8200情报部队开发的人工智能目标识别系统却在大规模锁定和攻击哈马斯武装分子的行动中发挥了极为关键的作用。以色列国防军（IDF）严重依赖8200部队开发的Lavender算法（目标推荐引擎）来生成数以万计的巴勒斯坦伊斯兰圣战组织（PIJ）及哈马斯武装分子的个人数据库。 据英国卫报报道，在战争的最初几周内，8200部队改进了Lavender的算法并调整了其搜索参数。在随机抽样和交叉检查其预测后，8200部队得出的结论是Lavender的准确率达到了90%，这导致以色列国防军批准将其广泛用作目标推荐工具。 据报道，以色列国防军已经通过Lavender创建了一个包含3-4万名可疑武装分子的个人数据库，大多被标记为哈马斯军事部门的低级别成员。（编者：战前，美国和以色列估计哈马斯军事组织的成员人数约为2.5-3万人） 与此同时，以色列国防军对加沙地带的轰炸还依赖8200部队开发的另外一个人工智能决策支撑系统和推荐算法——Gospel/Habsora（福音），该系统负责为以色列国防军推荐（轰炸）目标建筑物和工事。 Gospel人工智能系统到底采用了哪些形式的数据尚不清楚。但专家表示，基于人工智能的目标推荐决策支持系统通常会分析来自各种来源的大量信息，例如无人机镜头、截获的通信、监视数据以及通过监测个人和大型群体的行动和行为模式得出的信息。 消息人士告诉《卫报》，8200情报部队的Gospel和Lavender推荐系统帮助以色列国防军建立了“智能化大规模暗杀工厂”，在制定和授权暗杀名单方面发挥了关键作用。 总之，基于Yossi Sariel领导的8200情报部队开发的人员和建筑目标推荐算法，以色列国防军可以快速生成轰炸目标（每天100个甚至更多），而且可以精确调整平民附带伤害“参数”，例如杀死某个级别的哈马斯武装分子（或轰炸一个建筑）可以牺牲多少个平民（大约是1：15，该参数在不断变动中）。 泄密的后果 鉴于8200情报部队在以色列对加沙的轰炸行动中扮演着至关重要的角色，其开发的机器学习和人工智能系统首次被用于大规模杀伤性军事行动导致加沙地带大量平民死亡而在全球引发了人工智能武器化的一系列法律和道德问题争论。 随着加沙地带“大规模智能杀人工厂”的总设计师，人工智能武器化先驱，以色列国防军8200情报部队的指挥官兼人工智能战略架构师——YossiSariel发生严重泄密并意外暴露个人身份，全球人工智能产业、政府、军队将重新审视其匿名著作《人机团队》中描绘的“超级特工”和未来智能化战场场景。 作为这场由精确弹药和智能算法导致的大规模加沙平民伤亡事件的人工智能架构师，YossiSariel本人也将直接面对全球调查和谴责，其在以色列国防军中的去留尚不明朗。 最后，值得所有企业反思的是，如果顶尖情报机构的领导人都能犯下如此简单的身份暴露错误，那么（缺乏约束并拥有敏感信息和特权账户的）企业高级管理层该如何保护自己的隐私呢？   转自GoUpsec，原文链接：https://mp.weixin.qq.com/s/I7V1OrYJXaByV8-G93hXMw 封面来源于网络，如有侵权请联系删除

近日，美国房主们分享了黑客将他们的智能冰箱改造成加密货币挖矿设备的事情，社交媒体上充斥着他们尝试用冰袋给冰箱降温的视频。 但食物变质并不是最令人担忧的问题，最重要的问题是黑客会和冰箱所有者分享他们从挖矿中获得的利润吗？ 冰箱被黑客攻击的迹象 受影响的房主们分享了一系列表明冰箱被黑客攻击的可怕迹象，其中包括： 过热，导致食物变质和室温升高 电费激增 由于加密货币挖矿的处理需求增加，导致性能下降 冰箱试图散热时发出异常的风扇噪音 弹出信息显示无意义的代码和警告，如 “注意！冰箱超负荷运行 “或 “冰淇淋即将融化 “等警告信息 如果遇到上述任何问题，应尽快联系冰箱制造商，他们会迅速发布紧急固件补丁来解决该漏洞。 用户呼吁提高透明度并加强监管 通过这一事件，网络安全专家进一步强调了及时更新物联网设备的重要性。对于如何防止黑客攻击，他们建议房主不要点击冰箱屏幕上的可疑链接，并禁用远程访问功能。 当房主们试图阻止他们的冰箱进行加密货币挖掘时，智能家电行业正面临着强烈的抨击。用户批评制造商安全措施不力、缺乏透明度，他们呼吁政府加强智能家电监管并就该起冰箱事件提起集体诉讼。 对此，国际制冷协会（IAR）宣布全球进入紧急状态，并敦促所有人立即拔掉智能冰箱的插头。 混乱之中，有人从中获利 房主们急于避免食物浪费，但美食博主们利用混乱局面发布完全使用冷冻食材的食谱。 维修服务机构客户量急剧增加，由于供不应求，收费也随之上涨 。 此外，黑客攻击的消息导致许多房主担心电力波动可能会损坏冰箱。据商店报告，电涌保护器的销量有所增加。 最后，随着阴谋论者急忙加固他们的防护帽，锡纸制造商的利润创下历史新高，他们认为整个事件是政府通过冰箱的电磁波来控制人口的阴谋。 是机器崛起还是恶作剧？ 目前，房主们仍在努力恢复对冰箱的控制，而加密货币矿工们也不打算从他们的不义之财中分一杯羹。 这到底是一次恶意攻击，还是一次企图破坏冰箱安全的行动？又或是冰箱试图实现经济独立的策略？真相会随着时间流逝慢慢浮出水面。   转自Freebuf，原文链接：https://www.freebuf.com/news/396741.html 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局(CISA)本周四发布了关键基础设施企业如何向政府报告网络攻击的规定草案。 新规基于拜登2022年3月15日签署的美国《关键基础设施网络事件报告法案》(简称CIRCIA)。这是美国联邦政府首次提出一套跨关键基础设施部门的全面网络安全规则。CISA正在就规则草案征求公众意见，为期60天。 CISA估计，未来11年该规定的合规成本将达到26亿美元，即每年约2.3亿美元，其中行业成本为14亿美元，联邦政府成本为12亿美元。 白宫官员们希望该法案和执行规则能让各行业关键基础设施企业及时提交网络安全事件报告，从而更好地识别攻击模式，确定网络犯罪分子和国家黑客使用的攻击策略，改进防御手段。 “72小时新规”遭企业强烈反对 根据新规，拥有和运营关键基础设施的公司需要在72小时内报告重大网络攻击，并在24小时内报告勒索软件支付情况。 该规定一经发布就遭到大量公司反对，这些公司称早期评估攻击很困难。他们还担心披露太多细节可能会泄露事件响应过程和网络防御的细节，这有利于攻击者。 企业还指出，他们必须遵守各个联邦机构多如牛毛（数十个）报告要求，以及州数据泄露法律。 谁需要遵守新规？ CISA表示，该规定适用于任何拥有或运营美国政府归类为关键基础设施的系统的所有者，例如医疗、能源、制造业和金融服务业。该规定还将适用于那些不运营关键基础设施，但其系统可能对特定行业关键基础设施造成影响的企业，例如服务提供商。 CISA估计，将有超过31.6万个实体受到新规监管，“在未来十年内将总共提交约21万份CIRCIA报告”。 CISA在其长达447页的草案中表示：“来自广泛实体的报告对于提供关键基础设施领域网络环境的充分可见性至关重要，这也是CIRCIA旨在促进的。” 根据美国小企业管理局(SBA)标准，收入和员工人数达标的小型组织将获得豁免。 曾领导CISA的新冠病毒特别工作组两年的网络安全专家JoshCorman对CISA的监管范围划分提出质疑。他指出，新规仅关注大型组织，忽视了小公司在许多行业中发挥的关键作用。例如，美国许多医院和医疗器械公司的规模都低于CIRCIA规定的规模。按照新规，只有100张以上床位的医院才需要遵守新规，这将排除绝大多数医疗机构。 什么是“重大”网络安全事件？ 新规要求企业在72小时内报告“重大”网络攻击，并在24小时内报告勒索软件支付情况。 对于“重大”网络安全事件的界定，CISA认为，涉及非法访问系统并导致停机或运营严重受损的攻击将触发报告要求的门槛。 例如，暂时阻止客户访问公司公共网站的分布式拒绝服务(DDoS)攻击不会被视为重大攻击，成功但被迅速阻止且未造成影响的网络钓鱼攻击也不会被视为重大攻击。然而，针对关键功能/业务造成重大停机的DDoS攻击，或者通过第三方提供商凭证未经授权访问公司系统的情况将符合标准。 但CISA表示，并非所有网络安全事件都会触发报告义务。这包括由第三方服务提供商在服务器配置中出现的一些错误，如果没有造成严重停机，则无需报告。另一个例外是公司明确批准的外部承包商（例如渗透测试人员）对网络防御进行的测试。 最后，CISA鼓励企业报告所有网络安全事件，无论是否达到监管标准。 新规与其他报告要求有何不同？ CISA新规的72小时的报告时限要求远高于美国证券交易委员会(SEC)的“四日新规”。SEC要求公司在确定网络攻击将对其运营产生重大影响后，最迟在四个工作日内进行报告，并且这些报告将通过监管文件公开。 CISA给出的时间窗口窄很多，但与SEC的公开流程不同，CISA将对安全事件报告进行保密处理，并按季度发布汇总的匿名统计数据。 CISA表示正在采取措施使其监管要求与其他要求保持一致，并且在某些情况下允许企业用CIRCIA报告替代其他报告。其他规定在实质上必须相似，CISA必须执行跨机构协议才能做到这一点。 不遵守规定会受到处罚吗？ CISA可以追究行政处罚。如果CISA认为一家公司遭受了网络攻击或支付了赎金却没有报告，它可以发出信息请求，然后在必要时发出传票强制披露。如果一家公司无视传票，CISA还可将此事提交给司法部长进行民事诉讼。 故意向联邦政府提供虚假陈述可能会导致罚款和监禁。CISA表示，他们不会将网络攻击开始时出于善意提供的，此后被证明不准确的信息视为虚假陈述。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/w5sbRM60YpEkEFP0dZq8DA 封面来源于网络，如有侵权请联系删除