一种拥有超过 10.7万个样本的新型恶意软件，已经针对 Android 设备进行了两年多的攻击，它正在窃取短信以获取一次性密码 (OTP) 和其他敏感用户数据，以进行进一步的恶意活动。 移动安全提供商 Zimperium zLabs 的研究人员发现，这种恶意软件被称为“SMS Stealer”，它背后有着庞大的网络犯罪基础设施，通过动态变化的移动应用程序进行传播，这些应用程序再通过 Telegram 消息或合法应用程序的广告进行扩散。 Zimperium 的研究人员 Aazim Bill SE Yaswant、Rajat Goyal、Vishnu Pratapagiri 和 Gianluca Braga 在7 月30日发布的博客文章中表示：“自 2022 年 2 月以来研究人员一直在追踪该窃取程序，到目前为止，该程序已被113 个国家的用户下载，其中印度和俄罗斯位居榜首。” 该活动似乎是组织严密的攻击者出于经济动机而推动的，他们拥有至少 13 个命令和控制 (C2) 服务器以及 2600 个 Telegram 机器人。 这种不断演变的活动十分危险，因为它可以逃避“传统的基于签名的检测方法”，这使得防御者很难发现，“没有复杂设备端上的恶意软件引擎能够检测到zero-day恶意软件”。Zimperium 首席科学家 Nico Chiaraviglio 说。 他说：“该恶意软件能够动态生成并通过多种威胁载体向特定设备用户分发独特的恶意应用程序，该威胁行为者具有很高的复杂性和适应性。” 事实上，研究人员分析的恶意软件样本中，有超过9.9万个是未知的，在公开可用的存储库中也无法找到，这表明在过去的两年半中，这类活动几乎未被记录。此外，通过拦截恶意软件的OTP消息，我们发现攻击者针对的是60多个全球顶级品牌，其中一些品牌拥有数亿用户。 谷歌发言人告诉 Dark Reading：“Android 用户可以通过 Google Play Protect 来自动防御已知版本的恶意软件，该功能在搭载 Google Play 服务的 Android 设备上启用。Google  Play Protect 可以警告用户或阻止已知存在恶意行为的应用程序，即使这些应用程序来自 Play 商店以外的来源。” 多阶段战役 研究人员发现，恶意软件感染并窃取短信及其他数据的过程分为多个阶段，可能想利用所窃取的数据进行进一步的恶意活动。 研究人员在帖子中写道：“这些被盗凭证为进一步欺诈活动提供了跳板，例如在流行服务上创建虚假账户以发起网络钓鱼活动或社会工程攻击。” 当Android 用户被诱骗侧载恶意应用程序，要么通过模仿合法应用商店的欺骗性广告，要么通过使用自动 Telegram 机器人直接与目标用户沟通，并通过社交工程手段引诱他们参与。安装后，恶意应用程序会请求读取短信的权限，根据帖子，这是“Android 上的高风险权限，可广泛访问敏感的个人数据”。 研究人员写道：“尽管合法的应用程序可能需要请求短信权限以实现特定的功能，但这个应用程序的请求可能是未经授权的，目的是窃取受害者的私人短信信息。” 一旦获得权限，恶意软件就会寻找 C2 服务器的地址，然后建立连接以传输要执行的命令和被盗的短信。在第五阶段，也就是最后阶段，攻击者将受害者的设备变成“静默拦截器”，恶意软件会隐藏在其中，并不断监控传入的短信，主要是寻找有价值的 OTP 来进行在线帐户验证。 “迫切需要”加强移动防御 Chiaravigli 指出，虽然窃取短信获取经济利益不是一种新的威胁方式，但攻击者在此次活动中采取的动态和持续性手段是一种“精细而有效的攻击方法”，需要立即做出反应。 事实上，专家表示，移动恶意软件日益泛滥，尤其是那些可以窃取有价值的OTP 的无处不在且隐秘的应用程序，对个人和企业都构成了重大威胁。它们不仅侵犯了用户的隐私，而且还为一系列恶意活动提供了跳板，例如凭证盗窃、金融欺诈和勒索软件等。 证书生命周期管理提供商 Sectigo 的产品高级副总裁 Jason Soroko 指出：“我们过去曾见过短信窃取恶意软件，但是，短信窃取程序能够拦截 OTP、帮助窃取凭证并进一步实现恶意软件渗透，这带来了严重的风险。” 他说，这凸显了组织机构“迫切需要”采用增强的移动安全策略，特别强调应用程序权限的管理和持续的威胁监控，“以保护数字身份和企业完整性”。 SlashNext Email Security+ 现场首席技术官 Stephen Kowski 补充说，新的防御策略应该是多层次的，包括高级行为分析、机器学习和实时威胁情报的组合。他表示：“强大的移动威胁防御解决方案、主动防御策略和持续的安全更新在识别和消除隐藏的恶意软件方面发挥着关键作用。”   消息来源：darkreading，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

DigiCert 警告称，由于域控制验证 （DCV） 的不合规问题，该公司正大规模撤销已经发放的 SSL/TLS 证书，数量超过8万个。 DigiCert 是提供 SSL/TLS 证书的著名证书颁发机构 （CA） 之一，包括域验证 （DV）、组织验证 （OV） 和扩展验证 （EV） 证书。这些证书用于加密用户与网站或应用程序之间的通信，从而提高安全性，防止恶意网络监控和中间人攻击。 为域颁发证书时，证书颁发机构必须首先执行域控制验证 （DCV） 以确认客户拥有该域。用于验证域所有权的方法之一是在证书的 DNS CNAME 记录中添加一个带有随机值的字符串，然后对域执行 DNS 查找以确保随机值匹配。 根据 CABF 基线要求，随机值应由域名分隔，并带有下划线。否则，域与用于验证的子域之间存在冲突的风险。但DigiCert称，最近在一些基于CNAME的验证案例中没有在随机值中包含下划线前缀。 一个已发生5年的错误 DigiCert表示，造成这种错误的根本原因是2019年8月的系统更新，导致删除了某些验证路径中的自动下划线添加，影响了 2019 年 8 月至 2024 年 6 月期间的 83267 个证书。2024 年 6 月 11 日，一个用户体验提升项目通过整合随机值生成过程，修复了这个长达5年都未发现的问题。7 月 29 日，DigiCert 在调查一份关于生成随机值的单独报告时正式披露了这一问题。 目前DigiCert已通知 6807 名受影响的客户，要求他们尽快替换其证书，方法是登录其 DigiCert 帐户，生成证书签名请求 （CSR），并在通过 DCV 后重新颁发证书。需要注意的是，DigiCert 将在 24 小时内（UTC时间 7 月 31 日 19：30 之前）撤销受影响的证书。如果在此之前未完成该过程，则将导致网站或应用程序的连接丢失。 这一事态发展促使美国网络安全和基础设施安全局 （CISA） 发布了一份警报，指出“撤销这些证书可能会导致依赖这些证书进行安全通信的网站、服务和应用程序暂时中断。   转自Freebuf，原文链接：https://www.freebuf.com/news/407484.html 封面来源于网络，如有侵权请联系删除

一种名为 Mandrake 的复杂网络间谍工具在近两年的时间里出现在 Google Play 上可供下载的五款应用中，目标是加拿大、德国、意大利、墨西哥、西班牙、秘鲁和英国的用户。 根据网络安全公司卡巴斯基周一发布的报告，这些应用程序已被安装超过 32,000 次，但未被任何安全工具检测到。 Google Play 中的 Mandrake 应用 Mandrake 之前被描述为“一种极其复杂的 Android 恶意软件”。它是 2020 年由罗马尼亚网络安全公司 Bitdefender 的研究人员发现的，但在此之前已在野外活跃了至少四年。当时，研究人员估计四年期间的受害者人数达“数十万”。 今年 4 月初，卡巴斯基公司的研究人员发现了一个“可疑样本”，他们声称这是 Mandrake 的新版本，它使用了更先进的技术来避免被发现。最新版本的 Mandrake 隐藏在五个 Android 应用程序中，包括一款学习天文学的服务、一款记忆训练应用程序、一款文件共享服务、一款游戏应用程序和一个面向加密爱好者的平台。这些应用程序在 Google Play 商店上架近两年后，于 2024 年 3 月底被下架。 Mandrake 分几个阶段收集设备信息。首先，它收集设备数据，包括已安装应用程序列表、移动网络数据、IP 地址和唯一设备标识符。 卡巴斯基表示，如果基于这些信息，攻击者发现受害者很有趣，他们就会运行恶意软件的主要组件，其中包含高级功能，例如打开设备上的 WiFi、通过远程访问启动屏幕录制以及用户帐户和凭据信息。 恶意软件运营者会避开那些被感染设备无法给他们带来任何利益回报的国家。例如，据 Bitdefender 称，在之前的活动中，Mandrake 避开了低收入国家、非洲国家、前苏联国家和主要讲阿拉伯语的国家。 目前尚不清楚黑客如何使用他们在攻击过程中获得的信息，也不清楚这些行动造成了何种损害。Mandrake 背后的黑客组织尚未确定，但卡巴斯基和 Bitdefender 的报告表明该恶意软件与俄罗斯有关。 卡巴斯基表示，新发现表明，Mandrake 正在“不断进化，改进伪装方法，并绕过新的防御机制”。 研究人员表示，该恶意软件在 Google Play 上多年来一直未被发现，“表明攻击者的资质很高，而且在应用程序发布到市场之前对其进行的限制和检查越来越严格，这导致更复杂的威胁能够渗透到官方应用商店，使它们更难被发现”。 谷歌发言人表示，公司已经意识到这些应用程序的存在，并已推出改进措施以帮助打击反逃避技术。“Google Play Protect 会自动保护 Android 用户免受已知版本的恶意软件攻击，该功能在安装了 Google Play 服务的 Android 设备上默认启用。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序，即使这些应用程序来自Google Play 之外。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5yZglooBYQT1dsK4mMub-w 封面来源于网络，如有侵权请联系删除

安全内参7月29日消息，美国白宫管理和预算办公室（OMB）上周五发布了《联邦风险和授权管理计划（FedRAMP）现代化》备忘录（M-24-15），以应对云市场变化和各机构对多样化任务交付的需求，推动联邦政府加速安全采用云服务。 关注快速缓解、自动化等能力 该备忘录旨在通过提高几大战略目标的关注度，从而改革云安全授权计划。例如，备忘录规定FedRAMP需实现“严格审查”功能，并要求云服务提供商（CSPs）快速缓解任何安全架构中的弱点，以保护联邦机构免受最“突出的威胁”。2023年秋天，管理与预算办公室开始听取针对该备忘录草案的公共意见。 备忘录特别强调，应建立自动化流程，用于输入、使用并重用安全评估和审查，以减少参与者的负担，并加快云解决方案的实施进度。 在接受FedScoop采访时，美国联邦政府副首席信息官Drew Myklegard和总务管理局云战略执行主任Eric Mill一致认为，通过该备忘录，两家机构可以集中精力确保各机构成功实现FedRAMP现代化。 Mill表示：“拥有一个明确的操作框架非常有益。”备忘录中的工作展示了“我们如何以更大的信心、更高的可信度……和更强的执行能力来落实FedRAMP现代化。我认为，这对备忘录的执行，以及美国政府和拜登当局落实FedRAMP主要任务来说，不啻于一个福音。” 配套政策应在半年内发布更新 在备忘录发布后，各机构将有180天的时间发布或更新符合备忘录要求的机构范围政策。该政策必须促进使用符合该计划的安全和其他基于风险的性能要求的云计算产品和服务，这些要求由美国管理与预算办公室、总务管理局和网络安全和基础设施安全局确定。 此外，为了保证程序授权的充分性，机构政策“不得假定特定路径或FedRAMP授权的赞助者是不可接受的”。 除了各机构之外，总务管理局需在180天内更新该计划的“持续监控流程和相关文档”，以体现备忘录的原则；一年内制定出FedRAMP组织计划，以鼓励各机构转向非政府特定的云基础设施；18个月内通过机器可读和自动化手段实现授权和持续监控；24个月内确保治理、风险和合规性以及系统清单工具能够使用开放安全控制评估语言（OSCAL）“摄取和生成”工件。 指南还指出，总务管理局“将探索在各种FedRAMP流程中使用适用的新兴技术”。 FedRAMP需在2025和2026财年第二季度向管理与预算办公室提交年度计划，并由总务管理局管理员批准。年度计划必须详细说明项目活动，例如人员配置计划和实施指南要求的预算信息。 备忘录将推动政府IT现代化转型 联邦首席信息官Clare Martorana在给FedScoop的声明中表示：“FedRAMP现代化是政府范围内数字化转型和IT现代化的催化剂。增强的计划将加速安全云的采用，使我们的技术投资与任务需求对齐，并释放资源用于创新，以更快、更高效地向公众提供数字服务。” 在之前的采访中，Myklegard表示，该备忘录将反映已在计划内生效的实践和改进，例如技术咨询小组。备忘录草案中已经概述过这些实施要求。按照Myklegard的说法，公众对这些要求的反馈“非常好”。 部分反馈要求实现自动化，例如采用OSCAL语言“用于数字授权和在云服务提供商与机构之间交换授权，从而提高处理速度”。OSCAL是由社区参与建立和管理、美国国家标准技术研究院推动的数据模型。 Mill承认，对该计划来说，自动化并不是新要求。各方多年来已经做了很多相关工作，出台了“各种备忘录”。《FedRAMP授权法案》也提出了应如何解决这一问题。 Mill说道：“要实现这一目标，需要多个参与者在一段时间内进行大量工作，并且专注于政府内部的技术领导能力。这就是我们正在实现的事情。”   转自安全内参，原文链接：https://www.secrss.com/articles/68590 封面来源于网络，如有侵权请联系删除

2024年巴黎奥运会是数智化程度最高的一届奥运会，同时也是安全风险最高的奥运会。 根据IDC最新发布的研究报告，巴黎奥运会可能是历史上网络安全风险最高的一届奥运会。网络犯罪、黑客活动和网络间谍活动正在不断升级，这使得这场全球最大的体育盛会成为网络攻击者的主要目标。 运动员都想在奥运会上一战成名，斩获金牌，黑客也是如此。“近年来，针对奥运会的网络犯罪和网络威胁急剧增加。这不仅是体育界的最大盛会，可能也是全球最大的“黑客靶场”。各类人群出于各种原因都会将奥运会作为攻击目标，”IDC欧洲安全服务研究经理Richard Thurston表示。 事实上，巴黎奥运会已经经历了一次网络安全事件。7月19日，CrowdStrike的错误更新导致全球大量企业的微软系统发生故障。巴黎奥运会组织者表示，该事件对奥运会运营也造成了轻微影响，仅限于一些制服和奖牌的交付。 根据网络基础设施提供商思科的数据，2021年东京夏季奥运会期间，新冠疫情导致了4.5亿次网络攻击。而思科预计，针对巴黎奥运会（7月26日至8月11日）和残奥会（8月28日至9月8日）的攻击次数将同比增加八倍。 IDC在奥运会前发布的一份研究报告中指出，“巴黎2024将成为历史上网络干扰最严重的一届奥运会”。IDC进一步将其称为“有史以来数字化分享最多的奥运会”，拥有“最复杂的威胁环境”和“攻击者最易执行攻击的高度便利性”。 这一便利性很大程度上归功于人工智能，因为巴黎奥运是生成是AI时代的首届奥运会。 据悉，生成式AI已被用于针对奥运会的复杂在线抹黑活动。2023年，俄罗斯虚假信息组织Storm-1679制作了一段由好莱坞明星汤姆·克鲁斯的深度伪造视频，名为“奥运陷落”（讽刺2013年的动作惊悚片“奥林匹斯陷落”），在巴黎奥运会前诋毁国际奥委会。 Intel 471的高级情报分析师Ashley Jess警告说，网络犯罪分子还在利用AI进行恶意广告和SEO投毒，以在奥运会前后开展攻击。她指出，有人分享了如何使用ChatGPT创建优化搜索引擎的网站，使恶意网站在搜索结果中排名靠前。这种AI战术还可能用于构建假冒奥运会售票网站，并将这些网站推送到在线搜索结果的顶部。为防止票务欺诈，巴黎奥运会组织者指定了唯一的合法售票网站tickets.paris2024.org。然而，截至6月，法国当局已经识别出338个欺诈性的奥运会售票网站。 除了AI增强的恶意广告和网络钓鱼，黑客主义和网络间谍也都将处于政治目标对奥运会发动进攻。乌克兰和加沙当前的地缘政治冲突可能使2024年夏季奥运会特别容易受到黑客主义攻击。 加拿大网络安全中心（CCCS）在5月发布的一份公告中警告了大型全球体育赛事中的网络间谍风险。该公告指出，由于乌克兰战争导致俄罗斯被禁止参加多个国际体育组织（包括IOC和国际足联），这可能促使俄罗斯支持报复性的网络间谍活动。俄罗斯黑客此前制造了最为严重的奥运网络安全事件，包括里约奥运会WADA美国运动员数据泄露以及平昌冬奥会官网和门票闸机被黑客攻击后瘫痪。   转自安全内参，原文链接：https://www.secrss.com/articles/68613 封面来源于网络，如有侵权请联系删除

近日，乌克兰和俄罗斯之间的网络战大幅升级，乌克兰网络特工针对俄罗斯顶级银行的自动取款机服务发起了大规模网络攻击。此次攻击始于 7 月 23 日上午，严重扰乱了俄罗斯各地的银行业务，导致客户无法提取现金和使用其他金融服务。 7 月 27 日（星期六），网络攻击持续的第五天，俄罗斯几家主要银行的自动取款机服务均已无法使用。客户在尝试使用自动取款机时发现他们的借记卡和信用卡已经被冻结，切断了他们的资金通道。 乌克兰情报部门的一位消息人士在给《基辅邮报》的书面评论中证实了这些细节，称这次攻击 “势头正猛”，是俄罗斯和乌克兰持续冲突中更广泛的网络行动的一部分。 俄罗斯银行遭受网络攻击的范围 网络攻击导致的业务中断致使多家俄罗斯名银行受到影响，其中包括 Dom.RF、VTB Bank、Alfa-Bank、Sberbank、Raiffeisen Bank、RSHB Bank、Rosbank、Gazprombank、Tinkoff Bank 和 iBank 等，客户在使用上述这些银行的自动取款机时均发现了借记卡和信用卡被阻止的情况。此次针对俄罗斯银行的网络攻击还影响了其银行的支付系统和移动应用程序，导致个人银行服务大面积中断，公共交通支付受阻。 一名乌克兰情报人员强调了针对俄罗斯银行的网络攻击的战略意义，指出其目的是破坏俄罗斯的银行业，而银行业在为俄罗斯的军事活动提供资金方面发挥着至关重要的作用。 除银行业外，网络攻击还波及俄罗斯移动和互联网供应商，包括 Beeline、MegaFon、Tele2 和 Rostelecom。在线聊天工具和主要的俄罗斯社交网络也成为攻击目标，这加剧了对数百万俄罗斯公民日常活动的破坏。据报道，乌克兰黑客还入侵了俄罗斯主要银行的数据库，进一步扩大了网络攻击的范围和效果。 此次事件产生的影响 据悉，此次网络攻击事件始于 7 月 23 日（上周二）上午，至今已取得以下成果： 冻结银行支付系统： 攻击导致银行支付系统和移动应用程序瘫痪，使金融交易陷入瘫痪 个人办公中断： 客户的个人银行服务严重中断 公共交通支付终端： 网络攻击禁止了公共交通支付，给日常通勤者带来了不便 移动和互联网供应商服务中断： Beeline、MegaFon、Tele2 和 Rostelecom 都面临服务中断，影响了通信和互联网访问 对在线聊天工具和社交网络的攻击： 流行的在线通信平台和社交网络受到攻击，扰乱了社交互动和信息流 数据库入侵： 乌克兰黑客已进入俄罗斯主要银行的数据库，有可能泄露敏感的金融信息。 这次网络攻击使俄罗斯当局不得不努力减轻损失，恢复受影响服务的正常运行。这次大范围的破坏引发了关于关键金融和通信基础设施在复杂的网络威胁面前的脆弱性的讨论。 此次以金融机构和通信网络为战略目标凸显了现代战争不断变化的性质，在现代战争中，网络能力可以在削弱对手的作战效能方面发挥关键作用。 结语 据乌克兰情报来源显示，此次攻击行动并未结束，后续很可能会产生更具有破坏性的事件。 目前，俄罗斯的银行和服务提供商正在努力从这一前所未有的网络攻击事件中恢复过来，而乌克兰的网络专家很可能将继续致力于破坏对手的金融和通信网络的稳定性。   转自Freebuf，原文链接：https://www.freebuf.com/news/407179.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示，某暗网数据交易平台有人宣称2024年黎巴嫩卫生部数据遭到泄露，该威胁行为者声称拥有55GB的内部数据文件，并将该数据定价为5000美元。 知道创宇暗网雷达监测截图 该威胁行为者声称拥有55GB的内部数据文件，特别提到了SQL文件。根据论坛帖子中包含的样本数据显示，所谓的机密信息似乎是医疗记录和个人身份信息。泄露数据包括：姓名、家庭成员姓名、性别、出生日期、婚姻状况、地址信息等。 黑客于暗网发布的帖子截图 黎巴嫩卫生部是负责管理和监督黎巴嫩公共卫生事务的政府机构，也是政府主管医疗服务部门的最高机构。 黎巴嫩卫生医疗服务系统以私营医院、诊所、药房为主体（90%），国家医疗单位为补充。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

近日，美国国家标准技术研究院（NIST）重新发布了名为Dioptra的AI模型风险测试平台，用于评估AI风险和恶意攻击，尤其是针对AI模型训练数据的“投毒攻击”。该工具专注于对抗性攻击的测试，提供基准测试和红队测试环境。其特点是模块化、开源，适用于政府机构和中小企业。 美国主导的AI安全标准 Dioptra以古希腊天文测量和土地测量工具命名，是一个模块化、开源的基于Web的工具。该工具最初于2022年发布，旨在帮助训练和使用AI模型的公司和个人评估、分析和跟踪AI风险。NIST表示，Dioptra可用于AI模型基准测试和研究，同时提供一个共同平台，在“红队”环境中模拟威胁暴露模型。 NIST在新闻发布会上写道：“测试对抗性攻击对机器学习模型的影响是Dioptra的目标之一。”“这款开源软件提供免费提供下载，可以帮助社区（包括政府机构和中小型企业）进行评估，以验证AI开发者关于其系统（安全）性能的声明。” 近年来，面对以AI为代表的新技术革命，美国希望牢牢巩固其“智慧密集产业”的霸主地位，控制AI技术标准是其重点战略。 事实上，Dioptra是拜登政府颁布的的AI总统行政命令的直接产物，该命令要求NIST协助开展AI系统测试。该行政命令还包括建立AI安全标准，包括要求开发模型的公司（例如谷歌、苹果公司）在公开部署AI模型前通知联邦政府并分享所有安全测试结果。 Dioptra也是NIST最近成立的AI安全研究院的首个重大项目，提出了减轻AI风险的方法，例如防止AI被滥用生成非自愿色情内容。此前，英国AI安全研究院推出了Inspect工具集，同样旨在评估模型能力和整体模型安全。去年11月在英国布莱切利公园举行的英国AI安全峰会上，美国和英国宣布了共同开发先进AI模型测试的持续合作伙伴关系。 AI模型风险测试市场竞争激烈 随着AI技术的广泛应用，各行业对AI模型安全性的需求不断增加。金融、医疗、通信等领域尤其重视AI系统的可靠性和安全性。因此，这些领域的企业和机构积极采用AI模型风险测试工具，以确保其系统能够抵御各种潜在的攻击和风险。 尽管市场上有多种工具可供选择，但每种工具都有其局限性。许多开源工具，如Dioptra和CleverHans，虽然功能强大，但对初学者不够友好，使用门槛较高。而一些定制化程度高的工具，如ZTE的SecML，市场认知度较低，社区支持相对薄弱。此外，AI基准测试的复杂性和“黑箱”模型的不可解释性，增加了风险评估的难度。 以下是全球市场主要AI模型测试工具的对比分析： 国内的代表性AI模型风险评估工具和方案来自网络安全厂商绿盟科技和奇安信： 绿盟AI大模型风险评估工具：旨在帮助企业全面评估AI大模型的安全风险。该工具涵盖了多种商业和开源大模型，并具备迅速适配新兴大模型的能力。它基于专家团队筛选的测试用例库，能够识别内容安全和对抗安全的潜在威胁，并提供风险处理建议。 奇安信AI安全整体应对方案：奇安信发布的国内首个AI安全整体应对方案，虽然不是单一的测试工具，但它提供了包括AI安全框架、解决方案、评估服务和测试工具在内的全面服务，以确保监管与治理及时跟进，筑牢AI安全基石。 AI安全基准测试面临的挑战 目前，对主流AI模型进行安全基准测试仍是极为困难的任务，部分是因为当今最先进的AI模型都是黑盒技术，其基础设施、训练数据和其他关键技术（参数）细节由开发它们的公司保密。 此外，总部位于英国的非营利性AI研究机构Ada Lovelace Institute本月发布的一份报告发现，仅靠评估并不足以确定AI模型在现实世界中的安全性，部分原因是现行政策允许AI供应商自行选择要进行的评估内容。 最后，AI安全测试工具本身也大多存在局限性，例如NIST并不认为Dioptra可以完全消除AI模型的风险。但该机构指出，Dioptra至少可以揭示哪些类型的攻击可能会降低AI系统的性能，并量化这种对性能的影响，从而加强AI系统的安全性和可靠性，为AI技术的安全部署提供强有力的支持，并推动整个行业对AI风险管理和安全防护的重视和发展。 Dioptra在技术上的一个主要限制是，它只适用于可下载到本地运行的AI模型，例如Meta的Llama系列，目前还无法测试API背后的模型（如 OpenAI的GPT-4o）。   转自安全内参，原文链接：https://www.secrss.com/articles/68569 封面来源于网络，如有侵权请联系删除

大半年以来，多个俄罗斯网络单位已经将目标从战略性民用目标转向了士兵的电脑和手机终端，以便在乌克兰前线实现战术性军事目标；俄罗斯情报部门寻求最大限度地整合网络作战与常规作战能力，以更好地支持未来几个月俄罗斯在乌克兰东部发起的新一轮攻势。 安全内参7月26日消息，英国皇家联合军种国防研究所（RUSI）发表了文章《俄罗斯网络战重心转向乌克兰前线》，作者为谷歌云旗下曼迪安特公司网络谍报分析经理Dan Black。该文章认为，俄罗斯对乌克兰的网络作战方法发生了显著变化，攻击目标由民用关基设施转向军事目标，寻求最大限度地整合网络作战能力与常规作战能力。安全内参编译如下。 随着俄罗斯按计划展开主要的夏季攻势，莫斯科在乌克兰的网络作战方法发生了显著变化，而这些变化此前被长期低估。现在正是审视这些变化的最佳时机。 迄今为止，大多数西方分析都集中在俄罗斯发动的第一波次引人注目的网络攻势上，试图剖析攻击方法的优劣，并评估俄罗斯对乌克兰关键基础设施展开新一轮类似性质破坏性攻击的可能性。然而，这些分析的关注点有所偏差，导致西方对俄罗斯网络作战的理解局限于一个维度，认为俄罗斯试图通过广泛破坏计算机网络让乌克兰社会压力不断累积。实际上，这种“打击有价值目标”的策略自俄乌战争的第一年起就不再占主导地位。当时，俄罗斯期望通过短期战争取胜。 现实比想象的更为残酷。俄罗斯情报部门已经调整了他们在网络空间的态势，以应对长期战争的需求。越来越多的证据表明，从2023年乌克兰大反攻前的几个月开始，多个俄罗斯网络单位已经将目标从战略性的民用目标转向了士兵的计算机和移动端点，以便在乌克兰前线实现战术性军事目标。 这种作战重点的转变是全面的。长期以来，俄罗斯军事情报部门总参谋部情报总局（GRU）和国内安全部门联邦安全局（FSB）互相竞争、互不信任。如今，为了提高军事效能，两者统一了之前相互脱节的网络工作，并对一系列作战方法进行了系统性调整。 这只是一种优先级的相对转变，而非对俄罗斯更广泛战略的彻底改革。目前，部分作战活动模式表明俄罗斯仍对乌克兰关键基础设施目标感兴趣。由于这些目标在当下并不具备情报价值，这可能说明俄罗斯正在为未来的破坏行动做准备。然而，显而易见的是，莫斯科已经重新平衡其总体作战概念，将重点放在那些能够为常规部队提供更直接、更具象的战场优势的目标上。 这些调整不仅反映了俄罗斯对乌克兰的野心在缩减，也表明在过去两年冲突升级为消耗战后，俄罗斯改变了对基辅主要力量来源的总体判断。这些变化还表明，经过两年的高强度作战，俄罗斯情报部门已经调整了思维方式，最大限度地整合网络作战能力与常规作战能力，以更好地支持未来几个月俄罗斯在乌克兰东部发起的新一轮攻势。 俄罗斯的战术转变 我们基本可以断定，俄罗斯调整网络战重心，是为了满足对战术相关信号情报日益增长的需求。调整后的网络战工作将主要实现以下目标。 首要目标是渗透乌克兰前线士兵使用的设备。 由于基辅方面非常重视“数据驱动战斗”的理念，智能手机成为确定运动模式和定位乌克兰阵地的重要数据来源。乌军严重依赖免费加密消息应用（EMAs），例如用于安全通信的Signal，因此对这些设备的窃听成为GRU和FSB的首要任务。 对于莫斯科来说，想要大规模收集这些类型的信号并非易事。流行的加密消息应用所使用的密码协议已经经过了严格的公众审查，俄罗斯军情部门很难悄然破解这些协议。前线的手机也不太可能连接到移动网络，否则俄罗斯可以通过入侵电信基础设施或电子战手段可靠地收集地理位置和其他信号。为了填补这一关键的信号收集空白，俄罗斯情报部门必须吸取一些新的作战理念。 第一种方法较为常规，即通过恶意软件全面入侵设备。这些恶意软件通常伪装成乌克兰军队使用的应用程序。这种技术并不新鲜。早在2016年，GRU就篡改了一个乌克兰应用程序，用于定位炮兵单位。但是，随着基辅不断进行软件驱动的军事创新，伪装恶意软件为移动应用的成本大幅上升。为了传递恶意软件，这些行动通常依赖于高度定制的社交工程，重新利用合法的军事通信，并通过Signal和Telegram聊天与目标直接互动以建立关系。 另一种较新的方法则通过常见加密消息应用内置的设备链接功能来窃取消息。一家与俄罗斯军方相关的单位，专注于通过社交工程使乌克兰士兵将由俄罗斯情报控制的加密消息应用实例（包括Signal、Telegram和WhatsApp）链接到他们的账户。类似的FSB行动主要是利用已经链接到乌克兰士兵手机的系统。根据微软的报告，来自FSB主要信号情报单位第16中心的网络操作人员，对窃取包含Signal桌面版消息内的文件特别感兴趣。一旦获得这些文件，他们就可以访问目标的私人Signal对话和附件。 同样，为了获得类似的访问权限，GRU也在通过近距离访问利用俄军在战场上缴获的移动设备和其他系统。这表明，网络操作人员开始通过技术手段使俄军能够独立启动对乌克兰设备的情报收集。 例如，一项Mandiant研究揭示了GRU的特殊技术主要中心（GTsST），即通常所说的APT44或Sandworm，如何为俄罗斯地面部队提供专用基础设施和技术指令，使他们能够从前线俘获的设备中获取Telegram和Signal通信。乌克兰国家安全局（SBU）也同样报告了Sandworm利用俘获的设备作为突破口传送恶意软件“Infamous Chisel”，从而渗透军事网络并从连接的“星链”终端和乌克兰军队使用的专业应用套件中收取数据。 第二大目标是渗透乌克兰军队用于指挥控制、态势感知和其他操作需求的数字系统。 毫无疑问，像Delta和Kropyva这样的数字化战场管理系统一直是乌克兰军队信息和作战优势的关键所在。事实上，莫斯科也认为这些系统非常有效，甚至也在尝试为俄罗斯军队开发精确复制品。与试图伪装成这些应用的恶意软件以入侵端点的行动不同，实现上述目标需要欺骗士兵放弃他们的凭证，从而为俄罗斯军情部门提供秘密视角，混入基辅的通用作战图景。 除了通过专门行动获取乌克兰士兵使用的设备和系统的访问权限，俄罗斯还调整了网络部队的定位，帮助定位乌克兰的军事装备和阵地。SBU警告称，俄罗斯试图控制人口中心的被入侵网络摄像头，以定位乌克兰的防空设施和其他关键基础设施对象，并将目标数据输入其侦察-打击复合体。荷兰军事情报部门也同样警告公众，俄罗斯网络战的整体重心发生了转移，开始强调军事阵地和装备的定位和绘制行动，以便日后实际夺取这些设施。向乌克兰提供援助的国家应该充分考虑这种网络支持的监视活动带来的潜在风险。在欧洲各地不断升级的破坏活动强烈表明，洞悉西方军事供应链目前是俄罗斯情报部门在数据收集方面的优先事项。 值得注意的是，每一条新的作战理念都说明，俄罗斯网络部队与常规部队之间的双向关系不断加深。二者在战争初期的协调工作不断延伸，已经涵盖了战略和战术目标。此外，这些作战理念还说明，在特定行动中，俄罗斯网络部队很可能会向前线靠拢，尝试利用这些移动设备可能提供的短暂战术情报。展望未来，随着战争的继续，我们可以合理预期，二者之间更密切的合作关系将带来进一步的调整和更新的作战理念。 对乌克兰和北约的影响 上述分析对西方决策者的主要启示是，移动设备已经成为俄罗斯在乌克兰网络战中的关键重心。由于俄乌战争前线技术密度高、传感器密布，从士兵设备和连接它们的数字网络收集信号成为重中之重。随着新技术继续塑造战场形态、推动前线的战术创新，这类行动在战争的下一阶段可能会变得更加普遍。 我们需要认识到，俄乌战场的技术环境已经发生了根本性变化。早期关于政府和私营部门支持乌克兰网络防御能力的经验教训不再适用。敏感军事网络和移动设备变得更加模糊，虚拟事件也更加难以响应，准备好提供相应类型安全援助的防御伙伴也更少。尽管乌克兰在防御方面取得了令人印象深刻的成就，但俄罗斯对部队使用方式的调整要求我们重新关注如何才能最好地维持国际社会对乌克兰网络防御的支持。这一点尤其重要，因为其他新兴威胁正越来越多地消耗有限的情报资源和注意力。 同样重要的是，我们必须开始承认，这些间谍行动能够造成严重的次生后果。比如，2023年11月，乌克兰第128山地突击旅遭到致命打击，原因就是俄罗斯入侵了一名士兵的Signal账户。虽然主流观点日益怀疑网络行动能否对俄罗斯带来军事效益，但我们必须认真思考俄罗斯重新调整作战任务会带来哪些影响。鉴于消耗战已成为俄罗斯战略的关键要素，我们还应该思考上述调整对网络在传统军事行动中日益扩展角色意味着什么。 恶意链接设备即使在手机断开连接、被销毁或以其他方式不可用时仍然可以被窃听，这是因为Signal消息不需要通过收件人的手机即可路由到链接设备。因此，即使通信没有到达预期的乌克兰收件人，也能到达俄罗斯操作人员手中。正如一位乌克兰专家所说，如果“一名营级战斗小组的士兵被俘或死亡，他的手机落入敌手，俄罗斯人会在一个月内读取该小组的所有通信”。这些行动可能带来严重的长期影响。 我们还应准备好在乌克兰以外看到俄罗斯应用新的作战理念。如今，Signal和其他加密消息应用已成为敏感通信的标配。这些应用在西方军队、政治家、民间社会团体中得到广泛使用，而这些群体都是俄罗斯情报部门的常见目标。因此，俄罗斯很有可能将为战争开发的战术更广泛地用来获取其他紧急情报。例如，从乌克兰的伙伴那里收集外国政治情报，或者干扰西方即将举行的某场重要选举。历史告诉我们，俄罗斯的技战术很少只用于乌克兰。   转自安全内参，原文链接：https://www.secrss.com/articles/68534 封面来源于网络，如有侵权请联系删除

乌克兰对俄罗斯银行的自动取款机发动了大规模网络攻击，此次网络行动于7月23日开始。 《基辅邮报》报道嘲讽称：“这是克里姆林宫长期渴望的‘进口替代’政策的绝佳时机，即采用木制算盘、纸质储蓄账簿和洞穴壁画进行会计核算。俄罗斯已经承认，在线服务大面积中断是‘出于政治动机的黑客’攻击的结果。乌克兰情报部门告诉我们，攻击仍在继续，远未结束。” 一名乌克兰情报人员告诉《基辅邮报》，此次攻击“势头强劲”。此次黑客攻击是俄罗斯与乌克兰之间更广泛冲突中网络战的一部分。遭到黑客攻击的俄罗斯银行包括 Dom.RF、VTB Bank、Alfa-Bank、Sberbank、Raiffeisen Bank、RSHB Bank、Rosbank、Gazprombank、Tinkoff Bank 和 iBank。 许多银行客户在尝试使用 ATM 时，借记卡和信用卡立即被冻结。攻击包括冻结银行支付系统和移动应用程序、导致个人办公室中断以及无法支付公共交通费用。 乌克兰情报部门的一位消息人士向《基辅邮报》透露：“乌克兰国防部总情报局（HUR）的网络专家连续几天对俄罗斯银行业发动了前所未有的攻击。” 乌克兰发动的网络攻击还破坏了俄罗斯移动和互联网提供商 Beeline、MegaFon、Tele2 和 Rostelecom 的服务。黑客还针对流行的在线通讯工具和俄罗斯主要社交网络发动攻击。《基辅邮报》还称，民族国家黑客获得了主要银行数据库的访问权限。 “我们正在尽一切努力加速这一进程，让莫斯科人回到比特币、股票甚至美元对他们的生活没有影响的时代。毕竟，他们根本无法获得这些东西。”乌克兰国防部总情报局（HUR）的一位消息人士告诉基辅邮报。 俄罗斯银行遭受网络攻击的范围 网络攻击导致的业务中断致使多家俄罗斯名银行受到影响，其中包括 Dom.RF、VTB Bank、Alfa-Bank、Sberbank、Raiffeisen Bank、RSHB Bank、Rosbank、Gazprombank、Tinkoff Bank 和 iBank 等，客户在使用上述这些银行的自动取款机时均发现了借记卡和信用卡被阻止的情况。此次针对俄罗斯银行的网络攻击还影响了其银行的支付系统和移动应用程序，导致个人银行服务大面积中断，公共交通支付受阻。 一名乌克兰情报人员强调了针对俄罗斯银行的网络攻击的战略意义，指出其目的是破坏俄罗斯的银行业，而银行业在为俄罗斯的军事活动提供资金方面发挥着至关重要的作用。 除银行业外，网络攻击还波及俄罗斯移动和互联网供应商，包括 Beeline、MegaFon、Tele2 和 Rostelecom。在线聊天工具和主要的俄罗斯社交网络也成为攻击目标，这加剧了对数百万俄罗斯公民日常活动的破坏。据报道，乌克兰黑客还入侵了俄罗斯主要银行的数据库，进一步扩大了网络攻击的范围和效果。 此次事件产生的影响 据悉，此次网络攻击事件始于 7 月 23 日（上周二）上午，至今已取得以下成果： 冻结银行支付系统： 攻击导致银行支付系统和移动应用程序瘫痪，使金融交易陷入瘫痪 个人办公中断： 客户的个人银行服务严重中断 公共交通支付终端： 网络攻击禁止了公共交通支付，给日常通勤者带来了不便 移动和互联网供应商服务中断： Beeline、MegaFon、Tele2 和 Rostelecom 都面临服务中断，影响了通信和互联网访问 对在线聊天工具和社交网络的攻击： 流行的在线通信平台和社交网络受到攻击，扰乱了社交互动和信息流 数据库入侵： 乌克兰黑客已进入俄罗斯主要银行的数据库，有可能泄露敏感的金融信息。 这次网络攻击使俄罗斯当局不得不努力减轻损失，恢复受影响服务的正常运行。这次大范围的破坏引发了关于关键金融和通信基础设施在复杂的网络威胁面前的脆弱性的讨论。 此次以金融机构和通信网络为战略目标凸显了现代战争不断变化的性质，在现代战争中，网络能力可以在削弱对手的作战效能方面发挥关键作用。 结语 据乌克兰情报来源显示，此次攻击行动并未结束，后续很可能会产生更具有破坏性的事件。 目前，俄罗斯的银行和服务提供商正在努力从这一前所未有的网络攻击事件中恢复过来，而乌克兰的网络专家很可能将继续致力于破坏对手的金融和通信网络的稳定性。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/kukxYi6RIdOLYWcHLgT7nA 封面来源于网络，如有侵权请联系删除