Git仓库被黑客洗劫和勒索的事件，似乎微软也未能幸免。微软确认其开源开发平台昨天也被黑客攻击，他们被要求支付款项才能归还他们窃取的数百个源码。黑客擦除了微软多达392个代码存储库，并提出勒索要求。此前，黑客攻击了包含微软在内的大批受害者的Git存储库，删除了所有源代码和最近提交的内容，并留下了支持比特币支付的赎金票据。 勒索信息如下： “要恢复丢失的代码并避免泄漏：将比特币（BTC）发送到我们的比特币地址，并通过电子邮件admin@gitsbackup.com与您联系，并附上您的Git登录信息和付款证明，” “如果您不确定我们是否有您的数据，请联系我们，我们会向您发送证明。您的代码已下载并备份到我们的服务器上，“ “如果我们在未来10天内未收到您的付款，我们会将您的代码公开或以其他方式使用。” GitLab安全总监Kathy Wang发表声明回应网络攻击： “我们已确定受影响的用户帐户，并已通知所有这些用户。根据我们的调查结果，我们有充分证据表明受损帐户的帐户密码以明文形式存储在相关存储库的部署中。“ Atlassian的安全研究员杰里米·加洛韦（Jeremy Galloway）已经独立证实，大量用户受到了这种黑客行为的影响。 GitHub建议启用双因素身份验证，为帐户添加额外的安全层。   （稿源：cnBeta，封面源自网络。）  

ZDNet 网站报导，安全专家一次性接管了 29 个僵尸网络，原理十分简单，利用了运营商技术“太菜”的方法。 在采访中，安全专家 Subby 介绍了他接管的这 29 个僵尸网络，他指出其实这些僵尸网络都比较小，最初的机器人数量显示总计将近 40 000，但在删除重复数据后，实际数量仅为 25 000，这样的数据对于一个单独的 IoT 僵尸网络来说都是很小的，更不用说是 29 个的总和了。 同时，因为机器少，所以输出流量也相当低，Subby 说：“我能够获得一个可靠的网络流量图，该图表由所有僵尸网络产生的流量组合而来，它的速度低于 300 gbit/ s” 谈到为什么能一次性轻易黑掉 29 个僵尸网络，Subby 解释一些僵尸网络运营商经常使用比较弱的凭证来保护其 C&C 服务器后端。 Subby 使用了一个用户名词典和一个常用密码列表对这些僵尸网络的 C&C 基础设施进行暴力破解，收获非常多。这其中，有一些设备使用了非常弱的用户与密码组合，如`root:root`、`admin:admin`和`oof:oof`。 为什么会发生这种情况？Subby 解释：“很大一部分僵尸网络运营商只是简单地关注在社区中传播的教程，或者是在 YouTube 上学习以建立他们的僵尸网络”，他说：“在对着这些教程按部就班的过程中，他们不会更改默认凭据。而且就算他们更改了凭据，通常密码也很弱，因此容易受到暴力破解的影响。”   （稿源：开源中国，封面源自网络。）

数百名开发人员的 Git 仓库被黑客删除，取而代之的是赎金要求。 攻击于5月3日开始，包括 GitHub、Bitbucket 和 GitLab在内的代码托管平台都受到了影响。 目前已知的情况是，黑客从受害者的 Git 仓库中删除了所有源代码和最近提交的 Repo，只留下了 0.1 比特币（约 ¥3850）的赎金票据。 黑客声称所有源码都已经下载并存储在他们的一台服务器上，并且给受害者十天时间支付赎金，否则，他们会公开代码。 想要恢复丢失的代码并避免泄露：请将 0.1 比特币（BTC）发送至我们的比特币地址 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA，并将您的 Git 登录信息和付款证明发送至 admin@gitsbackup.com。如果您不确定我们是否有您的数据，请与我们联系，我们将向您发送证明，您的代码已下载并备份在我们的服务器上。如果我们在接下来的 10 天内没有收到付款，我们将公开代码或以其他方式使用。 在 GitHub 上搜索可发现已有 391 个仓库受影响，这些仓库的代码和提交信息均被一个名为 “gitbackup” 的账号删除。 尽管如此，BitcoinAbuse 平台显示，该比特币地址目前还未收到赎金。 一名用户指出 GitHub 在发现攻击后暂停帐户并进行调查：“GitHub 昨晚在他们调查时暂停了我的帐户，希望今天能听到他们的消息，我可能很幸运。” 据 ZDNet 的报道，好消息是，在深入挖掘受害者的案例后，StackExchange 安全论坛的成员发现黑客实际上没有删除，仅仅是改变了 Git 提交标头，这意味着在某些情况下可以恢复代码提交。 此页面提供了有关如何恢复损坏的 Git 仓库的说明。 最新消息，GitLab 的安全总监 Kathy Wang 告诉 BleepingComputer： 我们根据 Stefan Gabos 昨天提交的赎金票据确定了消息来源，并立即开始调查此问题。我们已确定受影响的用户帐户，并且已通知所有这些用户。根据调查结果，我们有充分证据表明，受损帐户的帐户密码以明文形式存储在相关存储库的部署中。我们强烈建议使用密码管理工具以更安全的方式存储密码，并尽可能启用双因素身份验证，这两种方法都可以防止出现此问题。 目前，平台和用户都在努力解决问题，此处正在持续讨论可能的解决方案。   （稿源：开源中国，封面源自网络。）

援引外媒Motherboard报道，一名黑客成功入侵了两款GPS定位追踪应用，从而允许让他监控数万辆汽车的位置，甚至能够关闭部分汽车的引擎。这名叫做L&M的黑客成功入侵了7000多个iTrack账号以及超过20,000个ProTrack账户，这两款应用被用于监控和管理车队的。该黑客可以跟踪南非，摩洛哥，印度和菲律宾等少数国家的车辆。 根据部分GPS定位追踪设备厂商的设定，如果车辆停靠或者车速低于每小时12英里就可以进行远程关闭汽车引擎，而黑客在成功入侵之后可以操控擅自关闭这些汽车引擎。通过对ProTrack和iTrack的Android应用程序进行逆向工程，L&M表示所有客户在注册时都会获得默认密码123456。 随后他使用应用的API强行调取了数百万用户名称，然后使用定制的脚本使用这些用户名和默认秘密进行登陆。这允许他控制了数万个使用默认密码的账号，并提取了相关信息。 根据L&M提交给Motherboard的用户数据样本来看，黑客从ProTrack和iTrack客户那里搜集了大量信息，包括他们所使用的GPS跟踪设备的名称、型号、设备的唯一ID号（技术上称为IMEI号码）;用户名，真实姓名，电话号码，电子邮件地址和物理地址。 L&M表示他的攻击目标是公司，而不是客户。正是这些公司的疏忽导致客户存在安全风险，它们只是想要牟利，而并不想要保护他们的客户。L&M表示：“我绝对可以在全球范围内造成大规模的交通事故。我已经控制了上万辆汽车，只要我点击我就可以关闭他们的汽车引擎。”但是L&M表示从未关闭过汽车引擎，因为他认为这样太危险了。 虽然黑客没有证明他能够关闭汽车引擎，但是Concox（ProTrack GPS和iTrack的GPS设备制造商之一）的发言人向Motherboard确认如果车辆低于每小时20公里（大约每小时12英里），可以远程关闭汽车引擎。根据黑客提供的截图，这些应用程序具有“停止引擎”的功能。   （稿源：cnBeta，封面源自网络。）

在深入调查后卡巴斯基表示，华硕并非是影锤（ShadowHammer）攻击行动的唯一受害者，至少还有6家其他组织被攻击者渗透。除了华硕之外，卡巴斯基表示还有来自泰国的游戏发行商Electronics Extreme、网页&IT基础服务公司Innovative Extremist、韩国游戏公司Zepetto，另外还有来自韩国的一家视频游戏开发商、一家综合控股公司和一家制药公司。 影锤（ShadowHammer）攻击行动在最初是在华硕的升级服务中发现的新型供应链攻击方式。华硕电脑一般都默认预装了华硕的Live Update Utility软件，用于更新华硕电脑专用的驱动、软件、BIOS和补丁等，用户在使用该软件更新时可能会安装植入后门程序的软件更新包。黑客疑似入侵控制了华硕的更新服务，篡改使用合法证书签署的安装包，在官方给用户推送的升级软件包中加入了恶意代码。 在随后的深入调查中卡巴斯基的安全专家找到了很多采用类似算法的攻击特征，以及使用有效和合法证书签署的其他恶意程序样本，最终表明华硕并非唯一一家受到影锤（ShadowHammer）攻击，渗透IT基础设施的公司。专家发现了类似于华硕的恶意攻击样本，使用类似的算法来计算API函数的哈希值，并且在所有恶意样本中广泛使用IPHLPAPI.dll文件。 除了华硕之外，卡巴斯基还发现了来自其他三家亚洲游戏公司也是本次攻击的受害者，包括 ●  Electronics Extreme：僵尸生存游戏《感染：幸存者故事》（Infestation: Survivor Stories）的开发商 ●  Innovative Extremist：一家提供Web和IT基础服务的公司，但同时也从事游戏领域的开发 ●  Zepetto：开发视频游戏《特战先锋》（Point Blank）的韩国游戏公司 除了上述三家游戏公司之外，卡巴斯基还表示发现了三家被成功渗透的韩国企业，包括一家视频游戏开发商、一家综合控股公司和一家制药公司。目前卡巴斯基的研究人员仍在警告他们，他们也是ShadowHammer行动背后黑客组织发起的供应链攻击的受害者。 据悉影锤（ShadowHammer）攻击行动分为两个阶段： 第一个阶段是无差别的大规模攻击，黑客针对所有的华硕用户推送恶意升级包，用户安装恶意升级包后都会启动黑客植入的恶意代码，等待进入第二个阶段。 第二个阶段是针对性的定向攻击，只针对数百个目标用户，恶意代码会获取用户机器的MAC地址与数百个MAC地址比对，一旦匹配成功就会连接黑客的服务器激活更多的恶意代码。   在成功入侵受害者系统之后，用作恶意软件删除程序的木马化游戏将首先检查是否有多个流量/处理器监视工具正在运行，或者系统语言是否设置为简体中文或俄语。如果检测到上述任何一项为真，那么后门将会自动停止执行。 如果成功通过了系统审查阶段，那么 恶意软件将开始收集系统信息（网络适配器MAC地址，系统用户名，系统主机名和IP地址，Windows版本，CPU架构，当前主机FQDNm，域名，当前可执行文件名，驱动器C ：卷名称和序列号，屏幕分辨率和系统默认语言ID） 在下一个感染阶段，所有信息都通过HTTP通过POST请求发送到C＆C服务器，然后后门将发送GET请求以接收命令。 发现了以下命令： DownUrlFile  – 将URL数据下载到文件 DownRunUrlFile  – 将URL数据下载到文件并执行它 RunUrlBinInMem  – 下载URL数据并作为shellcode运行 UnInstall  – 设置注册表标志以防止恶意软件启动 UnInstall命令将注册表值HKCU \ SOFTWARE \ Microsoft \ Windows \ {0753-6681-BD59-8819}设置为1，这可防止恶意软件再次与C2联系。没有文件从磁盘中删除，文件应该可以通过取证分析发现。   （稿源：cnBeta，封面源自网络。）

根据CheckPoint Research的一份新报告，俄罗斯黑客最近通过向官员发送伪装成美国国务院官方文件的恶意附件，攻击了欧洲的一些大使馆。黑客攻击的目标是尼泊尔、圭亚那、肯尼亚、意大利、利比里亚、百慕大和黎巴嫩等国的欧洲大使馆。 他们通常通过电子邮件向官员们发送带有恶意宏的微软Excel表格，这些宏看上去似乎来自美国国务院。一旦被打开，黑客就可以通过恶意软件Teamviewer来完全控制被感染的电脑。 很难说这场运动背后是否有地缘政治动机，因为它不是针对某个特定地区，受害者来自世界各地。政府财政官员也受到这些攻击，CheckPoint Research指出，黑客对这些受害者特别感兴趣的，他们似乎都是从几个税务部门精心挑选出来的政府官员。 黑客看起来非常老练，精心策划了攻击，使用针对受害者的利益量身定制的诱饵文件，并针对特定的政府官员。 虽然黑客是俄国人，但这些袭击不太可能是由俄罗斯国家赞助，CheckPoint Research认为他们发动攻击应该是出于经济动机。   （稿源：cnBeta，封面源自网络。）

2017年，黑客组织Shadow Brokers对外宣称他们已经成功入侵了美国国家安全局（NSA）下属的黑客组织Equation Group，下载了后者大量的攻击工具并在网上发起拍卖。而现在又有黑客发布了类似的黑客工具，不过这次来自于伊朗精英网络间谍部队之一，在业内被称之为APT34，Oilrig或HelixKitten。 尽管本次发布的黑客工具并没有2017年NSA泄露的黑客工具那么复杂，但它们依然是非常危险的。这些黑客工具自今年3月中旬开始在网络上发布，以Lab Dookhtegan这个假名在Telegram频道上进行出售。 除了黑客工具之外，Dookhtegan还发布了一些似乎是来自APT34组织的黑客受害者的数据，这些数据主要是通过网络钓鱼页面收集的用户名和密码组合。 在3月中旬的时候，外媒ZDNet已经报道过这些黑客攻击以及受害者数据。在推特私信中，一位推特用户分享了一些在Telegram上发现的相同文件，因此有理由相信这个推特用户和Telegram上的 Lab Dookhtegan是同一个人。 在推特私信交流中，这位泄露者生成参与了该组织的 DNSpionage 活动，但泄露者极有可能是外国情报机构的成员，试图隐藏他们的真实身份，同时给予更加相信伊朗的黑客工具和操作的真实性。 一些网络安全专家已经确认了这些工具的真实性。 Alphabet的网络安全部门Chronicle今天早些时候向ZDNet证实了这一点。在今天发布的Telegram频道中，黑客共泄露了6个黑客工具的源代码，此外还有部分来自活跃后端面板的内容以及收集的受害者数据。 这6个黑客工具分别为： –  Glimpse（基于PowerShell的的新版木马，Palo Alto Networks命名为BondUpdater） –  PoisonFrog（旧版BondUpdater） –  HyperShell（称之为TwoFace的Palo Alto Networks网络外壳） –  HighShell（另一个Web shell） –  Fox Panel（钓鱼工具包） –  Webmask（DNS隧道，DNSpionage背后的主要工具） 根据Chronicle报道，Dookhtegan总共泄露了66名受害者的数据，这些受害者主要来自中东国家，还有非洲，东亚和欧洲。数据来自两个政府机构，也来自私营公司。 Telegram频道上指定的两家最大公司是阿提哈德航空公司和阿联酋国家石油公司。   （稿源：cnBeta，封面源自网络。）

由于厄瓜多尔现任总统莫雷诺撤回了外交庇护，维基解密创始人朱利安·阿桑奇（Julian Assange）藏身厄瓜多尔驻英大使馆将近7年之后被抓。在接受法新社采访的时候， 厄瓜多资讯与通讯科技部副部长芮尔（Patricio Real）表示在阿桑奇遭到逮捕之后，已经受到了大规模针对该国的网络攻击。 报道中称在撤销对维基解密（WikiLeaks）创办人阿桑奇的政治庇护以来，该国的政府和机构网站遭到了4000万次的网络攻击。芮尔表示这些攻击始于4月11日，不仅来自厄瓜多尔国内，而且还来自于美国、巴西、荷兰、德国、罗马尼亚、法国、奥地利及英国地区。 厄瓜多尔电信部电子政务部副部长哈维尔·贾拉（Javier Jara）补充道，这些网络攻击基本上都是容量耗尽攻击（volumetric attack），企图耗尽转发或链接容量。目前厄瓜多尔的外交部，中央银行，总统办公室，内部收入服务以及一些部委和大学均遭到了攻击，导致访问非常困难，但是没有发生窃取或者破坏数据的行为。 目前，阿桑奇正被安置在伦敦的贝尔马什监狱。美国已经要求将他引渡到美国，以面临入侵政府电脑等多项指控。而阿桑奇的支持者认为，引渡回美国只是为了快速安加罪名的借口。   （稿源：cnBeta，封面源自网络。）

外媒 ZDNet 二月报道称，Gnosticplayers 窃取了来自 44 家企业的用户记录。上周，臭名昭著的黑客又发布了第五轮数据，目前放出的数据总量已超 9.32 亿。自 2 月中旬以来，黑客一直在黑市上兜售这部分数据，此前已有 500px、UnderArmor、ShareThis、GfyCat、MyHeritage 等企业遭灾。 （题图来自：ZDNet） 数据量方面，首轮为 6.2 亿条，第二轮为 1.27 亿、第三轮为 9300 万、第四轮为 2650 万。不过上周的时候，黑客向外媒爆料称，它计划发布涉及 6550 万用户的第五轮数据。 黑客声称这批数据来自六家企业，分别是游戏平台 Mindjolt、数字商城 Wanelo、电子邀请和 RSVP 平台 Evite、韩国旅游公司 Yanolja，女性时装店 Moda Operandi、以及苹果维修中心 iCracked 。 此前，ZDnet 曾与特定企业取得了联系，证实有 38 位受害企业承认其遭受了黑客攻击。所以 Gnosticplayers 公布的第五批数据，极有可能也是真实的。 上个月，Dream Market 管理员宣布了将于 4 月 30 日关闭市场的决定。但在致 ZDNet 的邮件中，黑客表示无论市场关闭与否，它都将以 0.8463 比特币（约 4350 美元）的价格兜售这批数据。   （稿源：cnBeta，封面源自网络。）   相关阅读： 最大暗网市场 Dream Market 下月底将关闭 疑因遭 DDoS 攻击 黑客在暗网上出售第四批数据 涉及 6 个网站 2600 万新账户

微软已经开始通知一些Outlook.com用户，黑客能够在今年早些时候访问其帐户。公司发现支持代理的凭据因其网络邮件服务而受到损害，允许在2019年1月1日至3月28日期间未经授权访问某些帐户。微软称黑客可能已经查看了电子邮件账户，包括文件夹名称和主题行，但不包括电子邮件或附件的内容。 目前尚不清楚有多少用户受到了黑客行为的影响，或者是谁参与了Outlook.com电子邮件帐户的访问。在此次入侵事件中，黑客无法窃取登录详细信息或其他个人信息，但出于谨慎，微软建议受影响的用户重置密码。 “微软对此问题造成的任何不便表示遗憾，”微软表示， “请放心，微软非常重视数据保护，并让其内部安全和隐私团队参与调查和解决问题，以及进一步强化系统和流程以防止此类事件再次发生。” 这个安全事件发生在一位前安全研究员承认侵入微软和任天堂服务器的几周之后。 2017年1月，微软的Windows开发服务器遭到了数周的破坏，允许整个欧洲的黑客访问Windows的预发布版本。   （稿源：cnBeta，封面源自网络。）