远程访问木马（RAT）的防御者不会立即辨别这是来自APT黑客的恶意软件。同样，网络服务（例如电子邮件、Microsoft Autodiscover、SMB、LDAP和SQL）的恶意攻击也是如此。在2020年，APT黑客组织Pawn Storm使用非复杂的攻击方法。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1434/         消息来源：trendmicro，封面来自网络，译者：江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，当地时间周六，特朗普总统在Twitter上回应了针对美国政府部门、机构和私营公司的大规模网络攻击，其称“假新闻媒体(Fake News Media)”夸大了这一网络攻击的程度。此前，特朗普一直对此次攻击保持沉默。 网络安全专家、网络官员和政策制定者一致认为，此次黑客攻击是俄罗斯网络运营商Cozy Bear的一个部门所为，据信该部门得到了俄罗斯总统普京的情报部门的支持。 人们普遍担心，它们仍存在于美国政府和企业的计算机系统中而没有被发现。 据悉，这可能是美国历史上影响最大的黑客攻击事件，它已经促使两党议员呼吁做出坚决回应。 然而特朗普拒绝承认其自己的情报和国家安全专家的这一说法。“假新闻媒体的网络攻击远比实际情况严重。我得到了全面通报，一切都在良好的控制之下。” 在国家安全这个紧急问题上，特朗普和他的国务卿之间的分歧正在不断扩大。蓬佩奥在未来几天将要面临一个选择–继续讲述黑客攻击的真相并开始承认选举的现实。 在特朗普的国家安全官员在收集有关乌兰过攻击证据的同时，其却花费越来越多的时间来跟包括律师Sidney Powell在内的盟友讨论阴谋论。这位现总统的推文就是他广泛捍卫俄罗斯的一种延续。 特朗普在执政期间一直为俄罗斯辩护，包括其干预美国2016年大选以及其付钱给塔利班杀害驻阿富汗美军等。 另外，他还在继续传播虚假的选举声明，即在没有证据的情况下暗示黑客影响了2020年总统大选的结果。 美国网络安全和基础设施安全局表示，此次黑客袭击对联邦政府、州、地方、部落和领土政府以及关键基础设施实体和其他私营部门组织都构成了严重风险。 当选总统拜登则于当地时间周四表示，此次黑客袭击令人高度关注，另外他还承诺要让那些应对此次袭击负责的人付出“巨大代价”。 微软总裁布拉德·史密斯也对此发表了意见，他认为就相当于对美国及其政府和包括安全公司在内的其他关键机构发起了网络攻击。 据悉，黑客攻击的对象了包括了美国防部、国务院、国土安全部、财政部、商务部、能源部、国家核安全局、美国家卫生研究院及多家跨国公司。         （消息及封面来源：cnBeta）

网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击，该攻击破坏了机构的数字签名工具包，并在系统上安装了后门。 网络安全公司ESET在本月初发现了这种“ SignSight”攻击，其中涉及修改CA网站（“ ca.gov.vn”）上托管的软件安装程序，插入名为PhantomNet或Smanager的间谍软件工具。 根据ESET的遥测，该网络攻击活动发生在2020年7月23日至8月16日，涉及的两个安装程序：“ gca01-client-v2-x32-8.3.msi”和“ gca01-client-v2-x64-8.3” .msi”（适用于32位和64位Windows系统），已被篡改并安装后门。 在将攻击报告给VGCA之后，该机构确认“他们早已知道此类网络攻击，并通知了下载该木马软件的用户。” ESET的Matthieu Faou说：“对于APT黑客组织来说，认证机构网站的妥协是一个很好的机会，因为访问者对负责签名的国家组织高度信任。” 越南政府密码委员会授权的数字签名工具是电子身份验证计划的一部分，政府部门和私人公司使用该数字签名工具通过存储数字签名的USB令牌（也称为PKI令牌）对文档进行数字签名，通过上述驱动程序进行操作。 用户感染木马病毒的唯一方法是在手动下载并执行了官方网站上托管的受感染软件。病毒软件将启动GCA程序以掩盖该漏洞，伪装成名为“ eToken.exe”的看似无害的文件的PhantomNet后门。后门程序（最近一次编译于4月26日进行）负责收集系统信息，并通过从硬编码的命令和控制服务器（例如“ vgca.homeunix [.] org”和“ office365.blogdns”）检索的插件来部署其他恶意功能。 [.] com”），模仿相关软件的名称。 ESET表示，除越南外，菲律宾也存在受害者，但黑客的交付机制和最终目标仍然未知，对交付后的相关信息也知足甚少。 该事件强有力地说明了为什么供应链攻击正日益成为网络间谍组织中常见的攻击媒介，因为它使黑客可隐秘地同时在多台计算机上部署恶意软件。 ESET在11月披露了在韩国进行的Lazarus攻击活动，该活动使用合法的安全软件和被盗的数字证书在目标系统上分发远程管理工具（RAT）。 在上周，一个被称为Able Desktop的聊天软件被蒙古的430个府机构使用，提供HyperBro后门程序：Korplug RAT和名为Tmanger的木马。 本周发现的针对SolarWinds Orion软件的供应链攻击破坏了美国几家主要的政府机构，包括国土安全部、商务部、财政部和州政府。 Faou总结说：“恶意代码通常隐藏在许多正常代码中，因此供应链攻击通常十分隐蔽且很难被发现。”         消息及封面来源：The Hacker News ；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

微软总裁布拉德·史密斯(Brad Smith)近日警告说，SolarWinds 的 IT 软件 Orion 产生的大范围黑客攻击事件“仍在发酵”，表明这次攻击的范围、复杂程度和影响情况都是非常深远的。该漏洞主要针对美国政府机构，因此不少人猜测是有俄罗斯政府支持黑客组织实施的。 史密斯将本次黑客攻击定性为“清算的时刻”（a moment of reckoning），并阐述了微软认为这次黑客攻击的规模和危险性。史密斯认为，它 “代表了一种鲁莽的行为，给美国和世界造成了严重的技术漏洞”。 他认为这不仅仅只是对特定目标的攻击，而是对世界关键基础设施的信任和可靠性的攻击，以推动一个国家情报机构的发展。虽然帖子没有明确指责俄罗斯，但暗示的意思非常明显。史密斯称，“未来几周将提供越来越多的，我们相信关于最近这些攻击的来源的无可争议的证据”。 为了说明本次攻击的影响情况，史密斯分享了一张地图，使用 Microsoft Defender 反病毒软件中获取的遥测数据显示已经安装了带有恶意软件的 Orion 版本的设备 。 据史密斯透露，微软本周还一直在努力通知 40 多个客户，攻击者更精确地瞄准了这些客户，并通过额外和复杂的措施进行破坏。这些客户中约有 80% 位于美国，但微软还确认了加拿大、墨西哥、比利时、西班牙、英国、以色列和阿联酋的受害者。史密斯说：“可以肯定的是，受害者的数量和地点会不断增加”。 对此次黑客事件的调查还在进行中。联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和国家情报总监办公室(ODNI)周三发表联合声明称，他们正在协调 “整个政府对这一重大网络事件的反应”。而史密斯警告说，”我们都应该为公共部门和其他企业和组织中更多受害者做好准备”。       （消息及封面来源：cnBeta）

随着5G网络的逐渐推广，许多潜在缺陷可被黑客利用以进行一系列网络攻击活动，包括使用户无法访问网络并拦截数据的DoS攻击等。 这些发现成为了伦敦网络安全公司Positive Technologies于6月发布的“ 2020年LTE和5G网络漏洞报告”中的“ 5G独立核心安全研究”的基础素材。 该公司表示：“网络安全的关键要素包括设备的正确配置以及网络要素的认证和授权。在缺少这些元素的情况下，黑客便很容易利用PFCP中的漏洞进行网络攻击，并在用户不知情的情况下利用用户身份进行网络犯罪。” 5G的安全优势 5G的主要安全优势之一是可防止被监视和加密国际移动用户身份（IMSI）号码，IMSI是SIM卡附带的唯一标识符，用于识别蜂窝网络的用户。 5G核心（5GC）还使用传输控制协议（TCP）代替流控制传输协议（SCTP）来更新IT协议栈，HTTP / 2替代了Diameter协议以实现应用层安全，用于网络功能之间的加密通信。 5G移动网络根据4G演进核心（EPC）技术以独立或非独立模式进行部署，该框架由多达九个网络功能（NF）组成，负责注册用户、管理会话和存储用户数据，并通过基站（gNB）使用户（UE或用户设备）连接到Internet。 研究人员认为，这一系列技术潜在地为用户和运营商网络的攻击打开了大门，使黑客得以进行DoS攻击。 DoS和MitM攻击 系统体系结构的一个问题是通过分组转发控制协议（PFCP）以专用于会话管理的接口（会话管理功能或SMF ）。 黑客可能会选择删除会话或修改PFCP数据包，导致互联网访问中断（CVSS得分6.1）甚至拦截网络流量（CVSS得分8.3）。 安全人员还发现管理网络存储库功能（NRF）的部分5G标准存在问题，该功能允许在控制平面中注册NF，并在存储库中添加现有网络功能，通过控制下的NF访问用户数据（CVSS评分8.2）。通过删除关键组件的相应NF配置文件，滥用NRF中缺少授权的权限，从而导致用户的服务损失。 暗中监视用户的位置 用户身份验证漏洞可公开分配给每个订阅永久标识符（SUPI），并通过欺骗基站泄漏的身份验证信息为最终用户提供服务。 另外，管理用户配置文件数据的用户数据管理（UDM）模块中的设计问题可以允许具有“访问相关接口的对手直接连接到UDM或通过模拟网络服务提取包括位置数据（CVSS评分7.4）的必要信息。” 研究人员说：“访问此类数据将严重危害安全性：它使黑客可在用户不知情的情况下监视用户。” 黑客还可以使用用户标识信息模拟隐形会话，从而模拟负责用户注册（CVSS评分8.2）的计费访问和移动性管理功能（AMF）模块。 评估、监测和保护的需求 毫无疑问，5G在安全方面取得了一定进步，但随着5G网络用户的数量持续增长，相关审查也变得日益重要。 研究人员总结：“操作员在设备配置中的失误对5G安全性影响深远，设备供应商负责所有架构网络保护功能的技术实施，因此其地位十分重要。为防止黑客攻击，运营商必须采取及时的保护措施，如正确配置设备、使用防火墙并进行安全监视等”       消息及封面来源：The Hacker News ；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

今天路透社报道称，微软在被黑客入侵之后，其资产被操纵从而参与了针对Solarwinds的攻击，有超过1.8万家公司和政府机构被感染了一个后门，这个后门将允许黑客（很可能是来自俄罗斯的黑客）自由访问他们的网络。 微软表示，他们已经在公司内部检测到了SolarWinds软件的恶意版本，但同时也表示，到目前为止，其调查没有显示出黑客利用微软系统攻击客户的证据。 官方声明称：“和其他SolarWinds客户一样，我们一直在积极寻找这个行为者的特征，并可以确认我们在环境中检测到了恶意的SolarWinds二进制文件，我们现在已经对其进行了隔离和删除，但没有发现访问生产服务或客户数据的证据。我们的调查正在进行中，重申绝对没有发现任何迹象表明我们的系统被用来攻击他人。” 微软一直在参与开发针对恶意软件Sunburst的专杀工具，但FireEye警告说，黑客可能已经利用该恶意软件在网络上植入效力更持久的恶意软件，这可能更难检测和消除。         （消息来源：cnBeta；封面来自网络）

据路透社报道，Facebook公司将让其在英国的所有用户接受加州的用户协议，使他们脱离目前与Facebook爱尔兰部门的关系，并摆脱欧洲隐私法的影响。这一变化在明年生效，此前谷歌在2月份也在此宣布了类似的举措。对于这些公司和其他欧洲总部在都柏林的公司来说，英国脱欧将改变其与仍在欧盟的爱尔兰的法律关系。 最初，知情人士向路透社透露了这一举措。Facebook随后证实了这一点。 “与其他公司一样，Facebook也不得不做出改变以应对英国脱欧，将把英国用户的法律责任和义务从Facebook爱尔兰转移到Facebook公司。”该公司英国部门表示，“Facebook向英国人民提供的隐私控制和服务将不会有任何变化。” Facebook的英国用户仍将受到英国隐私法的约束，目前，英国隐私法目前根据欧盟的《通用数据保护条例》（GDPR）制定。据熟悉该该公司的人士透露，Facebook之所以做出改变，部分原因是欧盟的隐私制度是世界上最严格的制度之一。欧盟的规则给予用户对其相关数据的精细控制权。 此外，2018年通过的美国《澄清境外数据合法使用法案》(CLOUDAct)为英美两国更方便地交换云计算用户的数据设定了途径。隐私倡导者担心，英国可能会转向更宽松的数据隐私制度，尤其是在英国寻求与美国达成贸易协议时，美国提供的保护措施要少得多。一些人还担心，英国Facebook用户可能更容易受到美国情报机构的监控或执法部门的数据请求。 “公司规模越大，持有的个人数据越多，就越有可能受到监视职责或要求将数据交给美国政府，”英国非营利组织Open Rights Group执行董事吉姆-基洛克说。美国法院认为，针对不合理搜查的宪法保护不适用于海外非公民。 英国信息产业监管机构表示，随着英国脱欧的临近，他们已经与Facebook以及保留欧洲总部的公司进行了接触。“我们知道Facebook的计划，并将在新的一年里继续与该公司接触，”信息专员办公室的一位发言人说。 Twitter发言人表示，其英国用户将继续由该公司的都柏林办事处处理。Facebook发言人表示，该公司将在未来6个月内通知用户这一转变，让用户可以选择停止使用这个全球最大的社交网络及其Instagram和WhatsApp服务。 Facebook的决定是在英国正在升级禁止强加密的努力之际做出的，Facebook正着手在其所有产品上实施强加密。英国和欧盟一样，也在其他一些方面向Facebook施压，包括仇恨言论和恐怖主义政策。 美国也可能会在隐私和社交媒体内容方面推行新的法律，联邦和州检察官最近对Facebook和谷歌都发起了反垄断诉讼。不过，科技游说人士预计，美国的科技法规仍将比英国的法规更有利于行业发展。         （消息及封面来源：cnBeta）

据报道，爱尔兰数据保护委员会（DPC）今日对Twitter处以45万欧元（约合54.7万美元）的罚款，原因是Twitter未能按照欧洲数据隐私法规《通用数据保护条例》（GDPR）的规定，及时公布并妥善记录一起数据泄露事件。 分析人士称，这一罚款决定备受关注，因为这是DPC首次依据GDPR做出的跨境罚款决定。爱尔兰DPC是谷歌和苹果等多家大型科技公司在欧盟的监管机构，目前正在调查20多起案件，涉及到Facebook、WhatsApp、谷歌、苹果和LinkedIn等公司。 此次DPC对Twitter的调查始于2019年1月，调查发现，Twitter违反了GDPR第33（1）条和第33（5）条之规定，没有及时向DPC通知违规行为，也没有充分记录违规行为。为此，DPC对Twitter处以45万欧元的行政罚款。 DPC去年1月底曾宣布，正在对Twitter的数据泄露事件发起调查。在此之前，DPC接到Twitter的通知，称发生了数据泄露事件。 GDPR规定，大多数违反个人数据的行为，必须在管制员察觉到违规行为后72小时内，通知给有关监管机构。此外，该规定还要求服务提供商记录涉及哪些数据，以及他们是如何应对安全事件的，以便相关数据主管可以检查其合规性。 而对于本事件，Twitter同时违反了上述两条规定。根据GDPR规定，违反隐私法可能会被处以最高达全球营收4%或2000万欧元的处罚，具体以数额更高者为准。 值得一提的是，受DPC调查的影响，Twitter也从中吸取了教训。今年7月，在遭遇公司历史上最严重的安全破坏事件数日后，Twitter主动向DPC报备该事件。 DPC此时宣布对Twitter的罚款决定，也正值一个关键期，即欧盟稍晚些时候将推出两部新的法规，《数字服务法案》（Digital Services Act）和《数字市场法案》（Digital Markets Act），以急速区域数字化。 上周，法国数据保护机构“国家信息与自由委员会”（CNIL）曾宣布，对谷歌处以1亿欧元（约合1.21亿美元）的罚款，原因是其搜索引擎对Cookie的管理方式不当。此外，CNI还对亚马逊处以3500万欧元的罚款，原因是未经用户同意在他们的电脑上放置了Cookie。         （消息及封面来源：新浪科技）

据报道，澳大利亚公平竞争和消费者委员会（ACCC）本周在澳大利亚联邦法院起诉Facebook及其两家子公司。ACCC认为，被告方在向澳大利亚用户推广Facebook Onavo Protect移动应用时，存在虚假、误导或欺诈行为。 Onvao Protect是一款免费下载的应用，提供VPN服务。ACCC指控称，从2016年2月1日到2017年10月，Facebook及其子公司Facebook以色列有限公司和Onavo公司宣称Onavo Protect应用能确保用户的个人活动数据是私密的、受保护的以及安全的，而除了提供Onavo Protect的产品之外，数据不会被用于任何其他目的。然而，这样的说法误导了澳大利亚用户。 ACCC指控，Onavo Protect会基于Facebook的商业利益，收集、聚合并使用大量的用户个人活动数据，其中包括Onavo Protect用户使用互联网和移动应用的情况，用户的应用访问记录，以及每天使用每个应用的时长。 这些数据被用于支持Facebook的市场研究项目，例如识别未来潜在的收购目标。 ACCC主席罗德•希姆斯（Rod Sims）说：“通过Onavo Protect，Facebook基于自己的商业目的，收集并使用数千名澳大利亚用户非常详细且极具价值的个人活动数据。我们认为，这与Facebook推广这款应用的核心主张，即数据的保护、安全和隐私，完全背道而驰。” 据悉，ACCC在本案中寻求对Facebook的正式通报和经济处罚。       （消息及封面来源：新浪科技）

据报道，本周早些时候苹果更新App Store，里面开始显示App收集的用户数据类型。其中，Facebook收集的信息格外引人关注。App Store标签显示Facebook收集多种用户数据，光是标签长度就有好几页。在过去5年里，苹果与Facebook的冲突越来越严重，因为它们有着不同的业务模式。 苹果是一家硬件公司，靠销售硬件赚钱。最近几年苹果越来越重视隐私，这使得一些公司收集用户数据越来越困难，重视隐私也成为了苹果产品的一大竞争优势。 Facebook不一样，它靠广告赚钱，只有获得用户信息才能帮广告主发送定向广告。Facebook指责苹果大打隐私牌实际是为了追求利润。Facebook还解释称，它的App和网站都有隐私设置，用户可以自己设定隐私选项。 上周，Facebook子公司WhatApp也指责苹果，说隐私标签不利于竞争，因为一些苹果应用预装到iPhone，它们在程序店没有隐私清单或者隐私标签。 到底隐私标签里面有什么信息呢？在App下载页面可以看到App收集的数据，主要分两类，一类是“用来追踪你的数据”，另一类是“与你有关的数据”。 看看Facebook收集的数据，它会用通讯录信息、标识符及其它信息追踪用户，或者帮助其它App、网站发送定向广告；另外它还会收集许多与用户身份有关的信息，比如健康健身信息、采购信息、地理位置信息、联系人信息。 如果点击并查看详细信息，那就更是触目惊心了。页面显示，Facebook会用金融信息、用户内容发送定向广告，并为Facebook自己的分析服务收集敏感信息。 Facebook隐私标签之所以给人留下深刻记忆，可能最重要的还是它的长度，在手机上居然要几屏才能显示完。由此可见，Facebook收集的信息真的很多。         （消息来源：cnBeta；封面来自网络）