调查疑似俄罗斯黑客入侵美国财政部的当局报告称，该行动远远超出了SolarWinds的范围。据报道，2020年底，国家电信和信息管理局（NTIA）的黑客行为涉及利用许多系统的漏洞。并不像之前怀疑的那样，仅限于SolarWinds网络软件。 据《华尔街日报》报道，在所有黑客攻击的受害者中，有近三分之一的人并没有使用SolarWinds，也与该产品没有任何关系。国土安全部网络安全和基础设施安全局代理局长布兰登·威尔士表示，黑客使用的途径远比最初认为的要多。 “[攻击者]通过各种方式获得了对目标的访问权限，”威尔士在接受采访时告诉《华尔街日报》。”这个对手很有创意，需要弄清楚的是，这场运动不应该被认为是SolarWinds运动。” SolarWinds在全球拥有超过30万客户，其网络软件被美国财富500强客户中的412家使用。据报道，黑客利用SolarWinds技术管理软件规避了微软Office 365的安全认证。 “这肯定是我们追踪到的最复杂的黑客行为者之一，就他们的方法、纪律和他们所拥有的技术范围而言，”微软威胁情报中心经理John Lambert表示。 网络安全和基础设施安全局没有点名涉及的其他系统。但调查人员表示，此次事件表明复杂的黑客行为可以利用认证漏洞在不同的云账户之间移动。据报道，SolarWinds本身的调查人员正在研究微软云是否是攻击的最初起点。 “我们将继续与联邦执法部门和情报机构密切合作，调查这次前所未有的攻击的全部范围。”SolarWinds发言人说。           （消息及封面来源：cnBeta）

据外媒报道，美国和保加利亚当局本周查封了网络勒索软件犯罪组织NetWalker用来发布从受害者那里窃取的数据的暗网网站。而跟此次查封有关的是一名来自加拿大的公民，其被指涉嫌通过传播NetWalker勒索2700多万美元，目前在佛罗里达州法院受到指控。 etWalker是一个以勒索软件为服务的犯罪软件产品，其附属机构租用不断更新的恶意软件代码以换取从受害者那里勒索的资金的一部分。NetWalker背后的犯罪分子利用现已被占领的网站公布从他们的猎物那里窃取的个人和私有数据，然后以此作为公众压力运动的一部分说服受害者付钱。 NetWalker是最贪婪的勒索软件之一，根据追踪虚拟货币支付的Chainalysis公司的获取数据，它攻击了来自27个国家的至少305名受害者，其中大多数在美国。 这家公司在一篇博文介绍称，自NetWalker勒索软件于2018年8月首次出现以来他们追踪到4600多万美元的赎金，并且到2020年年中，赎金激增–平均赎金从2019年的1.88万美元增加到了去年的6.5万美元。 美司法部在一份声明中表示，NetWalker勒索软件已经影响了众多受害者，包括公司、市政当局、医院、执法部门、紧急服务部门、学区、学院和大学。像加州大学旧金山分校去年夏天就支付了114万美元以换取一把能够解锁被勒索软件加密的文件的数字密匙。司法部称：“在COVID-19大流行期间，攻击专门针对医疗保健部门以利用这场全球危机来敲诈受害者。” 美国检察官指出，NetWalker的主要成员之一是加拿大渥太华加蒂诺的Sebastien Vachon-Desjardins。从佛罗里达州公布的一份起诉书了解到，Vachon-Desjardins从中获取了至少2760万美元的金钱。 虽然美司法部媒体顾问没有提及被告的年龄，但2015年加蒂诺当地新闻网站ledroit.com的一份报告表明，这可能不是他第一次犯罪。据报道，Vachon-Desjardins在27岁的时候曾因贩毒被判过三年多的监禁：据报道，他被发现持有5万多片的冰毒药片。 据了解，NetWalker勒索软件联盟项目于2020年3月启动，当时犯罪软件项目的管理员开始在暗网上招募人员。像许多其他勒索软件程序一样，NetWalker不允许分支机构感染位于俄罗斯或任何其他独联体（包括大多数前苏联国家）成员国的系统。这一禁令则是由俄罗斯和/或其他CIS国家协调的网络犯罪行动制定的。         （消息及封面来源：cnBeta）

据外媒报道，日前，一名家庭安全技术人员承认，他曾多次闯入他安装的摄像头观看客户做爱及其他亲密行为。据悉，35岁的Telesforo Aviles曾在家庭和小型办公安全公司ADT工作。他表示，在5年的工作时间里，他在9600多次场合下侵入了约200个客户账号的摄像头–所有这些都是没有得到客户的允许或不知情的情况下进行。 Aviles表示，自己会留意那些他觉得有吸引力的女性的家庭，然后观看她们的摄像头以获得性满足。他称，自己看过女性裸体和情侣之间的做爱。 Aviles于当地时间周四在北德克萨斯地区的美国地方法院承认了一项计算机欺诈和一项侵入性视觉记录罪名。他将因此而面临长达5年的监禁。 Aviles告诉检察官，他经常会在用户授权的列表中添加上自己的邮件地址以此来访问客户的ADT Pulse账号，该账号允许用户远程连接到ADT家庭安全系统进行观看。而在某些情况下，他则会告诉客户，他必须暂时将自己的账号添加其中以便测试系统。其他时候，他会在客户不知情的情况下加上自己的邮箱地址。 针对此事，ADT的一位发言人表示，公司在去年4月得知Aviles在未经授权的情况下进入了达拉斯地区220名客户的账号之后将这一非法行为告知检察官。随后，该公司联系了每一位客户来帮助改正这个错误。。 而在发现这一违规行为之后，ADT至少受到了两起拟议的集体诉讼，其中一起代表ADT客户，一起代表未成年人和其他住在使用ADT设备的房子里的人。其中一起诉讼的原告据称在违约发生时还是一名青少年。据诉状显示，ADT告知这位青少年的家人，Aviles曾近对其家庭进行了100次的监视。 诉讼还称，ADT将其摄像系统推销为父母使用智能手机查看孩子和宠物的一种方式。然而ADT没有实施保护措施，这些措施本可以提醒客户入侵。 电子偷窥者的曝光很好地提醒了人们，在家里或其他对隐私有合理期望的地方安装联网摄像头伴随带来的风险。选择接受这些风险的人应该花时间自学如何使用、配置和维护设备。       （消息及封面来源：cnBeta）

谷歌的威胁分析小组报告说，政府支持的黑客以朝鲜为基地，通过包括 “新型社会工程方法”在内的多种手段针对个人安全研究人员的设备。据报道，该活动已经持续了几个月，令人担忧的是，它似乎利用了未打补丁的Windows 10和Chrome漏洞。 虽然谷歌没有说明黑客攻击活动的具体目的是什么，但它指出，目标正在进行 “漏洞研究和开发”。这表明攻击者可能试图了解更多关于非公开漏洞的信息，以便在未来的国家支持的攻击中使用。黑客建立了一个网络安全博客和一系列Twitter账户，显然是想在与潜在目标互动的同时，建立和扩大其信任度。 博客的重点是写出已经公开的漏洞。同时，Twitter账户发布了该博客的链接，以及其他所谓的漏洞。据谷歌称，至少有一个所谓的漏洞是伪造的。这家搜索巨头列举了几个研究人员的机器仅仅通过访问黑客的博客就被感染的案例，即使运行最新版本的Windows 10和Chrome浏览器。 这种社会工程学攻击方法会在社交网络上主动联系安全研究人员，并要求他们合作开展工作。然而，一旦他们同意，黑客就会发送一个包含恶意软件的Visual Studio项目，该项目会感染目标电脑并开始联系攻击者的服务器。攻击者使用了一系列不同的平台来寻找目标–包括Telegram、LinkedIn和Discord与潜在目标进行沟通。谷歌在其博客文章中列出了具体的黑客账户，任何与这些账户互动的人都应该扫描他们的系统，看看是否有任何迹象表明他们已经被入侵，并将他们的研究活动与其他日常使用的电脑分开。 这次活动是安全研究人员被黑客盯上的最新事件。去年12月，美国一家大型网络安全公司FireEye披露，它已被国家支持的攻击者入侵。在FireEye的案例中，被黑客攻击的目标是其用于检查客户系统漏洞的内部工具。           （消息来源：cnBeta；封面源自网络）

美国网络安全企业 Malwarebytes 今日表示，该公司于去年遭受了针对 SolarWinds 的同一黑客组织（UNC2452 / Dark Halo）的入侵。虽然本次入侵无关于 SolarWinds 被恶意软件感染的 IT 管理工具，但黑客还是利用 Azure 活动目录漏洞和恶意的 Office 365 应用程序，对 Malwarebytes 的内部系统造成了破坏。 Malwarebytes 表示，在 2020 年 12 月 15 日接到了微软安全响应中心（MSRC）的通报后，该公司才获悉自家网络被入侵。 当时微软正对其 Office 365 / Azure 基础架构展开搜查，以查找由 SolarWinds 黑客（UNC2452 / Dark Halo）创建的恶意应用程序的蛛丝马迹。 Malwarebytes 联合创始人兼首席执行官 Marcin Kleczynski 表示，在得知此事的第一时间，他们就立即对该漏洞展开了内部调查，以确定被黑客染指了哪些内容。 此前由于 SolarWinds 的应用程序封包服务器被 Sunburst 恶意软件感染，导致 SolarWinds 的数万客户都被感染后的 Orion IT 管理软件所影响。 经过广泛调查，其确定攻击者仅访问了公司内部电子邮件的一部分。此外在对所有产品及源码展开彻底审查后，Malwarebytes 确定旗下产品并未受到影响。 Kleczynski 补充道：“没有任何证据表明我司内部系统有遭受任何本地或生产环境的未经授权访问或损害，Malwarebytes 的软件仍可被安全使用”。 据悉，在 Malwarebytes 之前，FireEye、微软和 CrowdStrike 也都表示遭到了 SolarWinds 入侵事件幕后黑手的网络攻击。             （消息及封面来源：cnBeta）

在今日发布的一份报告中，网络安全公司 FireEye 详细披露了 SolarWinds 黑客网络攻击事件所使用的相关技术。与此同时，FireEye 还在 GitHub 上分享了一款名为《Azure AD Investigator》的免费工具，以便企业能够确定 SolarWinds 黑客在其网络中部署了哪几道后门。 在今日的报告发布之前，FireEye 已协同微软和 CrowdStrike 对 SolarWinds 的供应链危害展开了全面的调查。 在 2020 年 12 月 13 日初次曝光时，FireEye 和微软首先确认黑客攻入了 IT 管理软件提供商 SolarWinds 的网络，并用恶意软件感染了 Orion 应用程序的封包服务器。 这款名叫 Sunburst（或 Solorigate）的恶意软件，被用于收集受害企业的内部信息。遗憾的是，部署 Orion 应用程序的 1.8 万个 SolarWinds 客户，其中大多数人都忽略了木马的存在。 在初步得逞后，攻击者部署了第二款名叫 Teardrop 的恶意软件，然后利用多种技术手段，将黑手延伸到了企业内网和云端（尤其是 Microsoft 365 基础设施）。 在今日长达 35 页的报告中，FireEye 更详细、深入地介绍了这些后期攻击手段，以及企业能够实施的检测、修复和增强策略。 （1）窃取活跃目录的 AD FS 签名证书，使用该令牌伪造任意用户（Golden SAML），使得攻击者无需密码或多因素身份认证（MFA），即可染指 Microsoft 365 等资源。 （2）在 Azure AD 中修改或添加受信任的域，使得攻击者控制的新身份（IdP），进而伪造任意用户的令牌（又称 Azure AD 后门）。 （3）染指高特权用户账户（比如全局或应用程序管理员的 Microsoft 365 资源），接着同步本地用户账户的登录凭据。 （4）通过添加恶意凭证来劫持现有 Microsoft 365 应用程序，以使用分配给该应用程序的合法权限 —— 比如可绕过 MFA 多因素身份认证来读取电子邮件、以任意用户身份发送电子邮件、以及访问用户的日程等信息。 FireEye 指出，尽管 SolarWinds 黑客（又称 UNC2452）采取了各种复杂的手段来掩饰自己，但相关技术仍可被检测和阻挡在外。 事实上，FireEye 也在自己的内网中检测到了相关技术，然后分析了其它企业的内部漏洞，最终揭开了更广泛的 SolarWinds 黑客攻击事件。           （消息来源：cnBeta；封面源自网络）

在12月底突然停止运营后，俄罗斯加密货币交易所Livecoin宣布关闭。据Livecoin主页显示，由于2020年底其服务器遭到攻击，造成财务和技术损失，该交易所无法继续运营。Livecoin于1月16日在Twitter上宣布关闭，其新域名liveco.newsLivecoin和旧域名Livecoin. net已不可用。 Livecoin表示，公司正在努力“将剩余资金”支付给客户，用户需通过电子邮件与该交易所联系，以完成核实工作，必须在平台上发送他们的用户名和注册日期。交易所承诺将在回件中提供详细指示，2021年3月17日之前均有效。但没有具体说明何时偿还客户资金。 Livecoin还警告用户注意非官方的Livecoin聊天群组可能传播虚假信息，并试图欺骗用户。Livecoin 写道: “参加此类群聊的风险很高，因为我们没有任何官方组织。” Livecoin声称其网站是官方信息的唯一来源。该公司还表示，正在进行调查。 Livecoin在12月24日停止了运营，声称交易所遭受了“精心策划的攻击” ，导致其失去了对所有服务器的控制。黑客们设法接管了Livecoin的基础设施，并将交易所的价格调整到异常高的水平。据报道，Livecoin 的比特币交易价格超过30万美元，而当时的市场价格约为2.4万美元。一些用户随后暗示 Livecoin 的“黑客”可能是一个退出骗局。 一些报道称用户猜测Livecoin的最新声明可能是由黑客发布的，而其他用户正向当地执法部门投诉。一些用户出于隐私考虑拒绝向Livecoin发送个人数据。一位据称是平台用户的人提供了Livecoin报销程序所需的数据清单，包括护照扫描、居住信息、高分辨率自拍、关于交易所第一笔交易的数据等等。           （消息及封面来源：cnBeta）

据外媒CyberScoop报道，虽然俄罗斯网络犯罪黑社会的大部分是一个谜团，但有一种技术却充当了贯穿整个谜团的关键共同链接，它就是Jabber。根据安全公司Flashpoint的最新研究，在一个尖端技术、创意和犯罪的领域，这个已有18年历史的即时通讯工具是讲俄语的网络罪犯最流行的交流工具。 虽然Jabber已经在俄罗斯社区占据了主导地位，但与此同时，它在世界各地的网络罪犯中也变得越来越受欢迎。 这不仅是对技术质量的证明也是对俄罗斯黑客趋势的影响的证明。 “在网络犯罪经济中，Jabber被视为沟通的黄金标准，”安全公司Flashpoint高级研究员Leroy Terrelonge III告诉CyberScoop。 Jabber（同时也被叫XMPP或Extensible Messaging and Presence Protocol）是一个开源的联合即时通讯工具，拥有数千个独立服务器和遍布全球的1000多万名用户。该技术运行在HipChat、索尼PS视频聊天应用和Electronic Arts的Origin等主流产品的幕后。而拥有超10亿用户的WhatsApp使用的则是XMPP的一个变体。记者和隐私保护积极分子在该平台上通常都会有属于自己的账号。 Terrelonge说指出，有俄罗斯人作为先锋，“Jabber在网络犯罪社区有着光明的未来。” Jabber对企业来说有用的诸多因素也是使其成为犯罪分子的理想选择的原因之一。该技术支持强大的加密和一系列高安全特性，再加上其开放性从而提高了它在后斯诺登时代的吸引力。 Jabber创建于1999年，经过十多年的发展拥有了数百万名用户。然而从2013年开始，随着世界越来越强烈地意识到网络上的大规模黑客攻击和监视活动，采用这种技术的人越来越多。在俄罗斯，用户最终开始放弃20世纪60年代的即时通讯工具ICQ转而使用Jabber提供的高级安全功能。据悉，ICQ主导了俄罗斯的在线交流近20年时间。在那里，下载并安全地使用带有非公开加密的信息并不是什么大问题。 对于不太成熟的网络罪犯，微软的通讯应用Skype通常就足够了。但即使是在Skype占主导地位的网络犯罪社区，Jabber也已经取得了进展，更老练的黑客则将其整合到Skype中。 Jabber的联盟意味着任何人都可以打开服务器并按照自己认为合适的方式运行。这对那些担心公司跟政府密切合作的罪犯来说极具吸引力，尤其在美国。一些Jabber服务器甚至就是专门为罪犯设置的。 最近被逮捕的Kelihos僵尸网络幕后主使Pyotr Levashov就是一位典型的俄语高级用户。为了运营他的全球业务，Levashov使用了一个加密的非官方Jabber服务器和账号。 然而，大多数黑客并不运行自己的Jabber服务器而是依赖他人运行的服务器。在地下信徒中，Exploit.im Jabber服务器是执法部门的首要目标。 据悉，Exploit.im是由Exploit社区运行的。这是一个半排外的俄语网络犯罪论坛，具有悠久的相对信任和真实性血统。若想要加入社区则需要进行一定程度的审查或支付。Exploit.im账号只提供给认证成员有效地证明了其用户的威望和信心。最重要的是，服务器的管理员承诺用户不会有日志记录并提供强大的隐私和可靠服务。         （消息及封面来源：cnBeta）

欧洲药品管理局(EMA)周二宣布，黑客泄露了去年年底发现的网络入侵行为中被盗的COVID-19疫苗信息。”正在进行的对EMA的网络攻击的调查显示，一些与COVID-19药品和属于第三方的疫苗有关的非法访问文件已经在互联网上泄露，”EMA在一份声明中报道。”执法部门正在采取必要的行动。” 最新情况是在辉瑞-BioNTech以及Moderna都表示，EMA已经通知这些公司，一些评估文件在对该机构的网络攻击中被获取。这次网络攻击发生在这两家公司向EMA提交了各自的COVID-19疫苗并要求批准在欧盟成员国紧急使用之后。 EMA总部设在阿姆斯特丹，是欧盟的一个主管卫生健康的机构，负责监督和评估人类和动物使用各种药品的情况。EMA于12月批准了辉瑞公司和BioNTech公司的疫苗，并在本月早些时候批准了Moderna COVID-19疫苗。 “该机构继续全力支持对数据泄露事件的刑事调查，并通知任何其他实体和个人，他们的文件和个人数据可能已经受到未经授权的访问，”该机构周二写道。 “该机构和欧洲药品监管网络仍在充分运作，与COVID-19药品和疫苗的评估和批准相关的时间表不受影响，”EMA指出。 EMA远不是COVID-19大流行期间第一个被黑客攻击的政府机构。世界卫生组织和美国卫生与人类服务部去年都是网络攻击的受害者，同时美国和世界各地的医院也成为勒索软件攻击的受害者，在某些情况下对服务产生了负面影响。         （消息及封面来源：cnBeta）

在对 SolarWinds 事件的深入调查中，微软发现部分内部帐号被黑客获取，并访问了公司的部分源代码。而现在，有一名黑客以 60 万美元的价格出售 Windows 10 源代码，但是无法确定真实性。 来自 Rendition Infosec 的安全研究人员 Jake Williams 报道了这一消息，他警告称这些黑客似乎来自俄罗斯知名黑客组织 Shadow Brokers。但他们可能是为了混淆视听，并非真正有这些源代码访问。 微软证实，黑客能够查看，但不能改变部分产品的源代码，并表示没有证据表明这一活动将微软服务的安全性或任何客户数据置于风险之中。微软表示，查看源代码并不会增加风险，因为该公司并不依赖源代码的保密性来保证产品的安全。         （消息来源：cnBeta；封面来自网络）