美国会计公司 BerryDunn 遭第三方数据泄露，超过 100 万人的个人信息受影响。 2023年9月14日，BerryDunn收到通知，称其供应商之一的缅因州网络维护和监控公司Reliable Networks，有可能影响其网络的可疑活动。BerryDunn声称已立即执行其件响应协议，并聘请网络安全专家协助确定事件的性质以及是否有任何数据受到损害。 据调查，此次涉及泄露的数据包括： 姓名 地址 驾驶执照号码 非驾驶员身份证 调查显示，威胁行为者访问了Reliable的网络，并复制了存储在其系统上的数据。BerryDunn的内部调查于2024年4月2日结束，距该公司收到入侵通知近一年。 该会计师事务所已“采取措施保护 HAPG 数据，如停用 Reliable 控制下的所有 BerryDunn 系统，并将所有 HAPG 数据迁移到内部 BerryDunn 系统的安全，这些系统作为我们网络安全计划的一部分受到持续监控。” BerryDunn 通过Zero Fox公司IDX提供身份盗窃保护服务。   转自安全客，原文链接：https://www.anquanke.com/post/id/296095 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一项针对乌克兰的网络攻击行动，该行动利用了 Microsoft Office 中近七年的缺陷，在受感染的系统上安装 Cobalt Strike。 据 Deep Instinct 称，该攻击链发生于 2023 年底，采用 PowerPoint 幻灯片文件（“signal-2023-12-20-160512.ppsx”）作为起点，文件名暗示它可能已通过 Signal 即时通讯应用程序共享。 尽管上述推测合理，但没有实际证据表明 PPSX 文件是以这种方式分发的，乌克兰计算机紧急响应小组 (CERT-UA) 曾经发现两个使用Signal 即时通讯应用程序作为恶意软件传递方式的不同攻击。 上周，乌克兰计算机紧急响应小组 (CERT-UA) 披露的一份通告，乌克兰武装部队越来越多地成为 UAC-0184 组织的攻击目标，该组织通过消息传递和约会平台为HijackLoader（又名GHOSTPULSE和SHADOWLADDER）、XWorm和Remcos RAT等恶意软件以及开源软件提供服务sigtop和tusc等程序从计算机中窃取数据。 “PPSX（PowerPoint 幻灯片）文件似乎是美国陆军坦克扫雷刀片（MCB）的旧说明书。”安全研究员伊万·科萨列夫（Ivan Kosarev）说。“PPSX 文件包含与外部 OLE 对象的远程关系。” 这涉及利用CVE-2017-8570（CVSS 分数：7.8），这是 Office 中现已修补的远程代码执行错误，该漏洞允许攻击者在说服受害者打开特制文件、加载托管在 weavesilk[.]space 上的远程脚本。 严重混淆的脚本随后启动一个包含 JavaScript 代码的 HTML 文件，该文件反过来通过 Windows 注册表在主机上设置持久性，并丢弃模拟 Cisco AnyConnect VPN 客户端的下一阶段有效负载。 有效负载包括一个动态链接库（DLL），最终将破解的Cobalt Strike Beacon（一种合法的笔测试工具）直接注入系统内存，并等待来自命令和控制（C2）服务器（“petapixel”）的进一步指令。 该 DLL 还包含一些功能来检查它是否在虚拟机中执行并逃避安全软件的检测。 Deep Instinct 表示，它既不能将这些攻击与特定的威胁行为者或组织联系起来，也不能排除红队演习的可能性，同样不清楚入侵者的确切最终目标。 Kosarev说：“该诱饵包含与军事相关的内容，表明它的目标是军事人员。” “但是域名 weavesilk[.]space 和 petapixel[.]fun 被伪装成一个不起眼的生成艺术网站 (weavesilk[.]com) 和一个流行的摄影网站 (petapixel[.]com)。这些是不相关的，而且有点令人费解的是，为什么攻击者会专门使用这些来愚弄军事人员。” Deep Instinct研究团队的技术报告： 此次披露之际，CERT-UA透露，乌克兰约 20 家能源、水和供暖供应商已成为俄罗斯国家支持的名为 UAC-0133 的组织的攻击目标，UAC-0133 是Sandworm（又名 APT44、FROZENBARENTS、Seashell Blizzard、 UAC-0002 和 Voodoo Bear）的一个别名。 这些攻击旨在破坏关键操作，涉及使用Kapeka（又名 ICYWELL、KnuckleTouch、QUEUESEED 和rongsens）等恶意软件及其 Linux 变体 BIASBOAT，以及 GOSSIPFLOW 和 LOADGRIP。 GOSSIPFLOW 是一个基于 Golang 的 SOCKS5 代理，而 LOADGRIP 是一个用 C 语言编写的 ELF 二进制文件，用于在受感染的 Linux 主机上加载 BIASBOAT。 Sandworm 是一个多产且高度适应性的威胁组织，与俄罗斯联邦武装部队总参谋部 (GRU) 的 74455 部队有联系。据了解，该组织至少自 2009 年起就一直活跃，其对手还与XakNet Team、CyberArmyofRussia_Reborn和Solntsepek等三个黑客和泄密黑客活动人物有关。 Mandiant近期的报告（https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm）表示：“APT44 受到俄罗斯军事情报部门的支持，是一个充满活力、操作成熟的攻击者组织，该组织积极参与全方位的间谍活动、攻击和影响行动。” “APT44 的行动范围是全球性的，反映了俄罗斯广泛的国家利益和野心。随着时间的推移，APT44 的活动模式表明，APT44 的任务是执行一系列不同的战略优先事项，并且很可能被克里姆林宫视为一种灵活的权力工具，能够满足持久和新兴的情报需求。” 详情可参考：俄罗斯沙虫黑客冒充黑客活动分子针对美国、波兰、法国供水设施   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JTiTB73DfyIUVnWqGpqrOw 封面来源于网络，如有侵权请联系删除

Keonne Rodriguez 和 William Lonergan Hill 被美国司法部指控通过 Samourai（他们运营了近十年的加密货币混合服务）从各种犯罪企业洗钱超过 1 亿美元。 正如替代起诉书中详细描述的那样，犯罪分子还使用 Samourai 的 Whirlpool 加密货币混合器在 2015 年至 2024 年 2 月期间处理了超过 20 亿美元的非法资金。 除了加密货币混合服务外，Samourai 还提供了一项名为“Ricochet”的服务，该服务允许用户使用额外的和不必要的中间交易发送加密货币，以阻止执法和加密货币交易追踪来自犯罪活动的资金。 据称，这项洗钱活动为两位创始人从 Whirlpool 和 Ricochet 交易中赚取了约 450 万美元的费用。 “自 2019 年左右启动 Whirlpool 服务以及 2017 年左右启动 Ricochet 服务以来，超过 80,000 BTC（按每笔交易时的 BTC 兑美元汇率计算，价值超过 20 亿美元）已通过这两个渠道Samourai 运营的服务”，起诉书称。 Samourai 的 Wallet 移动应用程序下载量也超过 10 万次，允许用户存储他们控制的 BTC 地址的私钥，并在匿名金融交易中与其他 Samourai 用户交换资金。 冰岛执法部门已查封 Samourai 的域名（samourai[.]io 和 samouraiwallet[.]com）和网络服务器，Google Play 商店在收到查封令后删除了 Android 移动应用程序。 罗德里格斯今天早上被拘留，并将在接下来的几天内在宾夕法尼亚州西区的美国治安法官面前出庭。 希尔今天上午也在葡萄牙因美国刑事指控而被捕，美国政府计划要求将他引渡到美国，以便他可以接受审判。 他们均被指控犯有两项共谋罪：洗钱（最高刑期 20 年）和经营无证汇款业务（最高刑期 5 年）。 美国司法部表示：“被告在提供 Samourai 作为‘隐私’服务时，知道这是犯罪分子进行大规模洗钱和逃避制裁的避风港。” “Samourai 清洗了超过 1 亿美元的犯罪所得，这些犯罪所得除其他犯罪来源外，还包括丝绸之路和 Hydra 市场等非法暗网市场；各种电信欺诈和计算机欺诈计划，包括网络服务器入侵、鱼叉式网络钓鱼计划以及诈骗多个去中心化金融协议的计划和其他非法行为。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/pU4AlNI8VyIAlfuOBs2llQ 封面来源于网络，如有侵权请联系删除

美国财政部外国资产控制办公室 (OFAC) 对四名伊朗国民实施制裁，因为他们参与了针对美国政府、国防承包商和私营公司的网络攻击。 OFAC 还制裁了与伊朗伊斯兰革命卫队网络电子司令部 (IRGC-CEC)有关联的两家幌子公司 Mehrsam Andisheh Saz Nik (MASN) 和 Dadeh Afzar Arman (DAA) 。 伊朗伊斯兰革命卫队网络电子司令部（IRGC-CEC）是伊朗政府内负责网络安全和网络战的组织。由于其参与各种网络活动，它被包括美国在内的许多国家视为主要威胁。 这些伊朗国民参与了针对十几家美国公司和政府实体的袭击。他们发起了鱼叉式网络钓鱼和恶意软件攻击。美国司法部和联邦调查局针对这四人在这些网络行动中所扮演的角色提起了起诉书。 美国财政部负责恐怖主义和金融情报的副部长布莱恩·尼尔森 (Brian E. Nelson) 表示：“伊朗恶意网络行为者继续以协调一致的多管齐下的行动针对美国公司和政府实体，旨在破坏我们关键基础设施的稳定并对我们的公民造成伤害。” 。“美国将继续利用我们的整体政府方法来揭露和破坏这些网络的运营。” 伊朗网络行为者坚持通过各种网络活动瞄准美国，包括针对关键基础设施的勒索软件攻击以及针对个人、公司和政府实体的鱼叉式网络钓鱼活动。 这四名伊朗公民是 Hossein Harooni、Reza Kazemifar、Komeil Baradaran Salmani 和 Alireza Shafie Nasab，他们被指控参与利用鱼叉式网络钓鱼和其他黑客技术窃取数十万企业员工账户的恶意软件操作。 Alireza Shafie Nasab 和 Reza Kazemifar Rahman 在 MASN 工作期间针对美国实体。卡泽米法尔参与了针对财政部的袭击。 Hosein Mohammad Harooni 使用鱼叉式网络钓鱼和社会工程攻击财政部和其他美国实体。 Komeil Baradaran Salmani 与多家 IRGC-CEC 幌子公司合作，参与针对包括财政部在内的多个美国实体的鱼叉式网络钓鱼活动。 “由于今天的行动，上述指定人员在美国或由美国人拥有或控制的所有财产和财产权益均被封锁，并且必须向 OFAC 报告。此外，由一名或多名被封锁人员直接或间接、单独或合计拥有 50% 或以上股份的任何实体也将被封锁。 除非获得 OFAC 颁发的一般或特定许可证授权或豁免，否则 OFAC 的法规通常禁止美国人或在美国境内（或过境）进行所有涉及指定或以其他方式被阻止的人员的任何财产或财产权益的交易。”宣读公告。 “此外，与受制裁实体和个人进行某些交易或活动的金融机构和其他人员可能会受到制裁或受到执法行动。” 这四名男子仍然尚未被美国控制。美国国务院还宣布悬赏 1000 万美元，奖励提供线索逮捕四名伊朗国民的人。   转自安全内参，原文链接：https://www.secrss.com/articles/65587 封面来源于网络，如有侵权请联系删除

一月份美国德克萨斯州一小镇供水系统溢出遭黑客攻击，目前调查得出，该事件疑似与一个神秘的俄罗斯黑客组织有关。这是美国公用事业公司成为外国网络攻击目标的最新案例。 本次袭击是针对德克萨斯州狭长地带乡村小镇的三起袭击事件之一。当地官员表示，公众没有面临任何危险，这些企图已报告给联邦当局。 Hale 中心城市经理 Mike Cypert 表示：“在四天内，我们的防火墙遭受了 37,000 次登录尝试。由于该市采取了手动操作并关闭了系统，黑客攻击未能成功。” 他指出，被攻击小镇Muleshoe位于西部约60英里处，人口约5000人。黑客攻击导致供水系统溢出，但随后该系统被关闭，并由官员手动接管。目前事件已迅速处理解决，水消毒系统未受影响，公共供水系统和公众没有受到任何危险。 本周，美国网络安全公司 Mandiant 发起的至少一起攻击与一个神秘的俄罗斯黑客活动组织有关。猜测该组织可能与俄罗斯军事黑客组织有合作，或者其本身就是俄罗斯军事黑客组织的一部分。 该组织自称为“CyberArmyofRussia_Reborn”，声称对一月份美国和波兰供水设施遭受的袭击负责，这些袭击当时几乎没有受到关注。 网络安全研究人员表示，CyberArmyofRussia_Reborn 涉嫌与俄罗斯政府有联系。去年，这些组织对乌克兰及其盟友进行了攻击，其中包括导致网站暂时离线的拒绝服务数据攻击。 微软去年12月在报道中指出，有时这些组织声称对实际上由克里姆林宫军事情报黑客实施的攻击负责。 Hale 中心城市经理 Mike Cypert 表示，他已向联邦调查局（FBI）和国土安全部（DHS）转达了信息。 联邦调查局（FBI）拒绝就此发表评论，国土安全部（DHS）旗下的网络安全和基础设施安全局（CISA）将问题转交给了目标城市。 去年11月，伊朗国家集团对美国供水设施进行了黑客攻击。随后，CISA发布了一份咨询报告。伊朗国家集团表示，他们的目标是使用以色列设备的设施。 该国副国家安全顾问 Anne Neuberger 去年12月表示，针对伊朗黑客的攻击以及针对医疗保健行业的一系列勒索软件攻击，政府应该对公用事业和行业采取行动，以此加强网络安全。 今年三月，美国环境保护局局长Michael S. Regan和总统国家安全事务助理Jake Sullivan 致信各州州长，要求他们采取措施保护供水。 Regan和Sullivan 提出：“饮用水和废水系统作为生命线关键基础设施部门，由于往往缺乏采取严格的网络安全实践所需的资源和技术能力，因此成为网络攻击的吸引目标。”     消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，黑客组织 FIN7 针对美国一家大型汽车制造商的 IT 部门的员工发送了鱼叉式钓鱼邮件，并利用 Anunak 后门感染了该系统。 据黑莓公司的研究人员称，该攻击发生在去年年底，依赖于二进制文件、脚本和库（LoLBas）。黑客重点攻击了那些具有高级权限的员工，并通过链接到冒充合法的高级 IP 扫描器工具的恶意 URL 引诱他们“上钩”。 黑莓公司根据使用独特 PowerShell 脚本的情况，确信这些攻击是 FIN7 所为，这些脚本使用了对方标志性的 “PowerTrash “混淆 shellcode 调用器，这种方式最早曾在 2022 年的一次攻击活动中出现过。 之前FIN7 的目的是暴露 Veeam 备份和 Microsoft Exchange 服务器，同时在该企业的网络中部署 Black Basta 和 Clop 勒索软件。 FIN7使用鱼叉式网络钓鱼电子邮件发起攻击 FIN7 向美国某大型汽车制造商 IT 部门的多位高权限员工发送了鱼叉式网络钓鱼电子邮件。邮件中包含 “advanced-ip-sccanner[.]com”链接，但事实上这其实是个虚假的 “advanced-ip-scanner.com “合法扫描仪项目。 研究人员发现，假冒网站会重定向到 “myipscanner[.]com”（现已下线）。访问者接下来会被带到一个提供恶意可执行文件（’WsTaskLoad.exe’）的 Dropbox 页面，该文件伪装成 Advanced IP Scanner 的合法安装程序。 该文件一旦被执行，就会触发一个涉及 DLL、WAV 文件和 shellcode 执行的多阶段进程，从而加载并解密一个名为 “dmxl.bin “的文件，其中包含 Anunak 后门有效载荷。 Anunak/Carbanak 是 FIN7 常用的恶意软件工具，其他常用的还有 Loadout、Griffon、PowerPlant 和 Diceloader。 同时，WsTaskLoad.exe 安装了 OpenSSH 以实现持久访问，并创建了一个计划任务。FIN7 以前也曾使用 OpenSSH 进行横向移动，但黑莓公司称在他们分析的活动中没有发现这种情况。 研究人员没有透露受害组织的名称，他们仅将其描述为 “一家位于美国的大型跨国汽车制造商”。FIN7 自 2013 年开始出现，但只是在过去几年才转向更大的目标，典型的最终有效载荷是勒索软件。在勒索软件的背景下，转而攻击更大的组织是合理的，因为它们可以支付更大的赎金。 黑莓公司表示，FIN7 的攻击未能扩散到最初感染的系统之外，而是进入了横向移动阶段。建议该企业适当给员工提供有关网络钓鱼的安全培训，降低安全风险。 同时，应在所有用户账户上实施多因素身份验证（MFA），即使攻击者成功窃取了访问凭证，也很难访问员工的账户。此外，使用强大、唯一的密码，保持所有软件更新，监控网络可疑行为，添加高级电子邮件过滤解决方案等基础防御措施也有助于防范各类攻击。 网络钓鱼数量激增且花样百出 Egress 的最新报告提到，在众多网络安全问题中，网络钓鱼攻击正大行其道。尤其是冒充攻击普遍存在，其中有 77% 会伪装成知名平台进行诈骗攻击，特别是 DocuSign 和 Microsoft 。社会工程策略愈演愈烈，占网络钓鱼攻击的 16.8%，而网络钓鱼电子邮件的长度自 2021 年以来增长了三倍，这可能归因于生成式 AI 的使用。 多渠道攻击利用了工作消息传递应用程序的流行，特别是Microsoft Teams和Slack。总的来说，这些应用程序占此类攻击第二步的一半。与上一季度相比，仅 Microsoft Teams 在 2024 年就大幅增长了 104.4%。 如今快速发展的人工智能也成为网络犯罪的有力工具，渗透到攻击的各个阶段。该报告预测，在视频和音频格式中使用深度伪造将激增，从而放大了网络攻击的复杂性。 尽管技术取得了进步，但安全电子邮件网关 （SEG） 仍然落后，到 2024 年初，逃避检测的攻击增加了 52.2%。这凸显了在面对不断变化的威胁时采取适应性网络安全措施的必要性。 据统计，千禧一代成为了网络犯罪分子的主要目标，37.5%的网络钓鱼电子邮件将他们视为了攻击目标。这种情况在金融、法律和医疗保健等领域尤为明显。同时，社工攻击策略也在不断变化，比如围绕情人节等事件的个性化定制攻击，这也进一步凸显了网络威胁的演变。   转自FreeBuf，原文链接：https://www.freebuf.com/news/398441.html 封面来源于网络，如有侵权请联系删除

近日，塞尔维亚著名黑客 InterBroker（隶属于黑客组织 CyberNiggers）声称成功入侵了天眼（Space-Eyes）公司，并成功窃取大量美国国家安全机密数据。 天眼公司是一家地理空间情报服务商，专门服务于美国政府部门，包括司法部、国土安全部、美国武装部队的多个分支机构以及包括国家地理空间情报局在内的关键情报机构。 据称，这次攻击成功破坏了天眼公司位于迈阿密的数字基础设施，并可能泄露了包括美国司法部、国土安全部和美国武装部队的国家安全机密数据。 令人震惊的是，IntelBroker 在数据泄露论坛上发帖称，仅用时“10-15分钟”就从天眼公司的系统中窃取了敏感数据。 五眼情报联盟的眼中钉：IntelBroker 由于曾多次成功策划实施重大网络攻击，IntelBroker 已经成为黑客组织 CyberNiggers 的事实领导者。该黑客擅长识别和利用系统漏洞，并在暗网上售卖初始访问权限。 IntelBroker组织过去的著名网络攻击事件包括在2023年11月对通用电气的数据泄露攻击以及入侵 Wee 百货服务系统。 在对天眼系统的攻击中，IntelBroker 声称盗取了天眼公司为美国政府国家安全部门提供服务的极为机密的文件。 据 Hackeread 等媒体报道，被盗的数据包括多名政府官员的姓名、电话号码、公司名、职位描述、电邮地址、密码哈希值以及具体位置数据。 此前，IntelBroker 还曾泄露美国联邦承包商 AcuityInc. 的国家安全信息。 关于 CyberNiggers CyberNiggers 是黑客数据泄露论坛（Breach Forums）的明星黑客组织，该团队虽然人数不多，但成员均活跃于Breach Forums。 据悉，该团队目前正针对多个关键目标，并已经进入了五眼情报联盟的监视范围。 CyberNiggers 还涉嫌参与了针对 Colonial Pipeline 的网络攻击。组织成员 ComradBinski 曾提供过对Colonial Pipeline 数据的特权访问，涉及的数据包括账单细节、私人及公共密钥、密码、电子邮件、源代码、PDF 文件和数据库文件等。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16174.html 封面来源于网络，如有侵权请联系删除

这位臭名昭著的黑客以“IntelBroker”为别名，声称已经攻破了位于迈阿密的地理空间情报公司 Space-Eyes 的网络基础设施。IntelBroker 在 Breach Forums 上发布的消息中吹嘘他的入侵速度很快，只需要“大约 10-15 分钟”即可访问敏感数据。 据 Space-Eyes 网站称，它专门服务于政府机构和组织，包括司法部、国土安全部、美国武装部队的各个部门以及国家地理空间情报局 (NGA) 等重要情报机构。如果所指控的违规行为属实，将对美国国家安全产生重大影响。 根据 IntelBroker 的说法，被盗数据包括“有关 Space-Eyes 在美国政府内部为国家安全提供的服务的高度机密文件”。这些数据的深度和特征极其敏感，包含有关美国国家安全的机密讨论、通信和简介，以及被拒绝进入美国或根据美国法律进行隔离的个人和船只。   转自安全客，原文链接：https://www.anquanke.com/post/id/295641 封面来源于网络，如有侵权请联系删除

微软近年来安全事件频发，为何仍然牢牢把持美国政府安全服务的“铁饭碗”？为什么美国参议员斥责微软是美国国家安全的严重威胁？为什么政府要避免被一股独大的科技企业锁定？ Wired 最新报道指出：无论从营收、市场份额、还是技术和产品的领导力来看，微软都是当之无愧的网络安全龙头企业，也是美国政府高度依赖的科技企业。与此同时，微软已经成为网络安全行业的“公敌”，同时被看作是美国国家关键基础设施的最大单一故障点。 安全创收“成瘾” 微软因向其客户收取“高级安全服务”（例如更好的威胁监控、防病毒、日志存储和用户访问管理）的额外费用而引发了网络安全行业的声讨。2023年1月，微软声称其安全部门的年收入已超过200亿美元。 “微软已经将网络安全当成了摇钱树，”安全公司SentinelOne的研究副总裁 Juan Andrés Guerrero-Saade 评价道。他的同事 Alex Stamos 最近写道：利字当头的微软已经严重扭曲了其安全产品设计决策。 “微软威胁论”2021年初被引爆，当时美国国会和新上任的拜登政府开始调查俄罗斯黑客的 SolarWinds 远程访问工具（RAT）攻击活动。 在通过 SolarWinds 软件入侵政府网络后，俄罗斯特工欺骗了微软的云平台，获得了广泛的访问权限，窃取了大量机密信息。令人震惊的是，如此严重的数据泄露的原因并非黑客的技术有多么高超，而是因为大多数美国政府机构没有付费购买微软的“高级服务”，因而没有必要的网络活动日志来检测入侵。 事件曝光后，议员们对微软向政府收取基本安全功能的额外费用感到愤怒，白宫官员在接下来的两年半时间里私下敦促微软为所有客户提供免费日志数据。微软终于在2023年7同意免费提供该服务（在曝出又一次重大黑客事件八天之后，该事件是由付费获取日志数据的机构发现的）。 当被问及微软的网络安全生意经与“安全为先”的社会责任是否存在冲突时，Faehl 说：“我们不同意这种说法。”此外，微软在安全漏洞的修复上未能迅速和充分地采取行动，也招来众多安全专家的批评。 一位著名的网络政策专家表示，微软并未“调整其安全投资水平和思维模式以适应威胁”。网络安全审查委员会（CSRB）也猛烈抨击微软未能防止公司历史上最严重的黑客事件之一。CSRB 在报告指出，微软的“安全文化不足，需要彻底改革”。 最大的单点失败 微软在网络安全领域的主导地位引起广泛担忧，因为微软成了最大的单一故障点。美国政府高度依赖单一科技公司，意味着黑客可以轻松通过攻击一家公司的产品来破坏大量关键基础设施和服务。一些专家指出，分散的安全投资更安全，没有什么比电子邮件更能证明美国政府对微软高度依赖的风险。一位曾在微软竞争对手工作的美国前网络安全官员预测，一场使微软电子邮件平台瘫痪的攻击将大大降低政府的运营能力。 关于微软“一股独大”的警告可以追溯到20年前，但现在才开始引起政策制定者的更多关注。 “美国政府对微软的依赖对美国国家安全构成严重威胁，”美国参议员罗恩·怀登指出：“表面上是因为微软的疏忽导致美国政府系统多次被外国黑客实施严重攻击，实际上，问题的本质是美国政府被困在了微软的产品中。”上周一，怀登宣布了一项草案立法，将为联邦政府设定四年期限，停止购买微软 Office 等办公协作技术，批评者称这些技术无法很好地与第三方竞争服务集成。 专家表示，减少政府对单一供应商的依赖不仅会使政府受益，还能把攻击风险分散到更多公司身上，减轻微软保护如此庞大系统组合的压力。微软自身的巨大目标使其成为网络犯罪分子和政府黑客的热门目标，这也是它漏洞频发的部分原因。 政府不敢批评的企业 Wired 指出，微软并不仅仅依靠其市场主导地位来抵制政府监管。自上世纪90年代与政府的反垄断斗争以来，微软制定了复杂的公共政策战略，既包括真诚呼吁保护网络空间，又无处不在地参与政策制定和立法。“在这些问题上，微软是科技行业中最老练的一家公司，” 安德鲁·格罗托( Andrew Grotto)说，他曾是白宫高级网络官员，现在领导着斯坦福大学地缘政治、技术和治理项目，并为微软的一些竞争对手提供咨询。“他们25年前就吸取了这个教训，并一直将其付诸实践。” 微软的威胁情报团队几乎比任何其他公司和大多数政府都更了解恶意网络活动，他们定期发布有关网络威胁的研究，并与执法部门合作开展捣毁黑客基础设施的行动。微软还帮助资助像网络和平研究所 (CyberPeace Institute) 这样的组织，倡导更安全的互联网，并帮助非政府组织抵御黑客攻击。微软还将自己定位为政策制定者的战略合作伙伴，向迫切希望解决网络安全问题但不知道从何入手的政策制定者提供建议，有时还会向立法者提供立法草案参考文本。 专家们表示，凭借其市场主导地位和政治敏锐度，微软确保政府官员几乎从未公开批评它。 “由于美国政府完全依赖微软，因此对微软的批评往往欲言又止。” 民主防务基金会网络和技术创新中心的高级主任马克·蒙哥马利(Mark Montgomery)说道。 甚至在外国黑客闯入没有支付微软高级安全功能费用的美国政府机构的电子邮件系统之后，白宫国家安全委员会和美国网络安全和基础设施安全局(CISA)都拒绝批评微软。CISA的一位高级官员承认，微软的商业模式 “没有产生我们寻求的那种安全结果”，但他拒绝直接责备微软，而是坚持谈论与该公司富有成效的对话。 结论：政府应该避免被一股独大的企业“锁定” 微软的安全问题凸显了政府对单一科技供应商过度依赖产生的系统性风险。尽管微软一再承诺改进其安全措施，但它似乎不愿意进行伤筋动骨的根本性改变。这使得美国政府和其他依赖微软产品的组织容易受到攻击。破解技术供应商“锁定”风险需要采取多种措施。政府应该减少对微软的依赖，转向更分散的采购方法。微软也需要对其安全文化进行重大改革，并投资于更强大的安全措施。   转自E安全，原文链接：https://mp.weixin.qq.com/s/CUt1atf2SGElHi1kNt4etQ 封面来源于网络，如有侵权请联系删除

美国财政部的海外资产控制办公室(OFAC)于近日宣布对一名与哈马斯有关的官员实施制裁，该官员参与了网络影响行动。 39岁的赫德菲·萨米尔·阿卜达拉·阿尔-卡卢特（也被称为阿布·乌巴达）至少自2007年起，担任了哈马斯军事翼伊兹·阿尔迪恩·阿尔·卡桑旅的公众发言人。 美国财政部表示：“他公开威胁要处决哈马斯在2023年10月7日对以色列进行的恐怖袭击后扣押的平民人质。”阿尔-卡卢特主导了阿尔-卡桑旅的网络影响部门。 他在伊朗采购服务器和域名，以便在与伊朗机构的合作中在官网上托管阿尔-卡桑旅的网站。 同时，由于他们在哈马斯用于进行恐怖主义行动的无人机（UAVs）制造中所起的作用，包括城市战争和情报收集，56岁的威廉·阿布·沙纳卜和35岁的巴拉·哈桑·法特也一同被列入了制裁名单。 据说阿布·沙纳卜和他的助手法特都是在黎巴嫩的阿尔-希马利单元工作的，其中阿布·沙纳卜是指挥官。 与美国行动同步进行的还有欧盟，欧盟对阿尔-卡桑旅、阿尔-库兹旅和努赫巴部队实施了自己的制裁，这是因为他们去年对以色列“野蛮且不分青红皂白的恐怖袭击”。阿尔-库兹旅是巴勒斯坦伊斯兰圣战的军事分支，而努赫巴部队是哈马斯的特种部队。 美国财政部副部长、负责反恐和金融情报的布莱恩·E·尼尔森表示，这次联合行动旨在“瓦解哈马斯继续发动攻击的能力，包括通过网络战争和生产无人机。” 这个决定出台的时间正好是在美国政府对六名与伊朗情报机构有关的伊朗官员实施制裁不到两个月后，制裁原因是他们攻击了包括美国在内的其他国家的关键基础设施。   转自E 安全，原文链接：https://mp.weixin.qq.com/s/ov10aliAN455EV2JG2ebkQ 封面来源于网络，如有侵权请联系删除