国际资讯

这家数据公司让脸书栽跟头后 又被曝干涉英国脱欧

据美联社 3 月 26 日报道，Cambridge Analytica 前联合创始人怀利（Chris Wylie）和曾加入支持脱欧团队的志愿者森尼（Shahmir Sanni）透露，在英国脱欧公投期间，官方脱欧游说组织“投离开票”（Vote Leave）曾为一家总部位于加拿大的竞选顾问公司 AggregateIQ 支付超额费用。按照竞选法律规定，Vote Leave 在脱欧公投上最多能花费700万英镑。记录显示，在表面上， Vote Leave 将 40% 的预算用在了 AggregateIQ 公司上；但据森尼等人所述，当花销达到 700 万限额之后，Vote Leave 将额外 62.5 万英镑捐给了一名学习时尚设计的学生格莱姆斯（Darren Grimes）。

格莱姆斯创立了一家小型的非官方脱欧团体 BeLeave。曾协助 BeLeave 运作的森尼指出，收到来自 Vote Leave 的捐款后，BeLeave 将这些钱全部转给了 AggregateIQ。根据其他媒体调查，除了通过 BeLeave 转账之外，Vote Leave还向另一家名为“英国老兵”的脱欧团体捐助了 10 万英镑，而这 10 万英镑也被转给了 AggregateIQ。森尼等人指出，在公投期间，AggregateIQ 曾代表 Vote Leave 收集选民信息，在分析选民背景后投放定向广告，以影响选民在公投中的决定。森尼称他已将掌握的证据交给了英国选举委员会。

怀利同时指出，AggregateIQ 与 Cambridge Analytica 关系紧密，他自己曾参与前者的创立。怀利表示，这两家公司在收集选民信息上使用了相同的技术，由于两家公司的紧密关系，Cambridge Analytica 的工作人员经常将 AggregateIQ 称为“加拿大分部”。科技新闻网 Gizmodo 还指出，根据该网站获得的内部资料，Cambridge Analytica 在 2016 年美国大选期间卖给客户的数据收集技术正是由 AggregateIQ 所开发。对此，AggregateIQ 公司发表声明强调，自己是 100% 的加拿大公司，不是 Cambridge Analytica 的分部，也从未与该公司签订协议。

除了支持官方脱欧团体外，Cambridge Analytica 的商业发展前主管凯思尔（Brittany Kaiser）还指出，支持脱欧的英国独立党曾向该公司提供选民数据，Cambridge Analytica 在进行数据分析后免费为非官方脱欧组织 Leave EU 提供服务。凯思尔称当时的合作提案为“我们为你做研究，建模，然后通过电子邮件、普通邮件、上门宣传、现场活动等帮你执行数据库”。

此前，Cambridge Analytica 多次否认介入脱欧公投。目前英国选举委员会正在对多个与脱欧公投相关的曝光进行调查。英国和美国均对 Cambridge Analytica 展开了调查。

参考链接：http://hackernews.cc/archives/22003

英特尔CPU漏洞再度袭来：全新边信道攻击方法BranchScope

BranchScope 与 Spectre variant 2 十分相似来自威廉玛丽学院、卡内基梅隆大学、加州大学河滨分校和宾厄姆顿大学的研究人员将这一新技术命名为 BranchScope 。这种在攻击方式上主要针对“分支预测”行为，这个特点与 Spectre 变体2（CVE-2017-5715）的漏洞利用方法十分相似。但Spectre 变体 2利用的是分支的目标缓冲区域（Branch Target Buffer），BranchScope 利用的是模式历史表（Pattern History Table）。BranchScope 方法可以让攻击者取代 CPU 进行指令执行的决策。在这种方式之下，攻击者可以在计算机的特定区域上获取敏感信息。目前，研究员已经成功在因特尔处理器上通过了漏洞利用复现测试。

BranchScope 已在 Intel 处理器上实现利用

学术界表示，BranchScope 是第一个针对“分支预测”的边信道攻击方法，并且该技术也可用于检索存储在SGX的内容（英特尔CPU的安全区域）。研究团队在实例测试中对 Intel x86处理器进行了漏洞利用，如Sandy Bridge， Haswell，以及Skylake。攻击者只需要具备用户权限即可开始执行漏洞利用过程，失败概率小于1%。这种全新的攻击手段目前还没有应对方案。之前 Spectre 漏洞补丁无法应对这次的 BranchScope 攻击。但据研究团队表示，针对 BranchScope 攻击进行安全补丁的修复应该不是难题——仍然需要从软件和硬件层面进行双重的修复工作。

参考链接：http://www.freebuf.com/articles/system/166614.html

谷歌应用商城存多款安卓二维码恶意应用 下架前下载量超 50 万次

上周安全公司  SophosLabs 报告了在谷歌 Play 官方应用商城有多款安卓二维码恶意应用，下架前这些恶意应用的下载量超过了 50 万次。SophosLabs 的研究人员检测到了 6 款二维码扫码应用和一款智能罗盘应用均包含着利用二维码的恶意代码“ Andr/HiddnAd-AJ ”，利用漏洞向用户发送恶意广告。

ZDNet 网站的 Danny Palmer 披露了相关报告，“在安装后，恶意软件会潜伏六个小时开展恶意活动，提供恶意广告推送服务，向用户推送全屏恶意广告，并在网页中打开相关广告，发送大量包含广告连接的推送通知等。” Sophos 公司的安全人员称这些隐秘的恶意应用在被谷歌下架前，已经被下载了超过 50 万次。谷歌没有立即回应置评请求。

参考链接：http://hackernews.cc/archives/21998

黑客事件

黑客通过木马病毒获取200余家酒店住宿信息被逮捕

你所有的隐私信息，包括开房记录、名下资产、乘坐航班甚至网吧上网记录信息，只要有人付钱，就可以轻易被查到。近日，犯罪嫌疑人李某某利用酒店房间IP地址试出服务器数据库账号密码，将远程控制软件植入数据库中，获取该酒店上万条住店人员信息，同时他还将木马病毒与绿色软件捆绑后上传到网站上，后通过下载该软件的酒店获取200家左右的酒店住宿信息。日前，海淀检察院对李某某批准逮捕。酒店住宿信息包含有登记姓名、身份证号、开房日期、房间号等大量敏感、隐私信息，被非法获取后再迅速流传至网络黑链条中被来回贩卖交易，这些信息在互联网上的肆意流转给公民和社会安全带来巨大的风险！

犯罪嫌疑人李某某在湖南省某市一家酒店住宿期间查看房间内电脑IP地址从而试出酒店服务器IP地址，然后找出服务器数据库端口，由于数据库账号密码设置简单，嫌疑人试出了账号密码，然后将远程控制软件植入酒店数据库，通过软件可以远程登录酒店服务器，从中获取该酒店三年内10000余条酒店住店人员信息。同时，犯罪嫌疑人李某某将木马病毒跟正规的绿色软件捆绑在一起并上传到95533下载软件网站、绿色联盟网、绿色之家等网站，后贵州省某市一家酒店因防范意识不强，下载了该软件导致酒店电脑被植入木马，嫌疑人通过这家酒店获取了该市酒店住宿登记系统的IP地址和账户密码，由于所有酒店的账户都是10位数字且编号顺序相连，密码设置过于简单，犯罪嫌疑人以此方法轻松获取了该市200家左右的酒店住宿信息。

后犯罪嫌疑人将上述信息上传至自己搭建的网站并对外打包出售。日前，目前海淀检察院已经对李某某批准逮捕。在此，检察官提醒，酒店住宿行业应加强主体责任意识，升级信息保护手段，防止用户信息泄露。提高系统防火墙网络安全等级、实现数据复杂加密，切实提高安全意识，避免下载间谍软件或隐藏病毒风险。

参考链接：https://www.t00ls.net/articles-44903.html

安卓手机遭恶意攻击，揭秘RottenSys的花式“隐匿术”

前不久，CheckPoint公司向大众披露了一款名为“RottenSys”（堕落的系统）的恶意软件，该软件会在入侵用户手机之后，伪装成“系统Wi-Fi服务”等应用，并通过不定期给用户推送广告或指定的APP来获取利益，这一非法行为轻则导致手机出现卡顿现象，重则甚至侵害到用户信息安全。

随后，移动安全联盟（MSA）成员单位360、安天对此事件进行了追踪及详细技术分析。安全团队表示，确认“RottenSys”主要是通过“刷机”或APP（再root）的方式，在手机到达用户手中前，在目标上安装部分RottenSys应用程序，从而达到感染传播的效果。

对此，安全团队对“RottenSys”进行技术分析，并出具了《RottenSys事件分析报告》。报告中，该软件的主要伪装有多种类型，其中以“系统Wi-Fi服务”程序为主。而为了提高自身隐蔽性，静默安装权限获取、推迟操作设置、恶意模块云端下载等都是该程序精通的隐藏方式。而其主要传播途径则是经由一家名为“Tian Pai”的电话分销平台进行。据统计，从2018年1月1日至3月15日，安卓手机的感染总量已超18万。

参考链接：http://www.freebuf.com/articles/terminal/166415.html

Flash漏洞再遭利用，黑客对香港电讯网站实施教科书级水坑攻击

Morphisec 公司警告称，最近攻击一家香港电信公司网站所利用的正是曾被朝鲜黑客组织自2017年11月中旬就已利用 Flash 漏洞。这个漏洞的编号是 CVE-2018-4878，韩国互联网安全局 (KISA) 发布警报称该漏洞遭一个朝鲜黑客组织利用后出现在公众面前。Adobe 公司已经在漏洞曝出后一周内完成修复。

攻击堪称教科书级别

2月底，网络犯罪分子已经在利用该漏洞。Morphisec 公司指出最近利用该漏洞发动的攻击是教科书级别的水坑式攻击案例。水坑式攻击主要关注网络间谍目标，攻击者将恶意软件植入受害者可能访问的网站上。这次针对香港某电信公司的攻击显示出了高阶的躲避性质，因为它是无文件攻击，不具备持续性，也未在磁盘上留下任何痕迹。研究人员认为它是高度针对性攻击链的完美垫脚石。另外，它在未过滤端口上使用了一个自定义协议。研究人员指出，一般而言，这种高阶水坑式攻击具有高针对性而且通常由非常高阶的组织实施。这次攻击中所使用的 Flash 利用代码和对 CVE-2018-4878 漏洞的详细分析非常相似，尽管前者利用后执行的是不同的 shellcode。这个 shellcode 执行 rundll32.exe 并用恶意代码覆写其内存。这个恶意代码旨在直接将额外代码下载到 rundll32 进程的内存中。研究人员还发现 C&C 服务器使用443端口上的自定义协议和受害者通信。被自动下载到 rundll32 内存中的额外代码包括 Metasploit Meterpreter 和 Mimikatz 模块。多数模块是在2月15日编译的，也就是攻击发生的不到前一周的时间。

攻击者尚不明确尽管这次攻击具有高阶躲避特征，但它使用了在攻击发动前编译的基础 Metasploiot 框架组件，并且缺乏复杂性、混淆性或躲避性，这导致很难将攻击归属于某个行动者。Morphisec 公司表示，被升级以攻击 CVE-2018-4878 的利用包、攻击发生在一周前、漏洞遭国家黑客组织利用都让人有似曾相识的感觉。该公司指出，就像是两三年前，每周都会发现针对某个具体漏洞的新型利用代码那样。每种利用代码都各不相同且足以在最重要的初次接触时躲避检测，而安全解决方案总是忙不迭地紧紧追赶。

参考链接：https://www.anquanke.com/post/id/102799

（来源：云天安全搜集整理互联网安全资讯）