国际资讯

信息战“新高度”：切断海底电缆谁都别玩

E安全4月9日讯 据美联社报道，俄罗斯深海研究总局的海洋调查船——“琥珀号”（Yantar）军舰——正在海底通信电缆附近徘徊，美国及其盟友担心俄罗斯可能将信息战推向“新高度”。

西方国家担心俄罗斯对海底电缆下手令美国及其盟友担心的是：俄罗斯是否对切断或窃听电缆感兴趣？俄罗斯是否只是为震慑西方？是否还存在其它合理的解释？无论俄罗斯的意图何在，美国和西方官员都很敏感，日益担心俄罗斯会对400条光纤电缆动手脚，这些电缆承载着全球大部分的通话、电子邮件和文本通信以及每日价值10万亿美元的金融交易。美国欧洲司令部（USEUCOM）司令柯蒂斯·斯卡帕罗蒂2018年3月向国会表示，他们在俄罗斯海军身上看到了自80年代以来从未见过的活动，尤其是在潜艇活动方面。

海底电缆故障有何影响？

海底共有62万英里（约合99.8万公里）的光纤电缆，足以绕地球25圈。如果没有海底电缆：

①亚洲国家的银行就无法向沙特阿拉伯汇款以支付石油费用；

②美国军方领导人将很难与在阿富汗和中东地区与极端分子战斗的部队通信；

③赴欧留学生将无法通过 Skype 联系不在身边的父母。

所有这些信息均通过包裹在海底电缆中的细小玻璃纤维进行传输，在某些情况下，海底电缆比花园里浇水用的软管稍粗。大部分电缆属谷歌和微软等私营电信公司所有。这些电缆的位置很容易在公共地图上找到。虽然切断一条电缆的影响有限，但同时切断数条电缆或对关键处下手可能会造成重大影响。

让北约和美国官员感到不安的不是莫斯科的战舰和潜艇，而是俄罗斯深海研究总局。这个机构专门通过水面舰艇、潜艇、水下无人机和微型潜艇执行侦察活动、水下救护和其它工作。

该局运营的一艘舰船为“琥珀号”，它是一艘长354英尺的中型海洋调查船，共有约60名船员。“琥珀号”最近在南美洲海岸附近帮助阿根廷搜寻一艘失踪潜艇。

海底光缆通信已有一百多年历史。1850年，英吉利海峡铺设全世界第一条海底电缆，联通英法两国。1876年，贝尔发明电话后，海底电缆具备了新的功能，各国大规模铺设海底电缆的步伐加快。1902年环球海底通信电缆建成。20世纪90年代，海底光缆已经和卫星通信成为当代洲际通信的主要手段。

参考链接：https://www.easyaq.com/news/1609386495.shtml

间谍软件Agent Tesla变种再现：通过特制Word文档诱导安装

近期 Fortinet 研究专家发现臭名昭著的间谍软件 Agent Tesla 出现了全新的变种，而变种传播是通过特制的 Microsoft Word文件进行的。

Agent Tesla 是一种用来收集系统键击记录、剪贴板内容、屏幕截图、身份凭证的间谍软件，很多用户使用这款软件窥探受害者。为了实现这些功能，这款间谍软件在主函数中创建了不同的线程和定时函数。

专家首先在去年 6 月份就发现了这款恶意软件变种。当时他们观察到威胁样本中，黑客通过 VBA 宏的自动执行进行软件的传播。一旦用户启用了文档中包含的宏，间谍软件就会在受害者机器上成功安装。但在最新发现的行动中，黑客将附件文档的内容被制作成模糊的样子，这样用户会遵循文档上的说明，双击文档来得到更清晰的视图。

而如果用户照做了，这个文档就会提取可执行文件，在本地系统的临时文件中运行。这个可执行文件名为“POM.exe”。运行的 POM.exe 即开始了恶意软件的最终安装程序。

参考链接：http://www.freebuf.com/articles/system/167848.html

思科网络设备漏洞波及国内，中奖后屏幕竟会出现美国国旗

上周，俄罗斯和伊朗多个网络基础设施遭到攻击，攻击涉及全球200000只路由器交换机，包括伊朗的3500只交换机。攻击者疑似利用了思科IOS/IOS XE远程代码执行漏洞cve-2018-0171。而就在今天，国内多个机构遭受同样的攻击。根据国外的案例，遭受攻击的企业，除了设备瘫痪之外，屏幕上还显示出美国国旗。

FreeBuf曾报告过这个漏洞的详细分析，是Embedi 安全公司研究员在 Smart Install Client 代码中发现一个缓冲区堆栈溢出漏洞。攻击者利用这个漏洞可以不经身份验证远程执行任意代码。也就是说，攻击者能够完全控制受漏洞影响的网络设备。

在思科发布漏洞预警之时，全球受影响的设备高达850万，当然也包括国内。

根据俄罗斯和伊朗所遭受攻击的情况了来看， 黑客攻击导致设备瘫痪之后，还留下了字条称：“不要干涉我们的选举”，同时还附上美国国旗。

根据外媒Motherboard报道， 黑客通过控制的电子邮件阐述了此次攻击的目的：我们厌倦了有政府支持的针对美国或者其他国家的网络攻击。甚至还略带自豪的表示：“多亏我们的努力，很多国家已经没有易受攻击的设备了”。专家推测，这次大范围的网络攻击应该是由民间发起，以此来表示对俄罗斯干涉美国大选的不满。

参考链接：http://www.freebuf.com/news/167798.html

黑客事件

新型macOS后门程序浮出水面，被指与黑客组织“海莲花”有关联

趋势科技的安全研究员Jaromir Horejsi在本周三发表的博文中表示，他们发现了一种新型的MacOS后门程序（由趋势科技检测为OSX_OCEANLOTUS.D ）正在被黑客组织“海莲花”所使用，而其攻击目标是那些安装有Perl语言编程软件的Mac用户。

海莲花，英文名OceanLotus，也被称为SeaLotus、Cobalt Kitty、APT-C-00和APT 32，是一个被认为与越南政府存在关联的黑客组织。

根据我国网络安全公司360旗下天眼实验室在2015年5月29日发布的研究报告显示，自2012年4月以来，该组织一直在针对中国政府、海事机构、海域建设部门、科研院所以及航运企业等领域开展长时间的APT（高级持续性威胁）攻击，而这也是国内首次披露来自境外的国家级黑客组织。

根据Horejsi的描述，新的MacOS后门程序正通过钓鱼电子邮件中的恶意Word文档进行分发。原始文件名为“2018-PHIẾU  GHI  DANH  THAM  DỰ  TĨNH  HỘI HMDC 2018.doc”，翻译过来也就是“2018年HMDC大会登记表”，而HMDC是一个在越南宣传民族独立和民主的组织。

Horejsi表示，在收件人打开这个文档时，它会建议收件人启用宏。而这个恶意宏采用了十进制ASCII代码来逐个字符地进行混淆，以逃避安全产品的检测。

在去除混淆之后，研究人员发现有效载荷是采用Perl语言编写的。它从会从Word文档中提取一个XML文件（theme0.xml），这是一个带有0xFEEDFACE签名的Mach-O 32位可执行文件，用于作为OSX_OCEANLOTUS.D后门程序的滴管组件（dropper）。

Horejsi表示，滴管组件中的所有字符串以及后门本身都使用了硬编码的RSA256密钥进行加密。其中，加密字符串以两种形式存在：使用RSA256加密的字符串，以及混合使用自定义base64编码和RSA256加密的字符串。

当滴管组件执行时，它首先会检查自身是否是以ROOT权限运行的。基于此，它将采用两种安全不同的硬编码路径和进程名称来安装最终的后门程序。

当滴管组件安装后门程序时，它会将其属性设置为“hidden（隐藏）” ，并使用touch命令将文件创建日期和时间设置为随机值。

后门程序通过使用两个函数（infoClient和runHandle）来实现不同的功能，infoClient负责收集操作系统信息，并将这些信息提交给命令和控制（C＆C）服务器以及接收额外的C＆C通信信息，而runHandle则负责后门功能。

趋势科技表示，开始使用新后门意味着“海莲花”组织不仅仍处于活跃状态，而且还在不断升级自己的武器库。尽管苹果Mac计算机普遍被认为比Windows计算机在防止病毒和恶意软件入侵方面更具优势，但并不表示Mac电脑就绝对安全。因此，无论使用的操作系统版本如何，Mac用户同样很有必要警惕网络钓鱼活动，并为此采取主动预防措施。

参考链接：https://www.secrss.com/articles/1874

黑客攻击多国网络 伊朗全国互联网一度短暂中断

中新网4月9日电 综合报道，日前，黑客攻击了多个国家的电脑网络，其中包括伊朗的数据中心。伊朗通讯与资讯科技部称，此次大规模袭击影响了全球约20万个路由交换器，包括伊朗的3500个。攻击也影响了互联网服务供应商，导致用户无法上网，伊朗全国范围内互联网出现短暂中断。

伊朗通讯与资讯科技部称，此次大规模袭击影响了全球约20万个路由交换器，包括伊朗的3500个。

参考链接：https://www.t00ls.net/articles-45151.html

黑客宣布已破解任天堂Switch 并声称硬件漏洞无法修补

破解主机一直是主机厂商非常痛恨的事情，因为一旦主机被破解，那么主机上的游戏就可以免费下载。这无疑是对游戏厂商的巨大打击。最近有人宣称已经破解任天堂Switch了，究竟是怎么回事呢，一起来看看吧。今年1月份破解小组Team Xecuter宣布已经完成了任天堂Switch的破解，并发布了视频为自己证明。不过过完年后该小组仍然没有任何动静，就在大家等待新消息时，另一位破解大神站出来，同样宣称已经成功破解Switch，一起来了解一下：

这次宣布Switch破解的是女性黑客Kate Temkin，她宣传在早些时候就已经发现了藏在NVIDIA Tegra芯片中的漏洞，也在第一时间通知了生产商NVIDIA及其它使用该芯片的厂商，其中包括任天堂。因为该漏洞存在于Tegra芯片中只读的bootrom中，只能够通过出厂前的小补丁进行补救，一旦设备出厂则再也没有挽救的机会。考虑到影响设备的范围之广以及威胁之大，Kate Temkin最终决定在厂商的反应周期结束之后向所有人公布该漏洞。她个人还表示没有因为该漏洞得到任何厂商的赏金，没有也不打算与这些厂商签订保密协议。

由于Kate Temkin设定的反应周期尚未到达，她准备在今年夏季正式对外公布这个名为Fusée Gelée的Switch破解手段。目前，可以确认的是目前已经上市的所有Switch，无论系统固件版本都可以使用她的办法进行破解。按照Kate Temkin的说法，与其它小组不同的是，她提供了多种破解Switch的方式。并不局限于对硬件方面进行修改和焊接，更不需要安装芯片。当然，对于想要修改硬件的人士，也可以选择对应的方式。

基本上来说，现今任何版本的Switch都可以使用软件破解的方式进入Fusée Gelée，从而安装自制系统。用户需要使用到的设备包括：Switch主机、Joy-Con手柄、USB A to C数据线、64G以上的储存卡。如果你想要对主机进行硬件破解，还需要一把三翼螺丝刀。

参考链接：https://www.t00ls.net/articles-45136.html

（来源：云天安全搜集整理互联网安全资讯）