国际资讯

34 家公司签署“不协助政府黑客行动”协议，苹果、谷歌、亚马逊和英特尔不在名单上

媒美国时间 4 月 17 日报道称，在 RSA 2018 安全会议上，以微软为首的 34 家高科技公司签署了一项技术协议，同意不惜一切代价保护客户免受网络犯罪和国家行为的网络攻击，同时表示不向政府提供任何技术援助，促使其发起针对其它国家、公司或个人用户的网络攻击。微软、 Facebook、 Cisco、 GitHub、 Arm、 Cloudflare、 LinkedIn、 HP、 Dell、 SAP、 Oracle 和 VMWare 等公司已经签署了这项协议，当然，也有一些大公司不在此名单上，比如苹果、谷歌、亚马逊和英特尔。

这项协议由微软首席法律官布拉德 · 史密斯发起，史密斯主张，政府不应将用户和私营部门作为其针对其他国家的网络攻击的一部分。 他倡导，科技公司应更像红十字会，而不是网络战场上的卒子。2017 年，这些疑似有政府背景支持的攻击给私营部门造成了数十亿美元的损失，如如 WannaCry、NotPetya 和 Bad Rabbit 。

这项协议围绕四大原则建议：

1) 强有力的防御 - 技术公司应尽力保护用户免受任何类型的网络攻击，不论来源或用户的本国

2) 无意冒犯 - 科技公司绝不应该为政府支持的网络攻击提供物质支持

3) 能力建设 - 公司应当建立和向客户提供必要的工具，以保护其数据和自己免受国家支持的攻击

4) 集体行动 -各公司将相互合作，共享关于攻击的数据，并向受影响的用户披露攻击事件

目前，最困难的是让政府遵守这一协议，世界上所有的技术协议面对法院的命令或者滥用搜查令时都无力抗击。

参考链接：https://www.t00ls.net/articles-45346.html

加密货币交易所 Kraken 退出日本市场

据彭博社报道，世界上运营时间最长的加密货币交易所之一——Kraken 将结束其为日本居民提供的交易服务。这家总部位于旧金山的公司指出在日本的运营成本上升导致其作出这项决定，尽管该公司表示未来可能会重新进入该国。

Kraken 在一份电子邮件声明中表示，暂时计划在 6 月底之前停止其在日本市场提供的所有服务。该公司于 2014 年 10 月开始进入日本。该公司在声明中表示，“暂停日本居民的服务将使我们能够更好地关注我们的资源，以改善其他地区的情况。这是一种局部暂停服务，只影响日本居民，不影响日本以外的企业的服务。”

根据 Coinmarketcap.com 的数据，Kraken 在过去 24 小时内的交易量在全球排名第 10，交易额达 1.9 亿美元。该公司被允许在日本无证经营。长期以来，日本政府对数字货币实行较为宽松的监管政策。今年早些时候，日本加密货币交易所 Coincheck 表示,在被黑客攻击后该公司损失了价值 5 亿多美元的数字货币。这导致日本政府决定全面检查数字货币交易所，但不是彻底禁止它们。本月早些时候，日本宣布计划将 ICO 合法化。

参考链接：http://hackernews.cc/archives/22550

Telegram 迁移后 俄罗斯封杀 180 万个亚马逊和谷歌云服务 IP 地址

上周末，Telegram 宣布将部分服务基础设备迁移到 Amazon Web Services 和 Google Cloud 服务器之后， 俄罗斯联邦通信监管局（Roskomnadzor）采取了更严厉的封禁措施。今天已经禁止了 180 万个隶属于亚马逊和 Google 云基础架构的 IP 地址。官方公告称将会从俄罗斯ISP级别禁止以下网段的 IP 地址，共计 1,835,008 个 IP 地址。

由于 Telegram 拒绝向俄罗斯主要情报服务 FSB 提交用户的加密秘钥，俄罗斯联邦通信监管局在今年 4 月 13 日（周五）开始封杀 Telegram 客户端。随后 Telegram 表示将服务迁移至亚马逊和 Google 的服务器上，以便于继续为俄罗斯用户提供服务。

很多俄罗斯用户在社交媒体上吐槽 Roskomnadzor 的决定，而且本次封杀了如此庞大的 IP 地址，也会导致很多合法网页服务无法正常工作。已经有用户报告大量在线游戏、移动应用和加密货币服务处于宕机状态。

参考链接：http://hackernews.cc/archives/22547

黑客事件

Bondat蠕虫再度来袭！控制PC构建挖矿僵尸网络

近日，360互联网安全中心监测到流行蠕虫家族Bondat的感染量出现一轮小爆发。在这次爆发中，Bondat利用受害机器资源进行门罗币挖矿，并组建一个攻击WordPress站点的僵尸网络。根据360网络安全研究院对此次Bondat蠕虫爆发时使用的控制端域名bellsyscdn.com和urchintelemetry.com的监控数据来看，Bondat蠕虫此次爆发至少影响15000台个人电脑。

Bondat蠕虫最早出现在2013年，是一个能够执行控制端下发的任意指令的“云控”蠕虫家族。Bondat蠕虫一般通过可移动磁盘传播，并依靠一个JS脚本完成信息收集、自我复制、命令执行、构建僵尸网络等多项任务。

门罗币挖矿早期的Bondat蠕虫主要通过修改浏览器主页获利。随着加密数字货币的兴起，Bondat蠕虫也涉足加密数字货币挖矿领域。在3月底的这次爆发中，Bondat蠕虫通过控制端下发门罗币挖矿代码并在受害者计算机上运行。图3展示了控制端下发的门罗币挖矿代码。可以看到，Bondat蠕虫会根据用户计算机的实际情况使用Chrome浏览器、Firefox浏览器或Edge浏览器的其中之一后台访问hxxps://xmrmsft.com/hive.html进行挖矿。该页面中嵌入了基于Coin-hive的挖矿脚本，Bondat蠕虫实际上借助了用户的浏览器进行门罗币挖矿。有趣的是，Bondat蠕虫不同于其他挖矿僵尸网络直接将挖矿木马植入用户计算机中，而是以不显示窗口的方式通过浏览器访问指定网页进行挖矿，其收益相比较直接植入挖矿木马要低非常多。由于Bondat蠕虫主要在PC间传播，PC用户对于计算机的操作频率较高，通过浏览器挖矿相比较直接植入挖矿木马隐蔽性更高，这可能也是攻击者如此选择的原因。

Bondat蠕虫主要通过可移动磁盘传播，并借助可移动磁盘中的文件隐蔽自身。Bondat蠕虫会检索可移动磁盘中特定格式的文件（例如doc、jpg），在创建与这些文件同名的快捷方式的同时隐藏这些文件，而这些快捷方式指向Bondat蠕虫的启动器Drive.bat。当用户使用可移动磁盘时，极有可能将这些快捷方式误认为为正常文件，进而导致Bondat蠕虫的执行。图5展示了被用于隐蔽Bondat蠕虫的文件格式。

参考链接：https://www.anquanke.com/post/id/105282

黑客从赌场的水族箱温度计下手 居然入侵了数据库

根据一家网络安全公司首席执行官的说法，现在黑客们开始逐渐将攻击目标向“物联网”设备上转移，甚至会通过闭路电视摄像头、空调这样的设备访问公司或企业的服务器和数据库系统。物联网泛指所有连接到互联网的设备，目前已经从家用电器扩展到了各种小型的联网设备。网络安全公司Darktrace首席执行官尼克尔-艾甘（Nicole Eagan）上周在伦敦接受采访时表示：“有很多物联网设备，包括恒温器、制冷系统、暖通空调系统以及办公室中的Alexa设备，这些都扩大了被攻击的范围，而且其中大部分的设备都没有相应的保护措施。”同时艾甘还举了一个非常有趣的例子，有一家赌场在大厅中摆放了水族箱，黑客通过水族箱中的温度计“黑”进了系统。

“攻击者利用水族箱温度计作为网络中的立足点，然后通过网络发现了重要的数据库，最后将数据上传到了云端。”罗伯特-汉尼根（Robert Hannigan）在2014年到2017年担任英国政府数字情报机构“政府通讯总部”的负责人，他与艾甘同时出席了伦敦的会议。他也认为，黑客针对物联网设备的攻击对企业来说已经成为了一个日益严重的问题。

汉尼根说：“随着物联网领域在未来几年内会出现越来越多的新硬件，这个问题会变得越来越严重。我听说过有银行被黑客通过闭路电视摄像头入侵，因为这些设备都没有基本的防护措施。”他还呼吁监管机构尽快制定相关的安全标准。“这个领域目前亟需一个最低安全标准来进行监管，因为市场不会自我修正。因为无论是鱼缸的温度计还是闭路电视摄像头，它们都会一直存在。”

参考链接：https://www.t00ls.net/articles-45322.html

英美警告俄罗斯黑客入侵全球路由器

周一的时候，英美情报机构发布了又一起与俄罗斯有关的潜在网络威胁警告。特别工作小组称，这群黑客得到了俄罗斯政府的支持，意图劫持全球路由器，且有可能取得了一定程度的成功。攻击目标包括互联网服务提供商、政府、小企业、以及 SOHO 。计算机应急响应小组（CERT）发布的警告称，黑客们似乎正在尝试接管网络基础设施。

美国国土安全部（DHS）、联邦调查局（FBI）、以及英国全国网络安全中心（NCSC）的一支联合安全专家团队，已经在某些国家的设备上发现其启用了通用路由封装（GRA）、思科智能安装（SMI）、以及简单网络管理协议（SNMP）。

福布斯报道称，在公告发布前，来自国家安全委员会（NSC）的总统特别助理兼网络安全协调员 Rob Joyce 已经向媒体作了简报，称高度相信俄罗斯在攻击背后横插了一脚。英国 NCSC 主管 Ciaran Martin 补充道：攻击可追溯到一年前，不排除俄罗斯可能试图利用这个被黑客攻击的基础设施发起进一步的行动。CERT 报告指出，作为一种执行中间人攻击的手段，黑客意图渗透路由器、交换机、防火墙、以及网络入侵检测系统。

黑客使用的攻击载体，是端口上与网络管理有关的老旧或脆弱协议。据研究人员所述，攻击者利用了以下漏洞：

● 带有未加密协议、或无身份验证服务的设备；

● 安装前就不够坚硬的设备；

● 制造商或供应商不再提供安全补丁（EoL）的设备。

参考链接：http://hackernews.cc/archives/22544

（来源：云天安全搜集整理互联网安全资讯）