乌克兰人对一个登记酒类经销信息的门户网站 EGAIS 发动了 DDoS 攻击，导致了网站关闭，影响到了伏特加供应。俄罗斯的法律要求伏特加生产商和经销商需要在 EGAIS 上登记其商品。DDoS 攻击导致了网站在 5 月 2 日和 3 日关闭。俄罗斯政府声称网站运行正常，长时间等待是因为访问量太大。据报道一家公司因未能向 EGAIS 上传发票导致其向连锁店和餐馆的伏特加供应因这一事故而中断。

苹果、Google 和微软正在发起一项“联合行动”，目标是“干掉”密码。主流操作系统供应商希望扩大对 FIDO 联盟和万维网联盟创建的通用无密码登录标准的支持。该标准被称为“多设备 FIDO 凭证”或简单称为“Passkey”。新方案并没有采用一长串字符，而是让你正在登录的应用或网站向你的手机推送请求进行身份验证。你需要解锁手机，通过某种密码或者生物特征进行身份验证，然后开始使用。对任何一个已在使用手机双因素身份认证功能的人来说，这个系统听起来有些熟悉，但它是密码的替代品，而不是增加了一个因素。一些推送双因素身份认证系统通过互联网工作，但是这种新的 FIDO 方案使用的是蓝牙。正如白皮书所解释的那样，“蓝牙需要物理接近，这意味着现在我们在身份验证期间，可以用一种能防范网络钓鱼的方式使用用户的手机。”蓝牙在兼容性方面的口碑很糟糕，我不确定“安全性”是否一直是一个真正的问题，但是FIDO联盟说的是蓝牙只能“在物理接近的情况下验证”，而实际登录过程“并不依靠蓝牙的安全属性”。当然这意味着两台设备都需要有蓝牙功能，大多数智能手机和笔记本电脑都具备这一功能，但是对于比较老的台式电脑来说可能是一个难题。

Salesforce 旗下的 PaaS 服务 Heroku 披露了上个月遭到黑客入侵的细节。入侵发生在 4 月 7 日，攻击者访问了 Heroku 的一个数据库，下载了储存的客户 GitHub 集成 OAuth 令牌。4 月 8 日攻击者开始利用下载的 OAuth 令牌枚举客户软件库相关的元数据。4 月 9 日攻击者下载了 Heroku 的私有库子集，其中含有部分 Heroku 源代码。GitHub 在 4 月 12 日发现了攻击者的活动，次日通知了 Salesforce。4 月 16 日，Heroku 撤销了所有 GitHub 集成 OAuth 令牌。之后的调查还发现相同的令牌被用于窃取客户账号的哈希和加盐密码。Heroku 所有客户的密码随后被重置，并轮换了内部凭证。

Onyx 勒索软件最近“崭露头角”，攻击者采用其他勒索软件组织常用的方法：先窃取数据再加密，窃取的数据被用于二次勒索。安全研究员 MalwareHunterTeam 对获得的加密程序样本进行分析，发现勒索软件会用随机数据覆写容量大于 200MB 的文件，加密容量小于 200MB 的文件。这意味着受害者支付赎金之后容量大于 200MB 的文件仍然会无法恢复，因此不建议受害者支付赎金。

今天训练机器学习模型使用的计算资源庞大无比，越来越多的地方将模型训练和开发外包给 Amazon Sagemaker 和 Microsoft Azure 等机器学习即服务（MLaaS）平台。按照 Ken Thompson 在 40 年前演讲的说法，你可以通过投放数据测试新模型是否按照你的预期工作，但怎么知道你可以信任它，知道它不会使用内置的后门作恶？研究人员证明，将无法检测出的后门植入机器学习模型是可能的。根据发表在预印本平台 arXiv 上的论文： 从表面上看，带有后门的分类器行为正常，但实际上该学习器保留了一套可以改变任何输入分类的机制，只要轻微的扰动。重要的是，没有正确的“后门密钥”，该机制就是隐藏的，任何计算受限的观察者都无法检测到它。研究人员展示了多种方法可以植入无法检测的后门，因此如果你拿到的是原始版本且有后门的黑盒的访问权限，那么在计算上甚至找不到他们对哪个输入动了手脚。

安全公司 Mandiant 分析了 2021 年 0day 漏洞利用。0day 漏洞是指在发现时未修复或此前未知，因此在修复补丁释出前会有一个时间空挡，黑客可乘着空挡利用漏洞发动攻击。2021 年共发生了 80 起 0day 漏洞利用案例，比 2020 年和 2019 年之和还要多 18 起，其中中国黑客利用了 8 个，俄罗斯用了 2 个，朝鲜用了 1 个。最著名的案例是黑客组织 Hafnium 使用了微软 Microsoft Exchange 服务器的 4 个 0day 访问西方组织的电邮通信。勒索软件组织 HelloKitty 利用了 SonicWall SMA 100 VPN 的 1 个 0day。微软、苹果和 Google 软件的 0day 利用占到了所有攻击的四分之三。

安全公司 Check Point 的研究人员发现了一个高危漏洞允许攻击者控制数百万计的 Android 设备。该漏洞属于越界漏洞，存在于 ALAC—Apple Lossless Audio Codec—编解码器中。ALAC 是苹果在 2004 年推出的音频格式，用于提供无损音频。苹果多年来一直在更新自己的私有版本修复安全漏洞，而高通和联发科则使用了一个开源版本，但这个开源版本自 2011 年以来就没有更新过。绝大部分 Android 设备都使用高通或联发科的移动芯片组。黑客可利用该漏洞强迫解码器执行恶意代码。研究人员估计 2021 年销售的智能手机中有三分之二存在该漏洞。高通和联发科去年就释出了补丁，如果 Android 设备的最新补丁是在 2021 年 12 月之后，那么漏洞已经修复。

Google Project Zero 回顾了 2021 年 Android 平台发现的 0day 漏洞。7 个 0day 中有 5 个针对的是 GPU 驱动，如果对 Android 生态系统及其碎片化有所了解的话，这一结果并不令人惊讶。Android 生态系统是相当零碎的，有众多不同的版本，不同的厂商定制。攻击者如果想要拥有攻击 Android 设备的能力，将需要维护很多不同的漏洞才能覆盖相当大比例的 Android 设备。但如果攻击者选择针对 GPU 内核驱动，那么他们只需要两个漏洞。因为绝大部分 Android 设备使用两种 GPU 之一：高通 Adreno GPU 或 ARM Mali GPU。

联想释出最新固件修复三个 UEFI 漏洞。三个漏洞都是 ESET 的研究人员发现的，其中两个允许攻击者关闭储存 UEFI 固件的 SPI 闪存芯片的安全保护，关闭 UEFI Secure Boot 功能。第三个漏洞则允许本地攻击者提权执行任意代码。三个漏洞影响超过 100 个型号联想笔记本电脑，其中包括 IdeaPad 3、Legion 5 Pro-16ACH6 H 和 Yoga Slim 9-14ITL05，受影响用户数以百万计。攻击者需要从本地利用这些漏洞，因此利用的门槛相当高。尽管如此，用户应该尽快更新固件。

加拿大多伦多大学公民实验室称，有证据显示英国政府官员成为以色列间谍软件 Pegasus 的攻击目标，其中包括首相官邸所在的唐宁街十号。它已经将这一发现报告给了英国政府。另一个受攻击目标是外国联邦和发展办公室（Foreign Commonwealth and Development office）。被怀疑发动攻击的人与阿联酋、印度、塞浦路斯和约旦有关联，首相官邸的间谍软件感染与阿联酋有关。NSO Group 销售 Pegasus 需要获得以色列国防部的批准，而在销售之后该公司也会密切监视客户对间谍软件的使用，但越来越多的证据显示，根本不存在所谓的“密切监视”。

美国联邦机构 CISA、NSA、FBI 和能源部联合发表声明，对政府支持黑客攻击工业控制系统发出警告。警告称，黑客能使用定制模块化恶意软件扫描、破坏和劫持工业控制系统（ICS）和监测控制和数据采集（SCADA）设备。有可能被破坏和劫持的设备包括施耐德电气的 MODICON 和MODICON Nano PLC，欧姆龙 Sysmac NJ 和 NX PLC，以及 Open Platform Communications Unified Architecture (OPC UA)服务器。过去几年，越来越多的有政府背景的黑客选择以工控系统作为攻击目标，而工控系统是基础设施的重要组成部分。

过去 50 天乌克兰对俄罗斯士兵执行了 8000 多次面部扫描，然后根据结果联络了数百名家属。乌克兰使用的是美国公司 Clearview AI 的面部识别软件。Clearview AI 向乌克兰免费提供了它的服务，它的数据库有十分之一的数据来自于俄罗斯最大的社交网络。

Google 释出紧急更新修复 Chrome 浏览器的两个漏洞，其中之一是正被攻击者利用的 0day 漏洞。这是今年至今 Google 第三次释出紧急更新。编号为 CVE-2022-1364 的漏洞属于类型混淆漏洞，此类漏洞是指程序用一种类型分配资源，但之后用一种不兼容的类型访问资源，在 C 或 C++ 语言中该漏洞会导致内存访问越界。该漏洞可能会导致浏览器崩溃或触发逻辑错误，攻击者可利用该漏洞执行任意代码。

思科披露了一个高危等级 10/10 的漏洞 CVE-2022-20695，影响其 Wi-Fi 管理软件 Wireless LAN Controller (WLC)。思科称，漏洞是因为 密码检查算法的不正确实现导致的，攻击者可以通过构造凭证利用漏洞登陆受影响的设备。受影响的思科设备需要尽快更新到最新版本。

微软 Detection and Response Team (DART) 和 Threat Intelligence Center(MTIC) 的研究人员披露了黑客组织 Hafnium 如何利用 Windows 任务调度程序植入持久性后门的方法。任务调度程序通常被 IT 管理员用于自动化琐碎的任务如更新程序、整理文件系统和启动特定应用。黑客滥用该功能创建隐藏任务，让被入侵的设备在重启之后仍然能远程访问：一旦重启，隐藏任务会与 Hafnium 的指令服务器重新建立后门连接。为了隐藏该任务，恶意程序通过令牌盗窃获得 SYSTEM 级权限，删除任务的安全描述项注册表值，在 GUI 和任务调度中将会看不到该任务，只有手动检查注册表才能发现隐藏任务。

名叫 NB65 的黑客组织过去一个月使用 Conti 泄露的勒索软件源代码创建自己的勒索软件去攻击俄罗斯公司。俄罗斯机构很少受到勒索软件攻击，这种情况被认为是出于一种默契，俄罗斯黑客通过不攻击本国机构而让执法机构对外国的攻击视而不见。NB65 攻击的机构包括了 Tensor、俄罗斯宇航局、电视广播公司 VGTRK 等。其中对 VGTRK 的攻击最引人注目，黑客窃取了 786.2 GB 数据，包括 900,000 电邮和 4,000 文件，发布在 DDoS Secrets 网站上。Conti 的源代码是在该组织公开支持俄罗斯后被支持乌克兰的成员泄露的。

2 月 24 日在俄罗斯攻击乌克兰的同一时间，Viasat 公司位于欧洲和乌克兰的卫星终端突然离线，德国数千风力涡轮机失去了用于远程控制和管理的卫星网络。本周 Viasat 提供了这起安全事故的更多细节。攻击者利用了 VPN 访问了该公司的 KA-SAT 卫星网络，通过搜索其内网找到了管理和运营的特定网络，同一时间向用户的调制解调器发送破坏指令覆写 Flash 存储器。根据上传到 VirusTotal 的样本，擦除器恶意软件是通过恶意固件更新推送给用户的。换句话说这本质上是又一起供应链攻击事故。

GitLab 修复了一个高危漏洞，该漏洞影响 GitLab Community Edition (CE) 和  Enterprise Edition (EE)，允许远程攻击者使用硬编码密码控制用户账号。硬编码密码 123qweQWE!@#000000000 是意外加入到代码中，GitLab 督促用户立即升级到最新的 14.9.2、14.8.5 或 14.7.7 版本以防止潜在的攻击。它还重置了部分用户的密码，表示尚未发现有证据显示攻击者利用该漏洞控制用户账号，此举旨在防患未然。

苹果周四释出了补丁修复了两个 0day 漏洞。漏洞是由一名未公开名字的研究人员发现的：第一个漏洞 CVE-2022-22675 位于 macOS Monterey 和 iOS 或 iPadOS 中，与越界写（out-of-bounds write）问题有关，允许黑客使用内核权限执行恶意代码；第二个漏洞 CVE-2022-22674 也是与越界写问题有关，会导致内核内存泄露。苹果表示这两个漏洞可能正被利用。CVE-2022-22674 和 CVE-2022-22675 是苹果今年修复的第 4 和第 5 个 0day 漏洞。

因俄罗斯电信公司 RTCOMM 的 BGP 配置错误，部分 Twitter 的流量短暂路由经过俄罗斯。周一的这起事故持续了约 45 分钟，直至 RTCOMM 停止广播错误路由为止。网络分析公司 Kentik 的 Doug Madory 认为这起事故的起因是俄罗斯政府试图阻止本国网民访问 Twitter，但可能是由于意外，RTCOMM 的变更路由影响到了整个互联网。他认为 RTCOMM 试图通过修改 BGP 丢弃特定 IP 范围内的流量，接受错误 BGP 广播的 ISP 会将特定 Twitter IP 空间路由到俄罗斯，然后被丢弃。他不认为俄罗斯尝试发动中间人攻击。