黑客被发现入侵 WordPress 网站植入恶意脚本，利用网站访客对多个乌克兰域名发动 DDoS 攻击。被攻击的网站包括乌克兰政府机构、智库、International Legion of Defense of Ukraine 的招募网站等。当用户访问被植入恶意脚本的网站，浏览器会加载脚本对被攻击域名发出 HTTP GET 请求，并发连接数一次最多 1000 次。DDoS 攻击发生在后台，用户察觉不到，最多感觉到浏览器访问缓慢。安全研究员 Andrii Savchenko 称有数百个 WordPress 网站植入了这一恶意脚本。

匿名者黑客组织（Anonymous）声称窃取并泄露了雀巢的大量数据。雀巢予以否认，称数据实际上是几周前自己泄露的。Anonymous 本周声称从这家全球食品和饮料集团窃取并泄露了 10GB 的数据。Anonymous 表示，它在惩罚雀巢，因为它不愿撤出俄罗斯。Anonymous 称，这些数据包括内部电子邮件、密码和雀巢的客户信息，数据于周二发布到网络上。根据雀巢发言人的说法，这完全是谎言。“最近关于雀巢遭到网络攻击以及随后的数据泄露的说法是没有根据的。”这位发言人解释说，网上流传的大量数据实际上是该公司今年早些时候犯下的一个错误的产物：“这与二月份的一个事件有关，因为无心之失，一些随机且主要是公开可用的 B2B 测试数据短时间内可以在线访问。”公司发言人解释说，这些数据，其中一些已公开，另一些尚未公开，意外地在互联网上公开了数周。该发言人表示：“一些主要公开的数据（例如，公司名称和公司地址以及一些企业电子邮件地址）在有限的时间（几周）内错误地在网络上公开。我们的安全团队当时检测到了这个问题，并进行了适当的审查。这些数据是为 B2B 测试网站准备的，目的是为了进行一些功能检查。”

英国警方逮捕了与 Lapsus$ 黑客组织有关联的 7 名嫌疑人。他们的年龄在 16 到 21 岁，现已经释放，警方表示调查还在继续。在这之前，一名住在英国牛津的少年被怀疑是 Lapsus$ 的主谋。这位名叫 WhiteDoxbin 的少年曾购买了一个专门曝光和分享个人身份信息的网站 Doxbin，但因为管理不善最终将网站转让给了原拥有者，但在放弃前他通过 Telegram 公开了整个 Doxbin 网站数据集，作为报复 Doxbin 社区公开了 WhiteDoxbin 的个人信息，包括家庭地址、社会媒体照片，其父母的信息。警方没有确认这位少年是否在被捕名单之中。Lapsus$ 的活动都是在 Telegram 频道进行，几乎没有掩盖其痕迹。

Lapsus$ 组织最近成功入侵了多家知名企业，其中包括英伟达和微软。安全研究人员在调查后认为，住在英国牛津与母亲生活在一起的 17 岁少年是 Lapsus$ 的主谋。Lapsus$ 窃取到了部分微软产品源代码，但源代码的下载并没有完成，黑客在完成下载前就在其 Telegram 频道披露了消息，让微软有机会终止下载。LAPSUS$ 的活动至少是从 2021 年 11 月开始，一名核心成员使用了化名 Oklaqq 和 WhiteDoxbin 在 Reddit 上招募企业内部人士，以一周最高付费 2 万美元进行收买。LAPSUS$ 没有建立暗网网站，其运作完全是通过其 Telegram 频道。WhiteDoxbin 曾收购了一个专门曝光个人身份信息的网站 Doxbin，但因为管理不善最终将网站亏损转让给了原拥有者，但在放弃前他通过 Telegram 公开了整个 Doxbin 网站数据集，作为报复 Doxbin 用户公开了 WhiteDoxbin 的个人信息，包括从他家外面拍摄的视频。Doxbin 用户透露 WhiteDoxbin 通过买卖 0day 漏洞发家，积累了超过 300BTC，价值约 1400 万美元。由于他的年龄只有 17 岁，尚未受到正式指控，媒体没有公开他的名字，但去了他的家询问了他的母亲。其母表示对其活动不知情，表示家庭受到骚扰，拒绝让儿子接受采访，称正在联络警方。Lapsus$ 的另一名成员被认为是住在巴西的少年。

安全公司 Avast 的研究人员发表报告《Operation Dragon Castling》，称攻击者利用金山办公软件 WPS Office 的漏洞，攻击东南亚尤其是台湾香港菲律宾的博彩公司。鉴于攻击者的娴熟技术和使用的先进工具，研究人员怀疑是某个 APT 组织在搜集情报或获取经济利益。攻击者使用的策略包括向目标公司的支持团队发送邮件，要求他们检查软件的 bug，邮件附带了一个感染了病毒的安装程序。攻击者使用的另一种方法是假的 WPS 更新程序 wpsupdate.exe，该更新程序从属于金山的域名 update.wps[.]cn 下载，但域名对应的 IP 地址 103.140.187.16 不属于金山公司所有。研究人员猜测是它是攻击者使用的假更新服务器。该更新程序会通过侧加载（sideloading）安装两个恶意程序建立后门控制被感染计算机。

在黑客公布内部环境的屏幕截图之后，身份认证管理服务商 Okta 证实遭到 Lapsus$ 组织的入侵。首席安全官 David Bradbury 称黑客可能访问了大约 2.5% 的客户数据。Okta 有超过 1.5 万家客户，2.5% 相当于 375 家。Okta 的客户包括亚马逊、苹果和微软等科技巨头，每一家公司都有数以万计的员工，因此受影响的人数可能相当多。 Lapsus$ 刚刚入侵了微软服务器窃取了微软多个产品的源代码，微软已经证实了此事，称攻击者是利用了电话社会工程技术。

Lapsus$ 黑客组织宣称入侵了微软内部的 Azure DevOps 服务器，窃取到 Bing、Cortana 等微软内部项目的源代码。Lapsus$ 随后公开了一个解压后有 37GB 大小的压缩文件，包括了 Bing 90% 的源代码，Bing Maps 和 Cortana 项目 45% 的源代码。研究过泄密文件的安全研究人员认为它们是真实的内部源代码。泄露源代码不涉及微软的桌面软件如 Windows、Windows Server 和 Microsoft Office。微软表示正对此事展开调查。Lapsus$ 最近完成了多次高调的入侵行动，攻击了多家知名企业，其中包括英伟达，暂时不清楚它是如何入侵的，有安全研究人员怀疑它收买了相关企业的内部人士。

FIDO 联盟董事会成员包括 Amazon、Google、PayPal、RSA、Apple 和微软（以及 Intel 和 Arm）。该组织将其使命描述为减少世界“对密码的过度依赖”。FIDO 发布了一份白皮书，阐述了愿景，即解决困扰无密码功能可用性的问题，这些问题阻碍了推广。

这份白皮书是概念性而非技术性的，经过多年的投资，在将 FIDO2 和 WebAuthn 无密码标准集成到Windows、Android、iOS 等系统中后，现在取决于下一步的成功。FIDO 正寻找让无密码方案难以前进的核心问题。结论是一切都要归结为切换或添加设备的程序。例如如果设置新手机的过程过于复杂，又没有简单的方法可以登录你所有的应用程序和帐户，或者你必须使用密码重新建立对这些帐户的所有权，那么大多数用户都会觉得改变现状太麻烦了。

无密码 FIDO 标准依赖设备的生物识别扫描仪或者主 PIN 码在本地验证身份，无需将数据通过互联网传输到网络服务器进行验证。FIDO 认为，最终解决新设备问题的关键概念是让操作系统实现“FIDO 凭据”管理器，类似于内置的密码管理器。这种机制不会直接存储密码，而是存储可以在设备之间同步并由设备的生物识别或者密码锁保护的加密密钥。在去年夏天全球开发者大会上，苹果宣布了自己的 FIDO 版本，这是一项被称为“Passkeys in iCloud Keychain”的 iCloud 功能，苹果称这是“对后密码世界的贡献。

FIDO 的白皮书还包含了另一个部分，是对其规范的拟议补充，允许现有的设备（如笔记本电脑）充当硬件令牌，类似于独立的蓝牙身份验证加密狗，通过蓝牙提供物理身份验证。这个想法实际上仍然是防御网络钓鱼，因为蓝牙是一种基于邻近的协议，可以作为一种有用的工具，根据需要开发出不同版本的、真正的无密码方案，这些方案都无需保留备份密码。Google 产品经理 Christiaan Brand 专注于身份和安全以及在FIDO项目上的合作，他表示，密码式的计划在逻辑上遵循智能手机或多设备无密码未来的图景。Brand表示：“老实说，我们一直牢记‘让我们超越密码’这个宏伟愿景的最终状态，只有每个人口袋里都有手机，它才能实现。”对 FIDO 而言，当务之急是转变帐户的安全范式，使网络钓鱼成为过去。当被问及情况是否真的如此时，密码的丧钟是否真的最终敲响，Brand 变得严肃起来，但他毫不犹豫地回答：“我觉得一切都在聚拢。”

过去几年发生了多起加油站油泵被入侵，数百甚至数万加仑的汽油被盗的安全事件。油泵和家用路由器一样存在安全隐患。卡巴斯基研究人员在 2018 年发现部分油泵使用的嵌入式控制器让它容易被黑客控制。控制器单元运行基于 Linux 的系统，安装了一个迷你 httpd 服务器。控制器是加油站的核心，它们很多都年代久远，是在十多年前安装到加油系统中的，而且与互联网相连。研究人员认为，一名技术精湛的黑客能从世界任何地方进入加油系统。

一位 NPM 包维护者为抗议俄罗斯入侵乌克兰而故意搞破坏，制造了最新一起供应链攻击安全事故，凸显了代码中的依赖传递会对安全产生巨大影响。RIAEvangelist 维护的 node-ipc 非常受欢迎，周下载量超过一百万。维护者创建了名为 peacenotwar 的模块表达抗议，该模块几乎无人下载，但他随后将 peacenotwar 作为 node-ipc 的依赖推送给了下游用户，受影响版本为 node-ipc@10.1.1 和 node-ipc@10.1.2，目前这两个版本都已经废弃。

广泛使用的加密库 OpenSSL 发现了一个可远程利用的高危漏洞。计算模平方根的 BN_mod_sqrt() 包含 bug 会导致无限循环，它能用于发动拒绝服务攻击。OpenSSL 项目释出了 OpenSSL 3.0.2 和 1.1.1n 修复了漏洞。该漏洞是由 Google 安全研究员 Tavis Ormandy 在 2 月 24 日报告的，Google 的 David Benjamin 和 OpenSSL 项目的 Tomáš Mráz 开发了补丁。

2015 年乌克兰电网因网络攻击导致基辅等地区断电数小时，此后美国一直在帮助乌克兰加强网络防御。去年 10 月 和 11 月，美国派遣了更多人去帮助乌克兰保护基础设施，其中部分人员为美国陆军 Cyber Command 的士兵。此次加派人员是为了应对即将爆发的战争。美国人担心俄罗斯在战争前夕会秘密在乌克兰网络中植入休眠的恶意程序，战争爆发的同一时间激活和发动毁灭性的网络攻击。美国的这一行动有助于解释为什么乌克兰的网络基础设施至今安然无恙。乌克兰和美国官员将这一行动描述为防御性的。由美国士兵和平民组成的网络任务小组在乌克兰铁路局发现并清除了一种设计抹掉数据的恶意程序，它能通过指令删除关键文件瘫痪整个计算机网络。在战争爆发后的十天内，乌克兰有近百万平民是通过铁路网逃到安全地带。在乌克兰网络遭到 DDoS 攻击之后，美国团队在数小时内安排并部署了 Fortinet 公司的软件。

美国周三和周四先后引渡了两位勒索软件黑帮的嫌疑犯。22 岁的乌克兰人 Yaroslav Vasinskyi 是在去年 8 月入境波兰时被捕的，本周三引渡到美国，他所受到的指控最长刑期高达 115 年，他被认为要对去年 7 月针对美国远程管理公司 Kaseya 的供应链攻击负主要责任，这次攻击感染了 800 到 1,500 家依赖于 Kaseya 软件的机构，Vasinskyi 合作的勒索软件组织 Sodinokibi/REvil 要求受害者支付 7000 万美元的赎金。34 岁的加拿大魁北克居民 Sebastien Vachon-Desjardin 周四引渡到美国，他是在去年 1 月被捕的，被控通过参与 NetWalker 勒索软件活动获得了超过 2700 万美元。加州大学旧金山分校是 NetWalker 的受害者之一，它为解密数据支付 114 万美元赎金。

研究人员警告，网络犯罪分子正在利用一种新方法将 DDoS 攻击流量放大 40 亿倍。DDoS 放大攻击非常受网络罪犯的欢迎，它可以大幅减少发动攻击所需的计算资源。最早的放大攻击是利用错误配置的 DNS 服务器，能将攻击流量放大 54 倍，较新的放大攻击方法包括利用 Network Time Protocol 服务器(放大约 556 倍)、Plex 媒体服务器( 5 倍)、Microsoft RDP (86 倍)、Connectionless Lightweight Directory Access Protocol ( 50 倍)等。此前最大的 DDoS 放大攻击是 memcached，能将流量放大最高 5.1 万倍。最新的攻击利用的是错误配置的 Mitel，它能放大 40 亿倍的原因之一是大幅延长攻击时间。一个欺骗性的数据包可以诱发持续时间长达 14 小时的 DDoS 攻击，数据包放大率达到了创纪录的 4,294,967,296:1。

360 集团创始人周鸿祎表示，在万物互联时代，中小微企业是供应链攻击的“跳板”，极有可能成为国家数字安全的缺口。周鸿祎说，中小微企业是国家经济的“毛细血管”，既是税收和就业的“半壁江山”，也是产业供应链体系的重要一环。然而，中小微企业数字安全基础薄弱、重视不足，如果在数字化的同时没有补足安全短板，黑客组织就能以中小微企业为跳板，针对大型企业、政府和关键信息基础设施发起供应链攻击，造成重大安全事件。温州一家超市今年年初就受到勒索病毒攻击——黑客向其索要 0.042 枚比特币（总价值约 12000 元）作为赎金，且支付赎金后黑客并未恢复超市数据，严重影响正常运转。

Web 托管公司 IONOS 的 Max Kellermann 在多次收到客户投诉日志服务器上的日志文件损坏之后展开了调查，发现 Linux 内核存在一个高危漏洞，与数年前曝出的 DirtyCow 提权漏洞类似，但更容易利用。他将该漏洞命名为 dirty pipe。dirty pipe 存在于 Linux 5.8 之后的版本中，是未初始化变量导致的，它允许任何人向任意文件写入数据，即使文件是 O_RDONLY 或不可改变。它能被用于向任意进程注入代码。Linux 5.16.11、5.15.25 和 5.10.102 修复了该漏洞。

Google 官方博客介绍了乌克兰相关的网络战。Google 称它的安全团队 Threat Analysis Group (TAG)过去十二个月向乌克兰用户发出了数百次政府支持黑客攻击警告，通知用户他们成为政府黑客的攻击目标。过去两周 TAG 监测到了已知黑客组织发起的钓鱼和间谍活动。与俄罗斯情报总局有关联的黑客组织 FancyBear/APT28 对乌克兰媒体 ukr.net 的用户发起了钓鱼攻击；白俄黑客组织 Ghostwriter/UNC1151 对波兰乌克兰的政府和军方组织发起了钓鱼攻击；Mustang Panda/Temp.Hex 对欧洲组织发起钓鱼攻击，攻击者发送的附件使用了 Situation at the EU borders with Ukraine.zip 之类的名字；乌克兰政府网站和 Liveuamap 等遭到 DDoS 攻击。

英国皇家霍洛威大学和意大利卡利亚里大学的研究人员发现可利用亚马逊智能音箱 Amazon Echo 自己的扬声器发出语音命令，迫使其打开门，拨打电话和进行未经授权的购买，以及控制其它智能电器。研究人员发现，在唤醒词之后紧跟着一个可执行的命令，Amazon Echo 就会执行它，执行敏感命令需要口头确认，但只要在发出命令 6 秒后加上 yes 就能绕过。这一攻击被研究人员称为 Alexa vs. Alexa（或 AvA）。研究报告发表在预印本网站 arxiv 上。亚马逊已经释出了补丁修复了漏洞。

微软 Windows 操作系统自带的安全软件 Windows Defender 对绝大部分人而言在安全保障方面已经足够强了。安全软件不存在完美的解决方案，无论安装了免费的还是付费的杀毒软件，用户的计算机仍然会感染病毒。人是安全防御中最薄弱的一环，无论多安全多昂贵的系统人这一关突破了那么整个系统也就畅通无阻了。Windows Defender 虽然简单，但只要加固一下它能比得上任何安全软件。加固的方法包括创建本地组策略设置、启用微软的加强版实时保护 Microsoft Advanced Protection Service (MAPS)等等。

Mozilla 释出紧急更新 Firefox 97.0.2，修复了两个正被利用的 0day 漏洞，Firefox 用户应尽可能快的升级。其中一个漏洞是 CVE-2022-26485，为 XSLT 参数处理中的释放后使用（Use-after-free）漏洞，正被攻击者用于远程代码执行；第二个漏洞是 CVE-2022-26486，为 WebGPU IPC 框架中的释放后使用漏洞，被用于沙盒逃逸。释放后使用漏洞是指一个应用程序本应释出其占用的内存供其它应用程序使用，但因为 bug 导致该应用程序仍然继续使用或占用内存。