2019 年以来，黑客一直在劫持知名的 YouTube 频道。有时他们会广播一些加密货币骗局，有时只是拍卖这些账户的访问权。现在 Google 详细揭露了这些受雇黑客过去几年用于入侵数千名 YouTube 内容作者的技术。

加密货币骗局和账户接管并不罕见；去年秋天的 Twitter 黑客事件就是一个例子。但针对 YouTube 帐户持续不断的攻击却因其广度和黑客使用的方法而引人注目。他们采用的是一种古老的策略，尽管如此，防御却非常棘手。

攻击都始于网络钓鱼。攻击者会向 YouTube 作者发送一封看似来自真实服务的电子邮件——例如 VPN、照片编辑应用程序或防病毒产品，并提出合作建议。他们提议进行标准的促销：向你的观众展示我们的产品，我们将向你支付费用。对于 YouTube 网红来说，这是每天都在发生的交易，网红借此获得收益。

然而点击链接下载产品会将他们带到恶意软件登录站点——而不是真正的交易站点。某些情况下，黑客会冒充 Cisco VPN 和 Steam 等知名网站，或者冒充专注新冠的媒体。Google 表示，它迄今发现了 1000 多个域名，这些钓鱼域名都是为感染不知情的 YouTube 用户建立的。这暗示出了此类攻击的规模。该公司还发现了 15,000 个与这些计划背后的攻击者有关的电邮账户。这些攻击者似乎并不是一伙的；Google 表示，在俄语论坛上有各种黑客都在宣传账户接管服务。

一旦 YouTube 用户下载了恶意软件，它就会从他们的浏览器中获取特定的 cookie。这些“会话 cookie”确认用户已成功登录到他们的账户。黑客可以将这些偷来的 cookie 上传到恶意服务器，让他们冒充已通过身份验证的受害者。会话 cookie 对攻击者来说特别有价值，因为它们不需要再经过登录流程的任何部分。

计算机制造商宏碁证实其在印度的服务器遭到入侵，它在台湾的部分系统也被黑客侵入。自称 Desorden 的黑客组织称从宏碁印度窃取了超过 60 GB 的数据，包括数百万客户的信息、零售商和分销商使用的登陆凭证、以及企业文件和财务报表。黑客还声称从宏碁台湾服务器上窃取到了该公司雇员的信息。宏碁虽然承认遭到入侵，但否认客户数据失窃。Desorden 通常会威胁在黑市出售窃取的数据来进行勒索。

一名黑客窃入侵了阿根廷政府 IT 系统，窃取了全国人口的 ID 数据库，而相关信息正在私下兜售。攻击发生在上个月，目标是国家人口登记处 RENAPER 的数据库。RENAPER 向居民发放国家身份证，它储存了可供政府机构查询 ID 信息的数据库。攻击者本月初首先通过 Twitter 账号 @AnibalLeaks 披露了 44 位阿根廷名人的 ID 卡照片和个人细节，其中包括总统 Alberto Fernández、多名记者和政客，足球明星梅西（Lionel Messi）和阿奎罗（Sergio Aguero）。阿根廷政府之后承认遭到入侵，但否认数据库被窃取。然而有证据显示黑客正在出售 RENAPER 完整数据库的访问权。数据库包含了居民的全名、家庭住址、出生日期、性别、身份证签发和到期日期、劳工身份代码、Trámite 号码、公民号码和政府照片 ID。

对 300 名美国 IT 决策者的调查发现，64% 的回应者是勒索软件攻击的受害者，而其中 83% 受害者支付了赎金。调查还发现，因勒索软件威胁 72% 增加了网络安全预算，93% 专门拨款应对勒索软件威胁。半数回应者称，勒索软件攻击导致他们收入减少和名誉受损，42% 的人称因攻击而丢失了客户，超过 30% 的人称被迫裁员。勒索软件攻击主要是通过邮件、其次是应用程序，第三是云端服务。

俄罗斯勒索软件组织 REvil 今年 7 月突然从暗网消失，但在 9 月再次现身。现在，REvil 的一位运营者 0_neday 在 XSS 论坛上称有人控制了该组织的 Tor 支付入口和数据泄露网站。0_neday 解释说，在 REvil 组织内部只有两个人——他和 Unknown 拥有 REvil 的域名密钥，Unknown 在 7 月消失被认为已经死亡，但上个周末有人用 Unknown 的密钥访问了 REvil 的域名。0_neday 声称 REvil 服务器被入侵，有人正在找他，表示要跑路了，“祝每个人好运”。专家认为，一种可能性是 Unknown “复活”不满意现状，还有一种可能性是在上一次关闭期间政府机构渗透进入了服务器获得了  Unknown 的密钥，决定现在采取行动。

研究人员证明，训练一种专用深度学习算法是可能猜出 41%的 4 位信用卡 PIN 码——即使受害者用手遮住了 ATM 机的键盘。发动攻击需要一个目标 ATM 机的复制品，因为训练算法了解不同密码键盘的特定尺寸和按键间距至关重要。接下来使用在 ATM 键盘上输入密码的视频，训练机器学习模型识别按键动作，猜测出可能的密码组合及其概率。

在实验中，研究人员收集了 5800 段来自 58 个不同地区/人种的人输入 4 位和 5 位 PIN 码的视频。预测模型运行在一台配备 128 GB RAM 的 Xeon E5-2670 以及三张 5GB RAM 的 Tesla K20m 上。通过三次尝试（通常是银行卡被扣留之前被允许的最大尝试次数），研究人员成功猜对了30% 的 5 位和 41% 的 4 位 PIN 码。模型可以根据非输入手的覆盖范围排除按键，评估两个按键之间的距离，从而根据另一只手的动作推测出按下的数字。摄像头的位置非常关键，尤其是在记录左撇子或者右撇子的人的动作时。隐藏在 ATM 顶部的针孔摄像机被认为是攻击者的最佳帮手。如果摄像头还能捕捉音频的话，该模型还能分辨每个数字按键声音反馈的细微差别，从而让预测更加准确。

四足机器人是机器人技术最有意思的发展之一。它们小巧灵活，能穿越轮式机器无法穿越的环境。所以把武器安装在这些机器人上面只是一个时间问题。美国公司 Ghost Robotics 制造的四足机器人 Vision 60 配备了轻武器公司 Sword International 的定制枪。枪本身（被称为 SPUR 或者“专用无人步枪”）的设计是打算安装在各种机器人平台上。它具有 30 倍光学变焦、用于在黑暗中定位的热像仪，有效射程为 1200 米。尚不清楚 Sword International 或 Ghost Robotics 目前是否在销售这种配备了武器的机器人。如果还没有开始的话，应该很快了。正如 Sword 网站上的营销文案夸耀的那样：“SWORD Defense Systems SPUR 是无人武器系统的未来，而那个未来就是现在。”

美国财政部上周五表示，今年前六个月，疑似遭到勒索软件攻击的赎金总额为 5.9 亿美元，比 2020 年全年报告的 4.16 亿美元更高。美国财政部表示，2021 年每月报告的勒索软件赎金交易平均金额为 1.023 亿美元，其中 REvil/Sodinokibi、Conti、DarkSide、Avaddon 和 Phobos 是报告中最常见的勒索软件病毒。为了阻止使用加密货币支付赎金，财政部告诉加密货币圈的成员，他们有责任确保不会“直接或间接”协助受到美国制裁禁令的交易。财政部的新指引说，加密货币行业在防止被列入黑名单的人利用虚拟货币逃避制裁方面，发挥着越来越重要的作用。

Google 委托网络安全公司 VirusTotal 分析了来自 140 个国家的 8000 万勒索软件样本，发布了勒索软件分析报告（PDF）。根据递交的样本数，以色列、韩国、越南、中国、新加坡、印度、哈萨克斯坦、菲律宾、伊朗和英国是受勒索软件影响最严重的十个国家。报告称，2020 年上半年在勒索软件即服务组织 GandCrab 的推波助澜下，勒索软件活动达到了其峰值。研究发现 2020 年第一季度来自 GandCrab 的勒索软件样本非常多，之后开始下降，它今天仍然活跃但其样本数量已经降低了几个量级。GandCrab 占到了 2020 年以来样本数的 78.5%，之后是 Babuk 和 Cerber，分别占样本数的 7.6% 和 3.1%。95% 的勒索软件文件是 Windows 可执行文件或 DLL，2% 是基于 Android。

最近对 Coinbase 用户的网络钓鱼行动表明，攻击者在盗取登录所需的一次性密码（OTP）上更聪明了。它还表明，网络钓鱼攻击者正试图注册数百万个新的 Coinbase 帐户，以找出与活跃帐户绑定的电邮地址。Coinbase 是世界第二大加密货币交易所，拥有来自 100 多个国家的约 6800 万名用户。现已失效的钓鱼网站 coinbase.com.password-reset[.]com（网站的默认语言是意大利语）针对的是意大利 Coinbase 用户。网络安全公司 Hold Security 的创始人 Alex Holden 认为，这个网站可以说相当成功。

他的团队设法发现了钓鱼网站的部分文件目录（目录文件隐藏得很糟糕），其中包括网站的管理页面。如屏幕截图所示，在网站下线之前，网络钓鱼攻击者至少捕获了 870 组凭据。每当有新受害者在钓鱼网站上提交凭据，管理面板都会发出一声响亮的“叮”——大概是为了提醒在网络另一端操纵骗局的人，又有新的“鱼”上钩了。每到这个时候，网络钓鱼攻击者就会手动按下一个按钮，让钓鱼网站向访问者询问更多信息，例如他们在移动应用程序上收到的一次性密码。Holden 表示：“这些人有能力从受害者那里实时索取进入其 Coinbase 帐户所需的任何信息。”按“发送信息”按钮会提示访问者提供其他的个人信息，包括他们的姓名、出生日期和街道地址。有了目标的手机号码，他们还可以点击“发送验证短信”按钮发送一条短信，要求访问者发回一次性密码。这个网络钓鱼组织似乎尝试过用超过 250 万意大利人的电子邮件地址来注册新的 Coinbase 账户，他们用这种方式找出意大利的 Coinbase 用户。他的团队设法恢复了受害者提交给网站的用户名和密码数据，几乎所有提交的电子邮件地址都以“.it”结尾。

此案的网络钓鱼攻击者可能没兴趣注册任何账户。他们知道用任何同现有 Coinbase 帐户绑定的电子邮件地址进行注册都会失败。在尝试了几百万次之后，钓鱼攻击者将新账户注册失败的电子邮件地址收集起来，并给这些邮件地址发送以 Coinbase 为主题的钓鱼电子邮件。Holden 的数据显示，该网络钓鱼团伙采用广撒网的方式，每天会进行数十万次的账户注册尝试。例如，在 10 月 10 日，骗子在Coinbase 的系统中检查了超过 216,000 个电邮地址。第二天他们又尝试注册 174,000  个新账户。

苹果加大力度抨击欧盟起草中的规定，称该规定将迫使其允许用户从其应用程序商店 App Store 之外安装软件，冒着网络犯罪份子和恶意软件带来的风险。苹果一直强烈抨击欧盟竞争事务执委维斯塔格提出的规定，该规定于去年宣布，旨在控制苹果、亚马逊、Facebook 和 Google。基于苹果执行长库克(Tim Cook)6月关于iPhone隐私和安全风险的评论，苹果周三发布了一份分析报告(PDF)，内容是有关于侧载(side-loading)的种种威胁。该报告称，“如果苹果被迫支持侧载，更多有害的应用程序会接触到用户，因为网络犯罪分子更容易锁定他们，即使侧载仅限于第三方应用程序商店。” 研究引用了网络安全服务提供商 Kaspersky Lab 的数据，数据显示每月有近 600 万次攻击影响了 Android 移动设备。

一名女子侵入了佛罗里达州一所飞行培训学校的系统，删除并篡改了飞机相关信息。据警方报告，在某些情况下，之前存在维护问题的飞机已经被篡改为适合飞行。学校的 CEO 称，这可能会将飞行员置于危险之中。现年 26 岁的 Lauren Lide 曾在佛罗里达 Melbourne 飞行培训学校工作，在父亲遭解雇之后，她于 2019 年 11 月底辞去了飞行运营经理的职务。法庭记录显示，几个月后，她侵入了前雇主的系统，删除并篡改了记录，显然是为了报复该公司。当地电视台最先报道了她被捕的消息。Melbourne 飞行培训公司 CEO Derek Fallon 于 2020 年 1 月 17 日报警，他 5 天前登录了公司用于管理和跟踪飞机的应用程序 Flight Circle 系统，发现有信息丢失。Melbourne 机场警方的一份文件显示，Fallon 发现有人删除了存在维修问题的飞机记录，检查提醒也全部被删除了，这意味着可能不安全的飞机被故意设置了适航。

Google 警告了 1.4 万成为国家支持黑客攻击目标的 Gmail 用户，该黑客组织 APT28 aka Fancy Bear 与俄罗斯有关联。Google Threat Analysis Group (TAG)负责人 Shane Huntley 称， Fancy Bear 钓鱼攻击占到了 9 月警告的 86%。他表示通知只是告诉用户他们成为攻击的目标，并不意味着账号被入侵了。

微软称过去一年它检测到的一项黑客行动统计中，来自俄罗斯的攻击占到了 58%，攻击的主要目标是美国政府机构及其智囊团，其它目标包括乌克兰、英国和欧洲北约成员国。微软的报告涵盖的时间是从 2020 年 7 月到 2021 年 6 月，类似 SolarWinds 的供应链攻击让俄罗斯国家支持黑客的成功率提高到了 32%，而此前一年的成功率是 21%。微软报告还指出勒索软件攻击正成为一种日益增长的威胁，美国是遭到勒索软件攻击最多的国家，攻击次数是其它国家的三倍以上。勒索软件攻击主要是出于经济动机，而政府支持黑客攻击主要是获取情报。

一家客户包括 AT&T、T-Mobile、Verizon、沃达丰以及中国移动的公司 Syniverse 证实黑客从 2016 年起多次访问内部数据库。Syniverse 在 1990 年代开发了首个无线 SS7 网络，是全球电信基础设施的关键组成部分。上月底 Syniverse 在向 SEC 递交的文件中透露未知个人或组织入侵了它的 Electronic Data Transfer (EDT) 系统，影响大约 235 名客户。它是在 2021 年 5 月发现了入侵，而攻击始于 2016 年 5 月。它的每一个客户都有数以千万计的用户。

黑客公布了 128 GB 的种子文件，泄露了亚马逊旗下游戏直播平台 Twitch 源代码和客户数据。源代码来自于大约 6000 个内部 Git 库，其 comment 历史可上溯到非常早期，包括移动、桌面和主机客户端版本，私有的 SDK 和其内部使用的亚马逊 AWS 服务，代号为 Vapor 的未发布 Steam 竞争项目，2019 年的主播的支付报告，等等。Twitch 据报道已经知道了这次入侵事件，泄露的数据最早可能是在本周一获取到的。

密码就像是房门钥匙。在网络世界， 密码保护了你个人隐私屋的安全。而强密码就像是正邪之战中的超级英雄，但你不应该把超级英雄的名字作为密码使用。Mozilla 根据  haveibeenpwned.com 泄露的密码统计了超级英雄名字的使用频率：Superman 出现了 368,397 次，Batman 有 226,327 次，Spider-Man 有 160,030 次，Wolverine 和 Ironman 都有数四万到五万次，Wonder Woman 有 2 万次，其他如黑豹和美国队长则只有几百到几千次。Mozilla 警告超级英雄密码也许是你隐私的氪星石。

勒索软件已演变成一种服务，有下线帮助传播恶意程序，并从受害者支付的赎金中获得提成。但最近再次活跃的勒索软件 REvil 被发现含有秘密后门，能让上线的黑客接管与受害者的协商，不给下线提成。在俄语黑客论坛，REvil 的下线抱怨赎金被上线卷走了。一位用户表示早就怀疑 REvil 的策略，他们与一名受害者讨论 700 万美元赎金，但协商突然结束了，他们相信是 REvil 的一名作者使用后门接管了赎金谈判。想要拿回提成是不太可能的，因为这就好像要对斯大林进行仲裁。

HardenedVault 写道 "”复杂性“的概念本身就过于复杂难以简单的解释，而安全领域的从业者则每天都在和"复杂性"打交道，有些威胁和风险相对容易理解和找出已知风险的应对之策，虽然这通常会很耗时，但有些风险并不是那么容易理解，要制定防护措施的难度更甚，Intel ME属于这一类 。早在2008年，Intel就将ME（管理引擎）引入芯片组，它比操作系统具有更高的特权，这意味着操作系统级别的安全检测方案对ME几乎是无效的，更重要的是，绝大部分用户都不知道他们的计算机中有一个独立的“小电脑”存在（请翻阅HardenedVault白皮书中图灵完备性的章节）。安全研究方面，2009 年 Alexander Tereshkin和 Rafal Wojtczuk证明了植入Ring -3 rootkit的可能性（注：在此上下文下“Ring”的概念为，应用：Ring 3，Linux 内核：Ring 0，虚拟化：Ring -1，BIOS/UEFI/SMM：Ring -2，Intel ME： Ring -3）。赛博堡垒近日发布了一份关于Intel ME的风险评估报告，其中对ME的制造模式，威胁模型，防护能力，攻击路径以及漏洞后门等方面进行了详细的描述。"

俄罗斯政府以叛国罪逮捕拘留了 Group-IB（该国最大网络安全公司之一）的联合创始人兼首席执行官 Ilya Sachkov。有关 Sachkov 被拘留的细节尚不清楚，但俄罗斯媒体报道，当局搜查了公司办公室。国家通讯社塔斯社称，周二被捕的 Sachkov 被指控涉嫌将机密信息传输给一个未具名的外国政府。报道称，Sachkov本人否认了这一说法。 Group-IB 公司证实了 CEO 被捕，但是除了公司网站上发布的一份声明之外，公司发言人未就此事发表任何评论，声明称该公司正在等待莫斯科法院的裁决，并对 Sachkov 的清白“抱有信心”。现年 35 岁的 Sachkov 于 2003 年创立了 Group-IB 公司。目前该公司的总部位于新加坡，帮助企业和政府调查网络攻击和在线欺诈，客户包括国际刑警组织、俄罗斯银行和国防企业。