一波旨在提振乌克兰的网络攻击可能会产生意想不到的后果。

周四，黑客破坏了俄罗斯空间研究所的一个网站，并泄露了他们声称从俄罗斯航天局 Roscosmos 窃取的文件。他们的讯息？“别管乌克兰了，否则匿名者会让你更上瘾。” 与此同时，一场 DDoS 攻击重创了俄罗斯的 .ru “顶级域”，其目的是从根本上切断对所有以 .ru 结尾的 URL 的访问。这些只是支持乌克兰的黑客活动激增的最新事件。

反对俄罗斯选择与乌克兰开战的抗议活动已在世界各地举行，其中包括在俄罗斯的 48 个城市。国际社会通过加密货币捐赠为乌克兰筹集了数百万美元，从壳牌和英国石油公司到苹果公司的私营公司已暂时或永久退出俄罗斯市场。在浩劫中，黑客主义者加入了喧嚣，试图发表声明并推进他们的事业。
多年来，俄罗斯对乌克兰发动了一系列侵入性和破坏性的 网络攻击。最近几天，俄罗斯发起了战争，用 DDoS 攻击攻击乌克兰机构，并唤醒数百台乌克兰计算机上的数据擦除恶意软件。乌克兰本身已经开始努力聚集一支由来自世界各地的平民黑客组成的志愿“IT军队” ，以协助其战斗，以及传统的征兵制。尽管如此，随着该地区的冲突升级为暴力事件，北约国家对俄罗斯实施严厉的经济制裁，黑客行为主义数据泄露、网站破坏和网络攻击已成为最明显的攻击之一，如果不一定是最有影响的，数字战场。

专家说，黑客行动主义和积极战争的结合造成了一幅混乱的画面。一些人警告说，黑客行动主义可能导致意外升级或危及情报行动。其他人则认为，与和平时期相比，活跃的战斗时期会使黑客行动无效，而且在很大程度上只是分散注意力。

“这是两个国家之间的高强度武装冲突，动能战争严重，平民伤亡和物理破坏，”独立网络安全研究员、红十字国际委员会前网络战顾问 Lukasz Olejnik 说。“老实说，这张照片中的黑客行动主义可能会发生什么变化？此外，大多数关于黑客行动主义的报道充其量是无法证实的。它们在社交媒体和传统电子媒体上被高度放大，但实际效果如何？”

如果不出意外，黑客行动主义的努力已经非常明显了。随着俄罗斯周四开始入侵乌克兰，黑客组织 Anonymous 在推特上表示，它“正式与俄罗斯政府进行网络战”。该组织声称对一些网站的访问进行了短暂的破坏，包括国家控制的俄罗斯新闻机构 RT、俄罗斯石油巨头俄罗斯天然气工业股份公司、克里姆林宫本身和其他俄罗斯政府机构的访问。海上跟踪数据遭到破坏，导致普京的游艇在海上跟踪数据中被更名为“FCKPTN”。不久之后，两个名为“Anonymous Liberland”和“Pwn-Bär Hack”的组织泄露了价值约 200 GB 的涉嫌电子邮件。白俄罗斯武器制造商 Tetraedr。

周一，该团体声称又一波网站遭到破坏，称其在一些新闻网站上发布了反战覆盖，包括俄罗斯报纸Kommersant以及国营媒体 TASS 和 RIA Novosti。

黑客活动早于实际战争。一个名为白俄罗斯网络游击队的组织于 1 月底袭击了白俄罗斯的铁路系统，最近声称再次袭击。最初倡议的目标是减缓俄罗斯在乌克兰边境的部队集结；本周，该组织表示，它想扰乱俄罗斯的军事行动。

“我们继续帮助乌克兰人对抗俄罗斯占领军，”该组织周日在推特上写道。“铁路受到攻击。… 手动控制模式已启用，这将减慢列车的移动速度，但不会造成紧急情况。不会危及普通市民！”

Cyber​​ Partisans 发言人 Yuliana Shemetovets 告诉《连线》杂志，该组织最近几周有所增长。“自战争开始以来，有五个新人，白俄罗斯人加入了该组织，”她说。“还有待核实的名单上。”

与此同时，Conti 和 CoomingProject 勒索软件组织上周宣布效忠俄罗斯。不久之后，孔蒂的 6 万多条内部信息被泄露，同时还有“荣耀归于乌克兰！”的信息。这些宝藏可能是由 Conti 关联公司泄露的，揭示了该组织的组织方式和运作方式的详细信息。周三，Conti似乎正在拆除其基础设施，这证明了黑客行动主义可能产生的影响，无论此类抗议是否直接影响了战争的进程。

周四，Trustwave SpiderLabs 的安全研究人员还发布了 调查结果，称亲俄罗斯实体 JokerDNR 一直在发布旨在让乌克兰官员尴尬的博客文章，甚至声称通过发布所谓的姓名、地址和其他联系信息。

许多安全公司和其他组织已经发布了免费版本的数字防御工具或扩展了他们的免费产品，以帮助乌克兰人保护他们的网络。例如，谷歌表示，其以人权为重点的 DDoS 保护服务 Project Shield 目前已被 150 多个乌克兰网站使用。

黑客主义者并不是唯一左右泄漏数据的人。周二，乌克兰《真理报》公布了大量个人数据，据称确定了部署在乌克兰的大约 120,000 名俄罗斯士兵。乌克兰的 IT 军队一直在努力以更有组织和战略性的方式采用一些黑客活动技术。

“DDoS 一切都很好，但它是一种钝器，”一位名为“November”的 IT 军队参与者告诉《连线》。“我们希望更加精确，仔细选择我们的目标，避免对生计造成任何附带损害和俄罗斯公民的福祉。我们主要关注的是通过任何可能的方式打击俄罗斯关于冲突的虚假信息，并提供高质量的开源情报以保护乌克兰人的生命。”

在乌克兰入侵这样的情况下，黑客行动主义弊大于利。一些研究人员指出，黑客行动主义的最坏情况是意外升级冲突或被一方或另一方用作升级的借口的事件或一系列攻击。

此外，通过提请注意高灵敏度网络和数字平台的网络安全缺陷，黑客活动分子可能会无意中暴露已经潜伏在那里的友好情报力量。

“从本质上讲，黑客行动总是很响亮，而从本质上讲，情报通常是安静的，”事件响应者和前美国国家安全局黑客杰克威廉姆斯说。“善意的黑客行动主义者大声喧哗可能会在不知不觉中将安全部队引向可能一直在该网络中进行并在雷达下飞行的情报行动。因此，由于对黑客活动的调查，他们基本上被曝光并失去了访问权限。”

该情报部队使用的一些黑客工具也可能在这种情况下暴露出来，从而降低它们的用处。

威廉姆斯补充说，当间谍在战斗情况下无法访问他们想要或需要的信息时，他们被迫尝试尽可能地重新建立这种访问权限。为了快速完成工作，个人可能会冒更大的风险暴露自己或使用以后可能会暴露的黑客工具。

“当地上有靴子，当有子弹飞来飞去时，它绝对改变了关于黑客行动主义是否是净积极的计算，”他说。“话虽如此，如果我是乌克兰人，我可能会从俄罗斯的东西上挖出地狱，我不太关心西方的长期情报能力。”

Linux 还有另一个高严重性漏洞，它使不受信任的用户可以轻松执行能够执行大量恶意操作的代码，包括安装后门、创建未经授权的用户帐户以及修改特权服务或应用程序使用的脚本或二进制文件。

Dirty Pipe，正如该漏洞所命名的那样，是自 2016 年以来披露的最严重的 Linux 威胁之一，这一年，另一个高严重性且易于利用的 Linux 漏洞（名为 Dirty Cow）在被使用时曝光入侵研究人员的服务器。研究人员在 2016 年展示了如何利用 Dirty Cow 来根植任何 Android 手机，无论移动操作系统版本如何。11 个月后，研究人员在第三方市场发现了 1,200 个恶意利用该漏洞的 Android 应用程序。
当没有人变得强大时
Dirty Pipe 这个名字既是为了表明与 Dirty Cow 的相似之处，又是为了提供有关新漏洞起源的线索。“管道”是指管道，一种 Linux 机制，用于一个 OS 进程将数据发送到另一个进程。本质上，管道是两个或多个链接在一起的进程，因此一个进程的输出文本 (stdout) 直接作为输入 (stdin) 传递给下一个进程。

该漏洞被跟踪为 CVE-2022-0847，当网站建设者 CM4all 的研究人员对客户的 Linux 计算机上不断出现的一系列损坏文件进行故障排除时，该漏洞暴露无遗。经过数月的分析，研究人员最终发现，客户的损坏文件是由于 Linux 内核中的错误造成的。

CM4all 母公司 Ionos 的研究员 Max Kellermann 最终想出了如何利用该漏洞来武器化该漏洞，以允许拥有帐户的任何人（包括最低权限的“nobody”帐户）将 SSH 密钥添加到 root 用户的帐户中。这样，不受信任的用户可以使用具有完全 root 权限的 SSH 窗口远程访问服务器。

Dirty Pipe 启用的其他恶意操作包括创建作为后门运行的cron 作业、将新用户帐户添加到 /etc/passwd + /etc/shadow（赋予新帐户 root 权限），或修改由一项特权服务。

“它与本地内核漏洞一样严重，”开源安全总裁布拉德斯宾格勒在一封电子邮件中写道。“就像 Dirty Cow 一样，基本上没有办法缓解它，它涉及核心 Linux 内核功能。”

该漏洞最早出现在 2020 年 8 月发布的 Linux 内核版本 5.8中。该漏洞一直持续到上个月，随着版本 5.16.11、5.15.25 和 5.10.102 的发布而得到修复。几乎所有 Linux 发行版都受到影响。

在Android中扔扳手

Dirty Pipe 还会影响任何基于易受攻击的 Linux 内核版本之一的 Android 版本。由于 Android 如此碎片化，因此无法统一跟踪受影响的设备型号。例如，Pixel 6 和三星 Galaxy S22 的最新版本 Android 运行 5.10.43，这意味着它们很容易受到攻击。与此同时，Android 12 上的 Pixel 4 运行 4.14，不受影响。Android 用户可以通过转到设置 > 关于手机 > Android 版本来检查他们的设备使用的内核版本。

移动安全提供商 Lookout 的安全研究负责人克里斯托夫·河北森在一篇文章中写道：“脏管道漏洞非常严重，因为它允许攻击者临时或永久覆盖系统上他们不应该更改的文件。”电子邮件。“攻击者可以使用它来改变特权进程的行为，有效地获得执行具有广泛系统特权的任意代码的能力。”

Lookout 研究人员表示，该漏洞可以通过提升其权限的恶意应用程序在 Android 手机上被利用，默认情况下，这些权限应该受到限制。他说，另一种攻击途径是使用不同的漏洞来获得有限的代码执行（例如，使用被黑客入侵的合法应用程序的系统权限）并将其与 Dirty Pipe 结合起来，使代码获得不受约束的 root。

虽然 Kellermann 表示 Google 在 2 月份将他的错误修复与 Android 内核合并，但没有迹象表明基于 Linux 内核的易受攻击版本的 Android 版本已得到修复。用户应该假设任何运行基于易受攻击版本的 Linux 内核的 Android 版本的设备都容易受到 Dirty Pipe 的影响。谷歌代表没有回复寻求评论的电子邮件。

创建管道。填充管道。排水管。

脏管道是由一个未初始化的变量引起的，该变量允许攻击者覆盖缓存在内存中的任何文件内容。即使不允许写入文件，脏管道也可以这样做。Kellermann 发现漏洞的关键是他使用 Linux 功能splice将数据从一个文件移动到另一个文件。

当用于splice将数据汇集到管道中时，“内核将首先将数据加载到页面缓存中，”Kellermann 解释说。“然后它将struct pipe_buffer在页面缓存内创建一个指向（零拷贝），但与匿名管道缓冲区不同，写入管道的附加数据不得附加到这样的页面，因为该页面由页面缓存拥有，而不是由管道。通过注入PIPE_BUF_FLAG_CAN_MERGE页面缓存引用，可以覆盖页面缓存中的数据，只需将新数据写入以特殊方式准备的管道。

研究人员说，所需的步骤是：

• 创建管道。
• 用任意数据填充管道（PIPE_BUF_FLAG_CAN_MERGE在所有环条目中设置标志）。
• struct pipe_buffer排干管道（在环上的所有实例中设置标志pipe_inode_info）。
• 将目标文件中的数据（使用 <code">O_RDONLY 打开）从目标偏移之前的位置拼接到管道中。
• 将任意数据写入管道；此数据将覆盖缓存的文件页面，而不是创建一个新的匿名struct pipe_buffer因为PIPE_BUF_FLAG_CAN_MERGE已设置。

尽管 Dirty Pipe 功能强大，但它的工作有一些关键要求，并且它的功能有限制。它们包括：

• 攻击者必须具有读取权限
• 偏移量不能在页面边界上，因为必须至少将页面的一个字节拼接到管道中
• 写入不能跨越页面边界，因为将创建一个新的匿名缓冲区
• 无法调整文件大小，因为管道有自己的页面填充管理，并且不会告诉页面缓存附加了多少数据
  

  出于性能原因，Linux（与其他操作系统一样）缓存在系统使用的内存文件中。当您想对某些缓存数据进行私有修改时，操作系统应该派生一份数据副本供您进行修改，否则您的修改将不是私有的，而是会影响其他任何人阅读或执行该文件。与 Dirty Cow 一样，Dirty Pipe 欺骗操作系统对缓存进行非法修改，从而影响系统上的所有用户。

  因此，漏洞利用可以做的是例如更改 suid 根二进制文件（他们具有读取权限）的代码以跳过其系统调用，这会将其权限更改回用户（这意味着二进制文件将在不知不觉中继续运行完全root权限），或者漏洞可以修改一个常用的库，使其执行一些额外的代码，一个简单的例子是改变攻击者复制到/tmp的shell的权限，使其成为suid root。
  
  

  一个缓解因素是引入漏洞的内核版本 5.8 相对较新。许多生产服务器没有运行 5.8。

   

  延伸阅读

  一个潜伏了 12 年的错误让攻击者在大多数主要的 Linux 发行版上都获得了 root 权限

  2022 年已经出现了另一个高严重性 Linux 漏洞。PwnKit 也是在 Linux 内核中潜伏 12 年后于 1 月发现的提权漏洞。利用它也是微不足道的，并为多种形式的恶意打开了大门。

  无论如何，请不要误会：利用 Dirty Pipe 的简易性加上黑客可以用它做的几乎无限的事情，使其成为自 2016 年 Dirty Cow 以来攻击 Linux 的最关键的特权升级漏洞。

  斯宾格勒说：“鉴于 Twitter 上已经出现了武器化的漏洞利用，对于那些在他们的系统上存在不受信任的用户的人来说已经太迟了。” “任何具有受影响内核版本（> = 5.8）的人都应该尽快应用修复程序。”

在乌克兰提供支持的慈善机构和非政府组织 (NGO) 成为恶意软件攻击的目标，这些攻击旨在破坏其旨在帮助受俄罗斯战争影响的人的行动和救援工作。

亚马逊在周五发布的博客文章中没有提到这些攻击的目标组织。

“虽然我们看到恶意国家行为者的活动有所增加，但我们也看到其他恶意行为者的行动节奏加快。”亚马逊表示。

“我们已经看到了几种恶意软件专门针对慈善机构、非政府组织和其他援助组织的情况，以传播混乱并造成破坏。

“在这些特别令人震惊的案例中，恶意软件的目标是破坏医疗用品、食品和衣物救济。”

该公司表示，它正在与多个非政府组织、慈善机构和援助组织的员工在乌克兰开展人道主义救援工作，包括联合国儿童基金会、联合国难民署、世界粮食计划署、红十字会、Polska Akcja Humanitarna 和救助儿童会。

针对欧洲难民助手的网络钓鱼攻击

Proofpoint 研究人员发现了类似的活动，观察到 针对 参与乌克兰难民后勤支持的欧洲政府人员的鱼叉式网络钓鱼攻击。

攻击中发送的电子邮件会传递恶意宏附件，这些附件会下载一个名为 SunSeed 的基于 Lua 的恶意软件，用于将额外的有效负载传递到受感染的设备上。

该活动被追踪为 Asylum Ambuscade，仅针对 NATO 实体，其使用了一名乌克兰武装部队成员的被盗电子邮件帐户。

根据感染链，它与 2021 年 7 月与 Ghostwriter 白俄罗斯威胁组织（也称为 TA445 或 UNC1151）相关的网络钓鱼攻击一致，并且很可能与之相关。

Facebook 和 乌克兰计算机应急响应小组 (CERT-UA) 也警告过针对乌克兰官员和军事人员的 Ghostwriter 网络钓鱼活动。

在俄罗斯入侵之前，乌克兰安全局（SSU）表示，该国正受到“大规模混合战争浪潮”的打击。 

这一波攻击包括  针对乌克兰政府机构和国有银行的DDoS 攻击、针对乌克兰军队的网络钓鱼 ，以及多系列破坏性恶意软件攻击

更新：更清楚地表明亚马逊没有命名任何目标组织。

俄罗斯政府分享了一份包含 17,576 个 IP 地址的列表，据称这些 IP 地址用于针对俄罗斯组织及其网络发起分布式拒绝服务 (DDoS) 攻击。

该列表由俄罗斯联邦安全局 (FSB) 创建的组织国家计算机事件协调中心 (NKTsKI) 共享，同时提供防御攻击的指南和包含攻击者引用域信息的第二个列表。

 俄罗斯政府机构在一份通知中说： “在对俄罗斯信息资源进行大规模计算机攻击的情况下，国家计算机事件协调中心 (NCCC) 建议采取措施应对信息安全威胁。”

虽然 IP 列表没有提供有关攻击者身份的信息，但域列表指向欧盟和美国组织，包括 FBI 和 CIA 的站点（尽管可以欺骗引荐来源标头信息）。

另一个域指向 Google Docs 文档，其中包含有关如何在 Windows、macOS、iOS 和 Android 设备上使用开源低轨道离子炮 (LOIC) DDoS 攻击工具在联合 DDOS 攻击中针对俄罗斯资源的说明。

从 BleepingComputer 对 NKTsKI 的 IP 地址列表的审查来看，许多 IP 对应于住宅互联网用户，如果他们的政府决定不对他们的网络活动视而不见，他们可能会面临法律指控。

NKTsKI 共享的 DDoS 防御建议包括：

• 使用 DDoS 防护服务
• 根据共享的引用信息限制网络流量
• 禁用插件和网络统计脚本
• 使用俄罗斯 DNS 服务器

乌克兰的 IT 军队及其俄罗斯目标

虽然俄罗斯政府机构没有提供证据来支持其说法，但该警告与乌克兰副总理米哈伊洛·费多罗夫（Mykhailo Fedorov  ）宣布成立“IT军队”一致以支持该国“网络战线”的说法一致。

IT 军队是在乌克兰国防部开始 招募乌克兰的地下黑客社区 以帮助应对针对俄罗斯的网络攻击之后创建的。

自组装以来，IT 陆军成员已经使用 Telegram 频道协调了他们的工作，他们还可以访问俄罗斯目标列表。

该名单包括 30 多个目标，例如俄罗斯政府机构、IP 地址、存储设备和邮件服务器，以及国有银行、支持俄罗斯关键基础设施的大公司，以及 Yandex 俄罗斯搜索等知名俄罗斯科技巨头引擎和电子邮件门户。

乌克兰 IT 军队的成立是由乌克兰安全局 (SSU) 所称的“大规模混合战争浪潮”推动的。 

这一波攻击包括  针对乌克兰政府机构和国有银行的DDoS 攻击、 破坏性恶意软件攻击 [1、2 ]以及  针对乌克兰军方的网络钓鱼活动。

在看到俄罗斯军队入侵乌克兰并参与针对俄罗斯组织的网络攻击之后，您可能很想加入乌克兰的 IT 军队。

但是，重要的是要了解 您可能会使事情变得更糟并记住法律后果，因为无论您选择什么目标， 拒绝服务攻击、破坏网络和破坏网站 在大多数国家都是非法的。

威胁参与者正在使用被盗的 NVIDIA 代码签名证书对恶意软件进行签名，使其看起来值得信赖，并允许在 Windows 中加载恶意驱动程序。

本周，NVIDIA 证实他们遭受了网络攻击，威胁参与者可以窃取员工凭证和专有数据。

名为 Lapsus$ 的勒索组织表示，他们在攻击期间窃取了 1TB 的数据，并在 NVIDIA 拒绝与他们谈判后开始在线泄露数据。

泄露的内容包括两个被盗的代码签名证书，NVIDIA 开发人员使用它们来签署他们的驱动程序和可执行文件。

代码签名证书允许开发人员对可执行文件和驱动程序进行数字签名，以便 Windows 和最终用户可以验证文件的所有者以及它们是否被第三方篡改。 

为了提高 Windows 的安全性，微软还要求在操作系统加载内核模式驱动程序之前对其进行代码签名。

用于签署恶意软件的 NVIDIA 证书

在 Lapsus$ 泄露 NVIDIA 的代码签名证书后， 安全研究人员很快发现 这些证书被用于签署恶意软件和威胁参与者使用的其他工具。

根据上传到 VirusTotal 恶意软件扫描服务的样本，被盗证书被用于签署各种恶意软件和黑客工具，例如 Cobalt Strike 信标、Mimikatz、后门和远程访问木马。

例如，一个威胁参与者使用该证书对 Quasar 远程访问木马进行签名，而其他人使用该证书对 Windows 驱动程序进行签名。

安全研究人员 Kevin Beaumont 和 Will Dormann 表示，被盗证书使用以下序列号：

43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518

其中一些文件可能由安全研究人员上传到 VirusTotal，但其他文件似乎被威胁参与者用于恶意软件活动 [ 1、2 ]。

虽然两个被盗的 NVIDIA 证书都已过期，但 Windows 仍允许将使用证书签名的驱动程序加载到操作系统中。

因此，使用这些被盗的证书，威胁参与者获得了使他们的程序看起来像合法的 NVIDIA 程序并允许 Windows 加载恶意驱动程序的优势。


为了防止在 Windows 中加载已知的易受攻击的驱动程序，微软企业和操作系统安全总监 David Weston 在推特上表示，管理员可以配置 Windows Defender 应用程序控制策略 来控制可以加载哪些 NVIDIA 驱动程序。

但是，使用 WDAC 并不是一件容易的事，尤其是对于非 IT 的 Windows 用户。

由于存在滥用的可能性，希望以后将被盗的证书添加到微软的证书吊销列表中，以防止恶意驱动程序加载到 Windows 中。

但是，这样做也会导致合法的 NVIDIA 驱动程序被阻止，因此我们可能不会很快看到这种情况发生。

Adafruit 披露了由于可公开查看的 GitHub 存储库而发生的数据泄漏。

该公司怀疑这可能允许在 2019 年或之前“未经授权访问”有关某些用户的信息。

Adafruit 总部位于纽约市，自 2005 年以来一直是开源硬件组件的生产商。该公司设计、制造和销售电子产品、工具和配件。

前雇员的 GitHub 存储库有真实的客户数据

3 月 4 日星期五，Adafruit 宣布一个可公开访问的 GitHub 存储库包含一个数据集，其中包含一些用户帐户的信息。这些信息包括：

据 Adafruit 称，该数据集不包含任何用户密码或信用卡等财务信息。但是，垃圾邮件发送者和网络钓鱼攻击者可能会利用真实用户数据（包括订单详细信息）的曝光来瞄准 Adafruit 的客户。

有趣的是，数据泄露并非来自 Adafruit 的 GitHub 存储库，而是来自一名前员工。似乎一名前员工在其 GitHub 存储库中使用真实的客户信息进行培训和数据分析操作。

“在收到有关无意披露的通知后 15 分钟内，Adafruit 与前员工合作，删除了相关的 GitHub 存储库，并且 Adafruit 团队开始了取证过程，以确定哪些以及是否有任何访问权限以及涉及什么类型的数据，”公司解释道。

用户需要适当的通知

目前，Adafruit 并不知道暴露的信息被对手滥用，并声称它正在“为了透明度和问责制”而披露这一事件。

但是，该公司已决定不向每个用户发送有关此事件的电子邮件。 更新：本报告发布后，Adafruit 已修改其立场，现在表示它确实会向用户发送电子邮件。

“我们感谢社区和客户的反馈，并将通过电子邮件向用户发送作为本披露的一部分。对于没有在 2022 年 3 月 4 日星期五发布/披露的同时这样做，我们深表歉意，”该公司表示.

Adafruit 解释说，尽管所有安全披露都发布在公司的博客和安全页面上，但用户无需执行任何操作，因为数据分析集中没有暴露密码或支付卡信息。

“我们评估了风险并咨询了我们的隐私律师和法律专家，并采取了我们认为适当缓解任何问题的方法，同时保持公开和透明，并且不认为直接发送电子邮件在这种情况下有帮助，”Adafruit 的董事总经理 Phillip Torrone，而创始人 Limor “Ladyada” Fried 此前曾表示。

但是，并不是所有的 Adafruit 客户都相信，我们会就该事件发送一些要求很高的电子邮件通知：

俄罗斯当局正在起草一套措施，以支持该国经济抵御外国制裁的压力，而在软件许可方面，该提案为一种盗版行为开了绿灯。

更具体地说，建议的计划是建立一个“单边”软件许可机制，无需版权或专利所有者的同意就可以更新过期的许可。

此特殊程序适用于版权所有者来自支持对俄罗斯实施制裁的国家且仅适用于没有可用俄罗斯替代品的产品的情况。

此举是为了应对众多软件供应商退出俄罗斯市场并暂停新的许可证销售，其中最著名的是微软、思科、甲骨文、英伟达、IBM、英特尔和 AMD。

俄罗斯联邦民法典第 1360 条允许政府“在未经专利权人同意的情况下使用发明、实用新型或工业设计”，只要通知专利权人并支付合理费用即可.

“为了国家安全，俄罗斯联邦政府有权在未经专利权人同意的情况下允许使用发明、实用新型或工业品外观设计，但须尽快通知他并支付他获得了合理的报酬，”俄罗斯联邦民法典解释道。

在对俄罗斯民法典的多项拟议修正案中，俄罗斯数字化转型部希望绕过对受到制裁限制的许可证持有人的补偿，以便他们可以继续使用该软件。

“修订俄罗斯联邦民法典第 1360 条关于使用许可和其他类型的 RIA 权利以及取消对来自已加入联邦制裁法的州的外国公司的补偿，”翻译的内容如下 提出的修正。

俄罗斯数字化转型部希望，尽管严厉制裁打击了俄罗斯经济，但这一紧急措施将有助于维持当地经济的惯性。

当然，依赖云服务或在线验证的软件产品将停止工作，因为在这些情况下单方面签名无法帮助超越限制。

从本质上讲，该提案只是为了减轻在俄罗斯使用盗版软件的法律影响，否则该国将非常严格地执行该措施，甚至被滥用为网站屏蔽的借口。

侵犯版权和相关权利是俄罗斯刑法的一部分，最高可判处六年监禁和最高 500,000 卢布的罚款，或违反者三年的工资。

然而，俄罗斯国家并未将此措施称为盗版助长，并警告说侵犯版权仍是非法的并受到起诉，该规定不应被视为对使用盗版软件的责任的豁免。

其他严厉措施

尽管俄罗斯互联网监管机构一直试图通过对西方媒体采取前所未有的措施来审查信息，但似乎将整个国家与“免费”网络断开是唯一最终的解决方案。

所谓的“runet”，即俄罗斯的主权互联网，已经酝酿多年，据报道，去年夏天与该国所有大型互联网提供商合作，成功测试了实际部署。

今天，据称来自俄罗斯联邦数字营销和大众传播部副部长的泄露信件出现在推特上，其中包含对所有组织如何准备连接到 runet 的说明。

另一个关键问题是处理器，或者至少很快就会出现，因为俄罗斯很快就会面临短缺和过时的问题。

有鉴于此，国家试图将国产处理器推向公共部门的各个关键领域，甚至内政部也对此表示不满，并公开批评这些产品性能低下且容易过热。

最著名的例子是 MCST 制造的 Elbrus-8C，它是一款八核 1.3 GHz、70W TDP 处理器，采用过时的 28 纳米工艺制造，最高支持 DDR3-1600 内存。

2021 年 12 月，工贸部批准了一项 71 亿卢布的基金（当时为 9200 万美元），以帮助 MCST 加快开发新的更好的处理器。

三星电子周一证实，其网络遭到入侵，黑客窃取了机密信息，包括 Galaxy 智能手机中的源代码。

正如 BleepingComputer 首次报道的那样，数据勒索组织 Lapsus$ 于上周末泄露了声称从三星电子窃取的近 190GB 档案。

不到一周前，同一组织发布了来自 Nvidia 的 20GB 存档文件，攻击者声称这些文件是他们在访问公司网络一周后窃取的 1TB 数据缓存的一部分

黑客有三星源代码

Lapsus$ 分享了他们声称来自三星的数据以及内容描述。如果摘要是准确的，那么三星已经遭受了重大数据泄露，其许多技术和算法的详细信息现已公开。

周末，记者多次联系北美和韩国的三星，就泄露和据称从该公司窃取的数据发表评论，但未收到回复。

在今天的一份声明中，该公司向彭博社证实，在安全漏洞之后，未经授权的一方可以使用“某些内部公司数据”。

该公司代表没有说明入侵者在泄露专有信息之前是否提出了任何要求，就像在 Nvidia 泄露事件中发生的那样。

Lapsus$ 表示，他们正在推迟泄露英伟达的其余信息，因为他们正在与买家进行谈判。

从三星泄露的缓存要大得多，据称包括三星 TrustZone 环境中该公司受信任小程序的详细信息，该小程序负责硬件加密、二进制加密和访问控制等敏感任务。

黑客还声称，该转储包括 Knox 的源代码，这是三星在其大多数设备上存在的专有安全和管理框架。

诈骗者冒充政府官员和执法部门，针对美国人的钱财或个人身份信息 (PII) 进行积极且猖獗的勒索计划。

网络犯罪分子使用属于美国知名政府和执法机构的虚假凭证。

联邦调查局在周一发布的公共服务公告中透露，他们还在这些诈骗企图中欺骗了真实的电话号码。

联邦调查局警告说：“联邦调查局警告公众注意正在进行的广泛欺诈计划，其中骗子冒充执法人员或政府官员，企图勒索钱财或窃取个人身份信息。”

“诈骗者会使用紧急和咄咄逼人的语气，拒绝与目标受害者以外的任何人交谈或留言；并敦促受害者不要告诉任何人，包括家人、朋友或金融机构，正在发生的事情。 "

目标因各种虚假原因而受到逮捕、起诉或监禁的威胁，或者因为他们受到数据泄露的影响或他们的文件已过期需要更新而被要求提供敏感信息。

那些被勒索并受到虚假法律后果威胁的人被告知使用预付卡或海外电汇支付各种金额。有些人还被要求使用现金支付，无论是通过邮件还是通过加密货币 ATM。

如果是电话或电子邮件，那就是骗局

但是，正如 FBI 所说，政府官员或执法机构永远不会通过电话联系要求付款或要求提供个人/敏感信息。

联邦调查局补充说，只有在合法的法律行动或调查之后，才会亲自或通过正式信件与您联系。在要求提供凭据以验证警察或政府官员的身份之前，您绝不应遵守任何要求。

正如美国联邦执法机构在今天的公告中进一步解释的那样：

• 没有合法的执法部门或政府官员要求通过预付卡或加密货币 ATM 付款。
• 切勿在未验证此人的真实身份的情况下向任何人提供个人身份信息。

今天的 PSA 是在 FBI 在 2 月警告称 BEC（商业电子邮件泄露）诈骗者 在虚拟会议中冒充 CEO 并越来越多地针对美国组织和个人之后发布的。
该联邦机构还表示，网络犯罪分子正在 升级 SIM 卡交换攻击 ，通过劫持目标的电话号码窃取数百万美元。

罗马尼亚的 Rompetrol 加油站网络遭到勒索软件攻击。

KMG International 的子公司 Rompetrol 今天宣布，它正在处理一场“复杂的网络攻击”，迫使其关闭其网站和加油站的 Fill&Go 服务。

“Fill&Go”加油站服务，网站关闭

今天，罗马尼亚的石油供应商 Rompetrol 宣布它正在与“复杂的网络攻击”作斗争。

BleepingComputer 了解到 Hive 勒索软件团伙是这次攻击的幕后黑手，他们要求数百万的赎金。

Rompetrol 是罗马尼亚最大的炼油厂 Petromidia Navodari 的运营商，该炼油厂的年加工能力超过 500 万吨。

作为最大的石油公司之一，KMG International 在欧洲、中亚和北非的 15 个国家开展业务。KMG 的主要活动涉及炼油、营销、贸易、生产和石油工业服务，如钻井、EPCM 和运输。

“今晚，Rompetrol 面临复杂的网络攻击，”该子公司今天在 BleepingComputer 看到的 Facebook 帖子中宣布：

BleepingComputer 还观察到 KMG 和 Rompetrol 网站截至今天都无法访问，并且 Fill&Go 应用程序不再工作。不过，我们了解到，该公司的电子邮件系统（Microsoft Outlook）仍然正常工作。

KMG 已通知罗马尼亚国家网络安全局 (DNSC)，该局一直与该组织保持联系，以解决问题并提供必要的帮助。

“为了保护数据，该公司暂时暂停了网站和 Fill&Go 服务的运营，包括车队和私人客户，”石油供应商表示。

“Rompetrol加油站的活动正常进行，客户可以选择现金或银行卡付款。”

根据 BleepingComputer 的匿名提示，攻击者还访问了 Petromdia 炼油厂的内部 IT 网络。

但是，Rompetrol 表示，Petromidia 炼油厂的运营并未受到影响。

该公司在给员工的一封电子邮件中表示，该攻击是在周日 21:00（当地时间）检测到的，它影响了“大部分 IT 服务”。

Hive 要求 200 万美元赎金

BleepingComputer 获悉 Hive 勒索软件团伙是对 KMG 子公司 Rompetrol 的攻击的幕后黑手。

我们还了解到，Hive 要求 Rompetrol 支付 200 万美元的赎金，以接收解密器并且不泄露据称被盗的数据。

Hive 勒索软件团伙比其泄密网站显示的更加活跃和激进，自 2021 年 6 月下旬该行动曝光以来，其附属机构平均每天攻击三家公司。

众所周知，该组织采用了多种策略、技术和程序，这使得组织难以防御其攻击，正如 FBI早些时候所说的那样。

Hive 去年对 Memorial Health System 的攻击导致手术和诊断手术被取消，以及患者数据被盗。

在袭击发生之前，KMG在周末宣布Rompetrol Rafinare 将在 3 月 11 日至 4 月 3 日期间暂停其运营，作为计划维护的一部分：

“技术停产是炼油厂正常运转的必要条件，也是集团总体战略的一部分，通过该战略制定了精确的活动日历，每 4 年进行一次大修，每 4 年安排一次技术停产。 2年，”KMG早些时候说。