Rostec 国家公司的 Avtomatika Concern、莫斯科通信与信息技术大学 (MTUSI) 和 Kaskad 公司正在联合开发一系列用于物联网的安全加密处理器。该解决方案将在终端设备（传感器、控制器等）和网络核心之间创建一个安全的通信通道，这将防止对关键基础设施和数据的未经授权的访问。

加密处理器的拓扑结构将由 Kaskad LLC 开发。此外，公司的专家将对产品进行测试并进行最终调整。需要注意的是，在开发新的密码处理器系列时，将考虑并纠正市场上现有解决方案的缺点，从而最大限度地扩大新芯片的潜在范围。

作为联合项目的一部分，MTUCI 工程师正在开发软件并致力于密码算法的集成。加密处理器的认证、促销和销售将由 Avtomatika 关注点进行。

“加密处理器是一个独立的片上系统，是“计算机中的计算机”。它以只能在原始计算机上解密数据的方式转换数据，运行与最初使用的软件相同的软件。这确保了最高级别的安全性，并且不可能从外部未经授权访问信息。加密处理器的存在消除了额外使用物理手段保护系统的需要

腾讯旗下的芬兰开发商 Supercell 在其微博上宣布，其游戏将从俄罗斯和白俄罗斯的数字应用商店下架。

我们谈论的是由 Supercell 为基于 iOS 和 Android 的移动设备创建的共享软件娱乐 Brawl Stars、Clash Royale、Clash of Clans、Hay Day 和 Boom Beach。

据悉，所列项目的新下载已停止，已被客户端下载的俄罗斯和白俄罗斯玩家将在下次更新时停止访问。

俄罗斯和白俄罗斯用户应该怎么做，他们不仅在 Supercell 游戏中投入了时间，而且还投入了真金白银（微交易），现阶段的开发者没有报告。

WordPress 安全和威胁情报领域的领导者 Patchstack 发布了一份白皮书，介绍了 2021 年 WordPress 的安全状况，该报告描绘了一幅可怕的画面。

更具体地说，与上一年相比，2021 年报告的漏洞增加了 150%，而 WordPress 插件中 29% 的严重漏洞从未收到安全更新。

考虑到 WordPress 是世界上最受欢迎的内容管理系统，43.2% 的网站都在使用，这令人担忧。

在 2021 年报告的所有缺陷中，只有 0.58% 存在于 WordPress 核心中，其余的是来自不同来源和不同开发人员的平台主题和插件。

值得注意的是，这些缺陷中有 91.38% 是在免费插件中发现的，而付费/高级 WordPress 插件仅占总数的 8.62%，这反映了更好的代码审查和测试程序。

关键问题

2021 年，Patchstack 统计了 5 个影响 55 个WordPress 主题的严重漏洞，其中影响最大的是文件上传功能的滥用。

在插件方面，报告了 35 个严重漏洞，其中两个影响了 400 万个网站。

Bleeping Computer 去年报道的两个值得注意的例子  是影响 100 万个网站 的“OptinMonster”插件和 让 300 万个网站遭受接管攻击的“All in One”SEO 插件。

虽然开发人员通过安全更新修复了这些漏洞，但九个插件从未收到补丁。因此，它们因未解决严重问题而被从插件市场中删除。

值得注意的是，该子集还主要受到未经身份验证的文件上传问题的影响，其次是 SQL 注入和权限提升错误。

最普遍的目标

PatchStack 报告称，跨站点脚本 (XSS) 在 2021 年报告的 WordPress 漏洞类型中位居榜首，其次是“混合”、跨站点请求伪造、SQL 注入和任意文件上传。

在报告的缺陷严重程度方面，3.41% 为严重，17.94% 为高度重要，76.76% 为中等，主要是由于存在利用条件。

到 2021 年，大约 42% 的 WordPress 网站至少有一个易受攻击的组件，平均安装了 18 个。虽然这个数字低于 2020 年网站上安装的 23 个插件，但问题仍然存在，因为 18 个插件中有 6 个已过时。

2021 年最具针对性的过时插件是 OptinMonster、PublishPress Capabilities、Booster for WooCommerce 插件和 Image Hover Effects Ultimate 插件。

总之，Patchstack 的报告强调，WordPress 网站管理员可以通过使用付费插件而不是免费产品来管理大多数安全风险，将安装的附加组件数量保持在最低限度，并尽快将它们升级到最新的可用版本。

安全专家发现了一个有趣的勒索软件攻击案例，该案例使用了 APT（高级持续威胁）组织通常使用的定制工具。

尽管尚未发现群体之间的具体联系，但运营策略、目标范围和恶意软件定制能力表明存在潜在联系。

正如 Security Joes发送给 Bleeping Computer 的一份报告中所详述的那样，威胁行为者在针对赌博/游戏行业的一个客户的攻击中观察到，其中使用了定制和现成的开源工具的组合

最值得注意的案例是 Ligolo 的修改版本，这是一个可 在 GitHub 上免费供渗透测试者使用的反向隧道实用程序，以及从 LSASS 转储凭据的自定义工具。

野外攻击

据安全乔斯的事件响应者称，袭击发生在一个周末晚上，并且发展迅速，展示了演员的技能和“红队”知识。

最初的访问是通过泄露的员工 SSL-VPN 凭据进行的，然后是管理员扫描和 RDP 暴力破解服务器，然后是凭据收集工作。

随后的步骤涉及以高权限访问其他机器、部署自定义代理隧道以进行安全通信，最后是放弃 Cobalt Strike。

尽管威胁行为者在这种特殊情况下从未有机会继续进行，但 Security Joes 认为下一步将是部署勒索软件有效载荷，因为随后的方法与典型的勒索软件团伙行动相匹配。

然而，这部分尚未得到证实，因为响应者在渗透者准备好在受感染的网络上部署任何东西之前就停止了有效载荷的执行。

定制工具

威胁参与者使用了许多对手常用的几种现成的开源工具，例如 Mimikatz、SoftPerfect 和 Cobalt Strike。

一个显着的区别是部署了“Sockbot”，这是一个基于 Ligolo 开源反向隧道工具的 GoLang 编写的实用程

黑客对 Ligolo 进行了有意义的添加修改，消除了使用命令行参数的需要，并包括多项执行检查以避免运行多个实例。

正如 Security Joes 的一名研究人员告诉 Bleeping Computer 所说，定制的 Ligolo 在任何威胁行为者的武器库中都不常见，除了伊朗国家资助的 MuddyWater 黑客组织，它是唯一已知修改它的威胁组织。

这种罕见的原因是 Ligolo 不适合恶意部署，因此要使其适合入侵操作，需要编码技能。

“将新变种（Sockbot）与在线可用的原始源代码进行比较，威胁参与者添加了多项执行检查以避免多个实例同时运行，将本地中继的值定义为硬编码字符串以避免需要在执行攻击时传递命令行参数并通过计划任务设置持久性。” - 安全乔斯

另一个特别感兴趣的案例是“lsassDumper”，这是一个同样用 GoLang 编写的自定义工具，被参与者用于从 LSASS 进程自动渗透到“transfer.sh”服务。

Security Joes 声称这是 lsassDumper 第一次在野外被发现，这再次证明了特定威胁参与者的能力和复杂性。

此外，从 LSASS 直接转储凭证是勒索软件团伙的另一种典型方法，因此它是支持这一假设的另一个因素。

最后，网络渗透者使用 ADFind 进行网络侦察，这是一种免费提供的工具，攻击者可以使用它从 Active Directory 收集信息，在勒索软件领域也很常见。

“根据行为、在这次入侵中看到的工具和目标部门，我们得出结论，这次行动背后的攻击者与一个讲俄语的勒索软件团伙密切相关，该团伙正在利用其他团体使用的工具并将他们的个人签名添加到他们。” - 结束安全乔斯的报告。

安全研究人员发现了一种新方法，可以绕过现有的基于硬件的防御措施，在英特尔、AMD 和 Arm 的现代计算机处理器中进行推测执行。

今天，这三个 CPU 制造商发布了公告，并附有缓解更新和安全建议，以解决最近发现的问题，这些问题允许泄露敏感信息，尽管基于隔离的保护。

推测执行问题

推测执行技术旨在通过提前运行一些任务（分支预测）来优化 CPU 性能，以便在需要时获得信息。

2018 年，研究人员发现了一种泄露从这些主动计算中获得的信息的方法，将相关漏洞命名为Meltdown 和 Spectre。

从那时起，供应商发布了基于软件的缓解措施，例如“ Retpoline ”，将间接分支与推测执行隔离开来。芯片制造商还通过硬件修复解决了这些问题，例如英特尔的 eIBRS 和 Arm 的 CSV2。

绕过幽灵修复

VUSec 的研究人员今天在一份技术报告中详细介绍了一种新方法，通过利用他们所谓的分支历史注入 (BHI) 来绕过所有现有的缓解措施。

该论文强调，虽然硬件缓解措施仍然可以防止非特权攻击者为内核注入预测器条目，但依靠全局历史来选择目标会创建一种以前未知的攻击方法。

对目标系统具有低权限的恶意行为者可以毒化此历史记录，以迫使操作系统内核错误预测可能泄漏数据的目标。

为了证明他们的观点，研究人员还发布了一个概念证明（PoC），展示了任意内核内存泄漏，成功地披露了易受攻击系统的根哈希密码。

英特尔通过分配两个中等严重性漏洞CVE-2022-0001 和 CVE-2022-0002来回应这一发现，并建议用户在特权模式下禁用对托管运行时的访问。

有关缓解建议的完整列表，请查看此专用页面，同时在此处提供所有受影响处理器型号的列表 。

Arm 还发布了有关该问题的安全公告，因为新的历史中毒攻击影响了其多个 Cortex-A 和 Neoverse 产品。

VUsec 准备了一篇关于新 BHI 攻击的论文，该论文将在今年的第 31 届 USENIX 安全研讨会上发表。

直线投机

在与披露相吻合的平行消息中，grsecurity发布了详细信息和 PoC，该 PoC 可以通过新的直线推测 (SLS) 攻击方法从 AMD 处理器泄漏机密数据。

这种新的 SLS 变体影响了许多基于 Zen1 和 Zen2 微架构的 AMD 芯片，包括 EPYC、Ryzen Threadripper 和集成 Radeon Graphics 的 Ryzen。

AMD 已经发布了一份受影响产品的列表以及 一份白皮书，该白皮书为跟踪为 CVE-2021-26341 的中等严重性缺陷提供了安全建议。

到目前为止，AMD 还没有看到任何在野外积极利用此安全漏洞的例子，但应用推荐的缓解措施仍然很重要。

美国财政部的金融犯罪执法网络 (FinCEN) 本周警告美国金融机构，要密切关注俄罗斯入侵乌克兰后逃避制裁和美国实施限制的企图。

尽管不太可能，但 FinCEN 补充说，可兑换虚拟货币 (CVC)——美国财政部用来描述加密货币等不受监管的数字货币的术语——交易所和其他金融机构仍可能观察到与受制裁的俄罗斯、白俄罗斯和附属个人相关的加密钱包相关的交易.

在这种情况下，FinCEN 表示 [ PDF ] 至关重要的是“识别并快速报告与潜在制裁规避相关的可疑活动，并进行适当的基于风险的客户尽职调查，或在需要时加强尽职调查。”

“此外，FinCEN 提醒金融机构注意与俄罗斯有关的勒索软件活动带来的危险，”财政部 补充说。

FinCEN 还提供了危险信号示例，这些示例将有助于识别可能与逃避制裁有关的可疑活动，并提醒金融机构他们有义务根据《银行保密法》报告此类事件。

在警报中包含的所有危险信号列表中，以下三个具体与勒索软件攻击和其他网络犯罪活动的潜在洗钱有关：

• 客户从外部钱包收到 CVC，并立即在多个 CVC 之间发起多次快速交易，但没有明显的相关目的，然后在平台外进行交易。这可能表明试图破坏各个区块链上的监管链或进一步混淆交易。
• 客户发起涉及 CVC 混合服务的资金转移。
• 客户有被区块链追踪软件识别为与勒索软件相关的直接或间接交易风险。

FinCEN 发出警报和指导是在美国参议员 向财政部询问加密货币可能用于逃避制裁的情况，以及其计划为加密货币行业组织发布和执行制裁合规指南之后发布的。

乔拜登总统周三还发布了一项关于使用数字资产绕过美国和外国政府实施的制裁的行政命令。

“面对俄罗斯日益增长的经济压力，美国金融机构必须警惕俄罗斯可能逃避制裁的行为，包括国家行为者和寡头，”FinCEN 代理主任 Him Das 说。 

“虽然我们没有看到使用加密货币等方法广泛逃避制裁，但及时报告可疑活动有助于我们的国家安全和我们支持乌克兰及其人民的努力。”

9 月，美国财政部宣布 首次对加密货币交易所实施制裁， 以促进与勒索软件团伙相关的赎金交易并帮助他们逃避制裁。

意大利隐私担保人 (GPDP) 对 Clearview AI 处以 20,000,000 欧元的罚款，原因是该公司在未征得人们同意的情况下在意大利实施生物识别监控网络。

该决定源于 2021 年 2 月启动的程序，此前有关投诉直接源于 Clearview 的运营。

更具体地说，调查显示，这家美国面部识别软件公司维护着一个包含 100 亿张人脸图像的数据库，其中包括从公共网站个人资料和在线视频中提取人脸的意大利人。

在没有征得这些人的同意或告知他们生物特征数据被抓取的情况下，Clearview AI 为其客户提供了一项搜索服务，该服务利用人工智能将面部与身份和在线活动进行匹配。

担保人的调查显示，Clearview AI 还拥有非法处理的地理位置数据，这违反了 GDPR（通用数据保护条例）的基本原则。

“鉴于发现的违规行为，担保人对 Clearview AI 处以 2000 万欧元的行政罚款，” GPDP 公告 （非欧盟读者的链接）中写道。

“当局还命令该公司删除与在意大利的人有关的数据，并禁止通过其面部识别系统进一步收集和处理。”

Clearview 对这项调查的辩护是，支持其在意大利市场推出服务的测试已于 2020 年 3 月结束。

此外，在其他欧盟数据保护机构收到投诉后，该公司阻止了从欧洲 IP 地址对其软件的试用访问。

最后，Clearview AI 试图区分生物特征数据抓取和人员监控，因为他们否认使用行为分析或任何分析技术。

从公告中可以明显看出，GPDP 拒绝了这些论点，调查仍然证实了与数据隐私法相关的违规行为。

值得注意的是，在 2021 年欧盟议会讨论即将出台的“人工智能法案”期间，Clearview AI 被 明确提及 为避免实施生物识别大规模监控的一个例子。

Bleeping Computer 已联系 Clearview AI 就意大利监管机构处以的罚款发表评论，其首席执行官 Hoan Ton-That 告诉我们以下内容：

Clearview AI 在意大利或欧盟没有营业场所，在意大利或欧盟没有任何客户，并且不进行任何可能意味着它受 GDPR 约束的活动。

我在澳大利亚长大，长期以来一直将意大利视为世界艺术和设计中心。我对这个国家和它的人民怀有深深的敬意。我创造了世界闻名的相应面部识别技术，旨在帮助使社区更安全，并协助执法部门解决针对儿童、老年人和其他不道德行为受害者的令人发指的罪行。

我们仅从开放的互联网收集公共数据，并遵守所有隐私和法律标准。对于我们不做生意的意大利一些人对 Clearview AI 的技术对社会的误解，我感到心碎。我和我公司的意图一直是帮助社区及其人民过上更好、更安全的生活。

俄罗斯表示，其一些联邦机构的网站在周二的供应链攻击中遭到入侵，此前未知的攻击者入侵了多个政府机构用于跟踪访问者数量的统计小部件

受攻击影响的网站列表包括能源部、联邦国家统计局、联邦监狱局、联邦法警局、联邦反垄断局、文化部和其他俄罗斯国家机构的网站。

该事件是在攻击者发布自己的内容并阻止对网站的访问后于周二晚上发现的。

“很难直接破坏这些网站，因此黑客通过外部服务攻击资源，从而获得展示不正确内容的权限，”俄罗斯经济发展部新闻服务处告诉国际文传电讯社。

“黑客入侵小部件后，黑客能够在网站页面上发布不正确的内容。事件被迅速本地化。”

俄罗斯数字发展部声称，国家机构的网站在违规后一小时内被恢复。

乌克兰和俄罗斯瞄准对方网络

此前，俄罗斯政府分享了一份 据称用于针对俄罗斯网络的 DDoS 攻击的 17,000 多个 IP 地址的列表。

联邦安全局的国家计算机事件协调中心 (NKTsKI) 警告俄罗斯组织采取措施应对对其信息安全的威胁，并共享指导以防御此类攻击。

这些警告是在乌克兰副总理米哈伊洛·费多罗夫 宣布成立“IT 军队” 以支持该国“网络战线”之后发出的。

在乌克兰国防部开始 招募乌克兰地下黑客社区成员 对俄罗斯发动网络攻击并受到“大规模混合战争浪潮”的推动后，乌克兰 IT 军的成立被披露。

在整个 2021 年，美国士兵和专家都在努力挫败预期的俄罗斯网络攻击

在俄罗斯入侵前几个月，一队美国人在乌克兰各地散开，寻找一种非常具体的威胁。

有些是美国陆军网络司令部的士兵。其他人是民用承包商和美国公司的一些雇员，他们帮助保护关键基础设施免受俄罗斯机构多年来对乌克兰实施的那种网络攻击。

多年来，美国一直在帮助乌克兰加强其网络防御，自从 2015 年臭名昭著的对其电网的攻击导致基辅部分地区断电数小时后。

但这次美国人员在 10 月和 11 月的激增是不同的：它是在为即将到来的战争做准备。熟悉该行动的人士描述了寻找隐藏恶意软件的紧迫性，俄罗斯可能已经植入了这种恶意软件，然后处于休眠状态，准备在更传统的地面入侵的同时发动毁灭性的网络攻击。

专家警告说，俄罗斯可能还会对乌克兰的基础设施发动毁灭性的在线攻击，这种攻击是西方官员长期以来所期待的。但多年的工作，再加上过去两个月的有针对性的支持，或许可以解释为什么乌克兰的网络能坚持至今。

乌克兰和美国的官员小心翼翼地将“网络小组”的工作描述为防御性的工作，相比之下，数十亿美元的致命武器涌入乌克兰以对抗和杀死俄罗斯士兵。

乌克兰政府高级官员维克多·佐拉（Victor Zhora）表示，俄罗斯的攻击已经被削弱，因为“乌克兰政府已采取适当措施来对抗和保护我们的网络”。

在乌克兰铁路，美国士兵和平民团队发现并清理了一种特别有害的恶意软件，网络安全专家将其称为“wiperware”——只需通过命令删除关键文件即可禁用整个计算机网络。

仅在俄罗斯入侵的前 10 天，就有近 100 万乌克兰平民在铁路网络上逃到了安全地带。一位熟悉该问题的乌克兰官员表示，如果恶意软件仍未被发现并被触发，“它可能是灾难性的”。

据知情人士透露，在边境警察内部没有发现类似的恶意软件，上周，随着数十万乌克兰妇女和儿童试图离开该国，通往罗马尼亚的过境点的计算机被禁用，加剧了混乱。 .

由于预算要少得多（约 6000 万美元），这些团队还必须与私人团体合作，这些团体为俄罗斯黑客（无论是否与政府有关联）预计会攻击的大部分基础设施提供骨干。

在 2 月的最后一个周末，乌克兰国家警察与其他乌克兰政府部门一道，面临着“分布式拒绝服务攻击”(DDoS) 的大规模攻击，这是一种相对简单的攻击，通过向网络充斥大量信息来摧毁网络。对来自大量计算机的少量数据的需求。

几个小时之内，美国人就联系了加州网络安全组织 Fortinet，该组织出售旨在应对此类攻击的“虚拟机”。

资金在数小时内获得批准，美国商务部在 15 分钟内提供了许可。一位熟悉快速射击行动的人士说，在收到请求的八小时内，一组工程师已将 Fortinet 的软件安装到乌克兰警方的服务器上，以抵御攻击。

这些攻击通常针对商用软件——主要来自西方制造商——这一事实迫使美国和欧洲的主要公司投入资源来保卫乌克兰的网络。

例如，微软几个月来一直在运行一个威胁情报中心，该中心将其资源投入俄罗斯恶意软件和乌克兰系统之间。
微软总裁布拉德史密斯在一篇博文中表示， 2 月 24 日，也就是俄罗斯坦克开始进入乌克兰前几个小时，微软工程师检测并逆向设计了一个新激活的恶意软件。

在三个小时内，该公司发布了一个软件更新以防止恶意软件，警告乌克兰政府有关威胁，并警告乌克兰“对一系列目标的攻击”，包括军方。一位熟悉深夜决定的人士说，在美国政府的建议下，微软立即将警告扩大到邻近的北约国家。

“我们是一家公司，而不是政府或国家，”史密斯写道，但他补充说，微软和其他软件制造商需要对 2017 年发生的事情保持警惕，当时一种归因于俄罗斯的恶意软件蔓延到了乌克兰网络领域的边界之外到更广阔的世界，导致默克、马士基和其他地方的计算机瘫痪，并造成 100 亿美元的损失。

到目前为止，观察过俄罗斯网络攻击的专家一直对他们缺乏成功感到困惑，以及众所周知的俄罗斯政府黑客的攻击速度、强度和复杂性较低。

一位欧洲官员本周在北约会议上听取了美国人的简报，他说，乌克兰的防御已经证明是有弹性的，而俄罗斯的进攻也证明是平庸的。他说原因是，到目前为止，俄罗斯一直在网络领域阻止其精英部队，就像在战场上一样，也许是低估了乌克兰人。

他说，一个例子是，俄罗斯指挥官不是仅仅通过加密的军用级电话进行通信，而是有时搭载乌克兰的手机网络进行通信，有时只是使用他们的俄罗斯手机。

“乌克兰人喜欢它——无论他们是否使用加密应用程序，只要简单地观察这些手机就会有大量数据，”他说。

然后，乌克兰人在关键时刻阻止俄罗斯手机进入当地网络，进一步干扰他们的通信。“然后你突然看到俄罗斯士兵在街上抢走乌克兰人的手机，袭击维修店寻找模拟人生，”他说。“这不是复杂的东西。真是令人费解。

鉴于最近发生的事件，英国政府已禁止向俄罗斯供应航天产品和相关技术。与此同时，航空业也受到制裁——这里还出台了禁止出口技术和产品的规定。

尽管各国之间的航空旅行和太空合作实际上已经停止，但英国当局决定对这些开发和生产部门产生更强烈的影响——禁止保险公司向俄罗斯交易对手提供相关经济领域的服务。此外，据《生意人报》报道，当局正在取消已经支付的有效保单，因此受保公司将无法获得赔偿。

最近，欧盟出台了一项禁止俄罗斯航空和航天工业货物出口的禁令。此外，两用产品和技术的出口被禁止，Roscosmos宣布终止向美国供应火箭发动机。

OneWeb已经间接遭受了英国的制裁，其下一批卫星从未送入轨道——俄罗斯要求英国政府退出该公司的股东，并保证这些卫星不会用于军事目的。现在 OneWeb正在考虑替代方案，包括用美国、欧洲、印度或日本的火箭发射卫星。