TOP5 | 头条：硬件付费订阅引众怒，黑客向宝马宣战

硬件付费订阅引众怒，黑客向宝马宣战；

标签：宝马，硬件付费，黑客行动

前段时间，宝马宣布将为今后的新车推出远程付费升级服务，包括座椅加热、自适应巡航等功能，客户可以在需要的时候，暂时或者永久付费开通某些功能。韩国和英国等市场，已经上线了部分服务，英国车主每月花15英镑(约合人民币120元)激活加热座椅等设备，或每月花35英镑(42美元)激活主动巡航控制设备。

而这也引起了不少消费者的不满，他们觉得自己花钱买的车，凭什么关闭功能而要额外支付费用才允许使用，有些功能我不想用的话，也就不想让它出现在自己车上。

据报道，近日，国外一些改装厂和黑客就向宝马订阅制提出宣战，黑客表示他们将攻克宝马的付费订阅系统，让用户免费使用该功能。

黑客表示：“我们一直在倾听客户的意见，并想方设法提供。只要有客户付费使用过，宝马激活该功能，我们就能攻破它；相反的，如果宝马没有激活该功能，我们可以用第三方应用或硬件来改造它，实现该功能。”

此外，在美国市场，宝马对于黑客或者改装厂破解的固件还必须保修，要不然会触犯FTC消费者保护法，因为这些功能都是已经存在了，用户只是启动它而已。

中国市场暂时只有模拟声浪和远程温控两个订阅，但这意味着宝马已经在中国市场尝试订阅制，未来，国内黑客是否会对宝马的订阅制“动手”，还需拭目以待。

信源：https://www.cnbeta.com/articles/tech/1304555.htm

美国家网络总监：在网络领域，集体防御是最好的进攻；

标签：美国，集体防御

日前在DEF CON黑客大会上与调查记者金姆·泽特（Kim Zetter）的对话节目中，美国白宫国家网络主管克里斯·英格利斯表示，网络安全的前进方向将是防御，明确的角色与责任，以及对弹性和稳健性的投入。

根据英格利斯的介绍，近年来网络攻击演进可以分为“三个波次”。

第一波攻击者“专注于将数据和系统置于风险中”。第二波攻击者“同样令数据和系统陷入风险，但随后会将事态升级到关键功能风险”。第三波则指向安全信心，比如针对科洛尼尔管道运输公司的攻击。

英格利斯表示，“这些事件带给我们的最大教训，就是恶意黑客会将数百万人的安全信心毁于一旦。他们虽然只赢了一次，却相当于赢了无数次。而一位受害者的失败，则在心理层面蔓延成了无数人的失败。我们必须想办法扭转局面。”

英格利斯认为，问题的答案就是专注于防御，特别是集体防御。

在他看来，“唯一可行的解决方案就是认真建设防御，让防御成为新的进攻。这样的话，恶意黑客必须先击败整个集体防御体系，才能击败我们中的任意一个。这需要对弹性和稳健性进行前期投入，这种投入不仅要体现在数据和系统上，更要体现在角色和责任上。只有这样，我们才能捍卫协作关系和安全信心，确保系统中的每个人都理解自己在防御布局中扮演的角色，让每个人都能参与到这场命运攸关的安全对抗当中。”

英格利斯指出，乌克兰的网络防御体系，就很好地体现出了充分筹备、协作以及对供应商方案弹性/稳健性的信任等集体防御要素。

记者泽特提到，目前人们似乎对未来的攻击形态“缺乏预期，或者说足够的想象力”。当说起科洛尼尔管道运输公司、SolarWinds等震惊全球的重大攻击事件，特别是相应的主动预防或缓解思路，英格利斯认为个人和组织都需要首先明确自己的角色和职责。

在他看来，“我们其实并不知道是谁在负责为数字基础设施提供必要的弹性和稳健性。是谁本身不是重点，重点在于意识到如果没有这层保障，个人活动、商业活动等就无法正常进行。”

除了关注防御之外，英格利斯还强调对问题开展纵向和横向调协，同时关注相应的资本支出。他同时指出，在整个供应链中明确划分责任同样意义重大。

英格利斯认为，“我们需要达成一项共识，对于供应链的任何参与方，如果他们只是随意使用，并未对系统自身的弹性和稳健性做过任何投入，那就应该禁止其触及我们的系统。我们需要把这份安全责任和义务分摊给各提供商、供应商、集成商，由他们投入必要资金，强化系统的内在弹性与稳健性。”

他还补充了这项措施的重要意义，“如此一来，运行在网络链末端的人们就不会被困在一个无法防御的系统当中，不必在自己根本无力对抗的恶意黑客面前绝望地尝试保护自己。”

英格利斯还讨论了在各类关键基础设施中使用国外成品组件的问题，例如半导体元件。他敦促各方“对依赖外国生产的关键基础设施，建立起正确而清醒的成本认知。”但他也承认，这类项目无法在短时间内“拆除和更换”，毕竟美国也需要时间把很多已经离岸的产业重新引流回国内。其中的典型例子就是新近颁布的《2022年芯片与科学法案》。该法案希望将半导体生产带回美国，帮助美国摆脱对外国制造芯片的全面依赖。

英格利斯最后总结道，这项工作的达成不可能只靠联邦政府的一、两个部门。这是一个整体性问题，必须匹配整体性的解决流程。

信源：nextgov.com

印度陆军启动本国初创企业量子密钥分发技术采购和部署工作；

标签：印度陆军，量子密钥分发技术

2022年8月14日，印度国防部宣布，在国防部“卓越国防创新”（iDEX）计划－国防创新组织（DIO）的支持下，总部位于班加罗尔的印度专深技术初创企业量子实验室公司（QNu Labs）开发出了量子密钥分发（QKD）系统，实现了创新的安全通信，成为“卓越国防创新”计划下“开放式挑战-2”（Open Challenge-2）活动中的优胜者之一。

2022年4月，印度国防部举办“卓越国防创新”计划下“开放式挑战-2”和“开放式挑战-3”活动优胜企业颁奖仪式，量子实验室公司是“开放式挑战-2”活动的优胜者之一，图中背景板上第2列第2家入榜企业即为该公司（印度量子实验室公司图片）

在由“卓越国防创新”计划－国防创新组织和印度陆军设计局（Army Design Bureau）、陆军信号理事会（Army Signals Directorate）联合进行的试验中，量子实验室公司的系统打破了印度量子密钥分发传输的距离纪录。试验取得成功后，印度陆军正发布商业招标书（RFP），启动对量子实验室公司量子密钥分发系统的采购和部署流程。

印度量子实验室公司开发的“阿莫斯”（Armos）量子密钥分发系统设备。该公司在2022年6月已完成利用现有光纤通信基础设施，在超过325千米距离上实现了量子密钥分发通信，并称自己是全球首家做到这一点的企业。实际上，我国在2022年1月已公布实现了距离833千米的光纤量子密钥分发，创下世界纪录。但在我国及美、俄，欧洲主要国家（意大利、瑞典等）、日本、印度等推进量子密钥分发通信发展的浪潮中，印度的该项及及其他涉军科技成果值得我们正视（印度量子实验室公司图片）

印度国防部称，量子技术具有巨大的军事应用潜力，并可对现代战争产生颠覆性影响；量子密钥分发系统允许在地面光纤基础设施中相隔一定距离（在这种情况下超过150千米）的两个端点之间创建采用对称密钥的量子安全加密；量子密钥分发有助于创建出不可破解的量子信道，从而建立不可破解的加密密钥，用于加密端点之间的关键数据、话音和视频传输。印度国防部国防秘书阿贾伊·库玛博士（Dr Ajay Kumar，兼印度国防部国防生产部部长）称，印度本土的量子密钥分发技术开发是旨在纪念印度独立75周年的“独立自由的不朽节日”（Azadi Ka Amrit Mahotsav）的里程碑式成就，也是“印度自力更生”（Aatmanirbhar Bharat）愿景的成功故事；“卓越国防创新”计划彻底改变了印度的国防创新，并有助于以很低的成本和很短的时间创造性的技术解决方案。

信源：科技战略与系统工程研究所

鼹鼠行动：针对QNAP网络存储设备的大规模攻击活动，或成勒索温床；

标签：鼹鼠行动，QNAP网络存储设备，安全漏洞

信源：绿盟科技威胁情报

微软破坏了 SEABORGIUM 的网络钓鱼操作；

 标签：微软，SEABORGIUM，网络钓鱼

微软威胁情报中心（MSTIC）破坏了SEABORGIUM（又名ColdRiver，TA446）的活动，SEABORGIUM是一家与俄罗斯有关的黑客组织，他发起了针对北约国家人员和组织的持续黑客攻击活动。

SEABORGIUM自2017年以来一直很活跃，其活动涉及持续的网络钓鱼和凭证盗窃活动，导致入侵和数据盗窃。APT主要针对北约国家，但专家们还观察到针对波罗的海、北欧和东欧地区（包括乌克兰）的行动。

SEABORGIUM集团主要专注于国防和情报咨询公司、非政府组织和政府间组织、智库和高等教育。该组织还针对前情报官员，俄罗斯事务专家和海外俄罗斯公民。

SEABORGIUM的活动始于目标个人的侦察活动，重点是识别他们在社交网络或势力范围内的联系人。

微软发布的帖子写道：“根据观察到的一些模拟和目标，我们怀疑黑客使用社交媒体平台、个人目录和通用开源情报（OSINT）来完善他们的侦察工作。MSTIC与LinkedIn合作，发现SEABORGIUM的欺诈性个人资料偶尔被用于对特定利益组织的员工进行侦察。”

黑客使用虚假身份与目标个人联系，并开始与他们对话，以建立关系并诱使他们打开通过网络钓鱼邮件发送的附件。

网络钓鱼邮件使用PDF附件，在某些情况下，还包括指向文件、文档托管服务的链接，或托管PDF文档的OneDrive帐户的链接。

打开PDF文件后，会显示一条消息，说明无法查看该文档，他们需要单击按钮重试。

单击该按钮，受害者将被重定向到运行网络钓鱼框架（如EvilGinx）的登录页面，该页面显示合法提供商的登录页面并拦截任何凭据。在获取凭据后，受害者会被重定向到网站或文档，以避免引起怀疑。

一旦攻击者获得了对目标电子邮件帐户的访问权限，他们就会泄露情报数据（电子邮件和附件），或设置从受害者收件箱到参与者控制的秘密传递帐户的转发规则。

微软证实，它已采取行动，通过禁用用于监视、网络钓鱼和电子邮件收集的帐户来破坏SEABORGIUM的运营。这家IT巨头还为该黑客组织分享了IOCs，其中包括APT在其网络钓鱼活动中使用的60多个域的列表。

可以在Microsoft的公告中找到完整的域列表，以及网络防御者可以用来防止类似攻击的安全措施。

防御措施包括禁用Microsoft 365中的电子邮件自动转发，使用IOC调查潜在的危害，要求对所有帐户进行MFA，以及使用FIDO安全密钥来提高安全性。

微软还发布了Azure Sentinel搜索查询，可用于检查恶意活动。

信源：https://securityaffairs.co/wordpress/134414/apt/seaborgiums-targets-nato.html