CNTIC周报 第五十五期

安全要闻

伊朗国家背景的APT攻击组织网络间谍工具源代码和攻击者被泄露和曝光

近期，有匿名黑客开始泄露伊朗间谍组织APT 34 (OilRig 或者 HelixKitten) 所使用的黑客工具，还包括团队成员及受害者数据信息等。从3月份开始，匿名黑客开始以“Lab Dookhtegan”这个名字在Telegram频道中分享这些数据。该匿名者试图让这些信息和黑客工具传播地更广泛，从4月份开始，以同样的ID创建了Twitter账号并发布泄露信息相关动态。

截止目前，该匿名者已经放出了6款黑客工具。有安全专家证实，这些泄露的工具及信息确实跟APT 34组织有关联。Dookhtegan公布的信息还包括66个APT34组织受害者，主要是中东地区的政府机构和金融、能源等企业  ，这与之前所掌握关于APT 34组织的情况相符。4月18日，Dookhtegan 放话称，此后每隔几天都将发布一名工作人员的真实信息或者情报部门的秘密。同时也附上了一名APT 34组织黑客成员照片，还包括姓名、电话。

无疑，这次泄露事件对于APT 34组织来说，是一次沉重的打击。各大安全组织和机构也都在积极研究这些工具，以防未来受到同样手段的攻击，这也意味着APT 34将有必要对目前所使用的工具进行修改或者采用新的技术手段。

美国联邦通信委员会将以安全问题为由阻止中国移动进入美国市场

美国联邦通信委员会（FCC）将以安全问题为由阻止全球最大的移动公司——中国移动，进入美国市场。FCC主席Ajit Pai在今天的一份声明中表示：“中国移动在我国提供电信服务的申请会引发严重的国家安全和执法风险。”美国联邦通信委员会委员将于5月9日对阻止中国移动进入美国的提案进行投票，但鉴于该监管机构中60%都是共和党人，并且他们将作为一个统一的联盟进行投票，中国移动无法进入基本上是板上钉钉的事了。

中国移动希望FCC批准其成为美国的“共同运营商”，能够在美国和其他国家之间传输国际语音流量，并连接到美国电信网络。中国移动告诉联邦通信委员会它并不打算在美国提供自己的电话服务，只是将现有服务扩展到更多地方。

前Mozilla工程师爆料，谷歌一直在破坏火狐

作为全球范围内使用最多的浏览器，谷歌Chrome浏览器可以说在浏览器市场的地位举足轻重，但近日，火狐浏览器开发商Mozilla前员工在推特上爆料，为了让Chrome成功，谷歌采用了一些卑劣手段抢占市场，提高Chrome浏览器的采用率。

谷歌在开始Chrome浏览器研发之前，Mozilla一直是谷歌的最大合作伙伴。这位工程师表示，由于谷歌的Gmail和Docs服务总会在火狐浏览器上遇到选择性性能问题和错误，所以谷歌旗下的网站将火狐浏览器标记为不兼容的浏览器，虽然谷歌多次表示都是意外错误并承诺修复，但最后都是不了了之。

威胁分析报告

The HotList钓鱼骗局攻击Instagram用户

最近发现了一个名为“The Hotlist”的新网络钓鱼骗局，目标是Instagram用户。这个新骗局的运作方式与最近的“The Nasty List”骗局相似。骗局被用来窃取用户的Instagram帐户详细信息。一旦诈骗者获取登录凭据，他们可以稍后使用它们向其他Instagram用户发送进一步的网络钓鱼消息。

 WannaCry救星承认开发、传播银行木马Kronos

英国安全研究员 Marcus Hutchins，aka  MalwareTech，2017 年因发现  WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄，但他在当年前往美国参加安全会议 Black Hat 和 DEF CON 后准备在机场离境时遭到 FBI 逮捕，被控开发、传播和维护了银行木马 Kronos。本周 Hutchins 承认他开发了银行木马， 他对此表示遗憾，并愿意为错误承担责任，表示正将几年前误用的技能用于建设性目的。

根据认罪协议，Hutchins 承认了两项指控，检方放弃了另外八项指控，每一项指控的最大刑期是五年，最高罚款 25 万美元。他承认开发了银行木马 Kronos 和 UPAS-Kit，承认与同谋 Vinny、VinnyK 和 Aurora123 在网上宣传和销售这两种木马，时间发生在 2012 年 7 月到 2015 年 9 月之间，之后他改变了职业轨道成为了安全研究员。

全球大使馆遭 Excel 鱼叉式钓鱼攻击

Check Point 公司的研究人员指出，全球大使馆正在遭受来自俄罗斯黑客发动的鱼叉式钓鱼攻击。这些邮件带有美国国务院标志以及“绝密”标签，诱骗受害者认为它们是合法的，但实际上却包含恶意 Excel 文件。这些文档能够利用木马版本的远程访问软件 TeamViewer 来控制受感染的计算机。Check Point 威胁情报组经理表示，黑客能访问“一切”，包括“数据库、个人数据、文档、网络、其它联网设备。他们具有访问受感染设备的完整权限”。

B站网站后台工程源码疑似泄露，内含部分用户名密码

4月22日，据微博@互联网的那点事爆料称，哔哩哔哩（B站）整个网站后台工程源码泄露，并且“不少用户名密码被硬编码在代码里面，谁都可以用。”新浪科技在GitHub上查询后发现，平台上确实存在由一个名叫“openbilibili”的用户创建的“go-common”代码库。截至北京时间17:04，该项目已获得6597个标星和6050个代码库分支。在17:22试图fork该代码库时发现，这一代码库已被GitHub“封杀”。

在晚间7:50左右，哔哩哔哩通过官方微博发布一条针对这次泄露事件的回应声明称，“该部分代码属于较老的历史版本，已执行主动防御措施”。但几分钟之后，这条微博被删除。晚间8:20左右，官博再次发布相同的声明截图，数分钟后又再次删除。两次秒删让人费解，对此，期待B站的正式回应。

会议政策赛事

美前官员：俄罗斯是美国最大的网络威胁

据外媒报道，奥巴马政府时期负责国家安全的助理总检察官John Carlin表示，美国正处于一场网络战争之中，俄罗斯政府间谍和网络罪犯之间日益增长的伙伴关系是美国面临的最大威胁之一。

Carlin在新书《密码战争的黎明》（Dawnof the Code War）中详细阐述了这一发现。他表示，相比中国、朝鲜和伊朗，俄罗斯的威胁更大。这不仅仅只是国家或是犯罪组织的问题，而是两者的结合，国家在保护罪犯。

Carlin所指的罪犯是像EvgineyMikhailovich Bogachev这样的黑客，他是FBI通缉的网络罪犯之一。据称，Bogachev是制造GameOver Zeus恶意软件的黑客，曾感染了100多万台电脑，造成了超过1亿美元的经济损失。Bogachev可能还有另外一款勒索软件。美国金融机构、世界500强企业、大学和政府机构都是Bogachev的目标。

美日联合声明，网络攻击将被视为武装攻击

美日两国政府19日在华盛顿召开外长防长参加的安全保障磋商委员会（2+2）会议，首次确认了对日本的网络攻击属于规定美国对日防卫义务的《日美安全保障条约》第5条写明的武力攻击的适用对象。美国国务卿蓬佩奥表示，美国和日本确认，国际法适用于网络空间。

根据条约规定，美国有义务在针对日本或者驻日美军的武装袭击中帮助日本保卫其领土。但两国并没有明确指出在何种情况下的网络攻击会被定性为武装袭击，也没有指明美国的回应具体是什么。会后发布的联合声明中提到，将会根据具体情况，通过磋商决定一次网络攻击能否被归为武装袭击。有专家指出，很难界定网络攻击的目标是为了找出电脑安全系统漏洞的反间谍活动，还是攻击整个电脑系统，使其陷入瘫痪状态。

网络攻击的范围定义为从个人和企业电脑的黑客攻击，到对电力公司和金融机构等关键基础设施的攻击。据日本媒体此前报道，日本官员一直要求美国扩大条约第五条的范围，加入网络攻击。日本防卫相岩屋毅表示，在双方协议中加入网络攻击“从威慑的层面看具有极重要的作用”。

会上强调了朝鲜完全实现无核化的重要性。会议还发布了以在太空和网络空间等防卫新领域强化合作为主要内容的联合文件。文件对太空、网络和有阻碍通信之虞的电磁波这些新领域迅速的技术进步表示关切，将三者定位为有必要采取应对的优先领域。双方还就恶意网络活动构成“进一步威胁”达成共识。

前沿技术

新加坡开发出新的量子密钥分配技术

新加坡国立大学与新加坡电信合作研究出一种量子密钥分发新技术，该突破提高了网络防御能力，还使新加坡成为全球QKD研究中心。

据外媒报道，新加坡国立大学（National University of Singapore）宣布，一组研究人员与新加坡电信（Singtel）合作研究出一种量子密钥分发（QKD）新技术。

QKD与传统加密不同，传统加密依靠数学来保护密钥传输，QKD通过网络传输光子，使通信双方能够达成协议并生成加密密钥来建立安全的通信通道。

新加坡国立大学-新加坡电信网络安全研发实验室（NUS-Singtel  Cyber Security Research & Development Laboratory）的研究者成功地协调一对光子的运动。光子在通过不同的光纤网络路径时，研究人员能控制光子到达的时间。两个组织表示，如果不使用这种技术，光子可能会失去顺序，双方的加密密钥就难以达成一致。

新加坡国立大学-新加坡电信网络安全研发实验室所表示，该突破提高了网络防御能力，还使新加坡成为全球QKD研究中心。实验室将继续开发和微调这项技术，并通过产品工程中心将其商业化。新加坡国立大学副教授Alexander Ling表示，目前的商用光纤网络已为QKD做好了准备。研究人员目前正致力于为政府、军方和银行服务部门的实际使用进行技术开发。

语音助手背后的公司如何处理语音隐私数据

Alexa、Cortana、谷歌助手、Bixby和Siri，每天都有数亿人在使用由亚马逊、微软、谷歌、三星和苹果等公司开发的语音助手，并且该数字还在不断增长。最新一项调查显示，每月至少会有9010万美国成年人会在智能设备上使用语音助手、7700万人会在汽车上使用，4570万人会在智能扬声器上使用。

大多数用户没有意识到他们的语音记录不会被即时删除，甚至可能会存储多年，在某些情况下，它们会由审阅人员进行分析。各大公司对于其语音数据的使用情况：亚马逊表示，他们对Alexa语音记录的一个很小的样本进行了注解，以改善客户体验；苹果在其隐私页面白皮书中讨论了Siri录制音频的审核过程；谷歌表示，它只进行非常有限的音频转录，以改进语音识别系统，并采用了大量技术来保护用户隐私；微软表示，他收集语音数据是为了加强Cortana对用户语音模式的理解，并不断改进Cortana的识别和响应；三星表示，它利用语音命令和对话来改进和定制各种产品体验，并利用过去的对话记录帮助Bixby更好地理解不同发音和语音模式。

大多数语音识别系统都得益于深度神经网络——类似于神经元层数学函数随着时间的推移而进行自我改进，以预测音素或感知不同的声音单位。谷歌推出了 TensorFlow Privacy，这是一个 TensorFlow 机器学习框架的开源库，旨在使开发人员能够更轻松地训练具有强大隐私保障的 AI 模型。具体来说，它通过使用改进的随机梯度下降技术（用于优化 AI 系统中的目标函数的迭代方法）来优化模型，将训练数据示例引入的多个更新平均化，并向最终平均添加匿名噪声。