网络盾牌 | 0927-美军秘密采购监控工具以窥探任意公民网络数据-超三万名俄罗斯预备役军人信息遭到泄露

点击上方蓝色文字关注我们

美军秘密采购大规模监控工具，可窥探任意公民网络数据；

标签：美军，监控工具，任意公民，网络数据

美国参议员罗恩·怀登在周三的一封信中称，有多个军事情报办公室向数据经纪机构付费访问互联网流量日志，这可能会暴露美国公民的在线浏览历史。该消息援引了一位主动联络其办公室的匿名举报人的说法。

包括陆军和海军在内，美国国防部内部至少有四个机构，花费了至少350万美元使用一款鲜为人知的数据监控工具。据报道，该工具能够提供海量电子邮件数据及网络浏览活动的访问权限。作为工具开发方，佛罗里达州安全公司Team Cymru声称，其产品能为客户提供“互联网上的绝大多数活动”，对超过90%的互联网流量提供“可见性”。

外媒Vice报道称，怀登参议员与美国公民自由联盟敲响警钟，矛头直指这项不为人知的政府采购。对于美国国防部具体如何使用该工具，目前仍无法确定。怀登写道，“该工具能够展示民众的个人身份，以及人们在网上的阅读内容等极其敏感的信息。”虽然尚无证据，但此次采购至少代表政府机构可能绕过宪法保护，从见不得光的数据经纪机构和其他私营企业那边获取数据。

怀登周三致信国防部、司法部和国土安全部的监察长，敦促他们对各自机构购买数据的行为开展调查，并称他已确认“有多个政府机构在未经司法授权的情况下，购买美国公民数据”。

内部人士举报美军采购公民网络数据，可穿透VPN追踪个人

怀登表示，一名军方的举报人来到他的办公室，针对“整个指挥系统上下”提出了一系列正式指控。从指控内容来看，似乎是暗示海军刑事调查局（NCIS）在未拿到搜查令的情况下，以交易方式购买了网络流量数据（netflow）。

作为美国参议院财政主席兼特别情报委员会长期成员，怀登说，“根据举报人的说法，NCIS是从Team Cymru公司购买到的数据访问权，其中包括网络流量记录和部分通信内容。Team Cymru是一家数据经纪机构，我之前曾经调查过他们的数据销售情况。”

网络流量记录（netflow）包含用户接入过哪些服务器，一般足以推断出他们在访问哪些特定网站。日志还可能包含发送或接收的数据量，以及用户访问网站的时间。

外媒Vice曾在2021年8月报道称，威胁情报厂商Team Cymru正与互联网运营商合作，获取对网络流量记录的访问权限。Team Cymur当时还曾通知过参议员办公室，表示从第三方处获得了“网络流量数据，用以提取威胁情报”。

Vice当时援引某匿名消息人士的说法，称Team Cymru的客户可以访问一个数据集。通过该数据集，他们可以“对几乎任何IP执行查询，选择一个时间段拉取目标IP的网络流量。”

据报道，Team Cymru甚至能够穿透虚拟专用网络（VPN）实现流量跟踪，许多用户使用VPN来保护上网隐私。

根据怀登的说法，公开合同记录证实，军方使用了一种名为Augury的工具。该工具“从全球500多个收集点”汇聚了“PB级别”的网络数据。其每天至少会收集“1000亿条新记录”，包括电子邮件和网络浏览数据。

怀登表示，该工具由外包商Argonne Ridge Group提供，而这家公司跟Team Cymur有着“相同的公司地址”和“相同的公司高管”。他还补充称，Argonne已经跟美国网络司令部、陆军、FBI及特勤局签订了服务合同。

信中还提到了国防情报局、国防反情报与安全局以及美国海关与边境保护局（CBP）等机构。怀登正在对这项政府采购案开展持续调查

公民自由联盟表示担忧，要求提高采购使用透明度

这一事件引发了美国公民自由联盟等主要权利组织的担忧。该联盟在采访中指出，有必要以更高的透明度关注政府机构如何使用这些信息。

美国公民自由联盟国家安全项目副主任帕特里克·图米（Patrick Toomey）在采访邮件中提到，“网络浏览记录能揭示出我们的身份、在网上阅读了哪些内容等高度敏感的信息。我们需要更透明的了解军事和执法机构如何使用这些未经授权获得的私人信息。”

Team Cymru公司一位发言人表示，关于该公司签订合同的报道“并不属实而且具有误导性”，对其软件功能的“指控”也“毫无根据”。（但他们没有具体解释哪些说法有误，也没有提供更进一步的更正细节。）

海关与边境保护局和FBI的发言人没有立即回应置评请求。军方一位发言人则将所有问题移交给国防部监察长办公室，据称稍后会做出回复。

多位议员要求公布采购细节，以确定是否侵犯公民隐私

此次事件之际，已经有多位联邦议员努力调查美国政府在未授权情况下获取数据的行为。上个月，美国众议院两位民主党人杰罗德·纳德勒（Jerrold Nadler）和本尼·汤普森（Bennie Thompson）要求FBI和国土安全部公布涉嫌购买数据的细节，据称这些细节足以揭示用户的网络浏览活动和精确位置。

虽然2018年最高法院已经裁定，政府不得在没有搜查令的情况下获取敏感位置数据，但部分政府机构仍故意收窄该裁定的适用范围，力图将商业购买的数据剔除在“获取”的范畴之外。换句话说，美国政府其实一直在围绕宪法第四修正案想办法钻空子。

想要摆脱束缚的还不只是联邦政府机构。上周五，众议员安娜·艾舒（Anna Eshoo）要求联邦贸易委员会调查新近发现的Fog Reveal警察软件。这款软件能帮助执法机构描绘出美国民众“之前几个月”的活动轨迹。该服务并不依赖于网络流量数据，而是从数百款消费级应用程序处收集据称用于广告目的的位置数据。

艾舒强调，“消费者自己并没意识到，当他们在手机上下载并使用这些免费应用时，很可能也同时丧失了宪法第四修正案赋予他们的权利。如果明确提出这种选择，大多数消费者恐怕都不会愿意接受。但从功能上讲，现实情况就是人们已经广泛接受了这一切。”

信源：https://gizmodo.com/ncis-whistleblower-military-data-broker-cymru-wyden-1849564984?scrolla=5eb6d68b7fedc32c19ef33b4

继普京宣布部分动员后，超 300000 名俄罗斯预备役军人信息遭到泄露；

标签：俄罗斯，预备役军人，信息泄露

黑客组织 Anonymous 声称已经泄露了超过 300,000 人的个人数据，这些人可能被俄罗斯政府动员起来作为预备役军人。在2022年9月23日星期五，该组织的一个 Twitter 账户上发布的消息表示，“入侵了俄罗斯国防部的网站并泄露了 305,925 人的数据，这些人可能在三波动员中的第一波中被调动起来。”

Anonymous的说法是在俄罗斯总统普京两天前，即9月21日发表全国讲话后宣布的，其中宣布动员 300,000 名预备役人员进行部分军事动员，以应对目前俄罗斯所面对的威胁。

如果 Anonymous 的最新说法被证实属实，这可能会使预备役人员受到攻击，并可能被乌克兰方联系。此前，黑客组织 Anonymous 在乌俄冲突期间对俄罗斯发起了多次网络攻击，以支持乌克兰。在 2022年2月24日入侵开始后，它立即宣布对普京政府发动“网络战” 。

3月，该组织声称已经破坏了负责监管通信、信息技术和大众媒体的俄罗斯联邦机构的数据库，在此过程中泄露了超过36万份文件。同月，该组织还入侵了俄罗斯的流媒体服务和电视新闻频道，以播放乌克兰战争的镜头。

网络在俄罗斯与乌克兰的战争中发挥了重要作用。

此外，Recorded Future 旗下Insikt Group 的全球问题团队 Craig Terron在最近发表的一篇关于乌克兰战争网络方面的信息安全杂志文章中评论说：“我们没有看到这些大规模攻击的部分原因是乌克兰的网络防御一直很强大在西方和北约的一些支持下。”

除乌克兰外，西方政府已警告国内企业通过网络攻击来加强其网络防御，这些网络攻击预计将被用作俄罗斯在面临严厉制裁时的报复策略。

信源： https://mp.weixin.qq.com/s/_qDzJYmnoWnkp3LcIxbKVA

欧盟启动开放Web搜索项目，希望替代Google；

标签：欧盟，开放Web搜索项目

欧盟 7 个国家 14 个研究和计算中心共同合作启动了开放 Web 搜索项目 (OpenWebSearch)，为欧盟的 Web 搜索构建开放的基础设施。欧盟委员会现已批准为该项目提供 850 万欧元融资。

此项目将推动欧洲的数字主权发展，并促进建立以人为本且开放的搜索引擎市场。OpenWebSearch 的主页写道，尽管 Web 搜索是欧盟数字经济的支柱，但目前却被大型技术公司主导。因此，作为公共产品的信息，它需要具有自由、公正和透明的访问权限。目前搜索引擎市场的不平衡现状危及民主，并限制了欧洲研究领域和经济的创新潜力。

未来三年，研究人员将开发核心的欧洲开放网络索引 (Open Web Index, OWI)，作为欧洲新互联网搜索的基础设施。此外，该项目将根据欧洲的价值观、原则、立法和标准，为一个开放和可扩展的欧洲开放 Web 搜索和分析基础设施 (open Web Search and Analysis Infrastructure, OWSAI) 奠定基础，包含以下目标：

1. 开发一套核心的搜索、发现和分析服务，以创建、维护和利用 OWI

2. 开发相关的搜索引擎垂直领域和展示其影响的新搜索范式

3. 建立欧洲高性能计算基础设施、研究和商业组织网络，以根据欧洲的价值观、原则、立法、道德和标准来试点 OWSAI

4. 完善 OWI 周围的生态

因此，OpenWebSearch 的索引将与搜索引擎分开，创建索引的昂贵过程可以在大型集群上完成，而搜索引擎则可以在本地执行。通过 Open-Web-Search Engine Hub，任何人都可以分享其搜索引擎规格和预计算定期更新的索引。最终目标是创造一个以人为中心无隐私问题的搜索。

信源：https://openwebsearch.eu/https://openwebsearch.eu/partners/

攻击者冒充 CircleCI 平台入侵 GitHub 帐户；

标签：网络钓鱼活动，CircleCI 平台， GitHub

GitHub警告说，正在进行的网络钓鱼活动针对其用户，通过冒充CircleCI DevOps平台来窃取凭据和双重身份验证（2FA）代码。

该公司于9月16日获悉针对其用户的攻击，并指出网络钓鱼活动已经影响了除GitHub以外的许多受害组织。

网络钓鱼消息声称用户的CircleCI会话已过期，并试图诱骗收件人使用GitHub凭据登录。

“单击该链接会将用户带到一个类似GitHub登录页面的钓鱼网站，但会窃取输入的任何凭据。对于启用了基于TOTP的双因素身份验证（2FA）的用户，钓鱼网站还会将任何TOTP代码实时转发给黑客和GitHub，从而允许黑客侵入受基于TOTP的2FA保护的帐户。受硬件安全密钥保护的帐户不易受到这种攻击。”微软旗下公司发布的公告表示。

收件人被重定向到假冒GitHub登录页面的网络钓鱼页面，该页面旨在实时窃取用户输入的凭据和2FA代码。

该公司指出，受硬件安全密钥保护的账户不易受到这种攻击。

攻击者使用的策略包括快速创建GitHub个人访问令牌（PAT）、授权OAuth应用程序或向帐户添加SSH密钥，以便在用户更改密码时保持对帐户的访问。

在其他情况下，攻击者会立即下载受感染用户可以访问的私有存储库内容，包括组织帐户和其他合作者拥有的内容。

攻击者使用VPN或代理提供商，通过受感染的用户帐户下载私有存储库数据。

如果被盗帐户具有组织管理权限，则攻击者可能会创建新的GitHub用户帐户并将其添加到组织中以建立持久性。

以下是此次活动中使用的已知网络钓鱼域名列表:

• circle-ci[.]com

• emails-circleci[.]com

• circle-cl[.]com

• email-circleci[.]com

“在进行分析时，我们为受影响的用户重置了密码，并删除了黑客添加的凭据，我们还通知了所有已知受影响的用户和组织。如果您没有收到我们的电子邮件通知，那么我们没有证据表明您的帐户和/或组织被黑客访问。我们暂停了所有已识别的黑客帐户，将继续监控恶意活动，并根据需要通知新的受害者用户和组织。”

信源：https://securityaffairs.co/wordpress/136211/hacking/phishing-circleci-github-accounts.html

新型Linux恶意软件用IoT设备挖矿：仅376字节 专盯智能家电；

 标签：新型，Linux，恶意软件，IoT设备，挖矿

继电脑和手机后，挖矿病毒也盯上了IoT设备，无论是智能冰箱、彩电还是洗衣机，但凡有点算力的（物联网和端侧）设备都可能被这种病毒感染，用于挖掘加密货币等。

AT&T Alien Labs新发现的Linux恶意软件Shikitega就是一例。

相比之前的一些IoT设备，Shikitega更加隐蔽，总共只有376字节，其中代码占了300字节。

那么，这个新型恶意软件究竟是如何感染设备的？

利用加壳技术“隐身”

具体来说，Shikitega核心是一个很小的ELF文件（Linux系统可执行文件格式）。

加壳，指利用特殊算法压缩可执行文件中的资源，但压缩后的文件可以独立运行，且解压过程完全隐蔽，全部在内存中完成。

动态壳则是加壳里面更加强力的一种手段。

从整体过程来看，Shikitega会对端侧和IoT设备实施多阶段感染，控制系统并执行其他恶意活动，包括加密货币的挖掘（这里Shikitega的目标是门罗币）：

通过漏洞利用框架Metasploit中最流行的编码器Shikata Ga Nai（SGN），Shikitega会运行多个解码循环，每一个循环解码下一层。

最终，Shikitega中的有效载荷（恶意软件的核心部分，如执行恶意行为的蠕虫或病毒、删除数据、发送垃圾邮件等的代码）会被完全解码并执行。

这个恶意软件利用的是CVE-2021-4034和CVE-2021-3493两个Linux漏洞，虽然目前已经有修复补丁，但如果IoT设备上的旧版Linux系统没更新，就可能被感染。

事实上，像Shikitega这样感染IoT设备的恶意软件已经很常见了。

例如在今年三月，AT&T Alien Labs同样发现了一个用Go编写的恶意软件BotenaGo，用于创建在各种设备上运行的僵尸网络（Botnets）。

对此有不少网友吐槽，IoT设备的安全性堪忧：

也有网友认为，IoT设备应该搞WiFi隔离，不然就会给病毒“可乘之机”：

而除了IoT设备，更多人的关注点则放在了Linux系统的安全上。

Linux恶意软件数量飙升650%

这几年来，Linux恶意软件的多样性和数量都上升了。

根据AV-ATLAS团队提供的数据，新的Linux恶意软件的数量在2022年上半年达到了历史新高，发现了近170万个。

与去年同期（226324个恶意软件）相比，新的Linux恶意软件数量飙升了近650%。

除了Shikitega，近来发现的流行Linux恶意软件也变得更加多样，已知的包括BPFDoor、Symbiote、Syslogk、OrBit和Lightning Framework等。

对此有网友提出疑惑，正因为Linux开源，它似乎无论如何都会面临病毒和恶意软件的泛滥？

有网友回应称，一方面，虽然旧的Linux系统可能充满漏洞、成为病毒的“温床”，但它在经过升级、打了补丁之后就会变好。

另一方面，开发恶意软件本身也不是“有手就能做”的事情。

毕竟安全研究人员会不断修复并堵上所有漏洞，而恶意软件开发者必须在他们修复前找到漏洞、开发出恶意软件，还得让它们“大流行”，最终实现自己的目的。

要是你家还有在用老旧Linux系统的设备，要注意及时升级or做好网络隔离等安全措施~

信源： 量子位

一键四连

原文始发于微信公众号（网络盾牌）：网络盾牌 | 0927-美军秘密采购监控工具以窥探任意公民网络数据-超三万名俄罗斯预备役军人信息遭到泄露