名叫 NB65 的黑客组织过去一个月使用 Conti 泄露的勒索软件源代码创建自己的勒索软件去攻击俄罗斯公司。俄罗斯机构很少受到勒索软件攻击，这种情况被认为是出于一种默契，俄罗斯黑客通过不攻击本国机构而让执法机构对外国的攻击视而不见。NB65 攻击的机构包括了 Tensor、俄罗斯宇航局、电视广播公司 VGTRK 等。其中对 VGTRK 的攻击最引人注目，黑客窃取了 786.2 GB 数据，包括 900,000 电邮和 4,000 文件，发布在 DDoS Secrets 网站上。Conti 的源代码是在该组织公开支持俄罗斯后被支持乌克兰的成员泄露的。

2 月 24 日在俄罗斯攻击乌克兰的同一时间，Viasat 公司位于欧洲和乌克兰的卫星终端突然离线，德国数千风力涡轮机失去了用于远程控制和管理的卫星网络。本周 Viasat 提供了这起安全事故的更多细节。攻击者利用了 VPN 访问了该公司的 KA-SAT 卫星网络，通过搜索其内网找到了管理和运营的特定网络，同一时间向用户的调制解调器发送破坏指令覆写 Flash 存储器。根据上传到 VirusTotal 的样本，擦除器恶意软件是通过恶意固件更新推送给用户的。换句话说这本质上是又一起供应链攻击事故。

GitLab 修复了一个高危漏洞，该漏洞影响 GitLab Community Edition (CE) 和  Enterprise Edition (EE)，允许远程攻击者使用硬编码密码控制用户账号。硬编码密码 123qweQWE!@#000000000 是意外加入到代码中，GitLab 督促用户立即升级到最新的 14.9.2、14.8.5 或 14.7.7 版本以防止潜在的攻击。它还重置了部分用户的密码，表示尚未发现有证据显示攻击者利用该漏洞控制用户账号，此举旨在防患未然。

苹果周四释出了补丁修复了两个 0day 漏洞。漏洞是由一名未公开名字的研究人员发现的：第一个漏洞 CVE-2022-22675 位于 macOS Monterey 和 iOS 或 iPadOS 中，与越界写（out-of-bounds write）问题有关，允许黑客使用内核权限执行恶意代码；第二个漏洞 CVE-2022-22674 也是与越界写问题有关，会导致内核内存泄露。苹果表示这两个漏洞可能正被利用。CVE-2022-22674 和 CVE-2022-22675 是苹果今年修复的第 4 和第 5 个 0day 漏洞。

因俄罗斯电信公司 RTCOMM 的 BGP 配置错误，部分 Twitter 的流量短暂路由经过俄罗斯。周一的这起事故持续了约 45 分钟，直至 RTCOMM 停止广播错误路由为止。网络分析公司 Kentik 的 Doug Madory 认为这起事故的起因是俄罗斯政府试图阻止本国网民访问 Twitter，但可能是由于意外，RTCOMM 的变更路由影响到了整个互联网。他认为 RTCOMM 试图通过修改 BGP 丢弃特定 IP 范围内的流量，接受错误 BGP 广播的 ISP 会将特定 Twitter IP 空间路由到俄罗斯，然后被丢弃。他不认为俄罗斯尝试发动中间人攻击。

黑客被发现入侵 WordPress 网站植入恶意脚本，利用网站访客对多个乌克兰域名发动 DDoS 攻击。被攻击的网站包括乌克兰政府机构、智库、International Legion of Defense of Ukraine 的招募网站等。当用户访问被植入恶意脚本的网站，浏览器会加载脚本对被攻击域名发出 HTTP GET 请求，并发连接数一次最多 1000 次。DDoS 攻击发生在后台，用户察觉不到，最多感觉到浏览器访问缓慢。安全研究员 Andrii Savchenko 称有数百个 WordPress 网站植入了这一恶意脚本。

匿名者黑客组织（Anonymous）声称窃取并泄露了雀巢的大量数据。雀巢予以否认，称数据实际上是几周前自己泄露的。Anonymous 本周声称从这家全球食品和饮料集团窃取并泄露了 10GB 的数据。Anonymous 表示，它在惩罚雀巢，因为它不愿撤出俄罗斯。Anonymous 称，这些数据包括内部电子邮件、密码和雀巢的客户信息，数据于周二发布到网络上。根据雀巢发言人的说法，这完全是谎言。“最近关于雀巢遭到网络攻击以及随后的数据泄露的说法是没有根据的。”这位发言人解释说，网上流传的大量数据实际上是该公司今年早些时候犯下的一个错误的产物：“这与二月份的一个事件有关，因为无心之失，一些随机且主要是公开可用的 B2B 测试数据短时间内可以在线访问。”公司发言人解释说，这些数据，其中一些已公开，另一些尚未公开，意外地在互联网上公开了数周。该发言人表示：“一些主要公开的数据（例如，公司名称和公司地址以及一些企业电子邮件地址）在有限的时间（几周）内错误地在网络上公开。我们的安全团队当时检测到了这个问题，并进行了适当的审查。这些数据是为 B2B 测试网站准备的，目的是为了进行一些功能检查。”

英国警方逮捕了与 Lapsus$ 黑客组织有关联的 7 名嫌疑人。他们的年龄在 16 到 21 岁，现已经释放，警方表示调查还在继续。在这之前，一名住在英国牛津的少年被怀疑是 Lapsus$ 的主谋。这位名叫 WhiteDoxbin 的少年曾购买了一个专门曝光和分享个人身份信息的网站 Doxbin，但因为管理不善最终将网站转让给了原拥有者，但在放弃前他通过 Telegram 公开了整个 Doxbin 网站数据集，作为报复 Doxbin 社区公开了 WhiteDoxbin 的个人信息，包括家庭地址、社会媒体照片，其父母的信息。警方没有确认这位少年是否在被捕名单之中。Lapsus$ 的活动都是在 Telegram 频道进行，几乎没有掩盖其痕迹。

Lapsus$ 组织最近成功入侵了多家知名企业，其中包括英伟达和微软。安全研究人员在调查后认为，住在英国牛津与母亲生活在一起的 17 岁少年是 Lapsus$ 的主谋。Lapsus$ 窃取到了部分微软产品源代码，但源代码的下载并没有完成，黑客在完成下载前就在其 Telegram 频道披露了消息，让微软有机会终止下载。LAPSUS$ 的活动至少是从 2021 年 11 月开始，一名核心成员使用了化名 Oklaqq 和 WhiteDoxbin 在 Reddit 上招募企业内部人士，以一周最高付费 2 万美元进行收买。LAPSUS$ 没有建立暗网网站，其运作完全是通过其 Telegram 频道。WhiteDoxbin 曾收购了一个专门曝光个人身份信息的网站 Doxbin，但因为管理不善最终将网站亏损转让给了原拥有者，但在放弃前他通过 Telegram 公开了整个 Doxbin 网站数据集，作为报复 Doxbin 用户公开了 WhiteDoxbin 的个人信息，包括从他家外面拍摄的视频。Doxbin 用户透露 WhiteDoxbin 通过买卖 0day 漏洞发家，积累了超过 300BTC，价值约 1400 万美元。由于他的年龄只有 17 岁，尚未受到正式指控，媒体没有公开他的名字，但去了他的家询问了他的母亲。其母表示对其活动不知情，表示家庭受到骚扰，拒绝让儿子接受采访，称正在联络警方。Lapsus$ 的另一名成员被认为是住在巴西的少年。

安全公司 Avast 的研究人员发表报告《Operation Dragon Castling》，称攻击者利用金山办公软件 WPS Office 的漏洞，攻击东南亚尤其是台湾香港菲律宾的博彩公司。鉴于攻击者的娴熟技术和使用的先进工具，研究人员怀疑是某个 APT 组织在搜集情报或获取经济利益。攻击者使用的策略包括向目标公司的支持团队发送邮件，要求他们检查软件的 bug，邮件附带了一个感染了病毒的安装程序。攻击者使用的另一种方法是假的 WPS 更新程序 wpsupdate.exe，该更新程序从属于金山的域名 update.wps[.]cn 下载，但域名对应的 IP 地址 103.140.187.16 不属于金山公司所有。研究人员猜测是它是攻击者使用的假更新服务器。该更新程序会通过侧加载（sideloading）安装两个恶意程序建立后门控制被感染计算机。

在黑客公布内部环境的屏幕截图之后，身份认证管理服务商 Okta 证实遭到 Lapsus$ 组织的入侵。首席安全官 David Bradbury 称黑客可能访问了大约 2.5% 的客户数据。Okta 有超过 1.5 万家客户，2.5% 相当于 375 家。Okta 的客户包括亚马逊、苹果和微软等科技巨头，每一家公司都有数以万计的员工，因此受影响的人数可能相当多。 Lapsus$ 刚刚入侵了微软服务器窃取了微软多个产品的源代码，微软已经证实了此事，称攻击者是利用了电话社会工程技术。

Lapsus$ 黑客组织宣称入侵了微软内部的 Azure DevOps 服务器，窃取到 Bing、Cortana 等微软内部项目的源代码。Lapsus$ 随后公开了一个解压后有 37GB 大小的压缩文件，包括了 Bing 90% 的源代码，Bing Maps 和 Cortana 项目 45% 的源代码。研究过泄密文件的安全研究人员认为它们是真实的内部源代码。泄露源代码不涉及微软的桌面软件如 Windows、Windows Server 和 Microsoft Office。微软表示正对此事展开调查。Lapsus$ 最近完成了多次高调的入侵行动，攻击了多家知名企业，其中包括英伟达，暂时不清楚它是如何入侵的，有安全研究人员怀疑它收买了相关企业的内部人士。

FIDO 联盟董事会成员包括 Amazon、Google、PayPal、RSA、Apple 和微软（以及 Intel 和 Arm）。该组织将其使命描述为减少世界“对密码的过度依赖”。FIDO 发布了一份白皮书，阐述了愿景，即解决困扰无密码功能可用性的问题，这些问题阻碍了推广。

这份白皮书是概念性而非技术性的，经过多年的投资，在将 FIDO2 和 WebAuthn 无密码标准集成到Windows、Android、iOS 等系统中后，现在取决于下一步的成功。FIDO 正寻找让无密码方案难以前进的核心问题。结论是一切都要归结为切换或添加设备的程序。例如如果设置新手机的过程过于复杂，又没有简单的方法可以登录你所有的应用程序和帐户，或者你必须使用密码重新建立对这些帐户的所有权，那么大多数用户都会觉得改变现状太麻烦了。

无密码 FIDO 标准依赖设备的生物识别扫描仪或者主 PIN 码在本地验证身份，无需将数据通过互联网传输到网络服务器进行验证。FIDO 认为，最终解决新设备问题的关键概念是让操作系统实现“FIDO 凭据”管理器，类似于内置的密码管理器。这种机制不会直接存储密码，而是存储可以在设备之间同步并由设备的生物识别或者密码锁保护的加密密钥。在去年夏天全球开发者大会上，苹果宣布了自己的 FIDO 版本，这是一项被称为“Passkeys in iCloud Keychain”的 iCloud 功能，苹果称这是“对后密码世界的贡献。

FIDO 的白皮书还包含了另一个部分，是对其规范的拟议补充，允许现有的设备（如笔记本电脑）充当硬件令牌，类似于独立的蓝牙身份验证加密狗，通过蓝牙提供物理身份验证。这个想法实际上仍然是防御网络钓鱼，因为蓝牙是一种基于邻近的协议，可以作为一种有用的工具，根据需要开发出不同版本的、真正的无密码方案，这些方案都无需保留备份密码。Google 产品经理 Christiaan Brand 专注于身份和安全以及在FIDO项目上的合作，他表示，密码式的计划在逻辑上遵循智能手机或多设备无密码未来的图景。Brand表示：“老实说，我们一直牢记‘让我们超越密码’这个宏伟愿景的最终状态，只有每个人口袋里都有手机，它才能实现。”对 FIDO 而言，当务之急是转变帐户的安全范式，使网络钓鱼成为过去。当被问及情况是否真的如此时，密码的丧钟是否真的最终敲响，Brand 变得严肃起来，但他毫不犹豫地回答：“我觉得一切都在聚拢。”

过去几年发生了多起加油站油泵被入侵，数百甚至数万加仑的汽油被盗的安全事件。油泵和家用路由器一样存在安全隐患。卡巴斯基研究人员在 2018 年发现部分油泵使用的嵌入式控制器让它容易被黑客控制。控制器单元运行基于 Linux 的系统，安装了一个迷你 httpd 服务器。控制器是加油站的核心，它们很多都年代久远，是在十多年前安装到加油系统中的，而且与互联网相连。研究人员认为，一名技术精湛的黑客能从世界任何地方进入加油系统。

一位 NPM 包维护者为抗议俄罗斯入侵乌克兰而故意搞破坏，制造了最新一起供应链攻击安全事故，凸显了代码中的依赖传递会对安全产生巨大影响。RIAEvangelist 维护的 node-ipc 非常受欢迎，周下载量超过一百万。维护者创建了名为 peacenotwar 的模块表达抗议，该模块几乎无人下载，但他随后将 peacenotwar 作为 node-ipc 的依赖推送给了下游用户，受影响版本为 node-ipc@10.1.1 和 node-ipc@10.1.2，目前这两个版本都已经废弃。

广泛使用的加密库 OpenSSL 发现了一个可远程利用的高危漏洞。计算模平方根的 BN_mod_sqrt() 包含 bug 会导致无限循环，它能用于发动拒绝服务攻击。OpenSSL 项目释出了 OpenSSL 3.0.2 和 1.1.1n 修复了漏洞。该漏洞是由 Google 安全研究员 Tavis Ormandy 在 2 月 24 日报告的，Google 的 David Benjamin 和 OpenSSL 项目的 Tomáš Mráz 开发了补丁。

2015 年乌克兰电网因网络攻击导致基辅等地区断电数小时，此后美国一直在帮助乌克兰加强网络防御。去年 10 月 和 11 月，美国派遣了更多人去帮助乌克兰保护基础设施，其中部分人员为美国陆军 Cyber Command 的士兵。此次加派人员是为了应对即将爆发的战争。美国人担心俄罗斯在战争前夕会秘密在乌克兰网络中植入休眠的恶意程序，战争爆发的同一时间激活和发动毁灭性的网络攻击。美国的这一行动有助于解释为什么乌克兰的网络基础设施至今安然无恙。乌克兰和美国官员将这一行动描述为防御性的。由美国士兵和平民组成的网络任务小组在乌克兰铁路局发现并清除了一种设计抹掉数据的恶意程序，它能通过指令删除关键文件瘫痪整个计算机网络。在战争爆发后的十天内，乌克兰有近百万平民是通过铁路网逃到安全地带。在乌克兰网络遭到 DDoS 攻击之后，美国团队在数小时内安排并部署了 Fortinet 公司的软件。

美国周三和周四先后引渡了两位勒索软件黑帮的嫌疑犯。22 岁的乌克兰人 Yaroslav Vasinskyi 是在去年 8 月入境波兰时被捕的，本周三引渡到美国，他所受到的指控最长刑期高达 115 年，他被认为要对去年 7 月针对美国远程管理公司 Kaseya 的供应链攻击负主要责任，这次攻击感染了 800 到 1,500 家依赖于 Kaseya 软件的机构，Vasinskyi 合作的勒索软件组织 Sodinokibi/REvil 要求受害者支付 7000 万美元的赎金。34 岁的加拿大魁北克居民 Sebastien Vachon-Desjardin 周四引渡到美国，他是在去年 1 月被捕的，被控通过参与 NetWalker 勒索软件活动获得了超过 2700 万美元。加州大学旧金山分校是 NetWalker 的受害者之一，它为解密数据支付 114 万美元赎金。

研究人员警告，网络犯罪分子正在利用一种新方法将 DDoS 攻击流量放大 40 亿倍。DDoS 放大攻击非常受网络罪犯的欢迎，它可以大幅减少发动攻击所需的计算资源。最早的放大攻击是利用错误配置的 DNS 服务器，能将攻击流量放大 54 倍，较新的放大攻击方法包括利用 Network Time Protocol 服务器(放大约 556 倍)、Plex 媒体服务器( 5 倍)、Microsoft RDP (86 倍)、Connectionless Lightweight Directory Access Protocol ( 50 倍)等。此前最大的 DDoS 放大攻击是 memcached，能将流量放大最高 5.1 万倍。最新的攻击利用的是错误配置的 Mitel，它能放大 40 亿倍的原因之一是大幅延长攻击时间。一个欺骗性的数据包可以诱发持续时间长达 14 小时的 DDoS 攻击，数据包放大率达到了创纪录的 4,294,967,296:1。

360 集团创始人周鸿祎表示，在万物互联时代，中小微企业是供应链攻击的“跳板”，极有可能成为国家数字安全的缺口。周鸿祎说，中小微企业是国家经济的“毛细血管”，既是税收和就业的“半壁江山”，也是产业供应链体系的重要一环。然而，中小微企业数字安全基础薄弱、重视不足，如果在数字化的同时没有补足安全短板，黑客组织就能以中小微企业为跳板，针对大型企业、政府和关键信息基础设施发起供应链攻击，造成重大安全事件。温州一家超市今年年初就受到勒索病毒攻击——黑客向其索要 0.042 枚比特币（总价值约 12000 元）作为赎金，且支付赎金后黑客并未恢复超市数据，严重影响正常运转。