未知身份的黑客入侵了瑞士一家为红十字会提供数据储存服务的承包商，窃取了 Restore Family Links 项目大约 515,000 名用户的个人数据。该项目被用于帮助因战乱、灾难或移民而分离的家庭成员团聚。红十字会发布新闻稿，请求攻击背后的黑客不要公开或出售数据，以免给已遭受苦难的人带来更多伤害。红十字会没有透露更多攻击细节，暂时不清楚攻击是勒索软件黑帮、国家支持黑客还是其他人所为。

微软上周释出的一月例行安全更新被发现引入了 bug，给企业客户制造了麻烦，会导致 VPN 连接失败。根据微软公布的信息，问题主要影响包含供应商 ID 的 IPSEC 连接，以及 L2TP 和IPSEC IKE VPN 连接，受影响操作系统包括 Windows 10、Windows 11，Windows Server v2022、20H2、2019 和 2016。最常见受影响的是 Windows 操作系统内置的 VPN 客户端，其它这些连接的第三方客户端也可能会出错。微软在本周释出补丁修复了这些问题。

知名字幕站 Opensubtitles 宣布遭到黑客入侵。事情始于 2021 年 8 月，黑客通过 Telegram 发送消息称能访问网站的用户表下载数据库，黑客勒索 1 BTC 换取不公开漏洞并承诺删除数据。黑客还提供了如何修复漏洞的方法。之后几个月风平浪静，但在 2022 年 1 月 11 日网站管理员再次收到了相同漏洞的勒索要求，可能来自第一位黑客的合作伙伴，漏洞事实上没有修复。1 月 14 日网站数据泄露，在获悉之后网站管理员立即锁定了所有账号并强制要求更改密码，18 日披露了这一安全事故。Opensubtitles 成立于 2006 年，当时对安全还不够重视，用户密码使用的 md5() 储存，没有加盐处理，弱密码会很容易破解。如果用户在其它网站重复使用了密码，网站管理员建议一同修改。

根据以色列商业媒体网站 Calcalist 的调查，以色列警方在未经授权的情况下，使用 NSO 集团备受争议的 Pegasus 间谍软件对包括政治家和活动人士在内的以色列公民进行电话侦听。报道称这些侦听针对的目标包括本地市长、反对前总理内塔尼亚胡（Benjamin Netanyahu）的政治抗议活动领袖以及前政府雇员。监控以色列公民需要法院监督，这些监控是在缺少法院监督的情况下进行的，对于数据如何使用也缺乏监督，以色列警方和一位政府部长明确否认这一说法。以色列日报《国土报（Haaretz）》的另外一则报道称，据报社看到的发票，NSO 集团在 2013 年向以色列警方开具了 270 万谢克尔（86.2万美元）的发票，显然是该计划的基本版本。以色列 NSO 集团设计了 Pegasus并将其出售给外国政府，虽然出现了许多滥用 Pegasus 的报道，但最近的报道标志着情况出现了重大变化，以色列人也成了侦听的目标。《卫报》从熟悉 NSO 授权的消息人士处了解到，虽然 NSO 出售给国外第三方客户的软件不能在国外针对美国和以色列的电话号码，但购买间谍软件的以色列执法机构——例如警方——可以针对以色列的手机号码。虽然报道没有提及消息来源，但它声称使用间谍软件的命令是由高级官员下达的，由警方的电子侦听专家执行。这一说法意义重大，因为它首次反驳了向以色列人做出的保证，即他们不会成为 Pegasus 的目标，对以色列人免于非法入侵的观点提出了质疑。

NordicTrack 公司的 X32i 跑步机售价高达 4000 美元，配备了 32 英寸的显示屏，客户在锻炼时可以观看各类视频。NordicTrack 一直尝试让客户订阅其母公司 iFit 的锻炼应用，限制观看外部视频。它有一个 God Mode 允许用户安装第三方应用，观看外部视频。从去年 10 月开始，NordicTrack 通过更新阻止客户使用 God Mode，不让客户访问 Netflix、YouTube 等流视频服务。这激怒了消费者。他们投诉指出，NordicTrack 的跑步机非常昂贵，他们本应该能完全掌控设备。NordicTrack 和 iFit 的发言人则回应称限制 God Mode 是出于安全考虑。客户开始寻找各种方法绕过 NordicTrack 的限制，目前最流行的做法是恢复出厂设置，配置路由器屏蔽 NordicTrack 推送自动更新。虽然出厂时安装的软件比较旧，但客户可以完全控制跑步机。

针对 Linux 设备的恶意程序数量去年增长 35%，这些恶意程序主要通过感染物联网设备组建僵尸网络发动 DDoS 攻击。运行不同 Linux 版本的物联网设备功能有限，但联合起来能发动规模惊人的 DDoS 攻击。除了发动 DDoS 功能，Linux 物联网设备还能用于挖掘加密货币，发送垃圾邮件等等。安全公司 Crowdstrike 的报告称，2021 年针对 Linux 系统的恶意程序数量比 2020 年增加了 35%；其中 XorDDoS、Mirai 和 Mozi 恶意程序家族占到了 22%；其中尤以 Mozi 数量最多，Mozi 恶意程序样本数量同比增长了 10 倍，XorDDoS 同比增长了 123%。

微软从乌克兰政府和私人计算机网络探测到一种高度破坏性的恶意程序，它似乎正在等待被触发。该恶意程序与 2017 年的 NotPetya 有几分相似，攻击目标也主要是针对乌克兰。NotPetya 伪装成勒索软件，但目的是破坏数据而非勒索比特币赎金。新的恶意程序与之类似，伪装成勒索软件要求赎金，但并不存在相关的加密货币地址。研究人员认为其目的旨在破坏而非勒索。恶意程序试图清空硬盘和破坏文件。乌克兰政府表示，已经恢复了大部分受影响的网站，没有个人数据被盗。

安全公司 Intezer 的研究人员发现了一个几乎所有杀毒软件都无法识别的跨平台后门 SysJoker。跨平台恶意程序相当罕见，绝大部分都是为特定平台如 Windows 开发的。SysJoker 是从头开始开发的，使用了 4 个独立的指令控制服务器，显示背后的攻击者投入了大量资源。其 Windows 和  macOS 版本的后缀是 .ts，表明它伪装成 Type script 应用通过 npm JS 库传播。 .ts 扩展名也可能意味着它伪装成视频流内容。研究人员发现，几乎所有的杀毒软件引擎都未能将其识别出来。

HardenedVault 写道 "近期相传已久关于Intel在新处理器中停止对SGX支持的消息得到了确认，第12代处理器将放弃所有SGX特性。Intel官方的解释是处于市场的考虑而最终作出的决定，会有包括蓝光防盗版DRM在内的诸多应用受到影响。Intel SGX（software guard extension）是自从2015年发售的第6代处理器Skylake中支持的，其主要目的是为了更好的解决云计算环境下云厂商和租户信任的问题，这种方案被称为飞地（Enclave），SGX自诞生之日起就引起了众多争议，赛博堡垒的可信/机密计算方案中对于SGX的失败的总结主要有几点：1）过度设计和实现导致复杂性失控。2）错的离谱的威胁模型，SGX的威胁模型中把操作系统和固件都当成不可信，但实际情况是操作系统可以轻松发起侧信道攻击，而CSME的“上帝模式“打破了诸多威胁模型中的假设。3）不可审计性，大部分核心组件都是闭源的所以几乎难以得到完备的审计结果。4）保护的应用的同时也可以用于保护恶意代码，这让恶意代码检测成为摆设。5）第三方证明服务推出的时间太晚。6）SGX内核主线化进程缓慢，2016年提交给Linux内核社区最终到了2021年才合并，而2020年关于SGX会停止支持的消息已经传出。7）市场过度宣传，这个问题在中国地区或许更突出，大厂不断鼓吹SGX可以成为"下一代"银弹级别的方案，实际情况是安全领域的总原则是没有银弹。"

俄罗斯联邦安全局周五宣布逮捕 14 名 REvil 勒索软件黑帮成员。执法机构在莫斯科、圣彼得堡、列宁格勒和利佩茨克地区展开了突击搜查行动，扣押了 4.26 亿卢布、60 万美元和 50 万欧元的现金，以及加密货币钱包、计算机和 20 辆豪华汽车。联邦安全局表示是应美国当局要求展开行动的，它向美国通报了行动结果。REvil 是近期最活跃的勒索软件组织之一，最知名的行动是攻击了肉制品巨头 JBS Foods。在美国向俄罗斯施压之后，REvil 在去年 7 月关闭了服务器，但其管理员在 9 月尝试重启业务，随后其暗网网站遭到美国执法机构关闭，之后彻底消失。俄罗斯政府没有披露被捕者的身份，媒体透露了其中两人的身份：Roman Muromsky 和 Andrei Bessonov。Twitter 上的逮捕视频。

法国计算机科学与随机系统研究所的一组研究人员使用单板电脑 Raspberry Pi 创建了一个反恶意软件系统，该系统可扫描设备中的电磁波。该安全设备使用示波器（Picoscope 6407）和连接到Raspberry Pi 2B 的 H-Field 传感器检测受到攻击的计算机发出的特定电磁波中的异常情况，研究人员称这种技术已被用于“获得关于恶意软件类型和身份的准确信息。” 检测系统依靠卷积神经网络（CNN）确定收集到的数据是否表明威胁存在。使用这种技术，研究人员声称可以记录 10 万条被真正恶意软件样本感染的物联网设备的测量轨迹，并以高达 99.82% 的准确率预测三种通用恶意软件和一种良性恶意软件。最重要的是，不需要任何软件，你在扫描的设备也不需要以任何方式进行操作。因此用混淆技术隐藏恶意代码，瞒过恶意软件检测软件的尝试不会成功。研究人员在论文中写道：“我们的方法不需要对目标设备进行任何修改。它可以独立于可用资源进行部署，无需任何开销。而且我们的方法的优点在于，恶意软件作者几乎无法探测并规避它。”

为防止恶意脚本悄悄在浏览器上执行本地 HTTP 请求，Chrome 将实现名为 Private Network Access (PNA）的 W3C 新规格阻止这一被恶意程序滥用的行为。新功能将在今年上半年推出，PNA 将在 Chrome 中引入一个机制，外部域名在尝试与本地网络设备建立连接前需要征得系统许可，如果本地设备如服务器或路由器没有回应，尝试建立连接的请求将被阻止。

随着崔昂（Ang Cui）为电网注入更多能量，架空电线开始发出亮橙色的光。几秒钟之内，电线就在一阵浓烟中蒸发了，曼哈顿的整个区域都陷入黑暗之中。幸运的是，没有真实的建筑物或人遇到了断电，因为这只是一个模拟——一个曼哈顿的桌面立体模型，配有细小的铜电源线，自由女神像被搬到了简易的中央公园。崔昂在 Red Balloon Security 的同事发布了几行恶意代码，破坏了一台旨在保护电线的计算机。现实世界的后果显而易见：黑客可以瞄准保护系统切断城市部分地区、工业厂房或者体育场的电力供应。Red Balloon 的首席执行官兼创始人崔昂挥舞着双手，试图驱散弥漫在他的四楼办公室周围的烟雾，说：“呼……需要开一下窗。”立体模型中的电线只留下烧焦的塑料杆残骸。

崔昂的团队针对的安全设备是现代电网稳定运行的关键。它们被称为保护继电器，当故障或异常电流可能损坏设备或伤害人员的时候，它们会切断电源。Red Balloon 的研究人员在法国施耐德电气（Schneider Electric SE）制造的名为 Easergy P5 的继电器上发现了漏洞。该公司周二发布了软件修复程序，这款设备尚未在美国销售。施耐德电气的发言人表示，该公司“对网络威胁高度警惕，不断评估和改进产品和研发工作，以更好地保护产品，并保护客户防范它们。”发言人表示：“在得知 Schneider Electric Easergy P5 保护继电器的漏洞后，我们立即着手解决这些问题。”“我们敦促该产品的用户遵从我们将在 1 月 11 日安全通知提供的指导，该通知中包含一个解决直接风险的软件补丁，是我们披露过程的一部分。用户在操作中应该采用一般网络安全最佳实践以保护他们的系统。”

斯堪的纳维亚的一家连锁酒店上个月成为勒索软件攻击的受害者，酒店采取了一种新颖的应对方法——将所有受到影响的系统切换成 Chrome OS。Nordic Choice Hotels 在北欧经营着 200 多家酒店，12 月 2 日，酒店成了勒索软件攻击的受害者，黑客用 Conti 勒索软件对其部分内部系统进行加密。攻击让酒店员工无法访问客人的预订数据，也无法向新到来的客人发放房门卡。但是在刚刚发布的新闻稿中，Nordic Choice 表示，酒店没有联系黑客协商获得解锁受感染设备的解密密钥的赎金，而是选择将其整个 PC 机群从 Windows 迁移到 Chrome OS。

连锁酒店解释称：“在不到 24 小时内，第一家酒店就用上了 Google 的 Chrome OS 生态系统。在接下来的两天里，整个公司的 2000 台计算机都完成了切换，涉及在五个不同国家的 212 家酒店。”Nordic Choice Hotels 的技术副总裁 Kari Anna Fiskvik 表示，在攻击之前，该酒店就已在进行一个试点项目测试该工具，希望通过这种要求不高的操作系统重新使用旧电脑以节省资金。Fiskvik 表示：“因此当我们突然不得不应对网络攻击时，在几秒钟之内就做出了全力以赴加快项目进度的决定。”Nordic Choice 表示，除了在攻击期间迁移的 2,000 台计算机之外，它还计划将另外 2,000 台计算机迁移到 Chrome OS 上。这家连锁酒店表示，让旧电脑改用 Chrome OS 而不是购买新硬件，有望省下 670 万美元。

Patchwork 是 2015 年 12 月起活跃自今的一个印度黑客组织，主要对巴基斯坦的目标发动钓鱼攻击。过去几个月它的攻击目标是分子医学和生物学领域的大学研究人员。安全研究人员对 Patchwork 使用的指令控制服务器进行分析后发现，黑客自己的开发机感染了自己的恶意程序。指令控制服务器包含了恶意程序上传的屏幕截图和记录的按键。Patchwork 成功入侵了巴基斯坦的国防部、Islam Abad 国防大学、巴基斯坦 UVAS 大学生物科学学院等研究机构。安全研究人员从截图中意外发现了测试恶意程序的开发机，显示黑客在运行 VirtualBox 和 VMware 进行测试，测试主机使用的键盘为英语和印度语双键盘布局。黑客还使用 VPN Secure 和 CyberGhost 隐藏 IP 地址。

知名安全产品 Norton 360 上周被发现整合了加密货币挖矿程序。但没有默认激活。另一款流行的安全软件 Avira 也在做同样的事情，与 Norton 类似用户需要选择加入才能激活挖矿。与 Norton 不同的是 Avira 未披露它的分成（Norton 是 15%）。Avira 在 FAQ 中称，挖矿程序 Avira Crypto 允许利用计算机的闲置算力挖掘以太坊，挖矿需要高处理能力，不适合普通计算机，即使计算机配置足够高，用户仅仅靠自己挖掘的回报也很低，因此最佳做法是加入矿池，共享算力和回报。

2020 年 11 月，微软推出了 Pluton，希望用安全处理器阻止最复杂的黑客攻击。AMD 上周表示将把该芯片集成到即将推出的 Ryzen CPU 中，供联想 ThinkPad Z 系列笔记本电脑使用。尽管很多系统已拥有可信平台模块（TPM）或英特尔的 Software Guard Extensions 之类的保护措施保护敏感机密信息，但是这些机密然易受到多种类型的攻击。其中之一是用线缆接入 TPM 和其他设备组件之间的连接，提取在机器之间传递的机密信息。去年 8 月，研究人员披露了一次攻击，只花了 30 分钟就从一台新的联想计算机中获取了 BitLocker 密钥，这台联想计算机预置使用 TPM 进行全盘加密、用密码保护 BIOS 设置并开启了UEFI SecureBoot。黑客通过嗅探 TPM 和 CMOS 芯片之间的连接成功攻击，表明用最新的防御措施锁定笔记本电脑并不见得足够安全。三个月后公布的一次类似的攻击表明，利用英特尔 CPU 中的漏洞（现已修复）破坏各种安全措施，包括 BitLocker、TPM和反复制限制等安全措施。被称为Spectre 和 Meltdown 的攻击再次强调了恶意代码直接从 CPU 中提取机密信息的威胁，即使机密信息被存储在英特尔的 SGX 中。Pluton 设计解决所有这些问题。它被直接集成到 CPU 中，将加密密钥等储存在一个与其它系统组件完全隔离的围墙花园中。微软表示，存储的数据无法被删除，即使攻击者安装了恶意软件或完全控制计算机。

一位开源开发者的故意破坏再次引发了企业依赖靠维护者义务工作的开源库的争议。Marak Squires 的开源库 color 和 faker 被广泛使用，其中不乏企业和商业客户。在包管理器 NPM 上，colors 的周下载量超过 2000 万次，有近 19000 个项目依赖它；faker 的周下载量超过 280 万次，有超过 2500 个项目依赖它。开发者在 color.js 库的 v1.4.44-liberty-2 版本中给新的美国国旗模块加入了无限循环，依赖 color.js 的项目会在控制台看到不停打印的非 ASCII 字符。faker v6.6.6 版本的情况类似，他将这两个搞破坏的版本推送到 GitHub 和 npm。受影响的项目包括亚马逊 AWS 的 Cloud Development Kit。开发者此前曾批评企业没有回馈社区，他在 2020 年 11 月警告说，他将不再用义务工作支持大企业，商业客户应该考虑创建分支，或者用每年六位数的薪水补偿开发者。安全专家批评这种行为不负责任，每一个依赖这些库的项目都受到影响，而不仅仅是大企业。GitHub 平台暂时封禁了 Marak Squires 的账号（已解封），此举也引发了对 GitHub 如何控制开源项目的争议。

美国联邦贸易委员会（FTC）警告，未能保护客户数据免受 Log4Shell 漏洞影响的美国组织可能会面临法律后果。Log4Shell 是广泛使用的 Log4j Java 日志库零日漏洞名称。FTC 警告称，在 12 月首次被发现的严重漏洞正在被越来越多的攻击者利用，对数百万的消费者产品构成“严重风险”。公开信敦促各大组织解决该漏洞，以减少对消费者造成伤害的可能性并避免法律诉讼风险。该机构表示：“当这些漏洞被发现并被利用时，可能会导致个人信息的丢失或泄露，造成经济损失并带来其他不可逆的伤害。”“包括《联邦贸易委员会法案》和《金融服务现代化法案》在内的法律要求采取合理的措施解决已知的软件漏洞问题。依赖 Log4j 的公司及其供应商现在就要采取行动，减少对消费者造成伤害的可能性并避免 FTC 采取法律行动，这一点至关重要。”

HardenedVault 写道 "vault1317是一款为高级威胁防护背景下设计的密码工程通信协议，在OTRv3/v4和Signal协议基础上加强了通信节点的元数据保护，即保护机器的隐私。在此基础上提供加密通信过程的可抵赖性，以保证在通信节点任意一方进行背叛行为（向第三方披露通信内容）和长寿命密钥泄漏的情况下也无法留下加密证据。vault1317的目标并非保护人类隐私，而是通信节点（机器）的隐私。当赛博堡垒设计vault1317第二阶段邦联化特性过程中收到了密码朋克社区的诸多建议，从威胁模型的角度，数字军火商不会放弃任意高度依赖密码工程的领域，更重要的是，邦联化作为去中心化特性的关键要素必须进行架构级审计，vault1317协议的当前邦联化是通过XMPP，经过技术评估赛博堡垒最终选择了基于lurch，lurch是一个实现了XEP 0384（OMEMO）加密协议修订版 的pidgin插件。OMEMO是一个基于axolotl协议的实现，在lurch中 axolotl的实现基于libsignal-protocol-c，axc则是基于libsignal-protocol-c进行了高阶封装的实现。由于lurch上下游的依赖，审计目标除了lurch本身也包括两个支持库axc和libomemo，审计过程中发现的缺陷已经修复。"