FBI 和 NSA 发表联合报告（PDF），对俄罗斯政府黑客正在使用一种先前未知的 Linux 恶意程序秘密渗透敏感网络、窃取机密信息和执行恶意指令发出警告。被称为 Drovorub 的恶意程序直到最近才被发现，其指令控制服务器由俄罗斯军方情报机构相关联的黑客组织操作。Drovorub 工具箱包含四个主要组件：感染 Linux 设备的客户端，使用 rootkit 策略长期隐藏其存在的内核模块，控制被感染机器和接收窃取数据的服务器，充当被感染机器和服务器之间中介的代理。Drovorub 以恶意程序代码中的字符串命名，其意思可能是伐木工或劈材。

微软本周释出了例行安全更新，修复了至少  120 个安全漏洞，有 17 个被归类为高危漏洞。其中 编号为 CVE-2020-1380 的 IE 漏洞正被利用，用户使用 IE 浏览器访问恶意网站就可能被利用该漏洞执行任意代码入侵系统，并拥有当前用户的相同权限，如果是系统权限那么攻击者就能完全控制系统；另一个正被利用的漏洞 CVE-2020-1464 允许攻击者绕过 Windows 的安全功能加载错误的签名文件；Windows Server 漏洞 CVE-2020-1472 允许未经授权的攻击者获得域控制器的管理访问权限；Windows Print Spooler 漏洞 CVE-2020-1337 允许攻击者或恶意程序进行提权。Adobe 本周也释出了安全更新，修复了旗下产品的多个漏洞，其中包括 Acrobat 和 PDF Reader 的高危漏洞。

在上周举行的 Black Hat 在线安全会议上，研究员和博士生 James Pavur 警告不安全的卫星互联网威胁到了船只飞机的安全。过去几年，他利用在欧洲大陆的有利位置截获了 18 颗卫星发送的互联网数据。他发现：一个中国航班接收了未加密的导航数据和航空电子数据，令人担忧的是，数据来自于乘客用于发送邮件和浏览网页的相同连接，引发了乘客发动攻击的可能性；一位系统管理员登陆了法国南部的风力涡轮机，在此过程中暴露了用于身份认证的会话 cookie；Pavur 截获了一艘埃及油轮发送的发电机故障信息，甚至还知道了派去修理的工程师名字和护照号；一艘游轮广播了 Windows 本地网络的敏感信息，包括储存在 Lightweight Directory Access Protocol 数据库中的登陆信息...Pavur 用于拦截卫星互联网通信的设备只需要 300 美元。

在 DEF CON 安全会议上，渗透测试公司 Pen Test Partners 的 Alex Lomas 透露波音 747 使用软盘更新关键软件。他指出导航数据库每 24 天需要更新一次，而更新的方法是通过软盘驱动器。对于飞机安全，很多人有一个疑问是能否通过机载娱乐系统入侵飞机控制系统。Lomas 称他们没有发现机载娱乐系统与飞机空中系统能双向通信。两个系统之间存在隔离，要从一个系统跳过隔离进入到另一个系统是非常困难的。

Tor 出口节点是构成 Tor 回路的三个中继的最后一跳，连接了 Tor 匿名网络与开放互联网。根据目标网站使用的是 HTTPS 还是 HTTP 协议，决定了出口节点是否能看到和操纵用户访问的内容。研究人员报告，恶意 Tor 出口节点的情况过去几个月恶化了，恶意出口节点的比例占到了所有出口节点的 24%。这意味着 Tor 浏览器用户有很高的可能性会通过恶意出口节点访问目标网站。恶意出口节点背后的运营者会对 Tor 用户发动中间人攻击，选择性的移除 HTTP-to-HTTPS 重定向，利用被称为 ssl stripping 的方法让目标网站通过 HTTP 而不是 HTTPS 加密连接访问，攻击者将能看到 Tor 用户访问的明文内容，并根据需要修改传输的内容。攻击者主要针对的是数字货币相关的网站，会修改 HTTP 明文流量中的钱包地址，用自己控制的钱包地址替换用户传输的地址，窃取比特币。此类的攻击并非罕见，但攻击规模如此巨大则是前所未有。

安全公司 Check Point 报告在高通公司骁龙芯片的数字信号处理器（DSP）中发现了 400 多个漏洞，它将这些漏洞统称为 Achilles。高通的芯片占据了移动手机市场份额的四成以上，这意味着会有数以亿计的 Android 手机受到影响。Check Point 称，利用漏洞攻击者可以将手机转变成完美的间谍工具，无需用户的任何互动；攻击者可以对手机发动拒绝访问攻击，使其无法使用；恶意程序可以彻底隐藏其活动，无法移除。高通已经释出了补丁，但至今为止补丁还没有整合进 Android 操作系统或使用骁龙芯片的 Android 设备中。高通在一份声明中表示，它还没有看到有证据显示这些漏洞正被利用，它建议用户在补丁可用后尽快更新设备。

在上周举行的 Black Hat 安全会议上，台湾安全公司 CyCraft 披露过去两年至少有 7 家芯片公司遭到入侵。这一攻击被称为 Operation Skeleton Key（PDF），原因是黑客使用了一种万能钥匙注入器技术，其目的旨在尽可能多的窃取知识产权，包括源代码、软件开发工具包和芯片设计。CyCraft 拒绝披露受害者的名字。它发现，在部分案例中，黑客通过入侵 VPN 在受害者网络获得初步的立足点。黑客使用一个定制版的渗透测试工具 Cobalt Strike，用 Google Chrome 更新文件的名字伪装植入的恶意程序。黑客还使用 Google 和微软的云服务托管其指令控制服务器。在获得内网的初步访问之后，黑客会寻找密码保护的数据库，尝试对其进行破解。CyCraft 称，黑客通常在北京时区内工作，遵循 996 工作计划表——上午九点到晚上九点，一周六天，中国假期期间也不工作。

佳能的 image.canon 照片和视频储存服务公布了一则通知，称 7 月 30 日它的 10GB 长期存储服务发现了一个问题，为了展开进一步调查而临时停用了服务。调查之后它发现 6 月 16 日前储存的部分照片和视频丢失了。它在 8 月 4 日恢复了服务。佳能没有透露更多信息，但消息来源透露它遭遇了勒索软件 Maze 的攻击，多个系统和应用、电邮服务受到影响。Maze 通常会先窃取数据再加密数据，该组织据称从佳能公司内部窃取到了 10 TB 的数据。image.canon 的宕机据黑客称与他们无关。佳能对此报道表示正在进行调查。

在未能勒索到赎金之后，勒索软件 Maze 背后的犯罪组织公开了 50.2 GB 的 LG 内部数据和 25.8 GB 的施乐内部数据。Maze 犯罪组织入侵企业网络后，首先窃取数据然后加密数据，最后索要赎金解密文件。如果受害者拒绝支付赎金解密文件而是使用备份恢复数据，那么 Maze 犯罪组织者将会威胁公开敏感数据，展开第二轮的勒索尝试。如果受害者仍然拒绝，那么它将会公开数据。LG 和施乐显然拒绝了两次勒索企图。犯罪组织公布的文件包含了 LG 多款产品固件的源代码，公开的施乐数据看起来与其客户服务业务相关。

伊朗黑客团体 Oilrig 成为已知首个在攻击中加入 DNS-over-HTTPS (DoH) 协议的组织。卡巴斯基的分析师发现从今年 5 月起该组织开始使用名为 DNSExfiltrator 的工具。DNSExfiltrator 是一个开源应用，托管在 GitHub 上。它能通过在非标准协议中传送和隐藏数据创建秘密的通信渠道。如名字所表明的，它能通过 DNS 请求来传输数据，能使用新的 DoH 协议。使用 DoH 的理由是：其一，它是一种新的协议，不是所有安全产品能监视它；其二，它默认加密，而 DNS 则是明文请求。

安全公司 McAfee 称，NetWalker 勒索软件背后的犯罪组织自今年三月以来勒索到了超过 2500 万美元。这一金额接近已知最成功的勒索软件犯罪组织，包括 Ryuk、Dharma 和 REvil (Sodinokibi)。因为记录并不完整，安全专家认为实际金额可能更高。NetWalker 最早是在 2019 年 8 月出现的，当时的名字叫 Mailto 后更名为 NetWalker。其背后的犯罪组织运营了一个勒索软件即服务的入口，允许其它黑客组织构建定制版本的勒索软件。至今为止，NetWalker 最知名的受害者是密歇根州立大学。

黑莓公司在 Black Hat USA 2020 大会上开源了其逆向工程 PE 文件的工具 PE Tree，源代码采用许可证 Apache License 2.0 发布在 GitHub 上。Portable Executable (PE) 文件常被恶意程序作者隐藏恶意负荷。PE Tree 基于 Python，能用于逆向工程和分析 PE 文件的内部结构。黑莓称，逆向工程是一个极端的耗费时间和劳动密集过程，需要数小时的反汇编，有时候还需要重建软件程序。

欧盟因以前对欧洲公民和企业的黑客攻击行动而首次制裁中国、俄罗斯和朝鲜籍的公民和企业。中国的 GAO Qiang 和 ZHANG Shilong 因一系列入侵云计算服务商的黑客攻击 Operation Cloud Hopper；俄罗斯的 Alexey Valeryevich MININ、Aleksei Sergeyvich MORENETS、Evgenii Mikhaylovich SEREBRIAKOV 和 Oleg Mikhaylovich SOTNIKOV 因攻击乌克兰的 NotPetya 勒索软件，以及试图攻击禁止化学武器组织；朝鲜的 Chosun Expo 因 WannaCry 勒索软件。

对 17 岁 Graham Ivan Clark 而言，恶作剧从年少时就开始了。10 岁时，为了逃避他所谓的“不快乐的家庭生活”他开始玩《我的世界》。他成为了一名脾气暴躁的骗子。15 岁时他加入了一个黑客论坛。16 岁时进入了比特币的世界，偷取了价值 85.6 万美元的数字货币。他的黑客生涯于上周五结束，他在公寓里遭到逮捕，面临 30 项重罪指控，被认为是上个月 Twitter 黑客攻击的主谋。Clark 的父母在他 7 岁时离婚，他与母亲生活在佛罗里达的坦帕市。2016 年他开设了一个 YouTube 频道，靠玩暴力版《我的世界》积累了数千粉丝，但他更为知名是在游戏中欺骗，比如交易虚拟物品别人给钱了他不兑现，交易用户名付钱之后他就将对方拉黑。他后来开始玩《堡垒之夜》玩比特币，使用化名 Graham$ 加入了黑客论坛 OGUsers。但被论坛管理员屏蔽，因为别人打钱了他却没有发送比特币。他学会利用名为 SIM swapping 的攻击方法控制比特币用户的手机窃取比特币。今年 4 月特勤局扣押了他的 100 比特币，因为他未成年而没有逮捕他。这一事件震撼了他，他一度收敛但很快故伎重施，将目标对准了 Twitter。他说服了一名 Twitter 员工相信他是 IT 部门的同事，让该员工提供凭证登陆客户服务入口。他从 OGUsers 上找到同谋试图出售其他人感兴趣的 Twitter 用户名，并再次使用他过去的欺骗方法，也就是付钱之后并不真正兑现。

在一部扣押了五年的加密黑莓手机遭到破解之后，澳大利亚和迪拜警方上个月发起了一系列突袭行动，逮捕了五名毒贩集团成员。澳大利亚已经向迪拜递交了引渡请求。澳大利亚逮捕了 36 岁的 Frank Farrugia 和 34 岁的 Deniz Kanmez，57 岁的 Mario Lang；迪拜逮捕了 2015 年后离开澳大利亚的毒枭 Benjamin Neil Pitt 和 Matthew Battah。Battah 的黑莓手机在五年前被扣押，今年四月被警方破解，其中包含的 3000 多条信息提供了毒品调查的关键证据。这是第二部被破解的黑莓手机，第一部是加拿大当局在 2017 年破解的，有四人因此遭到逮捕。

美国司法部宣布逮捕了三名在 7 月 15 日对 Twitter 发动攻击的青少年，公布了两个人的名字，还有一个因年龄不到 18 岁而没有公布身份，但其身份很快被媒体挖了出来：Mason Sheppard，aka Chaewon，19 岁；Nima Fazeli，aka Rolex，22 岁；以及 Graham Ivan Clark，aka Kirk，17 岁。美司法部的新闻稿称，认为攻击 Twitter 可以匿名进行并且没有后果是不可能的。根据法庭文件，对 Twitter 的攻击始于 5 月 3 日，17 岁的 Kirk 设法进入了 Twitter 的网络。他没有立即发动攻击，而可能是收集了 Twitter 的网络情报，了解到哪些人能访问账号管理工具。掌握这些情报之后他与其同伙才发动了引发瞩目的后续攻击。Kirk 被认为是这次攻击的主谋，他面临多达 30 项重罪指控。

Twitter 官方博客披露了黑客攻击的更多细节：7 月 15 日，攻击者对少数 Twitter 员工发动手机钓鱼攻击，成功的攻击不仅让攻击者能访问公司内网，还能利用特定员工凭证访问内部支持工具。在利用凭证访问内部系统之后攻击者获得了 Twitter 内部流程的情报（比如谁能访问账号管理工具）。然后利用这些情报攻击者针对了能访问账号管理工具的员工，使用这些员工的凭证攻击者劫持了 130 个账号，使用其中 45 个账号发帖，访问了 36 个账号的 DM 私信，下载了 7 个账号的数据。Twitter 表示它仍然在继续进行调查，与执法机构合作识别攻击者的身份。

GRUB2 引导程序曝出名为“BootHole”的漏洞，允许恶意攻击者完全绕过 UEFI Secure Boot。UEFI Secure Boot 是一个验证机制，确保 UEFI 固件运行的代码是可信的，防止在引导阶段就加载和运行恶意代码。GRUB2 引导程序代码中发现了一个严重 bug，它破坏了信任链，通过利用该 bug 将能突破安全环境，在早期引导阶段加载未签名代码。该漏洞由 Eclypsium 的研究人员发现，被命名为 BootHole。修复该问题不能只靠新的 GRUB2 安全程序，而是需要更新 UEFI revocation list 文件，一旦完成更新，之前的 GRUB2 程序将无法再使用。

安全公司 Intezer Labs 报告，一种新的恶意程序 Doki 会使用 Dogecoin API 寻找 C&C 服务器地址。研究人员说，Doki 由黑客组织 Ngrok 控制，它使用硬编码的钱包地址去查询 Dogecoin 区块资源管理器 dogechain.info API，对返回的值执行 SHA256，提取前 12 个字符作为子域名使用，将子域名结合 ddns.net 获得完整地址。Doki 是在今年 1 月左右出现的，半年之后大部分安全软件仍然未能将其检测出来。

因配置错误，数十家企业的源代码遭到泄露，其中包括了微软、Adobe、联想、AMD、高通、摩托罗拉、华为海思、联发科、GE Appliances、任天堂、Roblox、迪士尼和江森自控等等。完整名单发布在 Pastebin 上。逆向工程师 Tillie Kottmann 收集了这些泄露的代码库，并努力确保公开代码不会对相关公司造成直接伤害，比如在发现金融公司的代码库里有硬编码的凭证之后就会迅速移除。到目前为止，只有少数公司发出了 DMCA 删除通知，还有许多公司可能不知情，或者不在意，比如一家公司的开发者只想知道 Kottmann 是如何获得代码的，他们没有要求移除，而是说“玩得开心”。其中任天堂的游戏代码库引发了最多的关注。