北卡警方对一名特斯拉汽车司机提起了控诉，他的汽车周三早晨撞上了一位副警长的警车。这位司机承认，他启用了自动驾驶功能，发生车祸时正在手机上看电影。副警长的车被撞之后撞向了另一位警员的车，两人都倒地，但幸运的是无人受重伤。目前还没有汽车具有真正的自动驾驶功能，特斯拉的 Autopilot 技术很早就被指过于夸大了其辅助司机驾驶的能力。它的汽车发生过多起引入瞩目的车祸。

一名俄罗斯人试图贿赂特斯拉雇员百万美元，目的是将恶意程序安装到公司内网。根据美国媒体和检方的起诉书，被告是 27 岁的俄罗斯公民 Egor Igorevich Kriuchkov，他从俄罗斯旅行到美国内华达州，多次与一名未公布名字的特斯拉内华达工厂雇员碰面，一开始他的出价是 50 万美元，之后提高到一百万美元。特斯拉雇员将此事报告给了公司，之后与 FBI 合作记录了两人会面的细节。Kriuchkov 的目的是将恶意程序安装到特斯拉的内部网络，窃取数据，然后威胁公开数据向特斯拉勒索赎金。安全研究人员认为 Kriuchkov 亲自跑去美国实施阴谋简直疯狂，网络犯罪分子几乎没人会这么做。

安全公司 Secure-D 和 BuzzFeed News 的调查发现，中国手机制造商传音公司在非洲销售的廉价智能手机 Tecno W2 预装了恶意程序 xHelper 和 Triada。深圳传音公司的产品在非洲手机市场的份额最高。恶意程序会悄悄下载应用，订阅付费服务。调查发现，在南非、埃塞俄比亚、喀麦隆、埃及、加纳、印度尼西亚和缅甸销售的 Tecno W2 手机被发现感染了恶意程序。传音发言人将预装恶意程序归罪于供应链中的某位未公布身份的供应商，表示该公司未从恶意程序中获利，但拒绝披露有多少手机被感染。

犹他大学上周披露，为了避免学生信息泄露，它向勒索软件攻击者支付了 45.7 万美元赎金。勒索软件背后的攻击者通常在入侵计算机系统加密文件前会先窃取敏感文件，以防万一受害者拒绝支付赎金，它可以以公开敏感信息的威胁来二次勒索。发生在犹他大学身上的勒索软件攻击就是如此。在攻击中，犹他大学服务器上的文件只有 0.02% 遭到加密，IT 人员利用备份恢复了文件。但攻击者威胁泄露学生相关的信息，迫使大学重新思考拒绝支付赎金的决定。犹他大学在声明中称，慎重考虑之后它决定支付赎金。

上个月黑客对 Twitter 的攻击首先是利用电话对公司员工发动社交工程攻击窃取到登陆凭证，而类似的攻击方法正越来越常见。因新冠疫情，科技公司推广了远程在家办公政策，而为了安全访问公司内网，企业通常会向员工提供 VPN。有攻击者组合了电话社交工程和钓鱼网站试图窃取企业的 VPN 登陆凭证。这种方法的成功率相当高。类似 Twitter 攻击，钓鱼者首先打电话给目标机构的远程办公员工，自称来自 IT 部门，试图帮助解决 VPN 问题。钓鱼者会诱骗受害者访问冒充企业 VPN 登陆入口的钓鱼网站，输入登陆凭证。

Google 曾制定了一条著名的规定：修一个漏洞给 90 天时间足够了，超过这个时间期限可以公开漏洞。现在我们知道，这个规定只适用于其他公司，不适用于 Google。安全研究员 Allison Husain 在 4 月份向 Google 报告了一个漏洞，该漏洞允许攻击者模仿任何 Gmail 或 G Suite 客户发送欺骗性邮件。但 Goolge 没有在 90 天时间内修复漏洞，它计划的修复时间是在 9 月份，也就是在漏洞报告 5 个月之后。8 月 19 日，Husain 在其个人博客上披露了漏洞细节，包括 POC 漏洞利用代码。Google 开发者在漏洞公开 7 个小时后给 Gmail  打了补丁阻止漏洞被利用，但完整补丁将在 9 月份部署。

安全公司 Guardicore Labs 的研究人员披露了一个没有中心服务器利用 P2P 机制进行控制的僵尸网络。这种控制机制意味着僵尸网络更难被关闭，传统的打击僵尸网络的方法是接管指令控制服务器，但这种传统方法对 P2P 控制的僵尸网络没有效果。被称为 FritzFrog 的僵尸网络具有很多先进功能，包括：只在内存中运行不留下硬盘文件的恶意负荷；自 1 月以来发布了 20 多个版本；只感染 SSH 服务器。研究人员称，僵尸网络至今成功感染了 500 台属于知名美国和欧洲大学的服务器。

微软上周二释出的例行安全更新修复了一个编号为 CVE-2020-1464 的漏洞，微软称该漏洞允许攻击者绕过安全功能加载没有正确签名的文件。微软没有提到哪位安全研究人员向它报告了该漏洞，只是表示该漏洞正被利用。微软这么做可能是因为它最早被利用的时间是在 2018 年 8 月，过去 18 个月有多名安全研究人员向微软报告了该漏洞，它的安全团队验证了漏洞但一直没有给出修复时间。也就是说，软件巨人用了两年时间去修复一个 0day 漏洞。利用该漏洞很简单，只要给一个已被信任软件开发商签名的 MSI 文件添加一个恶意 JAR 文件，用 .jar 扩展名重命名文件，那么 Microsoft Windows 就会将其识别为是一个有效签名的文件。微软没有回答它为什么花了这么长时间修复签名漏洞。

FBI 和 NSA 发表联合报告（PDF），对俄罗斯政府黑客正在使用一种先前未知的 Linux 恶意程序秘密渗透敏感网络、窃取机密信息和执行恶意指令发出警告。被称为 Drovorub 的恶意程序直到最近才被发现，其指令控制服务器由俄罗斯军方情报机构相关联的黑客组织操作。Drovorub 工具箱包含四个主要组件：感染 Linux 设备的客户端，使用 rootkit 策略长期隐藏其存在的内核模块，控制被感染机器和接收窃取数据的服务器，充当被感染机器和服务器之间中介的代理。Drovorub 以恶意程序代码中的字符串命名，其意思可能是伐木工或劈材。

微软本周释出了例行安全更新，修复了至少  120 个安全漏洞，有 17 个被归类为高危漏洞。其中 编号为 CVE-2020-1380 的 IE 漏洞正被利用，用户使用 IE 浏览器访问恶意网站就可能被利用该漏洞执行任意代码入侵系统，并拥有当前用户的相同权限，如果是系统权限那么攻击者就能完全控制系统；另一个正被利用的漏洞 CVE-2020-1464 允许攻击者绕过 Windows 的安全功能加载错误的签名文件；Windows Server 漏洞 CVE-2020-1472 允许未经授权的攻击者获得域控制器的管理访问权限；Windows Print Spooler 漏洞 CVE-2020-1337 允许攻击者或恶意程序进行提权。Adobe 本周也释出了安全更新，修复了旗下产品的多个漏洞，其中包括 Acrobat 和 PDF Reader 的高危漏洞。

在上周举行的 Black Hat 在线安全会议上，研究员和博士生 James Pavur 警告不安全的卫星互联网威胁到了船只飞机的安全。过去几年，他利用在欧洲大陆的有利位置截获了 18 颗卫星发送的互联网数据。他发现：一个中国航班接收了未加密的导航数据和航空电子数据，令人担忧的是，数据来自于乘客用于发送邮件和浏览网页的相同连接，引发了乘客发动攻击的可能性；一位系统管理员登陆了法国南部的风力涡轮机，在此过程中暴露了用于身份认证的会话 cookie；Pavur 截获了一艘埃及油轮发送的发电机故障信息，甚至还知道了派去修理的工程师名字和护照号；一艘游轮广播了 Windows 本地网络的敏感信息，包括储存在 Lightweight Directory Access Protocol 数据库中的登陆信息...Pavur 用于拦截卫星互联网通信的设备只需要 300 美元。

在 DEF CON 安全会议上，渗透测试公司 Pen Test Partners 的 Alex Lomas 透露波音 747 使用软盘更新关键软件。他指出导航数据库每 24 天需要更新一次，而更新的方法是通过软盘驱动器。对于飞机安全，很多人有一个疑问是能否通过机载娱乐系统入侵飞机控制系统。Lomas 称他们没有发现机载娱乐系统与飞机空中系统能双向通信。两个系统之间存在隔离，要从一个系统跳过隔离进入到另一个系统是非常困难的。

Tor 出口节点是构成 Tor 回路的三个中继的最后一跳，连接了 Tor 匿名网络与开放互联网。根据目标网站使用的是 HTTPS 还是 HTTP 协议，决定了出口节点是否能看到和操纵用户访问的内容。研究人员报告，恶意 Tor 出口节点的情况过去几个月恶化了，恶意出口节点的比例占到了所有出口节点的 24%。这意味着 Tor 浏览器用户有很高的可能性会通过恶意出口节点访问目标网站。恶意出口节点背后的运营者会对 Tor 用户发动中间人攻击，选择性的移除 HTTP-to-HTTPS 重定向，利用被称为 ssl stripping 的方法让目标网站通过 HTTP 而不是 HTTPS 加密连接访问，攻击者将能看到 Tor 用户访问的明文内容，并根据需要修改传输的内容。攻击者主要针对的是数字货币相关的网站，会修改 HTTP 明文流量中的钱包地址，用自己控制的钱包地址替换用户传输的地址，窃取比特币。此类的攻击并非罕见，但攻击规模如此巨大则是前所未有。

安全公司 Check Point 报告在高通公司骁龙芯片的数字信号处理器（DSP）中发现了 400 多个漏洞，它将这些漏洞统称为 Achilles。高通的芯片占据了移动手机市场份额的四成以上，这意味着会有数以亿计的 Android 手机受到影响。Check Point 称，利用漏洞攻击者可以将手机转变成完美的间谍工具，无需用户的任何互动；攻击者可以对手机发动拒绝访问攻击，使其无法使用；恶意程序可以彻底隐藏其活动，无法移除。高通已经释出了补丁，但至今为止补丁还没有整合进 Android 操作系统或使用骁龙芯片的 Android 设备中。高通在一份声明中表示，它还没有看到有证据显示这些漏洞正被利用，它建议用户在补丁可用后尽快更新设备。

在上周举行的 Black Hat 安全会议上，台湾安全公司 CyCraft 披露过去两年至少有 7 家芯片公司遭到入侵。这一攻击被称为 Operation Skeleton Key（PDF），原因是黑客使用了一种万能钥匙注入器技术，其目的旨在尽可能多的窃取知识产权，包括源代码、软件开发工具包和芯片设计。CyCraft 拒绝披露受害者的名字。它发现，在部分案例中，黑客通过入侵 VPN 在受害者网络获得初步的立足点。黑客使用一个定制版的渗透测试工具 Cobalt Strike，用 Google Chrome 更新文件的名字伪装植入的恶意程序。黑客还使用 Google 和微软的云服务托管其指令控制服务器。在获得内网的初步访问之后，黑客会寻找密码保护的数据库，尝试对其进行破解。CyCraft 称，黑客通常在北京时区内工作，遵循 996 工作计划表——上午九点到晚上九点，一周六天，中国假期期间也不工作。

佳能的 image.canon 照片和视频储存服务公布了一则通知，称 7 月 30 日它的 10GB 长期存储服务发现了一个问题，为了展开进一步调查而临时停用了服务。调查之后它发现 6 月 16 日前储存的部分照片和视频丢失了。它在 8 月 4 日恢复了服务。佳能没有透露更多信息，但消息来源透露它遭遇了勒索软件 Maze 的攻击，多个系统和应用、电邮服务受到影响。Maze 通常会先窃取数据再加密数据，该组织据称从佳能公司内部窃取到了 10 TB 的数据。image.canon 的宕机据黑客称与他们无关。佳能对此报道表示正在进行调查。

在未能勒索到赎金之后，勒索软件 Maze 背后的犯罪组织公开了 50.2 GB 的 LG 内部数据和 25.8 GB 的施乐内部数据。Maze 犯罪组织入侵企业网络后，首先窃取数据然后加密数据，最后索要赎金解密文件。如果受害者拒绝支付赎金解密文件而是使用备份恢复数据，那么 Maze 犯罪组织者将会威胁公开敏感数据，展开第二轮的勒索尝试。如果受害者仍然拒绝，那么它将会公开数据。LG 和施乐显然拒绝了两次勒索企图。犯罪组织公布的文件包含了 LG 多款产品固件的源代码，公开的施乐数据看起来与其客户服务业务相关。

伊朗黑客团体 Oilrig 成为已知首个在攻击中加入 DNS-over-HTTPS (DoH) 协议的组织。卡巴斯基的分析师发现从今年 5 月起该组织开始使用名为 DNSExfiltrator 的工具。DNSExfiltrator 是一个开源应用，托管在 GitHub 上。它能通过在非标准协议中传送和隐藏数据创建秘密的通信渠道。如名字所表明的，它能通过 DNS 请求来传输数据，能使用新的 DoH 协议。使用 DoH 的理由是：其一，它是一种新的协议，不是所有安全产品能监视它；其二，它默认加密，而 DNS 则是明文请求。

安全公司 McAfee 称，NetWalker 勒索软件背后的犯罪组织自今年三月以来勒索到了超过 2500 万美元。这一金额接近已知最成功的勒索软件犯罪组织，包括 Ryuk、Dharma 和 REvil (Sodinokibi)。因为记录并不完整，安全专家认为实际金额可能更高。NetWalker 最早是在 2019 年 8 月出现的，当时的名字叫 Mailto 后更名为 NetWalker。其背后的犯罪组织运营了一个勒索软件即服务的入口，允许其它黑客组织构建定制版本的勒索软件。至今为止，NetWalker 最知名的受害者是密歇根州立大学。

黑莓公司在 Black Hat USA 2020 大会上开源了其逆向工程 PE 文件的工具 PE Tree，源代码采用许可证 Apache License 2.0 发布在 GitHub 上。Portable Executable (PE) 文件常被恶意程序作者隐藏恶意负荷。PE Tree 基于 Python，能用于逆向工程和分析 PE 文件的内部结构。黑莓称，逆向工程是一个极端的耗费时间和劳动密集过程，需要数小时的反汇编，有时候还需要重建软件程序。