俄罗斯网络犯罪世界充斥着谜团，但有一种技术充当了主要的通信工具：有 18 年历史的分布式开源即时通讯协议 Jabber。根据安全公司 Flashpoint 的研究，黑客做交易、分享情报和对恶意程序提供技术支持都是通过 Jabber 完成。该公司资深研究员 Leroy Terrelonge III 称，在网络犯罪经济中，Jabber 是通信的黄金标准。Jabber（或又叫 XMPP）通信系统由数千个独立服务器构成，在全世界有大约一千万用户。有 10 亿用户的 WhatsApp 使用的是一个 XMPP 变体。ICQ 曾经统治了俄罗斯 IM 市场长达 20 年，在 2013 年 Edward Snowden 披露美国的大规模监视之后俄罗斯人开始转向了 Jabber。Jabber 加上它的加密插件 OTR（off-the-record）能为通信提供强加密支持。Jabber 的联邦式架构允许任何人运营服务器，这对犯罪分子有巨大的吸引力，他们担心企业与政府之间合作过于紧密。

邮件管理提供商 Mimecast 发表声明称黑客窃取了它用于加密客户流量的数字证书。它表示是在收到微软的警告之后才获悉证书失窃，大约有十分之一的客户受到影响，成为攻击目标的客户大约为个位数。它已经联络了这些客户，并建议使用现有加密连接的客户立即删除连接，用新的证书重新建立连接。窃取数字证书之后黑客可以通过监视目标的进出流量，阅读和修改加密的数据。

神秘黑客建立一个网站 solarleaks.net 以及一个 Tor 镜像网站，公开兜售其窃取的 Solarwind、微软、FireEye 和思科等公司的产品源代码，源代码售价从 60 万美元到 5 万美元，数据售价 100 万美元。有意者可以通过 Protonmail 邮箱与其进行联络。黑客声称这是第一批数据，以后会公布更多。Solarwind 黑客被认为与俄罗斯有关联，通过入侵 Solarwind 的 Orion 平台向 Solarwind 客户推送了含有后门的恶意更新，在后续攻击中针对性的入侵了美国多个政府机构和包括微软在内的知名公司。

俄罗斯安全公司卡巴斯基发表报告称 SolarWinds 黑客与俄罗斯有关联。SolarWinds 黑客在攻击中植入了被安全公司称为 Sunburst 的后门程序，卡巴斯基和美国安全公司 Palo Alto Networks 对其展开进一步分析后发现 Sunburst 与另一个已知的后门程序 Kazuar 在多个功能上有重叠，而 Kazuar 被认为是俄罗斯政府黑客组织 Turla 开发的。这些证据显示 SolarWinds 黑客与俄罗斯政府有着很强的关联性。

一名黑客远程锁定了联网的男性贞操笼，索要比特币赎金进行解锁。去年十月，中国公司 Qiui 开发的联网男性贞操装置被发现存在安全漏洞，能被黑客远程控制并永久锁定。被称为 Cellmate Chastity Cage 的“智能设备”允许用户将生殖器的使用权交给伴侣，通过移动应用远程锁定或解锁，这种设备在 BDSM 社区比较流行。该装置没有提供任何手动控制或实体钥匙，一旦锁定要解锁将会非常麻烦，一种方法是用砂轮机破坏套住生殖器的不锈钢环，另一种方法是使用 3 伏电使控制锁的电路板过载。在最新的安全事件中，一名叫 Robert 的受害者称，他收到了黑客的信息，要求支付价值约 750 美元的 0.02 BTC 赎金。另一名叫 RJ 的受害者表示他无法再控制贞操笼。Qiui 公司未对此事件做出回应。

尼桑北美公司的一台 Git 服务器配置错误，导致其移动 APP 和内部工具的源代码泄露在网上。这台暴露在网上的服务器使用了默认的管理账号和密码 admin/admin。软件工程师 Tillie Kottmann 从匿名消息源获悉之后对服务器进行了分析，发现它包含了尼桑 Nissan NA Mobile 应用、ASIST 诊断工具、内部核心移动库等的源代码。在数据通过 torrent 种子文件的形式进行传播之后，服务器已被下线。尼桑公司发言人表示已经知道此事。

美国司法部周三发表声明，证实 SolarWinds 黑客入侵了它的 Office 365 系统并阅读了邮件。司法部发言人称，他们直到 12 月 24 日才发现遭到入侵。黑客控制 Office 365 系统，访问了 3% 的电邮账号。该部门有超过 10 万名雇员。黑客首先入侵了 SolarWinds 的软件平台，向其 1.8 万客户推送了含有后门的恶意更新，然后选择少量目标展开后续攻击。本周二，FBI 和 NSA 等四个机构发表联合声明，指 SolarWinds 攻击的幕后推手很可能是俄罗斯。

在《纽约时报》报道称俄罗斯黑客对 SolarWinds 的供应链攻击可能始于 Jetbrains 公司的 TeamCity 软件之后，Jetbrains 在官方博客发表声明对此做出回应。Jetbrains CEO Maxim Shafirov 称， TeamCity 是持续集成和部署系统，SolarWinds 是它的客户，使用 TeamCity 用于构建软件。对于其遭到入侵 SolarWinds 从未联系过 Jetbrains，它也是在报道发表之后才知道此事。如果 TeamCity 真的被黑客用于入侵，那么最有可能的原因是错误配置而不是特定的漏洞。其次，没有任何政府或安全机构就此事联络它，如果真有调查在进行之中，它会全方面配合。

美国国家情报总监办公室、FBI、NSA 和国土安全部下属的网络安全和基础设施安全局周二发表联合声明，表示俄罗斯“可能”是上个月对 SolarWinds 供应链攻击的幕后推手。黑客的目标似乎是搜集情报，而不是任何破坏性行为。他们表示到目前为止，他们已确定“不到 10 家”遭到黑客入侵的联邦机构。联合声明称，入侵者“可能来自俄罗斯，是近期发现的政府及非政府网络遭到的多数或者全部入侵活动的实施者。”声明称，调查仍在继续，可能还会发现更多政府部门中招。这是特朗普政府有关此次黑客行动归因的第一份正式声明。特朗普此前称攻击可能来自中国。

上月底，安全公司 Eye Control 的研究人员披露 Zyxel 公司的设备发现了一个硬编码账号或“后门”，内置在固件中的账号用户名为 zyfwp，具有完整的管理权限，可通过 SSH 和 Web 接口访问。 现在，安全公司 GreyNoise 报告黑客正在尝试利用这个后门账号。黑客使用自动程序尝试通过 SSH 登陆存在漏洞的 Zyxel 设备。研究人员此前指出有超过 10 万 Zyxel 设备将其 Web 接口暴露在互联网上。扫描显示，十分之一的 Zyxel 设备运行存在漏洞的固件版本。

芬兰议会称黑客渗透进入了它的内部 IT 系统，访问了部分议员的电邮账号。攻击发生在 2020 年秋季，本月被 IT 工作人员发现。芬兰执法机构 Finnish Central Criminal Police 正对此展开调查。KRP 专员 Tero Muurman 表示，攻击没有对议会的 IT 系统造成任何损害，这起攻击正以“可疑间谍行动”进行调查。他拒绝透露有多少人受到攻击的影响。

美国联邦航空管理局(FAA)即将发布新的规定，允许小型无人机在人的头顶上空飞行，允许夜间飞行，为无人机商业送货铺平道路。为了解决安全问题，FAA 要求小型无人机能从地面上远程识别。在这之前，小型无人机只允许从操作者头上飞行，而操作者除非获得特别许可必须身处有遮盖的建筑结构或静止不动的汽车内。最新的规定在 1 月份发表后将在 60 天内生效。包括亚马逊在内的多家公司都在尝试利用无人机送货以加快交付。

Zyxel 防火墙、VPN 等产品发现了一个硬编码管理账号或“后门”。Zyxel 已经释出了补丁修复了该问题。安全研究员称，后门账号存在于固件版本 4.60 patch 0 中，用户名为 zyfwp，该账号可通过 SSH 和 Web 接口登陆。该用户是不可见的，密码不可修改，在之前的固件版本中也存在同样的用户名，但并没有密码，因此后门账号是在 4.60 固件中引入的。根据 Project Sonar 的统计，有超过 10 万 Zyxel USG/ATP/VPN 设备将其 Web 接口暴露在互联网上。Zyxel 称，该账号是用于通过 FTP 从访问点传送自动固件更新。

神秘黑客出于未知动机对大大小小的出版商、图书代理商和编辑发动钓鱼攻击，窃取未出版的书稿，令图书出版业感到困惑。本月早些时候，出版商 Little, Brown and Company 宣布将出版 James Hannaham 的小说《Re-Entry》，编辑是 Ben George。两天后，Hannaham 收到了一封邮件要求他寄出最新的手稿，使用了一个不常用的邮箱。Hannaham 按照要求寄出了手稿。但他很快收到了编辑的电话，表示发邮件的人不是他。Hannaham 是神秘钓鱼攻击的无数目标之一。目前不清楚攻击者是谁，又如何从攻击中获利。钓鱼攻击的对象有知名作家如 Margaret Atwood 和 Ian McEwan，名人如 Ethan Hawke，此外还有许多不知名的新人作家，许多手稿并不具有实际价值。攻击者窃取手稿之后并没有索取赎金或在暗网等地方出售，它们只是消失了。

俄罗斯数字货币交易所 Livecoin 发表声明称它被黑客入侵了，失去了对部分服务器的控制，警告用户立即停止使用它的服务。攻击发生在 12 月 23 日到 24 日之间。黑客接管了 Livecoin 的基础设施然后大幅提高了兑换率。如比特币的兑换率从 $23,000/BTC 提高到了 $450,000/BTC，以太坊从 $600/ETH 提高到了 $15,000，瑞波币从 $0.27/XRP 提高到了 $17/XRP（瑞波币因遭到 SEC 的起诉而币值大幅下滑）。兑换率修改之后，攻击者开始清空结算账号。Livecoin 称它已经通知了当地执法部门。

因在 90 天截止日期前仍然未修复，Google 公开了一个正被利用的 Windows 10 0day 提权漏洞。Google Project Zero 的漏洞披露政策是：不管有没有修复，它都会在默认 90 天后披露漏洞细节，除非已有协议存在。9 月 24 日 Google 研究人员向微软报告了一个与 splwow64.exe 相关的 0day 提权漏洞，微软为该漏洞分配编号 CVE-2020-17008，承诺会在 11 月修复，但之后推迟到了 12 月，进入 12 月之后微软称补丁仍然在测试因此修复推迟到了明年 1 月。12 月 23 日 90 天期限过了，Google 公开了该漏洞。

美国、德国、法国、瑞士和荷兰的执法部门本周扣押了三个 VPN 服务的域名和服务器。理由是它们为网络犯罪分子提供安全港。这三个 VPN 服务 insorg.org、safe-inet.com 和 safe-inet.net 已存在了十多年，被认为由同一个人或组织运营，在俄语和英语地下犯罪论坛打了很多广告，售价每天 1.3 美元到每年 190 美元。美国司法部和欧洲刑警组织称，这三家公司的服务多被用于掩盖勒索组织、钓鱼攻击者和黑客的真实身份，允许他们在五层代理之后进行活动。这次调查行动被命名为 Operation Nova。

安全研究人员在 SolarWinds 供应链攻击中发现了第二个后门。恶意程序被命名为 SUPERNOVA，是一个植入在 Orion 平台代码中的 webshell，允许在机器上执行任意代码。这个 webshell 是合法 .NET 库(app_web_logoimagehandler.ashx.b6031896.dll)的木马版，设计躲避自动防御机制。安全研究人员称，恶意程序代码质量非常高，即使人工分析也可能会漏过。它的编译时间是在 2020 年 3 月 24 日。SUPERNOVA 被认为来自另一个黑客攻击团队，不同于早先报道的俄罗斯黑客组织。

Google、Mozilla、苹果和微软宣布正联合阻止哈萨克斯坦政府解密和阅读其公民与海外社交网站之间的加密流量。四大浏览器开发商释出了更新屏蔽了哈萨克斯坦政府要求其部分公民安装的 root 证书。安装该自签名证书之后将导致特定网站的流量用政府而不是网站运营者控制的密钥加密。记录显示，哈萨克斯坦从 12 月 6 日开始使用这个证书，包括 Google、YouTube、Facebook 和 Twitter 在内的流行网站都受到影响。

加拿大多伦多大学公民实验室发表报告称，从 2020 年 7 月到 8 月，以色列公司 NSO Group 的间谍软件 Pegasus 被用于入侵 36 名半岛电视台记者、制作人、主播和高管的 iPhone 手机，新阿拉伯电视台的一名记者也遭到入侵。手机是通过被称为 KISMET 的利用链入侵的，其中涉及利用 iMessage 的一个无需交互的漏洞。这个漏洞在 7 月尚未修复，属于 0day 漏洞。研究人员称，部署以色列间谍软件的政府包括了沙特和阿联酋，他们认为 KISMET 对最新版本的 iOS 14 无效，鼓励所有 iOS 用户都尽可能快的升级到最新版。他们已经报告了苹果，苹果回应称正展开调查。