Google 警告了 1.4 万成为国家支持黑客攻击目标的 Gmail 用户，该黑客组织 APT28 aka Fancy Bear 与俄罗斯有关联。Google Threat Analysis Group (TAG)负责人 Shane Huntley 称， Fancy Bear 钓鱼攻击占到了 9 月警告的 86%。他表示通知只是告诉用户他们成为攻击的目标，并不意味着账号被入侵了。

微软称过去一年它检测到的一项黑客行动统计中，来自俄罗斯的攻击占到了 58%，攻击的主要目标是美国政府机构及其智囊团，其它目标包括乌克兰、英国和欧洲北约成员国。微软的报告涵盖的时间是从 2020 年 7 月到 2021 年 6 月，类似 SolarWinds 的供应链攻击让俄罗斯国家支持黑客的成功率提高到了 32%，而此前一年的成功率是 21%。微软报告还指出勒索软件攻击正成为一种日益增长的威胁，美国是遭到勒索软件攻击最多的国家，攻击次数是其它国家的三倍以上。勒索软件攻击主要是出于经济动机，而政府支持黑客攻击主要是获取情报。

一家客户包括 AT&T、T-Mobile、Verizon、沃达丰以及中国移动的公司 Syniverse 证实黑客从 2016 年起多次访问内部数据库。Syniverse 在 1990 年代开发了首个无线 SS7 网络，是全球电信基础设施的关键组成部分。上月底 Syniverse 在向 SEC 递交的文件中透露未知个人或组织入侵了它的 Electronic Data Transfer (EDT) 系统，影响大约 235 名客户。它是在 2021 年 5 月发现了入侵，而攻击始于 2016 年 5 月。它的每一个客户都有数以千万计的用户。

黑客公布了 128 GB 的种子文件，泄露了亚马逊旗下游戏直播平台 Twitch 源代码和客户数据。源代码来自于大约 6000 个内部 Git 库，其 comment 历史可上溯到非常早期，包括移动、桌面和主机客户端版本，私有的 SDK 和其内部使用的亚马逊 AWS 服务，代号为 Vapor 的未发布 Steam 竞争项目，2019 年的主播的支付报告，等等。Twitch 据报道已经知道了这次入侵事件，泄露的数据最早可能是在本周一获取到的。

密码就像是房门钥匙。在网络世界， 密码保护了你个人隐私屋的安全。而强密码就像是正邪之战中的超级英雄，但你不应该把超级英雄的名字作为密码使用。Mozilla 根据  haveibeenpwned.com 泄露的密码统计了超级英雄名字的使用频率：Superman 出现了 368,397 次，Batman 有 226,327 次，Spider-Man 有 160,030 次，Wolverine 和 Ironman 都有数四万到五万次，Wonder Woman 有 2 万次，其他如黑豹和美国队长则只有几百到几千次。Mozilla 警告超级英雄密码也许是你隐私的氪星石。

勒索软件已演变成一种服务，有下线帮助传播恶意程序，并从受害者支付的赎金中获得提成。但最近再次活跃的勒索软件 REvil 被发现含有秘密后门，能让上线的黑客接管与受害者的协商，不给下线提成。在俄语黑客论坛，REvil 的下线抱怨赎金被上线卷走了。一位用户表示早就怀疑 REvil 的策略，他们与一名受害者讨论 700 万美元赎金，但协商突然结束了，他们相信是 REvil 的一名作者使用后门接管了赎金谈判。想要拿回提成是不太可能的，因为这就好像要对斯大林进行仲裁。

HardenedVault 写道 "”复杂性“的概念本身就过于复杂难以简单的解释，而安全领域的从业者则每天都在和"复杂性"打交道，有些威胁和风险相对容易理解和找出已知风险的应对之策，虽然这通常会很耗时，但有些风险并不是那么容易理解，要制定防护措施的难度更甚，Intel ME属于这一类 。早在2008年，Intel就将ME（管理引擎）引入芯片组，它比操作系统具有更高的特权，这意味着操作系统级别的安全检测方案对ME几乎是无效的，更重要的是，绝大部分用户都不知道他们的计算机中有一个独立的“小电脑”存在（请翻阅HardenedVault白皮书中图灵完备性的章节）。安全研究方面，2009 年 Alexander Tereshkin和 Rafal Wojtczuk证明了植入Ring -3 rootkit的可能性（注：在此上下文下“Ring”的概念为，应用：Ring 3，Linux 内核：Ring 0，虚拟化：Ring -1，BIOS/UEFI/SMM：Ring -2，Intel ME： Ring -3）。赛博堡垒近日发布了一份关于Intel ME的风险评估报告，其中对ME的制造模式，威胁模型，防护能力，攻击路径以及漏洞后门等方面进行了详细的描述。"

俄罗斯政府以叛国罪逮捕拘留了 Group-IB（该国最大网络安全公司之一）的联合创始人兼首席执行官 Ilya Sachkov。有关 Sachkov 被拘留的细节尚不清楚，但俄罗斯媒体报道，当局搜查了公司办公室。国家通讯社塔斯社称，周二被捕的 Sachkov 被指控涉嫌将机密信息传输给一个未具名的外国政府。报道称，Sachkov本人否认了这一说法。 Group-IB 公司证实了 CEO 被捕，但是除了公司网站上发布的一份声明之外，公司发言人未就此事发表任何评论，声明称该公司正在等待莫斯科法院的裁决，并对 Sachkov 的清白“抱有信心”。现年 35 岁的 Sachkov 于 2003 年创立了 Group-IB 公司。目前该公司的总部位于新加坡，帮助企业和政府调查网络攻击和在线欺诈，客户包括国际刑警组织、俄罗斯银行和国防企业。

在立陶宛之后，德国联邦网络安全监管机构 BSI 正对一款小米手机进行技术检查。德国内政部发言人在发表这一声明时没有透露更多细节。此前立陶宛的安全审查披露小米 Mi 10T 5G 手机内置审查功能，虽然该功能在欧洲地区被禁用。小米本周一表示正在聘请第三方专家来评估立陶宛政府关于其手机带有审查功能的指控。小米发言人在一份声明中说：“我们对某些调查结果的描述持有异议，我们正在聘请独立的第三方专家来评估报告中提出的观点。”

根据国会发布并抄送媒体的一封通知函，情报界决定部署广告拦截技术。不少使用广告拦截器的用户表示，他们主要是为了拦截恶意广告内容。这些广告有时会入侵他们的设备，或者收集关于设备的敏感信息。NSA、CIA 以及美国情报界其他机构也因为类似的理由部署广告屏蔽工具。包括 FBI、DEA 和 DHS, 以及国防部多个部门在内的美国情报界大规模部署了广告拦截技术。媒体此前通报了数据经纪人如何通过实时竞价机制获取用户信息。在向用户的应用程序或浏览会话推送广告之前，企业会通过竞标争夺广告展示位的使用权。在此过程中，参与企业可以收集关于当前用户的数据，即出价流数据。换句话说，即使没有赢得广告展示权，用户的数据同样会落入每一家参与经纪商手中。这些信息将成为外国情报机构眼中的宝藏，他们可以借此支持并强化黑客入侵、勒索攻击以及舆论造势等活动。

Epik 的大规模数据泄露已影响到部分人的日常生活。《华盛顿邮报》报道了 Pompano Beach 一位房地产经纪人的遭遇，他在 Facebook 上敦促买家前往这片最美丽的州。但发票上的姓名与个人资料显示他曾为 racisminc.com、whitesencyclopedia.com、christiansagainstisrael.com 和 theholocaustisfake.com 等网站付款。他所在的房地产经纪公司撤销了他的经纪人身份。公司老板在接受采访时表示“不想跟任何抱有这种想法或者动机的人有所牵连。”

某些用户似乎依靠 Epik 过着双重生活。截至目前，已经有大量线索表明某些在现实中从事正常工作的人们往往会在网上疯狂传播仇恨言论。总部位于西雅图郊区的 Epik 公司在向缅因州总检察长提交的数据泄露通报中表示，全国有 11 万用户的财务账户、信用卡号、密码与安全码遭到泄露。仇恨与极端主义资深研究者 Heidi Beirich 表示，她曾经投入数周甚至数月时间开展“侦探工作”，希望了解各个极端主义领域的幕后黑手。在她看来，此次外泄的 Epik 数据集“就像有人直接把所有调查结果摆在桌面上——姓名、账户背后的真实所有者等等……”

不少信任 Epik 为自己隐藏身份的网站所有者因此遭到曝光，但仍有一些采取了额外预防措施（例如支付比特币并使用假名）的网站所有者仍能保持匿名身份。安全研究员兼 Anonymous 联合创始人 Aubrey “Kirtaner” Cottle 拒绝分享关于此次攻击的来源信息，但表示攻击的诉求是为了打击 Epik 这个极右翼极端分子的避难所。Cottle 坦言，“人们已经对仇恨感到厌倦。这些极右翼分子玩得太阴了，必须加以打击。他们的认知里甚至没有底限这个概念。现在……潮流正在转向，一波攻势正朝着他们涌动。”

因为苹果的推诿拖延，安全研究员披露了四个 iOS 漏洞，其中一个已修复(14.7)，另外三个都是尚未修复的 0day(15.0)。这些漏洞早就报告给了苹果，其中时间最长的达到了半年，但苹果要么不在安全公告中披露修复的漏洞，要么承诺处理但没有兑现，Google Project Zero 的披露政策是报告后 90 天（不管漏洞有没有修复），这位安全研究员认为等待的时间已经够长了，因此决定全部公开。他不是唯一一个对苹果 Security Bounty 项目不满的安全研究员。

至少五名法国现任内阁部长的手机上发现了以色列间谍软件 Pegasus 的痕迹。在这之前，根据一份泄露的 Pegasus 项目数据，法国总统 Emmanuel Macron、前总理 Édouard Philippe 以及多达 20 名内阁成员被发现是 Pegasus 的攻击目标。遭到攻击并不意味着成功入侵，目前还没有确凿证据表明攻击成功了。如果攻击者成功入侵手机，Pegasus 能将手机变成远程监听工具。成为攻击目标的五名法国内阁部长分别是：Jean-Michel Blanquer、Jacqueline Gourault、Julien Denormandie、Emmanuelle Wargon 和 Sébastien Lecornu。

最大 HTTPS 证书提供商 Let’s Encrypt 将在下周停止使用旧的根证书，用户可能需要升级设备以避免出现问题。Let’s Encrypt 是一家提供免费证书的非营利性组织，负责颁发证书以加密设备与互联网之间的连接，确保无人能拦截及窃取传输数据。目前全球有数百万个网站依赖 Let’s Encrypt 作为安全保障。但正如安全研究员 Scott Helme 的警告，Let’s Encrypt 当前使用的根证书 IdentTrust DST Root CA X3 将于 9 月 30 日到期。在此之后，您的计算机、设备及网络客户端（例如浏览器）将不再信任该机构颁发的证书。对绝大多数网站用户来说，这倒并不是什么问题，9 月 30 号仍将是平静的一天。但是某些旧设备可能会出现问题，今年 5 月到期的 AddTrust External CA Root 就是实例，当时 Stripe、Red Hat 与 Roku 都因此出现了服务中断。

立陶宛国家网络安全中心（NCSC）对三款中国产手机进行了安全审查（PDF）：华为 P40 5G、小米 Mi 10T 5G 和 一加 8T 5G。NCSC 发现小米手机预装的非标准浏览器 Mi Browser 包含了两个值得注意的模块：其一是读取浏览和搜索历史并将数据发送到小米服务器的 Google Analytics，该模块默认激活；其二是 Sensor Data 模块，它会收集与应用活动相关的 61 个参数，数据在加密之后发送到小米位于新加坡的服务器。小米用户的手机号码还会悄悄通过加密 SMS 短信注册到新加坡的服务器激活云服务，这一短信对用户是不可见的。多个小米系统应用会从新加坡服务器下载 MiAdBlackListConfig 文件，该文件包含了 449 个与宗教、政治和社会团体相关的记录。MiAdBlackListConfig 的内容过滤功能在欧洲地区默认关闭，但由于手机会定期下载该文件，小米能在任何时候远程激活该功能。

今年夏天 REvil 勒索软件攻击中，FBI 曾控制了其解密密钥但没有披露给受害者，原因是它担心这会对 REvil 打草惊蛇，而它试图摧毁这一组织。但 REvil 最终还是察觉了，它在 7 月 13 日销声匿迹，在短暂蛰伏之后过去几周又重新归来，但已经更改了它的网络基础设施。FBI 是通过渗透 REvil 的服务器获得其密钥的。局长 Christopher Wray 本周告诉国会，他们是在与其它机构讨论之后做出了这一决定，不是单方面做出的。安全公司 Bitdefender 上周发布了 REvil 解密密钥，但只适用于 7 月 13 日之前的受害者，不适用于新一轮的受害者。

HardenedVault 写道 "当前固件的主流方案依然是UEFI，由于技术架构设计并没有考虑其复杂的供应链生态，tianocore/EDK2的参考实现和OEM出厂实现差异过大，通过测试和逆向分析可以发现某些厂商的OEM固件中DXE模块有大量基于SMM的实现，这也是导致固件安全的高风险环节之一，因为SMM是x86平台下Host CPU的最高权限运行模式，俗称“Ring -2"，操作系统难以检测Ring 0以下的威胁的原因很简单：根本在不同维度上作战。而OEM固件的设计和实现的缺陷导致了诸多固件安全风险。通常厂商的OEM固件具备不可审计性，由于主流的OEM并不对用户开放源代码，所以源代码级别的审计是无法实现的，漏洞的审计只能依靠二进制审计或者模糊测试进行，而没有源代码对于发现后门或者具有后门性质的调试特性会极高的增加成本，虽然Intel在2019年尝试以Minimum平台解决开放性的问题，但目前而言其覆盖度不及预期。

1999年冬天，洛斯阿拉莫斯国家实验室的研究员Ron Minnich发起了一个叫LinuxBIOS的项目，其目标是用自由软件去替代私有的固件，LinuxBIOS设计思路是让尽量少的代码做硬件初始化的工作，当硬件初始化完成后就加载一个基于Linux内核的执行载荷，这个项目后来更名为coreboot，今天的coreboot支持除了Linux以外的多种执行载荷，这种架构也成为了2020年代当业界重新审视固件问题和探讨”下一代“固件时的重要基础，这或许是必然性和偶然性并存所致。aultBoot 是一个专注于固件安全，可信计算以及高级防御的固件载荷执行体，其设计可以在coreboot平台上发挥出最卓越的防护效果，包括CBnT和多种ACM的开箱过程都可以基于coreboot完成，此外VaultBoot完成诸多安全特性，包括本地/远程证明，基于TPMv1.2/v2.0的全盘加密，测量启动等。"

SushiSwap 首席技术官表示，该公司的 MISO 平台遭到软件供应链攻击。SushiSwap 是一套社区驱动的去中心化金融（DeFi）平台，允许用户一站完成加密货币资产的交易、赚取、借出、借入及使用等操作。今年早些时候推出的最新产品 Minimal Initial SushiSwap Moffering（MISO）是一个代币启动板，允许各加密货币项目在 Sushi 网络上发布自己的代币。与需要原生区块链及实体基础设施的传统加密货币不同，DeFi 代币是一种更易于实现的替代方案，能够直接在现有区块链上运行。例如任何人都可以在以太坊区块链上创建自己的“数字代币”，且无需从零开始构建新的加密货币。

SushiSwap 首席技术官 Joseph Delong 在其 Twitter 帖子中透露 MISO 启动板的拍卖机制已遭供应链攻击劫持。化名为 AristoK3 的 GitHub 匿名合同工访问了项目代码库递交了恶意代码推送给了平台前端。攻击者在拍卖创建过程中插入了自己的钱包地址替换拍卖创建时的 auctionWallet。SushiSwap 已经要求加密货币交易所币安及 FTX 提供攻击者的记录，希望借此识别攻击者身份。币安方面表示正在调查这起事件，并提出与 SushiSwap 开展合作。攻击者共窃取了 864.8 个以太坊，价值约 300 万美元。

安全公司 Bitdefender 发布了免费的 REvil 勒索软件主解密工具（exe）。REvil 今年 7 月突然销声匿迹，当时它利用软件供应链同时对数千家公司发动了备受瞩目的勒索软件攻击。解密工具允许受害者免费恢复在 7 月 13 日前被加密的文件。该工具是 Bitdefender 与执法机构合作创造的，该公司披露它是从一个信任的执法机构合作伙伴获得了 REvil 的密钥，除此之外的信息无法公开。在执法部门的调查结束之后，如果它获得批准可能会公布更多信息。

在遭到勒索软件攻击之后，南非司法部正努力恢复计算机网络的正常运行，攻击导致内外电子服务全部瘫痪。南非司法和宪法发展部称，在系统恢复上线前儿童抚养费将暂停支付。攻击发生在 9 月 6 日，司法部随后启动了应急计划，以确保部分司法功能仍然能进行，如法庭改用了手动记录听证会，使用手动程序发布法律文件。司法部还无法确认何时能恢复正常，攻击者的身份目前也不清楚。勒索软件黑帮通常在加密系统会窃取数据，然后通过威胁公开数据来进行二次勒索。但在攻击之后，还没有一个组织声称对此负责或威胁公开数据。