每日安全简讯(20170113)

1、意大利当局逮捕EyePyramid间谍行动嫌疑人
2、安全厂商称袭击美国黑客组织真面目难识破
3、以色列国防军智能手机发现哈马斯间谍软件
4、GoDaddy域名验证机制漏洞导致6千证书撤销
5、CNNVD发布关于微信“藏蛟”漏洞情况的通报
6、GCHQ网络加速器计划：与创业公司密切合作

【安天】搜集整理（来源：bleepingcomputer、easyaq、grahamcluley、threatpost、cnnvd、darkreading）

1、意大利当局逮捕EyePyramid间谍行动嫌疑人
标题：Operation EyePyramid: Two Siblings Spied on Italy's Elite

作者信息：January 11, 2017 12:40 PM By Catalin Cimpanu

//BEGIN
Italian authorities have arrested and charged two siblings for carrying out a cyber-espionage campaign against Italy's elite, with targets that varied from famous businessmen to high-ranking politicians, including Matteo Renzi, former Italian prime minister.
According to court documents (embedded below), the two used a simple scheme to infect their victims.
The two hired the services of a local programmer to develop their own brand of malware, a backdoor trojan, which authorities have named EyePyramid.
意大利当局逮捕并起诉了2名网络间谍，这2人是兄弟俩，其中一人属于神秘组织“共济会”的高级成员。这个间谍行动被官方确定为:EyePyramid。其部分原因可能是Eye和Pyramid多出现在间谍软件的源代码中。
虽然他们定位的目标人群都是职位很高的精英人士（前政府总理、红衣主教、外交官、欧洲中央银行行长、意大利央行、参议员、内政部、财政部以及成功商人等等非富即贵人士），但是其传播方式还是非常简单和传统：采用钓鱼邮件的方式。

//END
The list of victims includes names such as former prime minister Matteo Renzi, former prime minister Mario Monti, cardinal Gianfranco Ravasi, head of the European Central Bank Mario Draghi, Vatican officials, members of Italy's tax police, Bank of Italy officials, and representatives of the Italian Senate, and members of several Italian ministries (Finance, Economy, Internal Affairs, Foreign Affairs, and others).
In a TV interview, Italian investigators said Giulio Occhionero was a high-ranking member of a Masonic lodge. The words "eye" and "pyramid," used regularly in the malware's source code, are some of the most known symbols of Freemasonry.
被逮捕的嫌疑人一个45岁，一个49岁，是弟兄俩。意大利的调查官员声称这2个嫌疑人很可能与神秘组织“共济会”相关。意大利警方请求美国FBI参与了本次调查活动，最后获取到的信息是该行动从2008年就开始了。到被逮捕前，这2人已经盗取了87GB之多的重要信息：都是写金融账户信息以及登录用户名密码等等，而且这些资料信息被分成了122个类别存放：类别包括商业信息、政府信息等等。
嫌疑人被抓，与该间谍软件采用的一个商业化的邮件发送模块的License信息相关。调查人员顺着这条线索，最终找到了该恶意代码的幕后黑手。

嫌疑人相关背景信息：搜共济会

点评：从目标人群的名单看去，打击很精准：TARGETED

2、安全厂商称袭击美国黑客组织真面目难识破
{CHN}
标题：卡巴斯基：袭击美国的黑客组织真面目难以识破

作者信息：2017-01-12 14:05 By cnBeta

//BEGIN
世界知名的信息安全公司俄罗斯卡巴斯基实验室11日对新华社记者说，代号为“舒适熊”和“奇幻熊”的黑客组织的确曾对美国民主党的网络发动过攻击，但发动网袭的黑客到底是什么人很难查清楚。卡巴斯基实验室新闻处在给记者的回复中表示，该公司没有参与对黑客攻击美国民主党网络的调查，其专家是在对一系列网络安全事件进行分析后获悉“舒适熊”和“奇幻熊”实施过上述网袭的。
卡巴斯基实验室介绍说，该公司从2014年开始追踪这两个黑客组织在网上实施的破坏行为。2015年4月卡巴斯基首次发布关于“舒适熊”黑客活动的公告，指出该组织正有目的地对美国部分国家机关发动网络攻击，其中可能包括美国白宫和国务院。

//END
“奇幻熊”黑客组织曾在2016年9月数次发布消息，披露了被世界反兴奋剂机构批准服用禁药的数十名不同国家的运动员姓名。另据美俄媒体报道，“奇幻熊”和“舒适熊”还分别有另外两个代号——APT28和APT29。美国情报部门在日前发布的报告中说，代号为APT28和APT29的黑客组织分别在2015年夏季和2016年春季突破了美国某政党的数据系统。
卡巴斯基实验室还表示，确认发动某次黑客攻击的人究竟是谁是非常困难的事情，黑客们通常会在网上故意留下虚假的痕迹，给追踪者制造麻烦，使后者难以找到正确调查方向。“因此卡巴斯基实验室认为应把调查黑客身份的任务留给执法机关，卡巴斯基实验室将集中精力研究黑客组织的各种技术手段及其带来的危险，以便向用户提供优质的防护服务。”

点评：沸沸扬扬中，各方各说各话。

3、以色列国防军智能手机发现哈马斯间谍软件
标题：Honeytraps used to infect Israeli soldiers' smartphones with spyware

作者信息：January 12, 2017 2:17 pm By Graham Cluley

//BEGIN
I've often said that the biggest vulnerability lies in users' brains, not in the software they're running on their computers or smartphone. It only takes one unwise decision for a security breach to take place.
And that's certainly going to be the case if you're thinking with what's in your trousers rather than your brain.
网络安全领域最脆弱的因素是人性的弱点，而不是安装在计算机中的软件或者手机中的APP.
这不，最近以色列国防军的智能手机中发现了其对手哈马斯悄然安装的间谍软件，而安装的途径则是通过社交网络发布色诱图片，并与潜在目标进行虚拟通话甚至视频。一步一步就能引诱这些国防军安装恶意间谍软件。
即便不能成功安装恶意软件，进行这样虚拟聊天、视频通话等等都足以导致一些重要的军事目标和武器装备暴露，同时这些国防军的具体位置也会一并被定位。

//END
There are a few lessons to learn here:
Just because someone has a cute picture on their social networking profile, does not mean that's what they really look like. They could be someone else entirely - and indeed of a different sex.
Always be extremely wary of installing apps from non-official sources. Generally, the apps you find in the official Google Play store or iPhone app store are less likely to be intentionally malicious.
Maybe it's not such a good idea to identify yourself as a serving member of the military on social media, or to strike up relationships with strangers online.
Oh, and think with your head - not with your trousers.
多用脑袋想想，而不要习惯性用下半身思考是安全专家给这些国防军等的忠告：
首先网络上的东西很多都不是真的，再美的照片的背后很可能是一个完全不同的假象！
绝对不能安装不受信用的第三方APP，建议只从官方渠道下载安装！
军人即使要上网，也绝对不能采用真实身份！（第一条说的什么来着？^^）

点评：Android手机安全推荐AVL Pro!

4、GoDaddy域名验证机制漏洞导致6千证书撤销
标题：BUGGY DOMAIN VALIDATION FORCES GODADDY TO REVOKE CERTS

作者信息：January 11, 2017 , 4:40 pm By Michael Mimoso

//BEGIN
GoDaddy has revoked, and begun the process of re-issuing, new SSL certificates for more than 6,000 customers after a bug was discovered in the registrar’s domain validation process.
域名注册机构GoDaddy由于其域名注册认证流程的一个实现BUG，导致了6000多个顾客的SSL认证被注销，不过目前正在重新发放认证过程中。

//END
“There are going to be more demands on CAs and more and more machines doing requests,” Bocek said, adding that while ACME is great for efficiency, it is taking people out of the process. He recommends that organizations familiarize themselves with NIST guidance on preparing for and responding to CA compromises.
“Everyone,” Bocek said, “needs to have a plan and an automated way to get around this.”
认证的需求会越来越多，更多的机器和人都会参与其中。自动进行认证ACME机制可能更高效，将人为错误降低到最低。建议企业和组织多熟悉熟悉NIST系列指南，这样一旦CA认证出现问题也好有对应的应对措施。

点评：人依然是关键因素。

5、CNNVD发布关于微信“藏蛟”漏洞情况的通报
标题：CNNVD首发-关于微信“藏蛟”漏洞情况的通报

作者信息：2017-01-12 By 中国国家信息安全漏洞库

//BEGIN
近日，国家信息安全漏洞库（CNNVD）收到关于微信Android客户端访问控制错误漏洞（CNNVD-201701-100）的情况报送，并于第一时间与腾讯安全应急响应中心（TSRC）进行了沟通。TSRC收到漏洞通报后，确认该漏洞存在，并于1月10日确认漏洞已修复。漏洞相关情况如下：
        一、漏洞简介
        腾讯微信（WeChat）是中国腾讯（Tencent）公司的一套跨平台的免费通讯工具。该工具支持发送语音短信、视频、图片和文字等。微信Android客户端是针对于Android系统推出的版本。
        微信Android客户端存在访问控制错误漏洞（CNNVD-201701-100）。该漏洞是由于微信客户端收藏功能未做权限校验，使得攻击者可以在普通权限的情况下，通过本地木马或者恶意APP获取该客户端的数据库文件，通过某种方式解密该文件后进而获得用户的隐私信息并上传到远程服务器。

//END
二、漏洞危害
        攻击者可通过本地木马或者恶意利用该漏洞访问微信客户端的任意私有目录，窃取数据库文件并解密，从而得到用户的隐私信息，例如好友列表，聊天记录等。
       三、 修复措施
        目前，微信官方已在6.5.3及以上版本修复了该漏洞，对于历史版本也以Android热补丁技术修复了该漏洞。

本报告由蚂蚁金服巴斯光年安全实验室(AFLSLab)提供支持。
        CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。
        联系方式: cnnvd@itsec.gov.cn

点评：快补：刚升到6.5.4的版本。

6、GCHQ网络加速器计划：与创业公司密切合作
标题：GCHQ Ties Up With Startups For UK Cybersecurity

作者信息：1/12/2017 09:35 AM By Dark Reading Staff

//BEGIN
GCHQ Cyber Accelerator officially launched with seven startups, which will work closely with the UK intelligence agency.
GCHQ Cyber Accelerator, a British government scheme in which seven cybersecurity startups will work alongside Government Communications Headquarters (GCHQ), was launched yesterday to protect the country against cyberattacks, BBC News reports. These startups, located in Cheltenham and specializing in different techniques to counter cyberattacks, are CounterCraft, Cyberowl, Cybersmart, FutureScaper, Spherical Defence, StatusToday, and Verimuchme.
曾经在震网病毒事件中露脸的英国GCHQ（英国国家通信总部）最近启动了一项网络安全计划：Cyber Accelerator网络加速器。日前已经正式宣布将与七家创业公司合作进行相关网络安全防御工作。这7家公司是：CounterCraft, Cyberowl, Cybersmart, FutureScaper, Spherical Defence, StatusToday和Verimuchme。该计划的重点是保护英国免受网络攻击。

//END
Prof Anthony Glees, director of the Buckingham University Centre for Security and Intelligence Studies, views the tie-up as a "twin-edged sword" because it would require GCHQ to manage the risks of exposing itself to outside companies.
GCHQ is mindful of the risks, says the agency's spokesperson, adding "All of the companies have been selected through a rigorous competition and have been subjected to appropriate background checks."
一般认为，在网络安全领域，最新最酷的创新都会出现在创业公司，而不在一些“运行规范”的大公司。尽管如此，与这些小微企业合作，也可能是一把双刃剑。最大的风险在于这些小微企业可能将GCHQ的机密信息和情报外泄。
但是，显然官方也注意到了这一个痛点。其新闻发言人声称：所有参与该计划的7家企业都是经过严格的背景审查以及残酷的竞争后才脱颖而出的。这些公司本身的安全性绝对值得信任。

点评：高手也许真的在民间。