各位Buffer早上好，今天是2019年4月16日星期二。今天的早餐铺内容主要有：微软自打脸：黑客确实触及了部分电子邮件账户的详细内容；WPA3标准被曝“超大”WiFi安全漏洞；9年感染全球40多万台电脑，罗马尼亚一黑客组织被判刑；警方破获比特币挖矿窃电大案：日均偷电4万度；Facebook、Instagram和WhatsApp再次出现大面积宕机；工控恶意软件Triton卷土重来，已潜伏近一年。

微软自打脸：黑客确实触及了部分电子邮件账户的详细内容

周末的时候，微软证实有网络犯罪分子破坏了支持代理的账户。然而更多的细节表明，这起事件比软件巨头给出的解释更加糟糕，因为黑客甚至能够读取用户的电子邮件。

Motherboard援引知情人士的话称：“黑客能够访问某些信息，比如电子邮件的文件夹名称、以及邮件的主题”。

争论的焦点是，黑客是否已经薅到了受害者的邮件正文或附件内容。微软强调称：“这次发生的未经授权的账户访问事件，或导致用户邮件的相关信息（地址、文件夹、主题、以及与您通讯的其他人的邮件地址）被非法访问，但其中并不包括邮件的正文或附件”。

然而消息人士指出：“因受感染的账户具有高权限，黑客获得了电子邮件内容的完全访问”。后来微软承认“少数用户的电子邮件可能已被曝光”，并向他们发去了警告通知。

对于此事，该公司将通过“禁用受害登陆凭证”的方式来解决。此外，尽管微软称本次暴露仅发生在 1~3 月间，但报告显示，黑客大约有 6 个月的时间去非法访问受害者的电子邮件账户。对于这一点，该公司还是予以否认。

串联来看，这起时间似乎是针对 iCloud 破解的更广泛攻击的一部分，因为黑客试图控制电子邮件帐户，以绕过 iPhone 的激活锁定。[cnbeta]

WPA3标准被曝“超大”WiFi安全漏洞

两名安全研究人员披露了Wi-Fi WPA3标准中的一组漏洞，这组漏洞被命名为Dragonblood。攻击者可利用这些漏洞在受害者网络范围内获取Wi-Fi密码和渗透进网络。

Dragonblood由五个漏洞构成，包括一个拒绝访问攻击，两个降级攻击和两个侧通道信息泄露。后四个漏洞都利用了WPA3标准Dragonfly密钥交换机制中的设计缺陷，可用于获取用户密码。

研究人员发现的攻击方法可玩弄WPA3用于验证网络上设备的Dragonfly握手系统。利用得当的话，攻击者无需知晓密码即可登入目标网络。

具体来说，攻击者可读取WPA3本应安全加密的信息，进而盗取信用卡、密码、聊天内容、电子邮件等等敏感信息——如果没有额外采取HTTPS之类保护措施的话。[secrss]

9年感染全球40多万台电脑，罗马尼亚一黑客组织被判刑

据报道，两名罗马尼亚黑客，隶属Bayrob组织的36岁的Bogdan Nicolescu和37岁的Radu Miclaus，因在全球40万台电脑中植入恶意软件并进行网络钓鱼而被定罪。联邦陪审团判定他们21项罪名成立，涉及用恶意软件感染受害者的电脑、窃取并出售银行卡信息、挖掘加密货币以及进行网络诈骗。还有一名黑客已于去年11月认罪。

他们在2007年开发了恶意软件，通过假装来自西联汇款（Western Union）、诺顿杀毒软件(Norton AntiVirus)和美国国税局（IRS）的网络钓鱼邮件发送了恶意软件。当用户打开附件时，恶意软件就会被安装到系统中，他们就从受感染的计算机中获取了电子邮件地址。

该团伙控制了40多万个僵尸网络用于加密货币挖掘，还窃取个人信息、银行卡信息、用户名和密码，并禁用了受害者设备的杀毒软件，并封锁了执法机构的网站。黑客获得了受害者的电子邮件联系人后，向这些联系人发送恶意邮件，扩大影响范围。他们还激活了一些文件，迫使受感染的电脑注册了超10万个美国在线（AOL）注册电子邮件账户。

这三名罗马尼亚人进行了极其复杂的网络诈骗以及大规模恶意软件僵尸网络9年，获取了大量非法利益，但他们的犯罪现在已经结束，这三人将在今年8月底前入狱。[secrss]

警方破获比特币挖矿窃电大案：日均偷电4万度

据报道，河南平顶山警方最近破获了一起“比特币挖矿机”窃电案件。初步测算结果显示，这一窃电窝点一天偷用电量将近4万度。

报道称，这起案件是平顶山供电公司供电区域查获的最大型矿机窃电案。警方在窝点缴获了挖矿者使用的1700多台矿机、1台变压器，以及配电柜、配电箱等若干。简单计算下，假设一个三口之家年用电量1000度，这个窝点一天偷用的4万度电，可以供一家人使用40年。

国家发改委在4月8日发布的《产业结构调整指导目录（2019年本，征求意见稿）》中，已经将虚拟货币“挖矿”活动（比特币等虚拟货币的生产过程）列在了淘汰类之中。目前这一指导目录还处于意见征询阶段。该目录指出，未标淘汰期限或淘汰计划的条目为国家产业政策已明令淘汰或立即淘汰；虚拟货币“挖矿”活动这一条没有标上“淘汰期限或淘汰计划”，因此“虚拟货币‘挖矿’活动“属于国家产业政策已明令淘汰或立即淘汰。[ithome]

Facebook、Instagram和WhatsApp再次出现大面积宕机

Facebook、Instagram和WhatsApp三款热门社交应用之前出现了全球范围的大规模宕机情况，直到数小时之后才得到修复。

本次宕机过程中，用户反馈无法访问Facebook和Instagra，无法在WhatsApp上发送和接受信息，大约在2个小时之后网络服务恢复。

Facebook发言人表示：“早些时候，有些人在连接应用程序的时候可能出现了问题。目前这个问题已经得到了解决，对于给你带来的不便我们深表歉意。”

Facebook于1月宣布计划合并WhatsApp，Messenger和Instagram的服务，允许用户在不切换应用的情况下相互发送消息。应用程序将保持独立，但它们将在单个消息传递平台或协议下集合在一起。而在本次宕机之前的1个月，Facebook也经历了一次非常重大的宕机事件，导致全球20亿用户在无法访问社交服务，持续了整整一天时间。而当时导致宕机的原因归咎于“服务器配置改变”。[cnbeta]

工控恶意软件Triton卷土重来，已潜伏近一年

据外媒报道，Triton针对关键基础设施的第二次攻击已启动，此次事件幕后黑手或为某俄罗斯组织。

尽管没有公布设施的位置和类型等细节，但其表示，袭击者的意图是造成严重损害。Fireye认为，在进入安全仪表系统（SIS）工程工作站之前，最近这次攻击的黑客组织已经在该设施内潜伏了将近一年。

报告称，他们没有使用键盘记录器和截屏器、浏览文件或窃取信息的间谍行为。但PASGlobal首席执行官EddieHabibi表示，一旦SIS受到攻击，攻击者就可以改变工厂的运营，从而造成一系列的危害。如果攻击者打算造成物理破坏，他们很可能并行地访问其他控制系统，一旦安全系统被破坏，就很可能破坏环境、造成人身伤害，甚至生命损失。

黑客还采取了多种措施来隐藏他们的存在，如：

以合法文件名重新命名恶意文件，例如KB77846376.exe；

使用模仿合法管理员活动的标准工具，包括RDP和PsExec/WinRM；

依赖加密的SSH隧道工具和远程命令/程序执行；

使用合法用户或进程不经常使用的目录；

使用时间戳修改攻击工具的$STANDARD_INFORMATION属性等。

建议工业控制系统安全人员应熟悉公司建立的策略、技术和程序，以便分析人员可以检查他们的系统是否有感染Triton的迹象。[secrss]