資安一周（0711-0717）美國起訴12名企圖干預美國大選的俄羅斯人。GitHub將安全通知服務擴大至Python

7/11～7/17 一定要看的資安新聞

美國起訴12名企圖干預美國大選的俄羅斯人，透露比特幣其實沒那麼匿名

美國司法部在近期起訴了12名俄羅斯情報局官員，指控他們在2016年的美國大選前針對候選人希拉蕊（Hillary Clinton）陣營展開網路攻擊，企圖干預美國總統大選，起訴書中也透露了這群駭客使用了諸如比特幣等加密貨幣來租賃伺服器或網域名稱等駭客設備，企圖隱藏身分，卻依然被識破。

這12名俄羅斯人都是俄羅斯軍事外交情報部門的官員，分別隸屬於Unit 26165與Unit 74455兩大單位。Unit 26165在2016年開始針對希拉蕊陣營發動魚叉式網釣攻擊，取得該陣營員工的憑證以竊取電子郵件內容或駭進其它電腦，且包括民主黨國會競選委員會（DCCC）與民主黨全國委員會（DNC）都受駭。更多內容

GitHub將安全通知服務擴大至Python

GitHub在 7月12日宣布，將把原本只用來追蹤Ruby與JavaScript套件之安全漏洞的安全通知服務擴充到Python。

GitHub的安全通知是從相依關係圖所衍生的服務，在相依關係圖中可看出用戶專案與其它套件的相依關係，一旦某個專案所仰賴的套件含有安全漏洞，GitHub即會送出安全通知，根據估計，該站超過75％的專案都具備相依性。更多內容

微軟加強SDWAN布局，推出Azure Virtual WAN及Azure防火牆公開預覽版

近期微軟公有雲服務的網路功能不少新服務上架，包含Azure網路流量分析、服務連線監控功能都陸續正式推出，而在近日，該公司開始加強軟體定義網路功能布局，一次推出了Azure Virtual WAN及Azure防火牆這兩個新公開預覽版功能。

微軟Azure網路部門公司副總裁Yousef Khalidi表示，當今軟體定義網路、SDWAN發展趨勢，讓企業可以加強各地的分支辦公室的網路使用經驗，不過隨之而來的挑戰就是，如何一併管理這些分支網路，並且大規模部署統一的資安、網路管理政策。因此，微軟這次釋出的兩個新服務，互相輔助，透過Azure Virtual WAN簡化大規模網路部署，並且搭配Azure防火牆實行統一管理政策。更多內容

暗網販售RDP非法存取IT系統名單，只要10美元就能駭入國際機場

要當駭客門檻已經降低！安全廠商發現網路罪犯們在暗網兜售可透過遠端桌面協定（remote desktop protocol, RDP）存取的可能受害IT系統相當多樣化，其中不乏物聯網裝置及政府、醫院、國際機場的系統。

McAfee進階威脅研究小組近日研究暗網上數個販售RDP門戶大開的裝置名單的市集，並對這些市集銷售的「商品」做了分析。這些市集銷售的RDP受害裝置名單小至15個，大到俄羅斯主要暗網市集UAS的40,000臺，可讓駭客輕易進入受害電腦行不法之事。更多內容

售票網站Ticketmaster第三方通訊軟體遭駭，僅是大量竊取信用卡和銀行帳號的冰山一角

先前，售票網站Ticketmaster在6月底傳出部分用戶個資外洩的事件。但美國的威脅鑑識公司RiskIQ研究發現，上述的攻擊，並非Ticketmaster初步調查報告所述的單一事件，影響範圍擴及旗下更多網站。

根據Ticketmaster在6月27日公布的資訊，他們於同月23日，在英國版網站上，發現第三方廠商Inbenta的提供客戶支援通訊程式裡，含有惡意軟體。隨後，該公司便停用旗下所有網站上的同款通訊軟體。Ticketmaster強調，僅有5％客戶受到上述攻擊事件影響，該公司也主動聯絡可能受到波及的客戶，請他們更換密碼。更多內容

IBM：10款惡意程式暗藏木馬，成功潛入Google Play

IBM資安團隊X-Force從6月起，在Google Play商店接連發現了至少10款惡意應用程式，這些惡意軟體都以阿奴比斯銀行木馬（BankBot Anubis）感染使用者的裝置，藉由偷取使用者的銀行帳密，進行金融詐欺犯罪。研究團隊提到，雖然10隻惡意程式數量不多，但在每隻惡意軟體的C&C伺服器（Command-and-Control）都可以採集到超過一千個樣本，影響總範圍並不小。

隨著Google Play這類應用程式商店，開始採取了安全層級的機制，進一步阻礙了惡意軟體的散布，不過，這些駭客也並非是省油的燈，研究團隊提到，惡意行為趨向分工化與專業化，為規避不斷發展的應用程式商店防禦機制，駭客現在的策略傾向於不一開始就將惡意軟體本體上傳到商店中，以避免輕易的被偵測以及抽驗發現。更多內容

駭客入侵JavaScript套件ESLint Scope以竊取npm存取令牌

JavaScript工具套件出版商ESLint在 7月12日透露，駭客盜用了該套件維護人員的npm帳號，並上傳了含有惡意程式的版本，以竊取其它用戶的npm憑證，在短短的幾小時內，即有4,500個帳號的存取令牌（access token）遭竊，為了避免災情擴大，npm撤銷了所有在昨天以前建立的存取令牌。

npm的全名為Node Package Manager，是Node.js預設的軟體套件管理系統，而ESLint則是JavaScript套件供應商，主要出版JavaScript程式分析工具。更多內容

智慧電視是否追蹤用戶引發隱私疑慮，美國參議員要求FTC展開調查

兩名美國參議員Edward Markey與Richard Blumenthal在近日發表了公開信，要求美國聯邦交易委員會（FTC）應深入調查坊間智慧電視擅自追蹤及蒐集用戶資料的隱私侵犯行為。

公開信中指出，有許多連網的智慧電視配備複雜的技術，能夠追蹤使用者所觀賞的內容，並利用這些資訊來建立用戶檔案以遞送目標式廣告；然而，用戶也許不知道自己的收視習慣已被紀錄。更多內容

微軟Patch Tuesday修補53個漏洞，瀏覽器就有超過20個

微軟於7月10日的每月例行性安全更新中修補了旗下15個產品的53個安全漏洞，其中有18個屬於重大（Critical）漏洞，並有超過20個瀏覽器漏洞，本月微軟並未修補任何的零時差漏洞。

在53個安全漏洞中有超過20個與IE或Microsoft Edge等瀏覽器有關，而且絕大多數為重大漏洞。Qualys產品管理總監Jimmy Graham認為，工作站類型的裝置應該優先修補這些瀏覽器漏洞，因為這類裝置的使用者通常利用瀏覽器來存取公開網路或郵件服務。更多內容

駭客入侵底特律加油站，一個半小時免費加油，加油站損失600加侖汽油

駭客公然滲透到加油站的自動化系統裡，竄改汽油的價格，這像是電影的情節，最近卻在美國底特律真實上演。根據底特律當地媒體Fox 2 Detroit的報導，大約在6月23日下午1點時，攻擊者鎖定一間距離市中心只有15分鐘車程的Marathon連鎖加油站，駭入他們的自動化系統後，控制其中一個加油機並修改汽油的價格，使得這個加油機免費供油超過1個半小時，這段期間，加油站大約提供了超過600加侖（約2,271公升）的免費汽油，損失估計達1,800美元。

Fox 2 Detroit採訪了加油站的服務人員Aziz Awadh，這名員工指出，在事發當時，他試圖操作控制加油幫浦的軟體，想要停止這個免費加油的現象，然而，系統卻完全不聽使喚。更多內容