《安联智库-网安周报》2022-04-24

1、上海回应“面粉官网是非法网站”：疏于运维被“黑”

4月21日，Check Point在其官方博客披露，研究人员在去年发现了 ALAC 格式的漏洞，这些漏洞可能导致攻击者远程访问目标设备中的媒体和音频对话。

ALAC是苹果公司2004年开发的一种无损音频格式，并于2011年正式开源。Check Point 发现，全球最大的两家移动芯片组制造商——高通和联发科都将易受攻击的 ALAC 代码移植到其音频解码器中，全球一半以上的智能手机都在使用这些解码器。

研究人员发现，该漏洞会让攻击者利用格式错误的音频文件，在目标设备上执行远程代码执行攻击 (RCE)，并可进一步控制用户的多媒体数据，包括利用设备的摄像头拍摄音视频。此外，该漏洞允许特定安卓应用提权，并获得对媒体数据和用户对话的访问权。

Check Point已向联发科和高通共享了调查结果，协助处理漏洞问题。联发科将 ALAC 漏洞跟踪为 CVE-2021-0674 和 CVE-2021-0675，而高通将其跟踪为 CVE-2021-30351。这些漏洞已在2021年12月得到了修复。

Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码，T-Mobile在一份声明中确认了这次攻击，并说"被访问的系统不包含客户或政府信息或其他类似的敏感信息"。在一份私人信息副本中，Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。

在网上购买了员工的凭证后，这些成员可以使用公司的内部工具--如T-Mobile的客户管理系统Atlas来进行SIM卡交换攻击。这种类型的攻击涉及劫持目标的移动电话，将其号码转移到攻击者拥有的设备上。从那里，攻击者可以获得该人的手机号码所收到的短信或电话，包括为多因素认证而发送的任何信息。

Lapsus$黑客还试图破解联邦调查局和美国国防部的T-Mobile账户。他们最终无法做到这一点，因为需要额外的验证措施。

多年来，T-Mobile已经成为数次网络攻击的受害者。虽然这次特定的黑客攻击没有影响客户的数据，但过去的事件却影响过客户的数据。2021年8月，一个漏洞暴露了属于4700多万客户的个人信息，而就在几个月后发生的另一次攻击暴露了"少量"的客户账户信息。

截至当地时间4月22日，因遭到国际黑客攻击，哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示，哥斯达黎加不会向国际黑客组织妥协，目前有关部门正在加紧网络管理技术升级，加固网络安全，同时评估泄漏数据的规模和损失，与国际组织和公司合作，加紧恢复受损系统。

当地时间18日，哥斯达黎加财政部的网络系统就遭到黑客攻击，政府随即采取预防性措施，关闭了部分系统。该国养老金、公共系统薪酬支付以及税收、进出口系统均受到不同程度影响。

据当地媒体报道，目前已有包括社会保障、劳工部等在内的至少6个政府部门的网络系统遭到了黑客攻击。