信息來(lái)源：FreeBuf

在這一年里，APT進(jìn)行了哪些活動(dòng)？我們可以從中學(xué)到什么？

這不是一個(gè)容易回答的問(wèn)題，因?yàn)檠芯咳藛T對(duì)APT攻擊活動(dòng)只有部分的可見(jiàn)性，不可能完全理解某些攻擊的動(dòng)機(jī)。不過(guò)從不同的角度來(lái)探討這個(gè)問(wèn)題，可以更好的理解發(fā)生了什么，從中獲得更多的經(jīng)驗(yàn)。

供應(yīng)鏈攻擊

近年來(lái)，針對(duì)供應(yīng)鏈的攻擊已經(jīng)被證明是非常成功的，例子包括ShadowPad、expertr和CCleaner的后門(mén)。

今年1月發(fā)現(xiàn)了一個(gè)復(fù)雜的供應(yīng)鏈攻擊，涉及一個(gè)硬件供應(yīng)商，攻擊者向供應(yīng)商的筆記本電腦和臺(tái)式機(jī)提供BIOS、UEFI和軟件更新。攻擊者向供應(yīng)商的程序添加了一個(gè)后門(mén)，通過(guò)官方渠道將其分發(fā)給用戶(hù)。攻擊者將目標(biāo)MAC地址列表硬編碼到木馬中，從攻擊中發(fā)現(xiàn)超過(guò)200個(gè)樣本中提取超過(guò)600個(gè)唯一的MAC地址，具體分析報(bào)告：ShadowHammer

泄密事件

第三季度針對(duì)伊朗活動(dòng)的APT泄密事件。

今年3月，有人通過(guò)Dookhtegan或Labúu Dookhtegan開(kāi)始使用標(biāo)簽apt34在Twitter上發(fā)布消息。他們分享了幾個(gè)文件，其中包括幾名黑客受害者的登錄名和密碼、工具、基礎(chǔ)設(shè)施的詳細(xì)信息、攻擊者的簡(jiǎn)歷和一份2014-2018年期間網(wǎng)絡(luò)工具清單。

4月22日，名為Bl4ck_B0X創(chuàng)建了GreenLeakers頻道。該頻道的目的是發(fā)布有關(guān)MuddyWater APT組成員信息。除了免費(fèi)信息，Bl4ck_B0X也將出售與MuddyWater有關(guān)的“高度機(jī)密”信息。4月27日，GreenLeakers Telegram頻道發(fā)布了三張截圖，其中包含來(lái)自MuddyWater C2服務(wù)器的截圖。5月1日，該頻道對(duì)公眾關(guān)閉，改為私人頻道，關(guān)閉的原因仍然不清楚。

最后，一個(gè)名為“隱藏現(xiàn)實(shí)”的網(wǎng)站公布了與伊朗拉納研究所有關(guān)的泄密信息。這是兩個(gè)月來(lái)第三次披露伊朗組織的細(xì)節(jié)。這次泄密與其他泄密不同，它允許任何人瀏覽泄密文件的網(wǎng)站。網(wǎng)站包含內(nèi)部文檔、聊天信息和其他與拉納研究所的CNO（計(jì)算機(jī)網(wǎng)絡(luò)操作）能力相關(guān)的數(shù)據(jù)，以及有關(guān)受害者的信息。以前的泄漏更多地集中在工具、源代碼和參與者信息上。

Shadow Brokers

Shadow Brokers中包括一個(gè)Python腳本sigs.py，其中許多函數(shù)來(lái)檢查系統(tǒng)是否已經(jīng)被其他攻擊者破壞。每個(gè)檢查都是在系統(tǒng)中查找唯一簽名實(shí)現(xiàn)的，sigs.py列出了44個(gè)條目，其中許多與尚未公開(kāi)的未知apt相關(guān)。

2019年sigs.py文件的第27個(gè)函數(shù)，被命名為DarkUniverse，DarkUniverse與ItaDuke活動(dòng)有關(guān)，存在代碼重疊。主要組件是一個(gè)簡(jiǎn)單的DLL，只有一個(gè)導(dǎo)出函數(shù)，實(shí)現(xiàn)持久控制、與C2的通信以及對(duì)其他模塊的控制。在西亞和非洲東北部發(fā)現(xiàn)了大約20名受害者，包括醫(yī)療機(jī)構(gòu)、原子能機(jī)構(gòu)、軍事組織和電信公司。

手機(jī)攻擊

移動(dòng)手機(jī)攻擊是許多APT工具集的標(biāo)準(zhǔn)部分。

今年5月，英國(guó)《金融時(shí)報(bào)》報(bào)道稱(chēng)，黑客利用WhatsApp的零日漏洞竊聽(tīng)用戶(hù)，讀取加密的聊天，打開(kāi)麥克風(fēng)和攝像頭，安裝間諜軟件，甚至可以進(jìn)行進(jìn)一步的監(jiān)控。WhatsApp觸發(fā)緩沖區(qū)溢出，使攻擊者能夠控制應(yīng)用程序并執(zhí)行任意代碼，WhatsApp很快就發(fā)布了漏洞補(bǔ)丁。10月份，該公司提起訴訟，指控總部位于以色列的NSO挖掘利用了這一漏洞。WhatsApp聲稱(chēng)，NSO出售的這項(xiàng)技術(shù)用于瞄準(zhǔn)20個(gè)不同國(guó)家1400多名客戶(hù)的手機(jī)，其中包括人權(quán)活動(dòng)家、記者和其他人。

今年7月，報(bào)告介紹了2018年開(kāi)發(fā)的針對(duì)Android和iOS的FinSpy最新版本。FinSpy的開(kāi)發(fā)者將該軟件出售給世界各地的政府和執(zhí)法機(jī)構(gòu)，這些機(jī)構(gòu)使用該軟件在各種平臺(tái)上收集私人用戶(hù)信息，如聯(lián)系人、信息、電子郵件、日歷、GPS位置、照片、內(nèi)存中的文件、電話(huà)錄音和數(shù)據(jù)。Android植入需要通過(guò)已知漏洞獲得root權(quán)限，在設(shè)備尚未越獄的情況下，需要對(duì)受害者的設(shè)備進(jìn)行物理訪(fǎng)問(wèn)。最新版本包含了多個(gè)新功能。在最近的研究中，在近20個(gè)國(guó)家的中檢測(cè)到了最新版本，真正的受害者人數(shù)可能要高得多。

今年8月，谷歌Project Zero團(tuán)隊(duì)發(fā)布了一份在野發(fā)現(xiàn)的至少14個(gè)iOS 零日分析報(bào)告，攻擊者在5個(gè)攻擊鏈中使用以提升權(quán)限。攻擊者自三年前使用了一些被控網(wǎng)站來(lái)作為攻擊平臺(tái)。雖然沒(méi)有關(guān)于網(wǎng)站的詳細(xì)信息，也沒(méi)有說(shuō)明這些網(wǎng)站是否仍然活躍，但谷歌稱(chēng)這些網(wǎng)站“每周有數(shù)千名訪(fǎng)客”。

今年9月，零日經(jīng)紀(jì)公司Zerodium表示，Android的零日價(jià)值已超過(guò)iOS，該公司愿意花250萬(wàn)美元購(gòu)買(mǎi)Android的零日，該公司此前為遠(yuǎn)程iOS越獄支付200萬(wàn)美元。相比之下，Zerodium還減少了蘋(píng)果一鍵式攻擊的支出。同一天，有人在v412（Video4Linux）驅(qū)動(dòng)程序中發(fā)現(xiàn)了一個(gè)高嚴(yán)重性的零日。谷歌9月份的安全更新中沒(méi)有包含此漏洞，該漏洞可能會(huì)導(dǎo)致權(quán)限提升。幾天后，安卓系統(tǒng)的一個(gè)缺陷被發(fā)現(xiàn)，使得超過(guò)10億的三星、華為、LG和索尼智能手機(jī)容易受到攻擊，攻擊者能夠使用短信完全訪(fǎng)問(wèn)設(shè)備上的電子郵件。

工具持續(xù)改良

Turla

在調(diào)查中亞地區(qū)的惡意活動(dòng)時(shí)發(fā)現(xiàn)了一個(gè)名為T(mén)unnus新的后門(mén)，其歸屬于Turla組織。它基于.NET的惡意軟件，能夠在受感染的系統(tǒng)上運(yùn)行命令或文件操作，并將結(jié)果發(fā)送到C2。到目前為止，攻擊者已用有漏洞的WordPress安裝構(gòu)建了其C2基礎(chǔ)設(shè)施。

今年，Turla還將其JavaScript KopiLuwak惡意軟件封裝在一個(gè)名為T(mén)opinambour的dropper中，Topinambour是一個(gè)新的.NET文件，攻擊者使用該文件通過(guò)受感染的vpn等合法軟件程序的安裝包傳播和植入KopiLuwak。該惡意軟件幾乎完全“無(wú)文件”：感染的最后階段，一個(gè)用于遠(yuǎn)程管理的加密木馬被嵌入到計(jì)算機(jī)的注冊(cè)表中，以便后期訪(fǎng)問(wèn)。該組織使用兩種類(lèi)似的KopiLuwak（即.NET RocketMan木馬和PowerShell MiamiBeach木馬）進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。

此外還發(fā)現(xiàn)一個(gè)新的COMpfun惡意軟件。攻擊者在將原始COMpfun用作下載程序，根據(jù)一些樣本中留下的a.pdb路徑命名它為Reductor。攻擊者花費(fèi)了大量精力來(lái)操作Reducer中的數(shù)字根證書(shū)，并使用唯一的主機(jī)相關(guān)標(biāo)識(shí)符標(biāo)記出站TLS通信。該惡意軟件將嵌入的根證書(shū)添加到目標(biāo)主機(jī)，并允許攻擊者通過(guò)管道遠(yuǎn)程添加其他證書(shū)。

Zebrocy

Zebrocy繼續(xù)使用各種編程語(yǔ)言向其庫(kù)中添加新工具。Zebrocy在東南亞一個(gè)外交組織內(nèi)部署了一個(gè)編譯好的PythocyDbg腳本。該模塊主要提供網(wǎng)絡(luò)代理和通信調(diào)試功能進(jìn)行情報(bào)秘密收集。2019年初，Zebrocy使用Nimrod/Nim（一種語(yǔ)法類(lèi)似于Pascal和Python的編程語(yǔ)言，可以編譯成JavaScript或C）。今年9月，Zebrocy spear在歐洲各地對(duì)北約等多個(gè)目標(biāo)進(jìn)行網(wǎng)絡(luò)釣魚(yú)，試圖獲取電子郵件通信、憑據(jù)和敏感文件。與Zebrocy以往的活動(dòng)類(lèi)似，在電子郵件中使用與目標(biāo)相關(guān)的內(nèi)容，并壓縮包含無(wú)害文檔附件，以及帶有相同文件名的可執(zhí)行文件。該組還利用Word模板從合法的Dropbox文件共享站點(diǎn)中獲取文件。

Platinum

今年6月發(fā)現(xiàn)了一組不尋常的樣本，其主要針對(duì)南亞和東南亞國(guó)家的外交、政府和軍事組織，最終將其歸屬于Platinum，Platinum是技術(shù)最先進(jìn)的APT之一。在這次行動(dòng)中，攻擊者使用了精心設(shè)計(jì)的隱寫(xiě)技術(shù)來(lái)隱藏通信。今年晚些時(shí)候，在一次網(wǎng)絡(luò)攻擊活動(dòng)中，發(fā)現(xiàn)了Platinum組織使用的新的后門(mén)Titanium，這個(gè)惡意軟件和ProjectC的工具集有相似之處，在2016年檢測(cè)到ProjectC被用作橫向移動(dòng)的工具集。

Lazarus

在2018年AppleJeus報(bào)告的主要發(fā)現(xiàn)是Lazarus組織瞄準(zhǔn)Mac OS系統(tǒng)。從那時(shí)起Lazarus擴(kuò)大了他們的業(yè)務(wù)范圍。今年又發(fā)現(xiàn)了新的活動(dòng)，以蘋(píng)果的客戶(hù)為目標(biāo)利用PowerShell來(lái)控制Windows系統(tǒng)和Mac OS惡意軟件。Lazarus還瞄準(zhǔn)了韓國(guó)的一家移動(dòng)游戲公司，其目的是竊取應(yīng)用程序源代碼。Lazarus一直在快速更新它的工具。

Andariel是Lazarus的一個(gè)子組織，專(zhuān)注于韓國(guó)的地緣政治和金融情報(bào)。攻擊者利用存在漏洞的Weblogic服務(wù)器構(gòu)建C2，在樣本使用的是CVE-2017-10271。成功突破后，攻擊者植入有韓國(guó)安全軟件供應(yīng)商合法簽名的惡意軟件。這個(gè)惡意軟件是一個(gè)后門(mén)，叫做ApolloZeus。這個(gè)后門(mén)使用了一個(gè)相對(duì)較大的外殼代碼，使分析變得困難。此外還找到了幾個(gè)相關(guān)的樣本，以及攻擊者用來(lái)傳播它的文檔。

BlueNoroff

在第三季度跟蹤了BlueNoroff的新活動(dòng)，確認(rèn)了受害者是緬甸的一家銀行。研究人員立即與銀行聯(lián)系，分享已經(jīng)發(fā)現(xiàn)的IOC，并獲得攻擊者橫向移動(dòng)工具。攻擊者使用公共登錄憑據(jù)轉(zhuǎn)儲(chǔ)程序和自制的PowerShell腳本進(jìn)行橫向移動(dòng)。BlueNoroff還使用了一種新結(jié)構(gòu)惡意軟件，可以減慢分析速度。根據(jù)命令行參數(shù)的不同，此惡意軟件可以作為后門(mén)或隧道。此外還發(fā)現(xiàn)了另一種類(lèi)型的PowerShell腳本，其主要目標(biāo)為土耳其，這個(gè)PowerShell腳本的功能與之前使用的類(lèi)似，但BlueNoroff不斷地更改它以逃避檢測(cè)。

DarkHotel 

今年10月偶然發(fā)現(xiàn)一個(gè)樣本，使用的誘餌文件和圖片中包含朝鮮海外居民的聯(lián)系名單，所有的誘餌都包含朝鮮半島國(guó)慶節(jié)和朝鮮國(guó)慶節(jié)的內(nèi)容，內(nèi)容還涉及外交問(wèn)題和商業(yè)關(guān)系。攻擊者利用魚(yú)叉釣魚(yú)和多階段感染，植入量身定制的惡意軟件。研究發(fā)現(xiàn)該攻擊活動(dòng)歸屬于DarkHotel APT組織。

Lamberts

Lamberts是一個(gè)或多個(gè)攻擊者使用的復(fù)雜攻擊工具家族。武器庫(kù)包括網(wǎng)絡(luò)驅(qū)動(dòng)后門(mén)、模塊化后門(mén)、破壞性攻擊等。Silver Lambert是Gray Lambert的升級(jí)，它是一個(gè)成熟的后門(mén)，在中國(guó)的航空部門(mén)發(fā)現(xiàn)了他的蹤跡。Violet Lambert是一款模塊化后門(mén)，于2018年開(kāi)發(fā)和部署，可在各種版本的Windows上運(yùn)行，包括Windows XP，以及Vista和更高版本的Windows。還在中東一個(gè)重要基礎(chǔ)設(shè)施的電腦上發(fā)現(xiàn)了其他新的Lamberts后門(mén)，這個(gè)惡意軟件在網(wǎng)絡(luò)上監(jiān)聽(tīng)，等待一個(gè)ping命令，然后執(zhí)行一個(gè)我們無(wú)法解密的負(fù)載，后門(mén)發(fā)現(xiàn)后不久，所有受感染的電腦都離線(xiàn)了。

LuckyMouse

今年早些時(shí)候監(jiān)測(cè)到了由LuckyMouse發(fā)起的活動(dòng)，該活動(dòng)至少?gòu)?018年4月起就針對(duì)越南政府和海外外交。他們利用網(wǎng)絡(luò)服務(wù)漏洞作為其主要的初始感染切入點(diǎn)，同時(shí)在網(wǎng)絡(luò)釣魚(yú)消息中使用的誘餌文件，顯示了其靈活使用運(yùn)營(yíng)商。攻擊者還將HTran-TCP代理源代碼包含到惡意軟件中，重定向流量。一些NetBot配置數(shù)據(jù)包含LAN ip，它從本地網(wǎng)絡(luò)中另一個(gè)受感染的主機(jī)下載下一階段程序。根據(jù)檢測(cè)內(nèi)部數(shù)據(jù)庫(kù)服務(wù)器是目標(biāo)之一。最后一步，攻擊者使用32位和64位木馬注入系統(tǒng)進(jìn)程內(nèi)存。

從2019年初開(kāi)始，在中亞和中東LuckyMouse的活動(dòng)都出現(xiàn)了高峰。攻擊者目標(biāo)集中在電信運(yùn)營(yíng)商，大學(xué)和政府，通過(guò)直接攻擊、魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)，水坑攻擊等手段。

HoneyMyte

HoneyMyte已經(jīng)活躍了好幾年了。在過(guò)去幾年中，該組織采用了不同的技術(shù)實(shí)施攻擊，目標(biāo)是緬甸、蒙古、埃塞俄比亞、越南和孟加拉國(guó)的政府，以及位于巴基斯坦、韓國(guó)、美國(guó)、英國(guó)、比利時(shí)、尼泊爾、澳大利亞和新加坡外國(guó)大使館。今年，該組織的目標(biāo)是緬甸與自然資源管理有關(guān)的政府組織和一個(gè)非洲大陸組織，其主要?jiǎng)訖C(jī)之一是收集地緣政治和經(jīng)濟(jì)情報(bào)。

Icefog

自2011年以來(lái)Icefog目標(biāo)一直是主要位于韓國(guó)、日本和中亞的政府機(jī)構(gòu)、軍事承包商、海事和造船組織、電信運(yùn)營(yíng)商、衛(wèi)星運(yùn)營(yíng)商、工業(yè)和高科技公司以及大眾媒體。2013年該組織的行動(dòng)速度放緩，2016略有增加，從2018年初開(kāi)始Icefog開(kāi)始對(duì)中亞政府機(jī)構(gòu)和軍事承包商進(jìn)行大規(guī)模攻擊。在最新一波的攻擊中，感染源于一封包含惡意文檔的釣魚(yú)郵件，該郵件利用已知漏洞攻擊并最終部署有效負(fù)載。

從2018年到2019年初，有效載荷是典型的Icefog后門(mén)。自2019年5月以來(lái)，攻擊者把Poison Ivy作為他們的主要后門(mén)。Poison Ivy利用“l(fā)oad order hijacking”技術(shù)加載惡意DLL，這項(xiàng)技術(shù)非常普遍，在以前的Icefog攻擊活動(dòng)中也使用過(guò)。另外還檢測(cè)到使用從GitHub下載的TCP掃描器、Mimikatz變體、鍵盤(pán)記錄器以及Quarian的后門(mén)。Quarian后門(mén)用于在受害者基礎(chǔ)設(shè)施內(nèi)創(chuàng)建隧道，以避免網(wǎng)絡(luò)檢測(cè)，其功能包括操作遠(yuǎn)程文件系統(tǒng)、獲取有關(guān)受害者的信息、竊取保存的密碼、下載或上載任意文件、使用端口轉(zhuǎn)發(fā)創(chuàng)建隧道、執(zhí)行任意命令和啟動(dòng)反向shell。

“新來(lái)者”的演變

ShaggyPather

在2018年1月的一份報(bào)告中討論了ShaggyPather，這是一個(gè)以前未被發(fā)現(xiàn)的針對(duì)臺(tái)灣和馬來(lái)西亞的惡意軟件。相關(guān)的活動(dòng)可以追溯到十多年前，類(lèi)似的代碼編譯時(shí)間為2004年。最近一次活動(dòng)是在7月份印度尼西亞，以及在3月份敘利亞。較新的2018年和2019年后門(mén)代碼添加了新的混淆，不再保持明文C2字符串。其使用的外殼SinoChopper不僅執(zhí)行主機(jī)識(shí)別和后門(mén)傳遞，還執(zhí)行電子郵件竊取和其他活動(dòng)。

TajMahal

今年4月，研究人員發(fā)布了關(guān)于TajMahal的報(bào)告，TajMahal是一個(gè)未發(fā)現(xiàn)的APT框架，在過(guò)去五年中一直處于活躍狀態(tài)。它是一個(gè)高度復(fù)雜的間諜軟件框架，包括后門(mén)、加載程序、C2通信程序、錄音機(jī)、鍵盤(pán)記錄器、屏幕和網(wǎng)絡(luò)攝像頭抓取程序、文檔和密碼密鑰竊取程序和文件索引器，其加密文件系統(tǒng)中發(fā)現(xiàn)了多達(dá)80個(gè)惡意模塊，這是APT工具集中見(jiàn)過(guò)的數(shù)量最多之一。該惡意軟件有兩個(gè)不同的軟件包，自稱(chēng)Tokyo和Yokohama，攻擊者利用Tokyo作為第一階段感染，在目標(biāo)受害者身上部署功能齊全的Yokohama。檢測(cè)顯示只有一個(gè)受害者，來(lái)自中亞國(guó)家的外交機(jī)構(gòu)，研究人員認(rèn)為可能還有其他的受害者還沒(méi)有找到。

FrutiyArmor和SandCat

今年2月檢測(cè)到有人試圖利用Windows中的漏洞進(jìn)行攻擊，進(jìn)一步的分析發(fā)現(xiàn)win32k.sys中存在一個(gè)零日漏洞，F(xiàn)ruityArmor和SandCat利用了這一漏洞。FrutiyArmor和SandCat攻擊活動(dòng)各不相同，兩者同時(shí)使用相同的漏洞，似乎表明存在第三方為他們提供漏洞。

未明確攻擊者

2019年2月發(fā)現(xiàn)俄羅斯南部發(fā)生了一次目標(biāo)明確的攻擊，其使用名為Cloudmid的未知惡意軟件。這個(gè)間諜程序通過(guò)電子郵件傳播，偽裝成俄羅斯一家知名安全公司的VPN客戶(hù)端。到目前為止還無(wú)法將此活動(dòng)與任何已知攻擊者聯(lián)系起來(lái)。惡意軟件本身是一個(gè)簡(jiǎn)單的文件偷取程序。

今年2月發(fā)現(xiàn)了一場(chǎng)針對(duì)印度軍事組織的行動(dòng)，但無(wú)法將其歸屬于任何已知的攻擊者。攻擊者依靠水坑和魚(yú)叉釣魚(yú)來(lái)感染受害者。他們能夠破壞陸戰(zhàn)研究中心（CLAWS）的網(wǎng)站，利用該網(wǎng)站托管一份惡意文件來(lái)分發(fā)Netwire RAT。

DADJOKE

在第三季度發(fā)現(xiàn)了DADJOKE的惡意軟件活動(dòng)。該惡意軟件于2019年1月首次在野使用，隨后不斷發(fā)展。自今年1月以來(lái)只在少數(shù)活動(dòng)中見(jiàn)過(guò)這種惡意軟件，這些活動(dòng)的目標(biāo)都是東南亞地區(qū)的政府、軍事和外交。最近的一次是在8月份，針對(duì)某個(gè)軍事組織的工作人員。

隱私問(wèn)題

1月17日，安全研究員Troy Hunt報(bào)告稱(chēng)，有超過(guò)7.73億封電子郵件和2100萬(wàn)條密碼記錄泄露。這些數(shù)據(jù)被稱(chēng)為Collection#1，最初是在云服務(wù)MEGA上共享的。Collection#1只是約1tb數(shù)據(jù)泄漏的一小部分，總數(shù)據(jù)分成7部分，通過(guò)數(shù)據(jù)交易論壇分發(fā)。Collection#1只是大量泄露憑證的一部分，其中包括22億個(gè)被盜賬戶(hù)記錄。

2月份又發(fā)生了數(shù)據(jù)泄露事件。黑客從16家公司盜取的6.17億個(gè)賬戶(hù)詳細(xì)信息在DreamMarket出售。黑客攻擊的公司包括Dubsmash、MyFitnessPal、Armor Games和CoffeeMeetsBagel。隨后，又有8家公司的數(shù)據(jù)被發(fā)布到同一個(gè)市場(chǎng)。在3月份黑客又發(fā)布了另外6家公司的被盜數(shù)據(jù)。

新聞中關(guān)于電子郵件地址和密碼泄露的源源不斷的報(bào)道，這種“傳統(tǒng)”認(rèn)證形式的失竊會(huì)導(dǎo)致嚴(yán)重的后果，但其他認(rèn)證方法的泄密影響可能會(huì)更嚴(yán)重。今年8月，兩名以色列研究人員在一個(gè)可公開(kāi)訪(fǎng)問(wèn)的數(shù)據(jù)庫(kù)中發(fā)現(xiàn)了Suprema Biostar 2生物控制系統(tǒng)的指紋、面部識(shí)別數(shù)據(jù)和其他個(gè)人信息。生物測(cè)數(shù)據(jù)的泄露尤其令人關(guān)注。泄露的密碼可以更改，但生物特征是終身的。

智能設(shè)備在我生活新領(lǐng)域中的廣泛使用為攻擊者提供了一個(gè)更大的數(shù)據(jù)池。例如智能揚(yáng)聲器在家里可監(jiān)聽(tīng)談話(huà)的影響。社交媒體巨頭正擁有越來(lái)越多的個(gè)人信息，這些信息對(duì)犯罪分子和APT組織都是非常有價(jià)值的。