「古老」的供應鏈攻擊為何成為2020年業界公認的六大新興威脅之一?除了華碩「影錘」、蘋果「Xcode」、CCleaner這些令人聞風喪膽的車諾比和福島級別的供應鏈攻擊以外,過去十年在數字(軟體)供應鏈領域,我們還經歷了哪些已經發生,並且很可能依然在持續洩露或者「輻射」,值得我們反思和復盤,預防「毀滅性噴發」可能性的供應鏈攻擊事件?
根據ESG和Crowstrike的2019年供應鏈安全報告:
16%的公司購買了被做過手腳的IT設備。
90%的公司「沒有做好準備」應對供應鏈網絡攻擊。
在安全牛「供應鏈安全五大數字風險」一文中,「企業或者供應商軟體漏洞」和「被植入惡意軟體的軟硬體」佔據了兩席,軟體(包括固件)供應鏈正在成為黑客實施供應鏈攻擊的重要突破口,而且此類攻擊往往能夠「突破一點,打擊一片」,危害性極大,甚至很多網絡安全軟體自身都存在供應鏈風險。
2015年9月14日,國家網際網路應急中心CNCERT發布預警通告,目前最流行的蘋果應用程式編譯器XCODE被植入了惡意代碼(XcodeGhost)。超過一億部iOS移動終端受到影響,包括網易雲音樂、微信等頭部APP悉數中招。
2017年6月末,NotPetya惡意軟體襲擊了全球59個國家的跨國企業,世界首屈一指的貨櫃貨運公司馬士基航運接單受阻,充分驗證了供應鏈面臨的巨大威脅。航運訂單之前只能通過電話下單,馬士基航運集團剛剛引入數位化策略,攻擊便發生了。
2017年9月18日,思科Talos安全研究部曝光計算機清理工具CCleaner的更新被黑客嵌入後門,潛入數百萬個人電腦系統中。該攻擊摧毀了消費者對CCleaner開發者Avast的基本信任,其他軟體公司也受牽連,消費者信任下滑。因為惡意軟體竟是捆綁到合法軟體中分發的,而且還是安全公司出品的合法軟體。
19年年初,卡巴斯基報告了影錘行動(ShadowHammer),披露這是一起利用華碩升級服務的供應鏈攻擊,不計其數的用戶在使用該軟體更新時可能會安裝植入後門程序的軟體更新包。
根據埃森哲2019年的一項調查,受訪的4600家企業中40%曾因供應商遭受網絡攻擊而發生數據洩露,大量企業報告直接攻擊減少的同時,通過供應鏈發起的「間接攻擊」卻呈上升趨勢。19年2月,賽門鐵克發布報告顯示,過去一年全球供應鏈攻擊爆增78%,並特別強調2019年全球範圍內供應鏈攻擊活動仍在繼續擴大。
近年來,供應鏈攻擊的常態化已經是APT攻擊的重大趨勢,以下是過去二十年最具破壞力的技術(軟體)供應鏈攻擊:
軟體供應鏈入侵一覽表(SIG安全小組)
雖不能記錄每個已知供應鏈攻擊,但捕捉了各種不同類型軟體供應鏈攻擊案例。編撰此表可幫助安全人員更好地理解供應鏈入侵的模式,開發出最佳實踐與工具。
Purescript nmp安裝程序依賴項惡意代碼
惡意代碼已插入purescript npm安裝程序的依賴項中。該代碼已插入到load-from-cwd-or-npm和rate-map包中。
影響
帶有後門的第一版於2019年5月7日21:00UTC發布。2019年7月9日世界標準時間01:00發布了不包含後門程序的更新版本。NPM官方下載統計數據表明,這些軟體包每周下載約1400次。
入侵類型
攻擊者已經獲得了軟體包維護者的npm帳戶的訪問權限。
Electron原生通知
Agama加密貨幣錢包用戶成為惡意軟體攻擊對象,npm公司安全團隊與Comodo合作,護住當時價值1,300萬美元的加密貨幣資產。
該攻擊專注往Agama構建鏈中植入惡意軟體包,盜取錢包種子和該應用中使用的其他登錄密碼。
影響
Agama加密貨幣錢包用戶損失資金。損失總數未知,但若npm/Comodo沒能早點兒發現的話,有可能高達1,300萬美元。
入侵類型
攻擊者似乎是盜取了一名流行軟體包開發者的憑證。也有可能該軟體包的開發者故意將此軟體包做成「有用軟體包」,以便混入攻擊載荷。
ShadowHammer
華碩公司更新伺服器被黑,向華碩用戶分發華碩實時更新實用程序(ASUS Live Update Utility)應用的籤名後門版。此應用程式為華碩製造的Windows計算機上預裝軟體,用於交付BIOS/UEFI固件、硬體驅動和其他華碩工具的更新。
影響
超一百萬用戶可能下載並安裝了此應用程式的後門植入版。卡巴斯基的一份報告顯示,卡巴斯基用戶中超5.7萬安裝了被植入後門的華碩實時更新實用程序。有趣的是,該攻擊的第二階段部署在至少6,000臺特定系統中。用於接收第二階段攻擊載荷的MAC地址是硬編碼的。
入侵類型
看起來,攻擊者至少可以訪問此更新基礎設施和代碼籤名密鑰。
PEAR漏洞
PHP庫的分發系統PHP擴展與應用程式存儲庫(PEAR)伺服器被黑,原始PHP PEAR包管理器(go-pear.phar)被替換成了修改版。
影響
入侵類型
攻擊者似乎攻陷了此發布平臺。由於不涉及代碼籤名,攻擊者無需盜取任何密鑰,僅僅染指此基礎設施即可。
Dofoil
攻擊者入侵了名為MediaGet的流行BitTorrent客戶端更新伺服器,以籤名後門程序傳播惡意加密貨幣挖礦機。
影響
此攻擊可能成功染指了俄羅斯、土耳其和烏克蘭的40多萬臺PC。
入侵類型
攻擊者似乎入侵了此發布平臺,還能入手該軟體包的籤名密鑰。
Operation Red
攻擊者入侵了遠程支持解決方案供應商的更新伺服器,向位於韓國的目標企業投送惡意更新包。此惡意更新包經由該遠程解決方案供應商的被盜有效證書籤名。
攻擊者首先侵入該更新伺服器,然後將伺服器配置成僅向位於目標企業IP位址範圍內的客戶端分發惡意文件。
影響
不適用
入侵類型
攻擊者似乎入侵了該發布平臺,並且可以訪問更新包的籤名密鑰。
Gentoo事件
攻擊者獲取了GitHub Gentoo控制權,清楚了開發者對Gentoo代碼庫的訪問權,修改了庫中內容及頁面。
影響
不適用
入侵類型
攻擊者似乎黑掉了該原始碼庫,但拿不到開發者密鑰。
未知PDF生成器
攻擊者攻陷了一款PDF編輯器安裝的字體包,以之在用戶計算機上部署加密貨幣挖礦機。由於此PDF編輯器是在SYSTEM權限下安裝的,隱藏在字體包中的惡意加密貨幣挖礦機可接收受害者系統的完整訪問權。
影響
在2018年1月至3月間安裝了此PDF編輯器的用戶可能遭受影響。
入侵類型
這是向開發者投放的假冒工具包。
Colourama
Colourama採用打錯字搶註的方法註冊與Colorama形似的軟體包。Colorama是PyPI中日下載量達百萬級的20大流行合法模塊之一。Colourama軟體包包含針對Windows系統的惡意軟體,實現加密貨幣剪貼板劫持功能,能夠將比特幣支付從受害者主機轉移至攻擊者的比特幣地址。
影響
Colourama早在2017年12月初就註冊了。目前尚不清楚自那以後此惡意包被下載了多少次。媒體Medium報導稱,2018年10月的下載次數是55次。
入侵類型
錯字搶註攻擊無需入侵任何基礎設施。
Foxif/CCleaner
受感染的CCleaner會在真正的CCleaner安裝前先安裝一個惡意軟體。被植入惡意軟體的CCleaner是用有效證書籤名的,且通過合法CCleaner下載伺服器分發給用戶。
鑑於受感染版本CCleaner經由有效籤名籤發,造成這種情況有幾種可能性。可能是開發、構建或打包步驟的籤名過程被破壞,也可能哪一步的產品籤發前遭到了惡意注入。
影響
由於CCleaner截止2016年11月時擁有20億下載量,每周新增用戶數近500萬,感染影響可能非常嚴重。
入侵類型
攻擊者可能是通過入侵版本控制系統、打包過程或發布平臺完成感染。最後一步可能需盜取籤發官方CCleaner發行版的籤名密鑰。
HandBrake
HandBrake是Mac系統流行視頻轉換器,其下載伺服器之一上被替換成了惡意版本。下載安裝了惡意版本的受害者會被攻擊者獲取系統管理員權限。
影響
不適用
入侵類型
攻擊者似乎攻陷了此發布平臺。由於不涉及代碼籤名,攻擊者無需盜取任何密鑰,僅僅染指此基礎設施即可。
Kingslayer
攻擊者可能入侵了應用(系統管理員用來分析Windows日誌的)的下載伺服器,將合法應用和更新替換成了經籤名的惡意版本。
影響
使用Alpha免費版軟體(被黑版)的組織包括:
·4家主流電信供應商
·10+西方軍事機構
·24+財富500公司
·5家主流國防承包商
·36+主流IT產品製造商或解決方案提供商
·24+西方政府機構
·24+銀行和金融機構
·45+高等教育機構
入侵類型
攻擊者攫取了此發布平臺(如下載伺服器)和打包程序籤名密鑰的權限。
HackTask
HackTask用錯字搶註的方法註冊與npm流行庫名字類似的軟體包。攻擊者以此盜取開發者的憑證。
影響
npm庫中發現38個假冒JS軟體包。這些軟體包在入侵事件發生的兩周時間內被下載了至少700次。
入侵類型
錯字搶註攻擊無需入侵任何基礎設施。
Shadowpad
黑客向Netsarang分發的伺服器管理軟體產品中植入了後門程序,該產品已被全球數百家大型企業使用。激活後門後,攻擊者可以下載其他惡意模塊或竊取數據。「Shadowpad」是規模和實際影響最大的供應鏈攻擊之一。
影響
黑客滲透了數百家銀行、能源企業和醫藥公司。
入侵類型
應用後門植入。
NotPetya
NotPetya侵入軟體基礎設施,篡改補丁代碼。該惡意軟體感染了烏克蘭會計軟體MeDoc的更新伺服器。攻擊者以之向MeDoc應用植入後門,投送勒索軟體和盜取憑證。由於掌控了更新伺服器,攻擊者能夠在被感染主機上更新惡意軟體。
值得注意的是,攻擊者似乎擁有MeDoc原始碼的訪問權,否則他們應該不可能植入此類隱藏後門。
影響
不適用
入侵類型
攻擊者似乎能夠入侵MeDoc的軟體發布平臺、更新伺服器和版本控制系統,甚至可能入手了更新包籤名密鑰。
Bitcoin Gold
獲取到GitHub存儲庫權限的攻擊者植入了帶後門的比特幣錢包。因此,沒下載官方版而下載了受感染版本的用戶,如果用此惡意軟體創建新錢包,可能會丟失他們的私鑰。
影響
4.5天窗口期內下載了被黑錢包的用戶可能面臨私鑰被盜風險。
入侵類型
攻擊者似乎獲取了版本控制系統權限,但不能以開發者名義籤名。
ExpensiveWall
注入免費Android應用(壁紙)中的惡意軟體,可替受害者秘密註冊付費服務。應用中的惡意代碼源自Android開發者使用的被黑軟體開發包(SDK)。注意,ExpensiveWall使用了混淆方法隱藏惡意代碼,可繞過殺毒軟體防護。
影響
至少5,904,511臺設備受影響,而據此技術報告,最多可達21,101,567臺設備受影響。
入侵類型
攻擊者能夠入侵開發者主機的工具鏈,在生成的應用中植入後門。可據此判斷,開發者密鑰應該是被盜取了。
Elmedia播放器
攻擊者入侵Eltima的下載伺服器,然後分發兩款應用程式,Folx和Elmedia播放器,均帶有惡意軟體。
影響
該攻擊可能影響數百名用戶。
入侵類型
攻擊者入侵Elmedia播放器和Folx軟體供應商Eltima的發布平臺。
Keydnap
流客戶端Transmission的下載伺服器,被黑後上傳了該客戶端的惡意版本。此軟體的惡意副本似乎採用了被盜蘋果開發者的合法證書籤名。
影響
不適用
入侵類型
影響發布平臺,利用開發者證書(與Transmission無關人員的)籤名,呈現貌似合法的安裝過程。
Fosshub被黑事件
黑客入侵了流行文件託管服務FOSSHub,將多個應用的合法安裝程序替換成了惡意副本。
注意:有些軟體項目,比如Classic Shell、qBittorrent、Audacity、MKVToolNix等,將FOSSHub用作主要文件下載服務。
影響
2016年8月第一周從FOSSHub下載安裝Classic Shell和Audacity軟體包的用戶。
入侵類型
攻擊者入侵了此發布平臺。
被黑Linux Mint