“古老”的供应链攻击为何成为2020年业界公认的六大新兴威胁之一?除了华硕“影锤”、苹果“Xcode”、CCleaner这些令人闻风丧胆的切尔诺贝利和福岛级别的供应链攻击以外,过去十年在数字(软件)供应链领域,我们还经历了哪些已经发生,并且很可能依然在持续泄露或者“辐射”,值得我们反思和复盘,预防“毁灭性喷发”可能性的供应链攻击事件?
根据ESG和Crowstrike的2019年供应链安全报告:
16%的公司购买了被做过手脚的IT设备。
90%的公司“没有做好准备”应对供应链网络攻击。
在安全牛“供应链安全五大数字风险”一文中,“企业或者供应商软件漏洞”和“被植入恶意软件的软硬件”占据了两席,软件(包括固件)供应链正在成为黑客实施供应链攻击的重要突破口,而且此类攻击往往能够“突破一点,打击一片”,危害性极大,甚至很多网络安全软件自身都存在供应链风险。
2015年9月14日,国家互联网应急中心CNCERT发布预警通告,目前最流行的苹果应用程序编译器XCODE被植入了恶意代码(XcodeGhost)。超过一亿部iOS移动终端受到影响,包括网易云音乐、微信等头部APP悉数中招。
2017年6月末,NotPetya恶意软件袭击了全球59个国家的跨国企业,世界首屈一指的集装箱货运公司马士基航运接单受阻,充分验证了供应链面临的巨大威胁。航运订单之前只能通过电话下单,马士基航运集团刚刚引入数字化策略,攻击便发生了。
2017年9月18日,思科Talos安全研究部曝光计算机清理工具CCleaner的更新被黑客嵌入后门,潜入数百万个人电脑系统中。该攻击摧毁了消费者对CCleaner开发者Avast的基本信任,其他软件公司也受牵连,消费者信任下滑。因为恶意软件竟是捆绑到合法软件中分发的,而且还是安全公司出品的合法软件。
19年年初,卡巴斯基报告了影锤行动(ShadowHammer),披露这是一起利用华硕升级服务的供应链攻击,不计其数的用户在使用该软件更新时可能会安装植入后门程序的软件更新包。
根据埃森哲2019年的一项调查,受访的4600家企业中40%曾因供应商遭受网络攻击而发生数据泄露,大量企业报告直接攻击减少的同时,通过供应链发起的“间接攻击”却呈上升趋势。19年2月,赛门铁克发布报告显示,过去一年全球供应链攻击爆增78%,并特别强调2019年全球范围内供应链攻击活动仍在继续扩大。
近年来,供应链攻击的常态化已经是APT攻击的重大趋势,以下是过去二十年最具破坏力的技术(软件)供应链攻击:
软件供应链入侵一览表(SIG安全小组)
虽不能记录每个已知供应链攻击,但捕捉了各种不同类型软件供应链攻击案例。编撰此表可帮助安全人员更好地理解供应链入侵的模式,开发出最佳实践与工具。
名称 | 年份 | 入侵类型 |
Purescript-npm | 2019 | 源代码入侵 |
Electron原生通知 | 2019 | 源代码入侵 |
ShadowHammer | 2019 | 多步骤 |
PEAR漏洞 | 2019 | 发布平台 |
Dofoil | 2018 | 发布平台 |
Operation Red | 2018 | 发布平台 |
Gentoo事件 | 2018 | 源代码入侵 |
未知PDF生成器 | 2018 | 发布平台 |
Colourama | 2018 | TypoSquat |
Foxif/CCleaner | 2017 | 发布平台 |
HandBrake | 2017 | 发布平台 |
Kingslayer | 2017 | 发布平台 |
HackTask | 2017 | 错字抢注(TypoSquat) |
Shadowpad | 2017 | 后门 |
NotPetya | 2017 | 多步骤 |
Bitcoin Gold | 2017 | 源代码入侵 |
ExpensiveWall | 2017 | 后门SDK |
OS X Elmedia播放器 | 2017 | 发布平台 |
keydnap | 2016 | 发布平台 |
Fosshub被黑事件 | 2016 | 发布平台 |
Linux Mint | 2016 | 发布平台 |
Juniper安全事件 | 2015 | 源代码入侵 |
XCodeGhost | 2015 | 虚假工具链 |
Ceph和Inktank | 2015 | 构建、源代码和发布平台 |
Code Spaces | 2014 | 源代码入侵 |
Monju安全事件 | 2014 | 发布平台 |
Operation Aurora | 2010 | 水坑攻击 |
ProFTPD | 2010 | 源代码存储库 |
gentoo rsync漏洞 | 2003 | 源代码存储库 |
Purescript nmp安装程序依赖项恶意代码
恶意代码已插入purescript npm安装程序的依赖项中。该代码已插入到load-from-cwd-or-npm和rate-map包中。
影响
带有后门的第一版于2019年5月7日21:00UTC发布。2019年7月9日世界标准时间01:00发布了不包含后门程序的更新版本。NPM官方下载统计数据表明,这些软件包每周下载约1400次。
入侵类型
攻击者已经获得了软件包维护者的npm帐户的访问权限。
Electron原生通知
Agama加密货币钱包用户成为恶意软件攻击对象,npm公司安全团队与Comodo合作,护住当时价值1,300万美元的加密货币资产。
该攻击专注往Agama构建链中植入恶意软件包,盗取钱包种子和该应用中使用的其他登录密码。
影响
Agama加密货币钱包用户损失资金。损失总数未知,但若npm/Comodo没能早点儿发现的话,有可能高达1,300万美元。
入侵类型
攻击者似乎是盗取了一名流行软件包开发者的凭证。也有可能该软件包的开发者故意将此软件包做成“有用软件包”,以便混入攻击载荷。
ShadowHammer
华硕公司更新服务器被黑,向华硕用户分发华硕实时更新实用程序(ASUS Live Update Utility)应用的签名后门版。此应用程序为华硕制造的Windows计算机上预装软件,用于交付BIOS/UEFI固件、硬件驱动和其他华硕工具的更新。
影响
超一百万用户可能下载并安装了此应用程序的后门植入版。卡巴斯基的一份报告显示,卡巴斯基用户中超5.7万安装了被植入后门的华硕实时更新实用程序。有趣的是,该攻击的第二阶段部署在至少6,000台特定系统中。用于接收第二阶段攻击载荷的MAC地址是硬编码的。
入侵类型
看起来,攻击者至少可以访问此更新基础设施和代码签名密钥。
PEAR漏洞
PHP库的分发系统PHP扩展与应用程序存储库(PEAR)服务器被黑,原始PHP PEAR包管理器(go-pear.phar)被替换成了修改版。
影响
6个月窗口期内从pear.php.net下载PEAR安装文件加以安装的用户有可能遭到感染。由于很多Web托管服务允许用户安装运行PEAR,该攻击也可能影响大量网站及其访客。
入侵类型
攻击者似乎攻陷了此发布平台。由于不涉及代码签名,攻击者无需盗取任何密钥,仅仅染指此基础设施即可。
Dofoil
攻击者入侵了名为MediaGet的流行BitTorrent客户端更新服务器,以签名后门程序传播恶意加密货币挖矿机。
影响
此攻击可能成功染指了俄罗斯、土耳其和乌克兰的40多万台PC。
入侵类型
攻击者似乎入侵了此发布平台,还能入手该软件包的签名密钥。
Operation Red
攻击者入侵了远程支持解决方案供应商的更新服务器,向位于韩国的目标企业投送恶意更新包。此恶意更新包经由该远程解决方案供应商的被盗有效证书签名。
攻击者首先侵入该更新服务器,然后将服务器配置成仅向位于目标企业IP地址范围内的客户端分发恶意文件。
影响
不适用
入侵类型
攻击者似乎入侵了该发布平台,并且可以访问更新包的签名密钥。
Gentoo事件
攻击者获取了GitHub Gentoo控制权,清楚了开发者对Gentoo代码库的访问权,修改了库中内容及页面。
影响
不适用
入侵类型
攻击者似乎黑掉了该源代码库,但拿不到开发者密钥。
未知PDF生成器
攻击者攻陷了一款PDF编辑器安装的字体包,以之在用户计算机上部署加密货币挖矿机。由于此PDF编辑器是在SYSTEM权限下安装的,隐藏在字体包中的恶意加密货币挖矿机可接收受害者系统的完整访问权。
影响
在2018年1月至3月间安装了此PDF编辑器的用户可能遭受影响。
入侵类型
这是向开发者投放的假冒工具包。
Colourama
Colourama采用打错字抢注的方法注册与Colorama形似的软件包。Colorama是PyPI中日下载量达百万级的20大流行合法模块之一。Colourama软件包包含针对Windows系统的恶意软件,实现加密货币剪贴板劫持功能,能够将比特币支付从受害者主机转移至攻击者的比特币地址。
影响
Colourama早在2017年12月初就注册了。目前尚不清楚自那以后此恶意包被下载了多少次。媒体Medium报道称,2018年10月的下载次数是55次。
入侵类型
错字抢注攻击无需入侵任何基础设施。
Foxif/CCleaner
受感染的CCleaner会在真正的CCleaner安装前先安装一个恶意软件。被植入恶意软件的CCleaner是用有效证书签名的,且通过合法CCleaner下载服务器分发给用户。
鉴于受感染版本CCleaner经由有效签名签发,造成这种情况有几种可能性。可能是开发、构建或打包步骤的签名过程被破坏,也可能哪一步的产品签发前遭到了恶意注入。
影响
由于CCleaner截止2016年11月时拥有20亿下载量,每周新增用户数近500万,感染影响可能非常严重。
入侵类型
攻击者可能是通过入侵版本控制系统、打包过程或发布平台完成感染。最后一步可能需盗取签发官方CCleaner发行版的签名密钥。
HandBrake
HandBrake是Mac系统流行视频转换器,其下载服务器之一上被替换成了恶意版本。下载安装了恶意版本的受害者会被攻击者获取系统管理员权限。
影响
不适用
入侵类型
攻击者似乎攻陷了此发布平台。由于不涉及代码签名,攻击者无需盗取任何密钥,仅仅染指此基础设施即可。
Kingslayer
攻击者可能入侵了应用(系统管理员用来分析Windows日志的)的下载服务器,将合法应用和更新替换成了经签名的恶意版本。
影响
使用Alpha免费版软件(被黑版)的组织包括:
入侵类型
攻击者攫取了此发布平台(如下载服务器)和打包程序签名密钥的权限。
HackTask
HackTask用错字抢注的方法注册与npm流行库名字类似的软件包。攻击者以此盗取开发者的凭证。
影响
npm库中发现38个假冒JS软件包。这些软件包在入侵事件发生的两周时间内被下载了至少700次。
入侵类型
错字抢注攻击无需入侵任何基础设施。
Shadowpad
黑客向Netsarang分发的服务器管理软件产品中植入了后门程序,该产品已被全球数百家大型企业使用。激活后门后,攻击者可以下载其他恶意模块或窃取数据。“Shadowpad”是规模和实际影响最大的供应链攻击之一。
影响
黑客渗透了数百家银行、能源企业和医药公司。
入侵类型
应用后门植入。
NotPetya
NotPetya侵入软件基础设施,篡改补丁代码。该恶意软件感染了乌克兰会计软件MeDoc的更新服务器。攻击者以之向MeDoc应用植入后门,投送勒索软件和盗取凭证。由于掌控了更新服务器,攻击者能够在被感染主机上更新恶意软件。
值得注意的是,攻击者似乎拥有MeDoc源代码的访问权,否则他们应该不可能植入此类隐藏后门。
影响
不适用
入侵类型
攻击者似乎能够入侵MeDoc的软件发布平台、更新服务器和版本控制系统,甚至可能入手了更新包签名密钥。
Bitcoin Gold
获取到GitHub存储库权限的攻击者植入了带后门的比特币钱包。因此,没下载官方版而下载了受感染版本的用户,如果用此恶意软件创建新钱包,可能会丢失他们的私钥。
影响
4.5天窗口期内下载了被黑钱包的用户可能面临私钥被盗风险。
入侵类型
攻击者似乎获取了版本控制系统权限,但不能以开发者名义签名。
ExpensiveWall
注入免费Android应用(壁纸)中的恶意软件,可替受害者秘密注册付费服务。应用中的恶意代码源自Android开发者使用的被黑软件开发包(SDK)。注意,ExpensiveWall使用了混淆方法隐藏恶意代码,可绕过杀毒软件防护。
影响
至少5,904,511台设备受影响,而据此技术报告,最多可达21,101,567台设备受影响。
入侵类型
攻击者能够入侵开发者主机的工具链,在生成的应用中植入后门。可据此判断,开发者密钥应该是被盗取了。
Elmedia播放器
攻击者入侵Eltima的下载服务器,然后分发两款应用程序,Folx和Elmedia播放器,均带有恶意软件。
影响
该攻击可能影响数百名用户。
入侵类型
攻击者入侵Elmedia播放器和Folx软件供应商Eltima的发布平台。
Keydnap
流客户端Transmission的下载服务器,被黑后上传了该客户端的恶意版本。此软件的恶意副本似乎采用了被盗苹果开发者的合法证书签名。
影响
不适用
入侵类型
影响发布平台,利用开发者证书(与Transmission无关人员的)签名,呈现貌似合法的安装过程。
Fosshub被黑事件
黑客入侵了流行文件托管服务FOSSHub,将多个应用的合法安装程序替换成了恶意副本。
注意:有些软件项目,比如Classic Shell、qBittorrent、Audacity、MKVToolNix等,将FOSSHub用作主要文件下载服务。
影响
2016年8月第一周从FOSSHub下载安装Classic Shell和Audacity软件包的用户。
入侵类型
攻击者入侵了此发布平台。
被黑Linux Mint
Linux Mint位列最受欢迎Linux操作系统探花位置,其网站遭攻击者入侵,用户被导引至后门植入版Linux Mint的恶意下载链接。
影响
2016年2月20日,数百名用户下载了内含后门的Linux Mint。
入侵类型
攻击者入侵了此发布平台,但没拿到开发者密钥。
Juniper安全事件
Juniper攻击通过在Juniper NetScreen VPN路由器操作系统中插入恶意代码实现。此未授权代码可启用远程管理员权限,允许被动VPN流量解密。第一个漏洞利用通过在SSH密码检查器中植入后门实现,第二个漏洞则滥用了伪随机数据生成器。
影响
不适用
入侵类型
攻击者似乎获取了源代码托管基础设施的访问权,但没拿到开发者密钥。
XCodeGhost
攻击者可分发iOS开发者所用开发者工具的伪造版。iOS应用开发者使用的Xcode开发工具遭黑客篡改,往应用商店中的各类应用注入恶意代码,试图通过被感染的应用钓取密码和URL。
影响
至少350个应用被感染,包括影响数亿用户的微信。
入侵类型
这是向开发者投放的假冒工具包。
Ceph和Inktank
RedHat服务器上的恶意应用程序,经Ceph基础设施及其公众版Inktank上的被盗密钥签名。
影响
目前影响未知,也没有明确的入侵迹象。
入侵类型
开发平台Ceph及其GPG签名密钥被黑。其面向公众的组件Inktank也没能逃过黑客的魔爪。
Code Spaces安全事件
Code Spaces是一项基于云的服务,提供项目管理和代码存储库功能,被黑后很多代码库、备份均被攻击者删除。
影响
不适用
入侵类型
攻击者似乎获取了此源代码托管基础设施的访问权,但没拿到开发者密钥。
Monju安全事件
攻击者破坏了GOM Player播放器的分发服务器,向用户交付此软件的恶意版。用户连接该应用网站更新已安装软件时,会被重定向到攻击者控制下的另一个网站。最终,用户会收到捆绑了木马的篡改版播放器安装文件。
影响
该攻击影响了日本“文殊”快中子增殖反应堆设施中的机器。但不清楚尝试更新其GOM Player软件的其他机器是否受到了感染。
入侵类型
攻击者可以访问此发布平台,但并未签署所交付的软件产品。
Operation Aurora
黑客染指了谷歌、Adobe等多家公司的软件配置管理系统(SCM)。他们得以盗取源代码或在很多产品的源代码中做出隐蔽篡改。
此SCM由名为Perforce的一家公司开发,具备一些已知漏洞(安全公司迈克菲检测到的)。攻击者很有可能利用这些安全漏洞获取了系统的未授权访问。
影响
受影响公司超34家,包括赛门铁克、诺斯罗普格鲁曼、摩根斯坦利、陶氏化学公司、雅虎、Rackspace、Adobe和谷歌。
入侵类型
攻击者可入侵公司所用不同工具,针对它们的版本控制系统、渗漏源代码和敏感数据。
ProFTPD黑客事件
开源项目ProFTPD源代码存储库服务器被黑,未知黑客在源代码中植入了后门。
影响
不适用
入侵类型
攻击者似乎黑掉了该源代码库,但拿不到开发者密钥。
Gentoo rsync事件
攻击者使用远程漏洞利用入侵托管有Gentoo副本的一台rsync.gentoo.org机器,植入rootkit。
影响
不适用
入侵类型
攻击者破坏了此源代码存储库的文件系统,极可能向用户提供了恶意软件包。