2020年最嚴(yán)重APT供應(yīng)鏈攻擊事件:影響全球,中國(guó)不是主要目標(biāo)
2020年12月15日
12月14日���,據(jù)路透社和《華盛頓郵報(bào)》報(bào)道�,知名IT公司SolarWinds旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器遭黑客入侵并植入惡意代碼�����,導(dǎo)致美國(guó)財(cái)政部、商務(wù)部等多個(gè)政府機(jī)構(gòu)用戶受到長(zhǎng)期入侵和監(jiān)視���,甚至可能與上周曝出的FireEye網(wǎng)絡(luò)武器庫(kù)被盜事件有關(guān)����。美國(guó)國(guó)家安全委員會(huì)甚至因此在上周六召開(kāi)緊急會(huì)議�����。
我國(guó)不是此次APT攻擊的戰(zhàn)略目標(biāo)
根據(jù)奇安信CERT的初步分析��,國(guó)內(nèi)相關(guān)的DNS請(qǐng)求量很少��,據(jù)此可以判斷���,此次APT攻擊不是針對(duì)我國(guó)�。
但奇安信CERT的專家rem4x@A-TEAM提醒�,目前SolarWinds官網(wǎng)的更新軟件仍未修復(fù)����。該公司在3-6月期間發(fā)布的受影響具體版本包括Orion 2019.4-2020.2.1�����。
一場(chǎng)具有極大戰(zhàn)略意圖的攻擊
奇安信CERT安全專家rem4x@A-TEAM認(rèn)為���,這是一場(chǎng)足以影響全世界大型機(jī)構(gòu)的軟件供應(yīng)鏈攻擊,具有極大的戰(zhàn)略意圖�。
本次攻擊者入侵的SolarWinds是全球流行的網(wǎng)絡(luò)管理軟件,客戶群體覆蓋了大量重要機(jī)構(gòu)和超過(guò)9成的世界500強(qiáng)企業(yè)�,在全球的機(jī)構(gòu)用戶超過(guò)30萬(wàn)家。根據(jù)該公司網(wǎng)站的介紹�����,其中包括美國(guó)軍方的五大軍種(海軍�、陸軍、空軍����、美國(guó)海軍陸戰(zhàn)隊(duì)、太空軍)���、五角大樓��、美國(guó)國(guó)務(wù)院��、美國(guó)司法部���、美國(guó)國(guó)家航空航天局��,總統(tǒng)辦公室和國(guó)家安全局等軍政司法機(jī)構(gòu)�。此外����,美國(guó)十大電信公司也使用SolarWinds的產(chǎn)品。
奇安信CERT安全專家rem4x@A-TEAM通過(guò)分析發(fā)現(xiàn)�,被污染的SolarWinds軟件帶有該公司簽名,這表示該公司內(nèi)部可能已經(jīng)被黑客完全控制�。
通過(guò)污染這個(gè)軟件,APT組織直接攻擊目標(biāo)機(jī)構(gòu)的網(wǎng)絡(luò)管理員����,獲得網(wǎng)絡(luò)設(shè)備賬號(hào)及管理權(quán)限、IT基礎(chǔ)設(shè)施及管理權(quán)限����,以及業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫(kù)的最高權(quán)限,從而實(shí)現(xiàn)暢通無(wú)阻的內(nèi)部網(wǎng)絡(luò)訪問(wèn)����,具備長(zhǎng)期的匿名網(wǎng)絡(luò)接入能力,以及越過(guò)內(nèi)部安全等級(jí)防護(hù)的權(quán)限�,從而達(dá)到長(zhǎng)期控制目標(biāo)、竊取核心數(shù)據(jù)的目的����。
因此,可以判斷�,該APT組織的此次供應(yīng)鏈攻擊,具有極大的戰(zhàn)略意圖���,可能是為了長(zhǎng)期控制某些重要目標(biāo)���,或者獲取足以長(zhǎng)期活動(dòng)的憑據(jù)。
供應(yīng)鏈攻擊呈現(xiàn)顯著上升趨勢(shì)
12月1日��,美國(guó)防部的供應(yīng)鏈網(wǎng)絡(luò)安全標(biāo)準(zhǔn)正式生效�。
現(xiàn)在,軟件供應(yīng)鏈攻擊已經(jīng)成為黑客攻擊的重要突破口���。在政企機(jī)構(gòu)報(bào)告的直接攻擊減少的同時(shí)����,通過(guò)供應(yīng)鏈發(fā)起的“間接攻擊”卻呈上升趨勢(shì)。
據(jù)知名智庫(kù)“大西洋理事會(huì)”發(fā)布的報(bào)告��,2010-2020年的10年間的公開(kāi)報(bào)道中����,具有較高影響力的軟件供應(yīng)鏈攻擊和泄露事件呈現(xiàn)逐年遞增趨勢(shì)。
目前�,軟件供應(yīng)鏈攻擊的影響已經(jīng)上升到國(guó)家層面。國(guó)家背景的攻擊組織利用軟件供應(yīng)鏈攻擊導(dǎo)致嚴(yán)重的后果��。早在2017年�,NotPetya勒索軟件利用供應(yīng)鏈更新發(fā)起攻擊,全球59個(gè)國(guó)家的政府部門���、醫(yī)院��、銀行����、機(jī)場(chǎng)等系統(tǒng)受到影響����,造成超過(guò)100億美元的損失。此次攻擊甚至被定義為網(wǎng)絡(luò)戰(zhàn)的一部分����。
今年上半年����,GitHub披露稱���,平臺(tái)上托管的數(shù)十個(gè)NetBeans開(kāi)發(fā)軟件的開(kāi)源項(xiàng)目遭到“Octopus Scanner”供應(yīng)鏈攻擊,被植入惡意代碼�����。該段代碼旨在向研發(fā)人員編譯的程序添加后門��,當(dāng)程序被使用時(shí)��,其將下載木馬遠(yuǎn)程控制設(shè)備�。
值得注意的是,下一代供應(yīng)鏈攻擊也有愈演愈烈之勢(shì)���,通過(guò)滲透開(kāi)源項(xiàng)目�,向其中植入被黑組件���。最近發(fā)布的《2020軟件供應(yīng)鏈狀態(tài)》報(bào)告顯示�,此類“下一代”供應(yīng)鏈攻擊比去年暴增430%。
從實(shí)戰(zhàn)經(jīng)驗(yàn)看��,供應(yīng)鏈攻擊成常見(jiàn)的安全短板
從公司實(shí)戰(zhàn)經(jīng)驗(yàn)看���,供應(yīng)鏈攻擊也開(kāi)始成為國(guó)內(nèi)常見(jiàn)的安全短板����。
例如���,某金融機(jī)構(gòu)因?yàn)楣?yīng)商的源代碼泄露�����,導(dǎo)致數(shù)據(jù)中心管理平臺(tái)���、業(yè)務(wù)系統(tǒng)被控制。
通過(guò)源代碼分析0day漏洞,入侵到某金融機(jī)構(gòu)��;
以此為跳板,橫向滲透拿下數(shù)據(jù)中心管理平臺(tái)�����;
通過(guò)平臺(tái)反向給辦公終端掛馬���,控制辦公終端����,嘗試進(jìn)一步橫向滲透�。
通過(guò)漏洞��,控制正在調(diào)試代碼的開(kāi)發(fā)人員辦公終端��。
通過(guò)瀏覽器歷史記錄直接登錄目標(biāo)系統(tǒng)�����。
目前��,我國(guó)主要的信息化系統(tǒng)的軟硬件核心技術(shù)對(duì)歐美的依賴程度還比較高�,比如處理器、操作系統(tǒng)����、數(shù)據(jù)庫(kù)�、中間件等?���,F(xiàn)階段,供應(yīng)鏈安全是我們面臨的重要挑戰(zhàn)�����。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://xufei-js.cn/
免費(fèi)咨詢熱線:400-6776-989
