2020年最嚴重APT供應(yīng)鏈攻擊事件:影響全球��,中國不是主要目標
2020年12月15日
12月14日�����,據(jù)路透社和《華盛頓郵報》報道����,知名IT公司SolarWinds旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器遭黑客入侵并植入惡意代碼����,導(dǎo)致美國財政部、商務(wù)部等多個政府機構(gòu)用戶受到長期入侵和監(jiān)視�����,甚至可能與上周曝出的FireEye網(wǎng)絡(luò)武器庫被盜事件有關(guān)。美國國家安全委員會甚至因此在上周六召開緊急會議����。
我國不是此次APT攻擊的戰(zhàn)略目標
根據(jù)奇安信CERT的初步分析,國內(nèi)相關(guān)的DNS請求量很少���,據(jù)此可以判斷����,此次APT攻擊不是針對我國���。
但奇安信CERT的專家rem4x@A-TEAM提醒����,目前SolarWinds官網(wǎng)的更新軟件仍未修復(fù)���。該公司在3-6月期間發(fā)布的受影響具體版本包括Orion 2019.4-2020.2.1�。
奇安信CERT安全專家rem4x@A-TEAM認為��,這是一場足以影響全世界大型機構(gòu)的軟件供應(yīng)鏈攻擊,具有極大的戰(zhàn)略意圖���。
本次攻擊者入侵的SolarWinds是全球流行的網(wǎng)絡(luò)管理軟件�,客戶群體覆蓋了大量重要機構(gòu)和超過9成的世界500強企業(yè)�����,在全球的機構(gòu)用戶超過30萬家�。根據(jù)該公司網(wǎng)站的介紹,其中包括美國軍方的五大軍種(海軍�����、陸軍�����、空軍���、美國海軍陸戰(zhàn)隊���、太空軍)��、五角大樓、美國國務(wù)院�����、美國司法部���、美國國家航空航天局�,總統(tǒng)辦公室和國家安全局等軍政司法機構(gòu)��。此外����,美國十大電信公司也使用SolarWinds的產(chǎn)品。
奇安信CERT安全專家rem4x@A-TEAM通過分析發(fā)現(xiàn)���,被污染的SolarWinds軟件帶有該公司簽名��,這表示該公司內(nèi)部可能已經(jīng)被黑客完全控制���。
通過污染這個軟件,APT組織直接攻擊目標機構(gòu)的網(wǎng)絡(luò)管理員�����,獲得網(wǎng)絡(luò)設(shè)備賬號及管理權(quán)限、IT基礎(chǔ)設(shè)施及管理權(quán)限�����,以及業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫的最高權(quán)限��,從而實現(xiàn)暢通無阻的內(nèi)部網(wǎng)絡(luò)訪問��,具備長期的匿名網(wǎng)絡(luò)接入能力����,以及越過內(nèi)部安全等級防護的權(quán)限,從而達到長期控制目標��、竊取核心數(shù)據(jù)的目的����。
因此,可以判斷���,該APT組織的此次供應(yīng)鏈攻擊�����,具有極大的戰(zhàn)略意圖���,可能是為了長期控制某些重要目標,或者獲取足以長期活動的憑據(jù)���。
供應(yīng)鏈攻擊呈現(xiàn)顯著上升趨勢
12月1日��,美國防部的供應(yīng)鏈網(wǎng)絡(luò)安全標準正式生效�。
現(xiàn)在���,軟件供應(yīng)鏈攻擊已經(jīng)成為黑客攻擊的重要突破口����。在政企機構(gòu)報告的直接攻擊減少的同時�,通過供應(yīng)鏈發(fā)起的“間接攻擊”卻呈上升趨勢。
據(jù)知名智庫“大西洋理事會”發(fā)布的報告���,2010-2020年的10年間的公開報道中�����,具有較高影響力的軟件供應(yīng)鏈攻擊和泄露事件呈現(xiàn)逐年遞增趨勢����。
目前,軟件供應(yīng)鏈攻擊的影響已經(jīng)上升到國家層面���。國家背景的攻擊組織利用軟件供應(yīng)鏈攻擊導(dǎo)致嚴重的后果����。早在2017年�����,NotPetya勒索軟件利用供應(yīng)鏈更新發(fā)起攻擊�,全球59個國家的政府部門、醫(yī)院���、銀行�、機場等系統(tǒng)受到影響��,造成超過100億美元的損失�。此次攻擊甚至被定義為網(wǎng)絡(luò)戰(zhàn)的一部分。
今年上半年���,GitHub披露稱�,平臺上托管的數(shù)十個NetBeans開發(fā)軟件的開源項目遭到“Octopus Scanner”供應(yīng)鏈攻擊��,被植入惡意代碼。該段代碼旨在向研發(fā)人員編譯的程序添加后門�,當程序被使用時,其將下載木馬遠程控制設(shè)備���。
值得注意的是,下一代供應(yīng)鏈攻擊也有愈演愈烈之勢����,通過滲透開源項目,向其中植入被黑組件�����。最近發(fā)布的《2020軟件供應(yīng)鏈狀態(tài)》報告顯示����,此類“下一代”供應(yīng)鏈攻擊比去年暴增430%。
從實戰(zhàn)經(jīng)驗看��,供應(yīng)鏈攻擊成常見的安全短板
從公司實戰(zhàn)經(jīng)驗看���,供應(yīng)鏈攻擊也開始成為國內(nèi)常見的安全短板�。
例如��,某金融機構(gòu)因為供應(yīng)商的源代碼泄露,導(dǎo)致數(shù)據(jù)中心管理平臺�����、業(yè)務(wù)系統(tǒng)被控制����。
通過源代碼分析0day漏洞���,入侵到某金融機構(gòu)�����;
以此為跳板�����,橫向滲透拿下數(shù)據(jù)中心管理平臺�;
通過平臺反向給辦公終端掛馬,控制辦公終端����,嘗試進一步橫向滲透。
通過漏洞�����,控制正在調(diào)試代碼的開發(fā)人員辦公終端���。
通過瀏覽器歷史記錄直接登錄目標系統(tǒng)。
目前��,我國主要的信息化系統(tǒng)的軟硬件核心技術(shù)對歐美的依賴程度還比較高�����,比如處理器����、操作系統(tǒng)、數(shù)據(jù)庫�����、中間件等。現(xiàn)階段�,供應(yīng)鏈安全是我們面臨的重要挑戰(zhàn)。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://hbshty.cn/
免費咨詢熱線:400-6776-989
