2020年12月15日
12月14日,據路透社和《華盛頓郵報》報道,知名IT公司SolarWinds旗下的Orion網絡監控軟件更新服務器遭黑客入侵并植入惡意代碼,導致美國財政部、商務部等多個政府機構用戶受到長期入侵和監視,甚至可能與上周曝出的FireEye網絡武器庫被盜事件有關。美國國家安全委員會甚至因此在上周六召開緊急會議。
我國不是此次APT攻擊的戰略目標
根據奇安信CERT的初步分析,國內相關的DNS請求量很少,據此可以判斷,此次APT攻擊不是針對我國。
但奇安信CERT的專家rem4x@A-TEAM提醒,目前SolarWinds官網的更新軟件仍未修復。該公司在3-6月期間發布的受影響具體版本包括Orion 2019.4-2020.2.1。
一場具有極大戰略意圖的攻擊
奇安信CERT安全專家rem4x@A-TEAM認為,這是一場足以影響全世界大型機構的軟件供應鏈攻擊,具有極大的戰略意圖。
本次攻擊者入侵的SolarWinds是全球流行的網絡管理軟件,客戶群體覆蓋了大量重要機構和超過9成的世界500強企業,在全球的機構用戶超過30萬家。根據該公司網站的介紹,其中包括美國軍方的五大軍種(海軍、陸軍、空軍、美國海軍陸戰隊、太空軍)、五角大樓、美國國務院、美國司法部、美國國家航空航天局,總統辦公室和國家安全局等軍政司法機構。此外,美國十大電信公司也使用SolarWinds的產品。
奇安信CERT安全專家rem4x@A-TEAM通過分析發現,被污染的SolarWinds軟件帶有該公司簽名,這表示該公司內部可能已經被黑客完全控制。
通過污染這個軟件,APT組織直接攻擊目標機構的網絡管理員,獲得網絡設備賬號及管理權限、IT基礎設施及管理權限,以及業務系統與數據庫的最高權限,從而實現暢通無阻的內部網絡訪問,具備長期的匿名網絡接入能力,以及越過內部安全等級防護的權限,從而達到長期控制目標、竊取核心數據的目的。
因此,可以判斷,該APT組織的此次供應鏈攻擊,具有極大的戰略意圖,可能是為了長期控制某些重要目標,或者獲取足以長期活動的憑據。
供應鏈攻擊呈現顯著上升趨勢
12月1日,美國防部的供應鏈網絡安全標準正式生效。
現在,軟件供應鏈攻擊已經成為黑客攻擊的重要突破口。在政企機構報告的直接攻擊減少的同時,通過供應鏈發起的“間接攻擊”卻呈上升趨勢。
據知名智庫“大西洋理事會”發布的報告,2010-2020年的10年間的公開報道中,具有較高影響力的軟件供應鏈攻擊和泄露事件呈現逐年遞增趨勢。
目前,軟件供應鏈攻擊的影響已經上升到國家層面。國家背景的攻擊組織利用軟件供應鏈攻擊導致嚴重的后果。早在2017年,NotPetya勒索軟件利用供應鏈更新發起攻擊,全球59個國家的政府部門、醫院、銀行、機場等系統受到影響,造成超過100億美元的損失。此次攻擊甚至被定義為網絡戰的一部分。
今年上半年,GitHub披露稱,平臺上托管的數十個NetBeans開發軟件的開源項目遭到“Octopus Scanner”供應鏈攻擊,被植入惡意代碼。該段代碼旨在向研發人員編譯的程序添加后門,當程序被使用時,其將下載木馬遠程控制設備。
值得注意的是,下一代供應鏈攻擊也有愈演愈烈之勢,通過滲透開源項目,向其中植入被黑組件。最近發布的《2020軟件供應鏈狀態》報告顯示,此類“下一代”供應鏈攻擊比去年暴增430%。
從實戰經驗看,供應鏈攻擊成常見的安全短板
從公司實戰經驗看,供應鏈攻擊也開始成為國內常見的安全短板。
例如,某金融機構因為供應商的源代碼泄露,導致數據中心管理平臺、業務系統被控制。
通過信息采集,發現某科技公司是銀行系統的提供商,通過常規攻擊手段獲取到源代碼;
通過源代碼分析0day漏洞,入侵到某金融機構;
以此為跳板,橫向滲透拿下數據中心管理平臺;
通過平臺反向給辦公終端掛馬,控制辦公終端,嘗試進一步橫向滲透。
通過漏洞,控制正在調試代碼的開發人員辦公終端。
通過瀏覽器歷史記錄直接登錄目標系統。
目前,我國主要的信息化系統的軟硬件核心技術對歐美的依賴程度還比較高,比如處理器、操作系統、數據庫、中間件等。現階段,供應鏈安全是我們面臨的重要挑戰。
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
