“古老”的供應(yīng)鏈攻擊為何成為2020年業(yè)界公認(rèn)的六大新興威脅之一?除了華碩“影錘”、蘋果“Xcode”、CCleaner這些令人聞風(fēng)喪膽的切爾諾貝利和福島級(jí)別的供應(yīng)鏈攻擊以外，過(guò)去十年在數(shù)字(軟件)供應(yīng)鏈領(lǐng)域，我們還經(jīng)歷了哪些已經(jīng)發(fā)生，并且很可能依然在持續(xù)泄露或者“輻射”，值得我們反思和復(fù)盤，預(yù)防“毀滅性噴發(fā)”可能性的供應(yīng)鏈攻擊事件?

[[321440]]

根據(jù)ESG和Crowstrike的2019年供應(yīng)鏈安全報(bào)告：

• 16%的公司購(gòu)買了被做過(guò)手腳的IT設(shè)備。
• 90%的公司“沒(méi)有做好準(zhǔn)備”應(yīng)對(duì)供應(yīng)鏈網(wǎng)絡(luò)攻擊。

軟件(包括固件)供應(yīng)鏈正在成為黑客實(shí)施供應(yīng)鏈攻擊的重要突破口，而且此類攻擊往往能夠“突破一點(diǎn)，打擊一片”，危害性極大，甚至很多網(wǎng)絡(luò)安全軟件自身都存在供應(yīng)鏈風(fēng)險(xiǎn)。

• 2015年9月14日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布預(yù)警通告，目前最流行的蘋果應(yīng)用程序編譯器XCODE被植入了惡意代碼(XcodeGhost)。超過(guò)一億部iOS移動(dòng)終端受到影響，包括網(wǎng)易云音樂(lè)、微信等頭部APP悉數(shù)中招。
• 2017年6月末，NotPetya惡意軟件襲擊了全球59個(gè)國(guó)家的跨國(guó)企業(yè)，世界首屈一指的集裝箱貨運(yùn)公司馬士基航運(yùn)接單受阻，充分驗(yàn)證了供應(yīng)鏈面臨的巨大威脅。航運(yùn)訂單之前只能通過(guò)電話下單，馬士基航運(yùn)集團(tuán)剛剛引入數(shù)字化策略，攻擊便發(fā)生了。
• 2017年9月18日，思科Talos安全研究部曝光計(jì)算機(jī)清理工具CCleaner的更新被黑客嵌入后門，潛入數(shù)百萬(wàn)個(gè)人電腦系統(tǒng)中。該攻擊摧毀了消費(fèi)者對(duì)CCleaner開(kāi)發(fā)者Avast的基本信任，其他軟件公司也受牽連，消費(fèi)者信任下滑。因?yàn)閻阂廛浖故抢壍胶戏ㄜ浖蟹职l(fā)的，而且還是安全公司出品的合法軟件。
• 19年年初，卡巴斯基報(bào)告了影錘行動(dòng)(ShadowHammer)，披露這是一起利用華碩升級(jí)服務(wù)的供應(yīng)鏈攻擊，不計(jì)其數(shù)的用戶在使用該軟件更新時(shí)可能會(huì)安裝植入后門程序的軟件更新包。
• 根據(jù)埃森哲2019年的一項(xiàng)調(diào)查，受訪的4600家企業(yè)中40%曾因供應(yīng)商遭受網(wǎng)絡(luò)攻擊而發(fā)生數(shù)據(jù)泄露，大量企業(yè)報(bào)告直接攻擊減少的同時(shí)，通過(guò)供應(yīng)鏈發(fā)起的“間接攻擊”卻呈上升趨勢(shì)。19年2月，賽門鐵克發(fā)布報(bào)告顯示，過(guò)去一年全球供應(yīng)鏈攻擊爆增78%，并特別強(qiáng)調(diào)2019年全球范圍內(nèi)供應(yīng)鏈攻擊活動(dòng)仍在繼續(xù)擴(kuò)大。

近年來(lái)，供應(yīng)鏈攻擊的常態(tài)化已經(jīng)是APT攻擊的重大趨勢(shì)，以下是過(guò)去二十年最具破壞力的技術(shù)(軟件)供應(yīng)鏈攻擊：

軟件供應(yīng)鏈入侵一覽表(SIG安全小組)

雖不能記錄每個(gè)已知供應(yīng)鏈攻擊，但捕捉了各種不同類型軟件供應(yīng)鏈攻擊案例。編撰此表可幫助安全人員更好地理解供應(yīng)鏈入侵的模式，開(kāi)發(fā)出最佳實(shí)踐與工具。

Purescript nmp安裝程序依賴項(xiàng)惡意代碼

惡意代碼已插入purescript npm安裝程序的依賴項(xiàng)中。該代碼已插入到load-from-cwd-or-npm和rate-map包中。

• 影響：帶有后門的第一版于2019年5月7日21:00UTC發(fā)布。2019年7月9日世界標(biāo)準(zhǔn)時(shí)間01:00發(fā)布了不包含后門程序的更新版本。NPM官方下載統(tǒng)計(jì)數(shù)據(jù)表明，這些軟件包每周下載約1400次。
• 入侵類型：攻擊者已經(jīng)獲得了軟件包維護(hù)者的npm帳戶的訪問(wèn)權(quán)限。

Electron原生通知

Agama加密貨幣錢包用戶成為惡意軟件攻擊對(duì)象，npm公司安全團(tuán)隊(duì)與Comodo合作，護(hù)住當(dāng)時(shí)價(jià)值1,300萬(wàn)美元的加密貨幣資產(chǎn)。

該攻擊專注往Agama構(gòu)建鏈中植入惡意軟件包，盜取錢包種子和該應(yīng)用中使用的其他登錄密碼。

• 影響：Agama加密貨幣錢包用戶損失資金。損失總數(shù)未知，但若npm/Comodo沒(méi)能早點(diǎn)兒發(fā)現(xiàn)的話，有可能高達(dá)1,300萬(wàn)美元。
• 入侵類型：攻擊者似乎是盜取了一名流行軟件包開(kāi)發(fā)者的憑證。也有可能該軟件包的開(kāi)發(fā)者故意將此軟件包做成“有用軟件包”，以便混入攻擊載荷。

ShadowHammer

華碩公司更新服務(wù)器被黑，向華碩用戶分發(fā)華碩實(shí)時(shí)更新實(shí)用程序(ASUS Live Update Utility)應(yīng)用的簽名后門版。此應(yīng)用程序?yàn)槿A碩制造的Windows計(jì)算機(jī)上預(yù)裝軟件，用于交付BIOS/UEFI固件、硬件驅(qū)動(dòng)和其他華碩工具的更新。

• 影響：超一百萬(wàn)用戶可能下載并安裝了此應(yīng)用程序的后門植入版?？ò退够囊环輬?bào)告顯示，卡巴斯基用戶中超5.7萬(wàn)安裝了被植入后門的華碩實(shí)時(shí)更新實(shí)用程序。有趣的是，該攻擊的第二階段部署在至少6,000臺(tái)特定系統(tǒng)中。用于接收第二階段攻擊載荷的MAC地址是硬編碼的。
• 入侵類型：看起來(lái)，攻擊者至少可以訪問(wèn)此更新基礎(chǔ)設(shè)施和代碼簽名密鑰。

PEAR漏洞

PHP庫(kù)的分發(fā)系統(tǒng)PHP擴(kuò)展與應(yīng)用程序存儲(chǔ)庫(kù)(PEAR)服務(wù)器被黑，原始PHP PEAR包管理器(go-pear.phar)被替換成了修改版。

• 影響：6個(gè)月窗口期內(nèi)從pear.php.net下載PEAR安裝文件加以安裝的用戶有可能遭到感染。由于很多Web托管服務(wù)允許用戶安裝運(yùn)行PEAR，該攻擊也可能影響大量網(wǎng)站及其訪客。
• 入侵類型：攻擊者似乎攻陷了此發(fā)布平臺(tái)。由于不涉及代碼簽名，攻擊者無(wú)需盜取任何密鑰，僅僅染指此基礎(chǔ)設(shè)施即可。

Dofoil

攻擊者入侵了名為MediaGet的流行BitTorrent客戶端更新服務(wù)器，以簽名后門程序傳播惡意加密貨幣挖礦機(jī)。

• 影響：此攻擊可能成功染指了俄羅斯、土耳其和烏克蘭的40多萬(wàn)臺(tái)PC。
• 入侵類型：攻擊者似乎入侵了此發(fā)布平臺(tái)，還能入手該軟件包的簽名密鑰。

Operation Red

攻擊者入侵了遠(yuǎn)程支持解決方案供應(yīng)商的更新服務(wù)器，向位于韓國(guó)的目標(biāo)企業(yè)投送惡意更新包。此惡意更新包經(jīng)由該遠(yuǎn)程解決方案供應(yīng)商的被盜有效證書(shū)簽名。

攻擊者首先侵入該更新服務(wù)器，然后將服務(wù)器配置成僅向位于目標(biāo)企業(yè)IP地址范圍內(nèi)的客戶端分發(fā)惡意文件。

• 影響：不適用
• 入侵類型：攻擊者似乎入侵了該發(fā)布平臺(tái)，并且可以訪問(wèn)更新包的簽名密鑰。

Gentoo事件

攻擊者獲取了GitHub Gentoo控制權(quán)，清楚了開(kāi)發(fā)者對(duì)Gentoo代碼庫(kù)的訪問(wèn)權(quán)，修改了庫(kù)中內(nèi)容及頁(yè)面。

• 影響：不適用
• 入侵類型：攻擊者似乎黑掉了該源代碼庫(kù)，但拿不到開(kāi)發(fā)者密鑰。

未知PDF生成器

攻擊者攻陷了一款PDF編輯器安裝的字體包，以之在用戶計(jì)算機(jī)上部署加密貨幣挖礦機(jī)。由于此PDF編輯器是在SYSTEM權(quán)限下安裝的，隱藏在字體包中的惡意加密貨幣挖礦機(jī)可接收受害者系統(tǒng)的完整訪問(wèn)權(quán)。

• 影響：在2018年1月至3月間安裝了此PDF編輯器的用戶可能遭受影響。
• 入侵類型：這是向開(kāi)發(fā)者投放的假冒工具包。

Colourama

Colourama采用打錯(cuò)字搶注的方法注冊(cè)與Colorama形似的軟件包。Colorama是PyPI中日下載量達(dá)百萬(wàn)級(jí)的20大流行合法模塊之一。Colourama軟件包包含針對(duì)Windows系統(tǒng)的惡意軟件，實(shí)現(xiàn)加密貨幣剪貼板劫持功能，能夠?qū)⒈忍貛胖Ц稄氖芎φ咧鳈C(jī)轉(zhuǎn)移至攻擊者的比特幣地址。

• 影響：Colourama早在2017年12月初就注冊(cè)了。目前尚不清楚自那以后此惡意包被下載了多少次。媒體Medium報(bào)道稱，2018年10月的下載次數(shù)是55次。
• 入侵類型：錯(cuò)字搶注攻擊無(wú)需入侵任何基礎(chǔ)設(shè)施。

Foxif/CCleaner

受感染的CCleaner會(huì)在真正的CCleaner安裝前先安裝一個(gè)惡意軟件。被植入惡意軟件的CCleaner是用有效證書(shū)簽名的，且通過(guò)合法CCleaner下載服務(wù)器分發(fā)給用戶。

鑒于受感染版本CCleaner經(jīng)由有效簽名簽發(fā)，造成這種情況有幾種可能性?？赡苁情_(kāi)發(fā)、構(gòu)建或打包步驟的簽名過(guò)程被破壞，也可能哪一步的產(chǎn)品簽發(fā)前遭到了惡意注入。

• 影響：由于CCleaner截止2016年11月時(shí)擁有20億下載量，每周新增用戶數(shù)近500萬(wàn)，感染影響可能非常嚴(yán)重。
• 入侵類型：攻擊者可能是通過(guò)入侵版本控制系統(tǒng)、打包過(guò)程或發(fā)布平臺(tái)完成感染。最后一步可能需盜取簽發(fā)官方CCleaner發(fā)行版的簽名密鑰。

HandBrake

HandBrake是Mac系統(tǒng)流行視頻轉(zhuǎn)換器，其下載服務(wù)器之一上被替換成了惡意版本。下載安裝了惡意版本的受害者會(huì)被攻擊者獲取系統(tǒng)管理員權(quán)限。

• 影響：不適用
• 入侵類型：攻擊者似乎攻陷了此發(fā)布平臺(tái)。由于不涉及代碼簽名，攻擊者無(wú)需盜取任何密鑰，僅僅染指此基礎(chǔ)設(shè)施即可。

Kingslayer

攻擊者可能入侵了應(yīng)用(系統(tǒng)管理員用來(lái)分析Windows日志的)的下載服務(wù)器，將合法應(yīng)用和更新替換成了經(jīng)簽名的惡意版本。

影響：使用Alpha免費(fèi)版軟件(被黑版)的組織包括：

• 4家主流電信供應(yīng)商
• 10+西方軍事機(jī)構(gòu)
• 24+財(cái)富500公司
• 5家主流國(guó)防承包商
• 36+主流IT產(chǎn)品制造商或解決方案提供商
• 24+西方政府機(jī)構(gòu)
• 24+銀行和金融機(jī)構(gòu)
• 45+高等教育機(jī)構(gòu)

入侵類型：攻擊者攫取了此發(fā)布平臺(tái)(如下載服務(wù)器)和打包程序簽名密鑰的權(quán)限。

HackTask

HackTask用錯(cuò)字搶注的方法注冊(cè)與npm流行庫(kù)名字類似的軟件包。攻擊者以此盜取開(kāi)發(fā)者的憑證。

• 影響：npm庫(kù)中發(fā)現(xiàn)38個(gè)假冒JS軟件包。這些軟件包在入侵事件發(fā)生的兩周時(shí)間內(nèi)被下載了至少700次。
• 入侵類型：錯(cuò)字搶注攻擊無(wú)需入侵任何基礎(chǔ)設(shè)施。

Shadowpad

黑客向Netsarang分發(fā)的服務(wù)器管理軟件產(chǎn)品中植入了后門程序，該產(chǎn)品已被全球數(shù)百家大型企業(yè)使用。激活后門后，攻擊者可以下載其他惡意模塊或竊取數(shù)據(jù)。“Shadowpad”是規(guī)模和實(shí)際影響最大的供應(yīng)鏈攻擊之一。

• 影響：黑客滲透了數(shù)百家銀行、能源企業(yè)和醫(yī)藥公司。
• 入侵類型：應(yīng)用后門植入。

NotPetya

NotPetya侵入軟件基礎(chǔ)設(shè)施，篡改補(bǔ)丁代碼。該惡意軟件感染了烏克蘭會(huì)計(jì)軟件MeDoc的更新服務(wù)器。攻擊者以之向MeDoc應(yīng)用植入后門，投送勒索軟件和盜取憑證。由于掌控了更新服務(wù)器，攻擊者能夠在被感染主機(jī)上更新惡意軟件。

值得注意的是，攻擊者似乎擁有MeDoc源代碼的訪問(wèn)權(quán)，否則他們應(yīng)該不可能植入此類隱藏后門。

• 影響：不適用
• 入侵類型：攻擊者似乎能夠入侵MeDoc的軟件發(fā)布平臺(tái)、更新服務(wù)器和版本控制系統(tǒng)，甚至可能入手了更新包簽名密鑰。

Bitcoin Gold

獲取到GitHub存儲(chǔ)庫(kù)權(quán)限的攻擊者植入了帶后門的比特幣錢包。因此，沒(méi)下載官方版而下載了受感染版本的用戶，如果用此惡意軟件創(chuàng)建新錢包，可能會(huì)丟失他們的私鑰。

• 影響：4.5天窗口期內(nèi)下載了被黑錢包的用戶可能面臨私鑰被盜風(fēng)險(xiǎn)。
• 入侵類型：攻擊者似乎獲取了版本控制系統(tǒng)權(quán)限，但不能以開(kāi)發(fā)者名義簽名。

ExpensiveWall

注入免費(fèi)Android應(yīng)用(壁紙)中的惡意軟件，可替受害者秘密注冊(cè)付費(fèi)服務(wù)。應(yīng)用中的惡意代碼源自Android開(kāi)發(fā)者使用的被黑軟件開(kāi)發(fā)包(SDK)。注意，ExpensiveWall使用了混淆方法隱藏惡意代碼，可繞過(guò)殺毒軟件防護(hù)。

• 影響：至少5,904,511臺(tái)設(shè)備受影響，而據(jù)此技術(shù)報(bào)告，最多可達(dá)21,101,567臺(tái)設(shè)備受影響。
• 入侵類型：攻擊者能夠入侵開(kāi)發(fā)者主機(jī)的工具鏈，在生成的應(yīng)用中植入后門。可據(jù)此判斷，開(kāi)發(fā)者密鑰應(yīng)該是被盜取了。

Elmedia播放器

攻擊者入侵Eltima的下載服務(wù)器，然后分發(fā)兩款應(yīng)用程序，F(xiàn)olx和Elmedia播放器，均帶有惡意軟件。

• 影響：該攻擊可能影響數(shù)百名用戶。
• 入侵類型：攻擊者入侵Elmedia播放器和Folx軟件供應(yīng)商Eltima的發(fā)布平臺(tái)。

Keydnap

流客戶端Transmission的下載服務(wù)器，被黑后上傳了該客戶端的惡意版本。此軟件的惡意副本似乎采用了被盜蘋果開(kāi)發(fā)者的合法證書(shū)簽名。

• 影響：不適用
• 入侵類型：影響發(fā)布平臺(tái)，利用開(kāi)發(fā)者證書(shū)(與Transmission無(wú)關(guān)人員的)簽名，呈現(xiàn)貌似合法的安裝過(guò)程。

Fosshub被黑事件

黑客入侵了流行文件托管服務(wù)FOSSHub，將多個(gè)應(yīng)用的合法安裝程序替換成了惡意副本。

注意：有些軟件項(xiàng)目，比如Classic Shell、qBittorrent、Audacity、MKVToolNix等，將FOSSHub用作主要文件下載服務(wù)。

• 影響：2016年8月第一周從FOSSHub下載安裝Classic Shell和Audacity軟件包的用戶。
• 入侵類型：攻擊者入侵了此發(fā)布平臺(tái)。

被黑Linux Mint

Linux Mint位列最受歡迎Linux操作系統(tǒng)探花位置，其網(wǎng)站遭攻擊者入侵，用戶被導(dǎo)引至后門植入版Linux Mint的惡意下載鏈接。

影響：

2016年2月20日，數(shù)百名用戶下載了內(nèi)含后門的Linux Mint。

• 入侵類型：
• 攻擊者入侵了此發(fā)布平臺(tái)，但沒(méi)拿到開(kāi)發(fā)者密鑰。

Juniper安全事件

Juniper攻擊通過(guò)在Juniper NetScreen VPN路由器操作系統(tǒng)中插入惡意代碼實(shí)現(xiàn)。此未授權(quán)代碼可啟用遠(yuǎn)程管理員權(quán)限，允許被動(dòng)VPN流量解密。第一個(gè)漏洞利用通過(guò)在SSH密碼檢查器中植入后門實(shí)現(xiàn)，第二個(gè)漏洞則濫用了偽隨機(jī)數(shù)據(jù)生成器。

• 影響：不適用
• 入侵類型：攻擊者似乎獲取了源代碼托管基礎(chǔ)設(shè)施的訪問(wèn)權(quán)，但沒(méi)拿到開(kāi)發(fā)者密鑰。

XCodeGhost

攻擊者可分發(fā)iOS開(kāi)發(fā)者所用開(kāi)發(fā)者工具的偽造版。iOS應(yīng)用開(kāi)發(fā)者使用的Xcode開(kāi)發(fā)工具遭黑客篡改，往應(yīng)用商店中的各類應(yīng)用注入惡意代碼，試圖通過(guò)被感染的應(yīng)用釣取密碼和URL。

• 影響：至少350個(gè)應(yīng)用被感染，包括影響數(shù)億用戶的微信。
• 入侵類型：這是向開(kāi)發(fā)者投放的假冒工具包。

Ceph和Inktank

RedHat服務(wù)器上的惡意應(yīng)用程序，經(jīng)Ceph基礎(chǔ)設(shè)施及其公眾版Inktank上的被盜密鑰簽名。

• 影響：目前影響未知，也沒(méi)有明確的入侵跡象。
• 入侵類型：開(kāi)發(fā)平臺(tái)Ceph及其GPG簽名密鑰被黑。其面向公眾的組件Inktank也沒(méi)能逃過(guò)黑客的魔爪。

Code Spaces安全事件

Code Spaces是一項(xiàng)基于云的服務(wù)，提供項(xiàng)目管理和代碼存儲(chǔ)庫(kù)功能，被黑后很多代碼庫(kù)、備份均被攻擊者刪除。

• 影響：不適用
• 入侵類型：攻擊者似乎獲取了此源代碼托管基礎(chǔ)設(shè)施的訪問(wèn)權(quán)，但沒(méi)拿到開(kāi)發(fā)者密鑰。

Monju安全事件

攻擊者破壞了GOM Player播放器的分發(fā)服務(wù)器，向用戶交付此軟件的惡意版。用戶連接該應(yīng)用網(wǎng)站更新已安裝軟件時(shí)，會(huì)被重定向到攻擊者控制下的另一個(gè)網(wǎng)站。最終，用戶會(huì)收到捆綁了木馬的篡改版播放器安裝文件。

• 影響：該攻擊影響了日本“文殊”快中子增殖反應(yīng)堆設(shè)施中的機(jī)器。但不清楚嘗試更新其GOM Player軟件的其他機(jī)器是否受到了感染。
• 入侵類型：攻擊者可以訪問(wèn)此發(fā)布平臺(tái)，但并未簽署所交付的軟件產(chǎn)品。

Operation Aurora

黑客染指了谷歌、Adobe等多家公司的軟件配置管理系統(tǒng)(SCM)。他們得以盜取源代碼或在很多產(chǎn)品的源代碼中做出隱蔽篡改。

此SCM由名為Perforce的一家公司開(kāi)發(fā)，具備一些已知漏洞(安全公司邁克菲檢測(cè)到的)。攻擊者很有可能利用這些安全漏洞獲取了系統(tǒng)的未授權(quán)訪問(wèn)。

• 影響：受影響公司超34家，包括賽門鐵克、諾斯羅普格魯曼、摩根斯坦利、陶氏化學(xué)公司、雅虎、Rackspace、Adobe和谷歌。
• 入侵類型：攻擊者可入侵公司所用不同工具，針對(duì)它們的版本控制系統(tǒng)、滲漏源代碼和敏感數(shù)據(jù)。

ProFTPD黑客事件

開(kāi)源項(xiàng)目ProFTPD源代碼存儲(chǔ)庫(kù)服務(wù)器被黑，未知黑客在源代碼中植入了后門。

• 影響：不適用
• 入侵類型：攻擊者似乎黑掉了該源代碼庫(kù)，但拿不到開(kāi)發(fā)者密鑰。

Gentoo rsync事件

攻擊者使用遠(yuǎn)程漏洞利用入侵托管有Gentoo副本的一臺(tái)rsync.gentoo.org機(jī)器，植入rootkit。

• 影響：不適用
• 入侵類型：攻擊者破壞了此源代碼存儲(chǔ)庫(kù)的文件系統(tǒng)，極可能向用戶提供了惡意軟件包。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文