近日,网络安全公司fireeye表示,近期发现另外一家网络安全公司accellion遭到fin11黑客组织和clop勒索软件组织的恶意攻击,攻击者利用了accellion的文件传输设备(fta服务器)的多个0day漏洞,对全球约100家公司发起了攻击,并窃取了部分公司的敏感数据进行勒索。攻击者并未对企业数据进行恶意加密,而是选择以威胁公开泄露数据作为主要勒索的手段,除非相关企业支付勒索赎金,否则攻击者会在clop泄漏站点上公开被盗数据。
据外媒bleepingcomputer报道,在大约300个fta客户中,至少有100家受到这次供应链攻击的影响。目前已经发现的25家受害企业中,包括辉固地理数据公司、科技公司 danaher、新加坡最大的电信公司 singtel、琼斯律师事务所、新西兰储备银行、美国运输局(abs)、财富500强科技公司danaher、科罗拉多大学、加拿大飞机制造商庞巴迪公司等都因攻击遭到了严重的数据泄露。
什么是供应链攻击?
供应链攻击是指黑客利用用户对厂商产品的信任,在下载安装或者更新时进行恶意软件植入的一种攻击方式。通俗来讲,其类似于过去常见的“捆绑软件下载”,因为一般情况下用户不会怀疑受信任的开发人员或供应商,而供应商又可以提供大量的用户,攻击者就可以以较低的成本投入,来获取更客官的攻击回报。
具体来讲,大多数企业、组织都会采购大量的软件和硬件设备来辅助业务的正常运转,而许多商业软件、硬件设备的供应商团队对安全的忽视,很有可能招致黑客的觊觎,进而开展持续性的隐蔽攻击。
常见的供应链相关攻击手段主要有,入侵官方网站替换下载链接、劫持官方更新下载地址域名、入侵官方更新升级系统捆绑下载、向万博在线官网网站的代码中植入恶意代码、编写仿冒程序欺骗用户下载、向开源软件下载仓库植入恶意代码等。
攻击手段隐蔽且复杂,甚至安全公司也会马失前蹄
一起供应链攻击往往潜伏许久,在攻击行动败露前,或许无法得知黑客将在何时从何处悄然入侵。甚至专业的网络安全公司,网络安全软件也无法幸免于难。除了本次攻击事件中的网络安全公司accellion外,早已有多家网络安全公司在黑客组织的供应链攻击中沦陷。
在2020年末席卷全球的solarwinds攻击事件中,黑客就利用了solarwinds常用的网络监控软件中的一个漏洞,该软件被数十万个实体甚至是美国国家安全局、国土安全部和美国能源部等高知名度的机构使用。该恶意软件将自己伪装成solarwinds的合法更新,对这些被攻击者的网络流量进行长期的窥探和检测,就连fireeye、微软、crowdstrike和malwarebytes这样的全球顶级网络安全公司也无法躲避solarwinds幕后黑手的入侵。
作为一种十分危险和有效传播的攻击手法,供应链攻击并不罕见,大型的供应链攻击事件历史上也已经多次发生。
● 2015年9月,国家互联网应急中心cncert发布预警通告,苹果应用程序编译器xcode被植入了恶意代码(xcodeghost)。超过一亿部ios移动终端受到影响,包括网易云音乐、微信等头部app悉数中招。
● 2017年9月,思科talos安全研究部曝光了计算机清理工具ccleaner的功能更新被黑客嵌入了恶意后门程序,进而潜入到了227万台个人电脑系统中。恶意软件会自动收集用户电脑上的个人隐私信息,甚至还会导致用户的财产损失。攻击直接导致了消费者对ccleaner开发者avast的基本信任,其他软件公司也受到了牵连。
● 19年4月,卡巴斯基报告了一起代号为shadowhammer的黑客供应链攻击,shadowhammer行动幕后的威胁攻击者攻击者使用窃取到的华硕数字证书对旧版本的华硕软件进行更改,注入自己的恶意代码,在攻击期间向全球超过50万华硕用户电脑注入了恶意后门程序。
如上述几起攻击事件所展示的那样,供应链攻击并不宥于某一特定行业,其攻击目标十分广泛,一次攻击事件有可能导致一个企业核心敏感数据的失窃,也可能导致企业信誉的严重受损,甚至是巨额的经济损失。
那么,面对愈演愈烈的供应链攻击,应该做出哪些应对的准备呢?
来自天融信的攻防安全专家告诉安全419(anquan419.com),供应链攻击是无法保证不会发生的,应对供应链攻击需要供应商、企业、行业甚至国家层面的监管部门,共同建立联防联控体系,提升遭受供应链攻击时的响应处置和恢复能力。
首先在监管层面,国内行业监管单位应该对行业内重要基础设施的供应商进行分类分级,动态识别不重视安全的供应商,并对其设置行业禁入措施。在企业层面,企业应该投入资源用于提升当前在使用的商用、开源和自研软硬件安全风险发现、响应、协同处置能力。
此外,软硬件产品供应商也应提高自身产品的安全能力,实施软件开发生命周期管理。在生产、交付和使用环节实施全生命周期的安全管理措施。特别是产品在进行软件升级或更新时,应采用全链路加密、网络链路自定义证书、代码签名等措施保证升级或更新过程的安全性。
作为国内首家网络安全企业,天融信(002212.sz)积极配合国家监管单位应对各类突发网络安全事件,在威胁情报、实战对抗、apt组织活动追踪等多个方面有着深度的理解和经验,相关安全技术已广泛应用到了多个行业,持续为各行业客户提供网络安全保障。