消費者從信息安全專家那里聽到的警告,多專注在信任上:不要點擊來自非受信發家的網頁鏈接或附件,僅安裝來自可信源或可信應用商店的App。但最近,狡猾的黑客開始將攻擊深入到軟件供應鏈,在你點擊安裝之前,就把惡意軟件潛伏進可信廠商的下載中去了。
9月18日,思科Talos安全研究部揭示,至少上月開始,黑客破壞了超級流行的計算機清理工具CCleaner,在其更新中嵌入后門,潛入數百萬個人電腦系統中。該攻擊辜負了消費者對CCleaner開發者Avast的基本信任,其他軟件公司也受牽連,消費者信任下滑。因為惡意軟件竟是捆綁到合法軟件中分發的,而且還是安全公司出品的合法軟件。
同時,這也是一起越來越常見的安全事件。過去3個月里,黑客利用數字供應鏈植入惡意代碼的事件就發生了3起。惡意代碼藏身軟件公司自身的安裝與更新系統,劫持這些受信渠道以隱秘傳播。
思科Talos團隊主管克萊格·威廉姆斯稱:“這些供應鏈攻擊中有一種值得警惕的趨勢。攻擊者認識到,只要找到這些軟目標——沒有太多安全操作的公司,他們就能劫持其客戶群,用作他們自己的惡意軟件安裝基礎。這種事情出現越多,就會有更多的攻擊者被吸引到這種方法上來。”
Avast稱,從8月份剛被破壞,到上周思科一款網絡監視工具貝塔版發現該流氓App在某客戶網絡中表現異常,1個月左右的時間里,此受污染的CCleaner版本已被安裝了227萬次。而以色列安全公司Morphisec通報Avast該問題的時間甚至更早,在8月中旬。
Avast對CCleaner的安裝程序和更新包都做了加密簽名,沒有不可偽造的加密密鑰,騙子是不可能冒充其下載的。但黑客顯然在該簽名出現之前,就已滲透了Avast的軟件開發或分發過程。于是,該反病毒公司基本上就是在惡意軟件上蓋上自己的認可標志,然后推送給消費者。
就在2個月前,名為NotPetya的破壞性軟件大爆發,也是經由類似的供應鏈漏洞投送的。那次事件中,數百目標集中在烏克蘭,但其他歐洲國家和美國也受到了波及。該軟件以勒索軟件自居,但被廣泛認為實際上是數據清除類破壞工具,征用了在烏克蘭很流行的一款冷門會計軟件MeDoc的更新機制。NotPetya將該更新機制作為感染切入點,然后通過企業網絡傳播,搞癱了數百家公司的運營,從烏克蘭銀行和電廠,到丹麥航運巨頭馬士基,到美國藥業巨頭Merck。
1個月后,俄羅斯安全公司卡巴斯基的研究人員,發現了另一起供應鏈攻擊,他們稱其為“Shadowpad”:通過銷售企業和網絡管理工具的韓國公司Netsarang分發的帶毒軟件,黑客偷渡了能夠往數百家銀行、能源企業和醫藥公司下載惡意軟件的一款后門。
卡巴斯基分析師伊戈爾·索門科夫寫道:“ShadowPad例證了成功供應鏈攻擊的危險程度和波及范圍。鑒于攻擊者由此獲得的染指及數據收集機會,有很大可能性這一模式會被一遍又一遍地在其他廣為使用的軟件組件上復制。”
卡巴斯基自身也在處理其軟件信任問題:美國國土安全部已禁止美國政府機構使用卡巴斯基產品;零售巨頭Best Buy也將其軟件下架了,原因是懷疑卡巴斯基的產品可能被俄羅斯政府濫用。
供應鏈攻擊這些年來間歇式地出現。但安全公司 Rendition Infosec 研究員兼顧問杰克·威廉姆斯稱,今年夏天的多起事件,呈現出此類攻擊的小幅上升趨勢。
我們對開源或廣泛分發的軟件有依賴,但這些分發點本身是脆弱的,已經成為了新的誘人攻擊點。
威廉姆斯辯稱,推升供應鏈的原因,有部分是因為消費者安全的改善,以及公司企業切斷了其他一些感染的捷徑。防火墻已幾近普遍;在微軟Office或PDF閱讀器這樣的應用中尋找可利用漏洞,已不再像以往那么容易;雖然不是總是如此,但公司企業確實越來越以非常及時的方式應用安全補丁。
在一般安全方面,人們做得越來越好。但這些軟件供應鏈攻擊打破了所有模型。它們突破了反病毒和基本安全檢查。而且有時候補丁本身就是攻擊方法。
人們信任公司,而當人們被以這種形式攻擊,該信任就真的一落千丈了。這是對良好行為的懲罰。
——克萊格·威廉姆斯,思科Talos
最近的幾起案例中,黑客又更上了一層,不僅僅從攻擊消費者改為攻擊軟件公司,還發展到攻擊這些公司程序員所用的開發工具上了。
2015年底,中國程序員常用的網站上,黑客放上了蘋果開發者工具Xcode的虛假版本。這些虛假工具往39款iOS應用中注入名為XcodeGhost的惡意代碼,很多被感染應用都通過了蘋果應用商店的審查,造成史上最大規模的iOS惡意軟件爆發。
就在上周,沒那么嚴重,但是很類似的問題,襲擊了Python開發者——斯洛伐克政府警告稱:名為Python Package Index (PyPI)的Python代碼庫,被載入了惡意代碼。
各種各樣的供應鏈攻擊特別隱蔽,因為它們違背了計算機安全對消費者所說的每一條基本箴言,讓那些忠于已知可信軟件源的用戶,與隨便點擊安裝的用戶,同樣毫無防護。當最近的惡意軟件源竟然是Avast這樣的安全公司時,被黑風險甚至倍增。威廉姆斯說:“人們信任公司,而當人們被以這種形式攻擊,該信任就真的一落千丈了。這是對良好行為的懲罰。”
這種攻擊讓消費者沒有多少選項可保護自身。最好的情況是,你可以嘗試稍微弄清你所用軟件的出品公司的內部安全操作,或者考察不同應用,以確認它們是否按照可防被黑的安全操作創建的。
但對普通互聯網用戶而言,很難獲取或理解此類信息。最終,保護這些用戶不受越來越多的供應鏈攻擊騷擾的責任,不得不落到供應鏈頭上——自身漏洞被傳導至信任他們的客戶身上的那些公司。
京公網安備 11010502049343號