“古老”的供應鏈攻擊為何成為2020年業界公認的六大新興威脅之一?除了華碩“影錘”、蘋果“Xcode”、CCleaner這些令人聞風喪膽的切爾諾貝利和福島級別的供應鏈攻擊以外，過去十年在數字(軟件)供應鏈領域，我們還經歷了哪些已經發生，并且很可能依然在持續泄露或者“輻射”，值得我們反思和復盤，預防“毀滅性噴發”可能性的供應鏈攻擊事件?

[[321440]]

根據ESG和Crowstrike的2019年供應鏈安全報告：

• 16%的公司購買了被做過手腳的IT設備。
• 90%的公司“沒有做好準備”應對供應鏈網絡攻擊。

軟件(包括固件)供應鏈正在成為黑客實施供應鏈攻擊的重要突破口，而且此類攻擊往往能夠“突破一點，打擊一片”，危害性極大，甚至很多網絡安全軟件自身都存在供應鏈風險。

• 2015年9月14日，國家互聯網應急中心CNCERT發布預警通告，目前最流行的蘋果應用程序編譯器XCODE被植入了惡意代碼(XcodeGhost)。超過一億部iOS移動終端受到影響，包括網易云音樂、微信等頭部APP悉數中招。
• 2017年6月末，NotPetya惡意軟件襲擊了全球59個國家的跨國企業，世界首屈一指的集裝箱貨運公司馬士基航運接單受阻，充分驗證了供應鏈面臨的巨大威脅。航運訂單之前只能通過電話下單，馬士基航運集團剛剛引入數字化策略，攻擊便發生了。
• 2017年9月18日，思科Talos安全研究部曝光計算機清理工具CCleaner的更新被黑客嵌入后門，潛入數百萬個人電腦系統中。該攻擊摧毀了消費者對CCleaner開發者Avast的基本信任，其他軟件公司也受牽連，消費者信任下滑。因為惡意軟件竟是捆綁到合法軟件中分發的，而且還是安全公司出品的合法軟件。
• 19年年初，卡巴斯基報告了影錘行動(ShadowHammer)，披露這是一起利用華碩升級服務的供應鏈攻擊，不計其數的用戶在使用該軟件更新時可能會安裝植入后門程序的軟件更新包。
• 根據埃森哲2019年的一項調查，受訪的4600家企業中40%曾因供應商遭受網絡攻擊而發生數據泄露，大量企業報告直接攻擊減少的同時，通過供應鏈發起的“間接攻擊”卻呈上升趨勢。19年2月，賽門鐵克發布報告顯示，過去一年全球供應鏈攻擊爆增78%，并特別強調2019年全球范圍內供應鏈攻擊活動仍在繼續擴大。

近年來，供應鏈攻擊的常態化已經是APT攻擊的重大趨勢，以下是過去二十年最具破壞力的技術(軟件)供應鏈攻擊：

軟件供應鏈入侵一覽表(SIG安全小組)

雖不能記錄每個已知供應鏈攻擊，但捕捉了各種不同類型軟件供應鏈攻擊案例。編撰此表可幫助安全人員更好地理解供應鏈入侵的模式，開發出最佳實踐與工具。

Purescript nmp安裝程序依賴項惡意代碼

惡意代碼已插入purescript npm安裝程序的依賴項中。該代碼已插入到load-from-cwd-or-npm和rate-map包中。

• 影響：帶有后門的第一版于2019年5月7日21:00UTC發布。2019年7月9日世界標準時間01:00發布了不包含后門程序的更新版本。NPM官方下載統計數據表明，這些軟件包每周下載約1400次。
• 入侵類型：攻擊者已經獲得了軟件包維護者的npm帳戶的訪問權限。

Electron原生通知

Agama加密貨幣錢包用戶成為惡意軟件攻擊對象，npm公司安全團隊與Comodo合作，護住當時價值1,300萬美元的加密貨幣資產。

該攻擊專注往Agama構建鏈中植入惡意軟件包，盜取錢包種子和該應用中使用的其他登錄密碼。

• 影響：Agama加密貨幣錢包用戶損失資金。損失總數未知，但若npm/Comodo沒能早點兒發現的話，有可能高達1,300萬美元。
• 入侵類型：攻擊者似乎是盜取了一名流行軟件包開發者的憑證。也有可能該軟件包的開發者故意將此軟件包做成“有用軟件包”，以便混入攻擊載荷。

ShadowHammer

華碩公司更新服務器被黑，向華碩用戶分發華碩實時更新實用程序(ASUS Live Update Utility)應用的簽名后門版。此應用程序為華碩制造的Windows計算機上預裝軟件，用于交付BIOS/UEFI固件、硬件驅動和其他華碩工具的更新。

• 影響：超一百萬用戶可能下載并安裝了此應用程序的后門植入版。卡巴斯基的一份報告顯示，卡巴斯基用戶中超5.7萬安裝了被植入后門的華碩實時更新實用程序。有趣的是，該攻擊的第二階段部署在至少6,000臺特定系統中。用于接收第二階段攻擊載荷的MAC地址是硬編碼的。
• 入侵類型：看起來，攻擊者至少可以訪問此更新基礎設施和代碼簽名密鑰。

PEAR漏洞

PHP庫的分發系統PHP擴展與應用程序存儲庫(PEAR)服務器被黑，原始PHP PEAR包管理器(go-pear.phar)被替換成了修改版。

• 影響：6個月窗口期內從pear.php.net下載PEAR安裝文件加以安裝的用戶有可能遭到感染。由于很多Web托管服務允許用戶安裝運行PEAR，該攻擊也可能影響大量網站及其訪客。
• 入侵類型：攻擊者似乎攻陷了此發布平臺。由于不涉及代碼簽名，攻擊者無需盜取任何密鑰，僅僅染指此基礎設施即可。

Dofoil

攻擊者入侵了名為MediaGet的流行BitTorrent客戶端更新服務器，以簽名后門程序傳播惡意加密貨幣挖礦機。

• 影響：此攻擊可能成功染指了俄羅斯、土耳其和烏克蘭的40多萬臺PC。
• 入侵類型：攻擊者似乎入侵了此發布平臺，還能入手該軟件包的簽名密鑰。

Operation Red

攻擊者入侵了遠程支持解決方案供應商的更新服務器，向位于韓國的目標企業投送惡意更新包。此惡意更新包經由該遠程解決方案供應商的被盜有效證書簽名。

攻擊者首先侵入該更新服務器，然后將服務器配置成僅向位于目標企業IP地址范圍內的客戶端分發惡意文件。

• 影響：不適用
• 入侵類型：攻擊者似乎入侵了該發布平臺，并且可以訪問更新包的簽名密鑰。

Gentoo事件

攻擊者獲取了GitHub Gentoo控制權，清楚了開發者對Gentoo代碼庫的訪問權，修改了庫中內容及頁面。

• 影響：不適用
• 入侵類型：攻擊者似乎黑掉了該源代碼庫，但拿不到開發者密鑰。

未知PDF生成器

攻擊者攻陷了一款PDF編輯器安裝的字體包，以之在用戶計算機上部署加密貨幣挖礦機。由于此PDF編輯器是在SYSTEM權限下安裝的，隱藏在字體包中的惡意加密貨幣挖礦機可接收受害者系統的完整訪問權。

• 影響：在2018年1月至3月間安裝了此PDF編輯器的用戶可能遭受影響。
• 入侵類型：這是向開發者投放的假冒工具包。

Colourama

Colourama采用打錯字搶注的方法注冊與Colorama形似的軟件包。Colorama是PyPI中日下載量達百萬級的20大流行合法模塊之一。Colourama軟件包包含針對Windows系統的惡意軟件，實現加密貨幣剪貼板劫持功能，能夠將比特幣支付從受害者主機轉移至攻擊者的比特幣地址。

• 影響：Colourama早在2017年12月初就注冊了。目前尚不清楚自那以后此惡意包被下載了多少次。媒體Medium報道稱，2018年10月的下載次數是55次。
• 入侵類型：錯字搶注攻擊無需入侵任何基礎設施。

Foxif/CCleaner

受感染的CCleaner會在真正的CCleaner安裝前先安裝一個惡意軟件。被植入惡意軟件的CCleaner是用有效證書簽名的，且通過合法CCleaner下載服務器分發給用戶。

鑒于受感染版本CCleaner經由有效簽名簽發，造成這種情況有幾種可能性。可能是開發、構建或打包步驟的簽名過程被破壞，也可能哪一步的產品簽發前遭到了惡意注入。

• 影響：由于CCleaner截止2016年11月時擁有20億下載量，每周新增用戶數近500萬，感染影響可能非常嚴重。
• 入侵類型：攻擊者可能是通過入侵版本控制系統、打包過程或發布平臺完成感染。最后一步可能需盜取簽發官方CCleaner發行版的簽名密鑰。

HandBrake

HandBrake是Mac系統流行視頻轉換器，其下載服務器之一上被替換成了惡意版本。下載安裝了惡意版本的受害者會被攻擊者獲取系統管理員權限。

• 影響：不適用
• 入侵類型：攻擊者似乎攻陷了此發布平臺。由于不涉及代碼簽名，攻擊者無需盜取任何密鑰，僅僅染指此基礎設施即可。

Kingslayer

攻擊者可能入侵了應用(系統管理員用來分析Windows日志的)的下載服務器，將合法應用和更新替換成了經簽名的惡意版本。

影響：使用Alpha免費版軟件(被黑版)的組織包括：

• 4家主流電信供應商
• 10+西方軍事機構
• 24+財富500公司
• 5家主流國防承包商
• 36+主流IT產品制造商或解決方案提供商
• 24+西方政府機構
• 24+銀行和金融機構
• 45+高等教育機構

入侵類型：攻擊者攫取了此發布平臺(如下載服務器)和打包程序簽名密鑰的權限。

HackTask

HackTask用錯字搶注的方法注冊與npm流行庫名字類似的軟件包。攻擊者以此盜取開發者的憑證。

• 影響：npm庫中發現38個假冒JS軟件包。這些軟件包在入侵事件發生的兩周時間內被下載了至少700次。
• 入侵類型：錯字搶注攻擊無需入侵任何基礎設施。

Shadowpad

黑客向Netsarang分發的服務器管理軟件產品中植入了后門程序，該產品已被全球數百家大型企業使用。激活后門后，攻擊者可以下載其他惡意模塊或竊取數據。“Shadowpad”是規模和實際影響最大的供應鏈攻擊之一。

• 影響：黑客滲透了數百家銀行、能源企業和醫藥公司。
• 入侵類型：應用后門植入。

NotPetya

NotPetya侵入軟件基礎設施，篡改補丁代碼。該惡意軟件感染了烏克蘭會計軟件MeDoc的更新服務器。攻擊者以之向MeDoc應用植入后門，投送勒索軟件和盜取憑證。由于掌控了更新服務器，攻擊者能夠在被感染主機上更新惡意軟件。

值得注意的是，攻擊者似乎擁有MeDoc源代碼的訪問權，否則他們應該不可能植入此類隱藏后門。

• 影響：不適用
• 入侵類型：攻擊者似乎能夠入侵MeDoc的軟件發布平臺、更新服務器和版本控制系統，甚至可能入手了更新包簽名密鑰。

Bitcoin Gold

獲取到GitHub存儲庫權限的攻擊者植入了帶后門的比特幣錢包。因此，沒下載官方版而下載了受感染版本的用戶，如果用此惡意軟件創建新錢包，可能會丟失他們的私鑰。

• 影響：4.5天窗口期內下載了被黑錢包的用戶可能面臨私鑰被盜風險。
• 入侵類型：攻擊者似乎獲取了版本控制系統權限，但不能以開發者名義簽名。

ExpensiveWall

注入免費Android應用(壁紙)中的惡意軟件，可替受害者秘密注冊付費服務。應用中的惡意代碼源自Android開發者使用的被黑軟件開發包(SDK)。注意，ExpensiveWall使用了混淆方法隱藏惡意代碼，可繞過殺毒軟件防護。

• 影響：至少5,904,511臺設備受影響，而據此技術報告，最多可達21,101,567臺設備受影響。
• 入侵類型：攻擊者能夠入侵開發者主機的工具鏈，在生成的應用中植入后門。可據此判斷，開發者密鑰應該是被盜取了。

Elmedia播放器

攻擊者入侵Eltima的下載服務器，然后分發兩款應用程序，Folx和Elmedia播放器，均帶有惡意軟件。

• 影響：該攻擊可能影響數百名用戶。
• 入侵類型：攻擊者入侵Elmedia播放器和Folx軟件供應商Eltima的發布平臺。

Keydnap

流客戶端Transmission的下載服務器，被黑后上傳了該客戶端的惡意版本。此軟件的惡意副本似乎采用了被盜蘋果開發者的合法證書簽名。

• 影響：不適用
• 入侵類型：影響發布平臺，利用開發者證書(與Transmission無關人員的)簽名，呈現貌似合法的安裝過程。

Fosshub被黑事件

黑客入侵了流行文件托管服務FOSSHub，將多個應用的合法安裝程序替換成了惡意副本。

注意：有些軟件項目，比如Classic Shell、qBittorrent、Audacity、MKVToolNix等，將FOSSHub用作主要文件下載服務。

• 影響：2016年8月第一周從FOSSHub下載安裝Classic Shell和Audacity軟件包的用戶。
• 入侵類型：攻擊者入侵了此發布平臺。

被黑Linux Mint

Linux Mint位列最受歡迎Linux操作系統探花位置，其網站遭攻擊者入侵，用戶被導引至后門植入版Linux Mint的惡意下載鏈接。

影響：

2016年2月20日，數百名用戶下載了內含后門的Linux Mint。

• 入侵類型：
• 攻擊者入侵了此發布平臺，但沒拿到開發者密鑰。

Juniper安全事件

Juniper攻擊通過在Juniper NetScreen VPN路由器操作系統中插入惡意代碼實現。此未授權代碼可啟用遠程管理員權限，允許被動VPN流量解密。第一個漏洞利用通過在SSH密碼檢查器中植入后門實現，第二個漏洞則濫用了偽隨機數據生成器。

• 影響：不適用
• 入侵類型：攻擊者似乎獲取了源代碼托管基礎設施的訪問權，但沒拿到開發者密鑰。

XCodeGhost

攻擊者可分發iOS開發者所用開發者工具的偽造版。iOS應用開發者使用的Xcode開發工具遭黑客篡改，往應用商店中的各類應用注入惡意代碼，試圖通過被感染的應用釣取密碼和URL。

• 影響：至少350個應用被感染，包括影響數億用戶的微信。
• 入侵類型：這是向開發者投放的假冒工具包。

Ceph和Inktank

RedHat服務器上的惡意應用程序，經Ceph基礎設施及其公眾版Inktank上的被盜密鑰簽名。

• 影響：目前影響未知，也沒有明確的入侵跡象。
• 入侵類型：開發平臺Ceph及其GPG簽名密鑰被黑。其面向公眾的組件Inktank也沒能逃過黑客的魔爪。

Code Spaces安全事件

Code Spaces是一項基于云的服務，提供項目管理和代碼存儲庫功能，被黑后很多代碼庫、備份均被攻擊者刪除。

• 影響：不適用
• 入侵類型：攻擊者似乎獲取了此源代碼托管基礎設施的訪問權，但沒拿到開發者密鑰。

Monju安全事件

攻擊者破壞了GOM Player播放器的分發服務器，向用戶交付此軟件的惡意版。用戶連接該應用網站更新已安裝軟件時，會被重定向到攻擊者控制下的另一個網站。最終，用戶會收到捆綁了木馬的篡改版播放器安裝文件。

• 影響：該攻擊影響了日本“文殊”快中子增殖反應堆設施中的機器。但不清楚嘗試更新其GOM Player軟件的其他機器是否受到了感染。
• 入侵類型：攻擊者可以訪問此發布平臺，但并未簽署所交付的軟件產品。

Operation Aurora

黑客染指了谷歌、Adobe等多家公司的軟件配置管理系統(SCM)。他們得以盜取源代碼或在很多產品的源代碼中做出隱蔽篡改。

此SCM由名為Perforce的一家公司開發，具備一些已知漏洞(安全公司邁克菲檢測到的)。攻擊者很有可能利用這些安全漏洞獲取了系統的未授權訪問。

• 影響：受影響公司超34家，包括賽門鐵克、諾斯羅普格魯曼、摩根斯坦利、陶氏化學公司、雅虎、Rackspace、Adobe和谷歌。
• 入侵類型：攻擊者可入侵公司所用不同工具，針對它們的版本控制系統、滲漏源代碼和敏感數據。

ProFTPD黑客事件

開源項目ProFTPD源代碼存儲庫服務器被黑，未知黑客在源代碼中植入了后門。

• 影響：不適用
• 入侵類型：攻擊者似乎黑掉了該源代碼庫，但拿不到開發者密鑰。

Gentoo rsync事件

攻擊者使用遠程漏洞利用入侵托管有Gentoo副本的一臺rsync.gentoo.org機器，植入rootkit。

• 影響：不適用
• 入侵類型：攻擊者破壞了此源代碼存儲庫的文件系統，極可能向用戶提供了惡意軟件包。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文