9月19日消息,據(jù)國外媒體報(bào)道,我們往往接觸到的軟件安全問題都是關(guān)于信任源:不要點(diǎn)擊不明來源的網(wǎng)頁鏈接或附件,只能從受信任的來源或受信任的應(yīng)用商店中安裝應(yīng)用程序。但是,最近黑客開始在軟件供應(yīng)鏈上諸如攻擊,甚至在用戶點(diǎn)擊安裝之前,黑客已經(jīng)將惡意軟件植入到受信供應(yīng)商的軟件之中。
周一,思科Talos安全研究部門透露,上月黑客破壞了超流行的免費(fèi)電腦清理工具CCleaner,將一個(gè)后門插入到該工具的應(yīng)用程序更新中,至少影響了數(shù)百萬臺(tái)個(gè)人電腦。這種攻擊將惡意軟件直接植入了CCleaner開發(fā)商Avast的軟件開發(fā)過程,并通過安全公司分發(fā)給用戶。這種攻擊越來越常見。在過去三個(gè)月里,黑客三次利用軟件供應(yīng)鏈中的漏洞在軟件公司自己的安裝程序或系統(tǒng)更新中植入惡意代碼,并通過那些受信渠道傳播惡意代碼。
思科Talos團(tuán)隊(duì)負(fù)責(zé)人克雷格·威廉姆斯(Craig Williams)表示“這些供應(yīng)鏈攻擊有相關(guān)性。 “攻擊者意識(shí)到,如果他們能找到那些沒有采用有效安全防范措施的軟件公司,他們就可以劫持起客戶群,并將其用作自己惡意軟件的安裝基礎(chǔ)。我們發(fā)現(xiàn)的類似情況越多,也就意味著類似的攻擊越多。“
根據(jù)Avast透露,從應(yīng)用程序第一次被破壞開始,植入惡意軟件的CCleaner應(yīng)用程序的已經(jīng)安裝了287萬次。直到上周,一個(gè)測試版的思科網(wǎng)絡(luò)監(jiān)控工具發(fā)現(xiàn)了其中問題。事實(shí)上,以色列安全公司Morphisec早在8月中旬就提醒了Avast注意此類問題。而Avast雖然對(duì)CCleaner的安裝程序和更新進(jìn)行了加密,以防止攻擊者在沒有加密密鑰的情況下進(jìn)行欺騙下載。但是黑客們的高明之處在于,其在數(shù)字簽名生效之前就已經(jīng)侵入了Avast的軟件分發(fā)流程,這樣一來安全公司本質(zhì)上是為惡意軟件打上了安全的標(biāo)志,并把它分發(fā)給用戶。
兩個(gè)月前,也有黑客利用類似的軟件供應(yīng)鏈漏洞將破壞性軟件“NotPetya”分發(fā)至數(shù)百個(gè)烏克蘭的目標(biāo),同時(shí)也傳播到了其他歐洲國家和美國。該軟件是一種勒索病毒,在烏克蘭其通過一款被稱為MeDoc的會(huì)計(jì)軟件更新進(jìn)行傳播。?NotPetya使用MeDoc的更新機(jī)制作為依托,然后通過企業(yè)網(wǎng)絡(luò)進(jìn)行傳播,造成了包括數(shù)千烏克蘭銀行和發(fā)電廠等公司業(yè)務(wù)癱瘓。線管影響甚至波及到了丹麥航空業(yè)巨頭馬士基以及美國制藥巨頭默克公司。
一個(gè)月之后,俄羅斯安全公司卡巴斯基研究人員發(fā)現(xiàn)了另一個(gè)軟件供應(yīng)鏈攻擊,他們將其稱之為“Shadowpad”:黑客將一個(gè)后門程序通過企業(yè)網(wǎng)絡(luò)管理工具Netsarang的分發(fā)渠道下載到了韓國的數(shù)百家銀行,能源和藥品公司公司??ò退够治鰩烮gor Soumenkov當(dāng)時(shí)寫道:“ShadowPad是一個(gè)關(guān)于軟件供應(yīng)鏈攻擊的典型例子,也表明這種攻擊方式是可多么危險(xiǎn)和廣泛。”
對(duì)軟件供應(yīng)鏈的攻擊已經(jīng)多次出現(xiàn)。但是,安全公司Rendition Infosec的研究員和顧問杰克·威廉姆斯(Jake Williams)表示,這些攻擊事件也引起了人們對(duì)安全的高度關(guān)注。威廉姆斯說:“我們往往依賴于開放源碼或分布廣泛的軟件,恰恰這些軟件本身就是易受攻擊的。對(duì)于黑客來說,這些目標(biāo)唾手可得”
威廉姆斯認(rèn)為,黑客攻擊向供應(yīng)鏈的轉(zhuǎn)移部分原因是用戶端的安全性不斷提高,而公司也通過各種防火墻切斷了其他較為容易感染病毒的途徑。現(xiàn)在,要發(fā)現(xiàn)Microsoft Office或PDF閱讀器等應(yīng)用程序中可能存在的漏洞并不像以前那樣容易,而且越來越多的公司都在發(fā)布安全補(bǔ)丁。威廉姆斯說:“總體上的網(wǎng)絡(luò)安全性越來越好。但這些軟件供應(yīng)鏈攻擊打破了以往的所有模式,他們能夠通過防病毒和基本的安全檢查,有時(shí)安全補(bǔ)丁本身就是攻擊源。
在最近的一些安全事件中,黑客還通過另一種方式對(duì)軟件供應(yīng)鏈進(jìn)行攻擊,其攻擊的不僅僅是軟件公司,而且還會(huì)攻擊這些公司程序員使用的開發(fā)工具。2015年底,黑客在中國開發(fā)人員經(jīng)常光顧的網(wǎng)站上分發(fā)了蘋果開發(fā)者工具Xcode的假冒版本。這些假冒工具將稱為XcodeGhost的惡意代碼注入了39個(gè)iOS應(yīng)用程序,其中不少軟件還通過了蘋果的App Store評(píng)測,導(dǎo)致了大規(guī)模的iOS惡意軟件爆發(fā)。就在上周,斯洛伐克政府警告稱,Python代碼庫或PyPI中已經(jīng)被加載了惡意代碼。
思科的克雷格威廉姆斯(Craig Williams)說,這些供應(yīng)鏈攻擊特別陰險(xiǎn),因?yàn)樗鼈冞`反了消費(fèi)者計(jì)算機(jī)安全的基本思想,這可能會(huì)讓那些堅(jiān)持使用可信軟件來源的用戶和那些隨意安裝軟件的用戶一樣脆弱。特別是惡意軟件開始攻擊Avast這樣的安全公司時(shí)尤為如此。威廉姆斯說:“人們信任軟件公司,當(dāng)他們這樣遭到安全威脅時(shí),真的是打破了這種信任。”
威廉姆斯說,這些攻擊已經(jīng)使消費(fèi)者無法有效保護(hù)自己。最好的應(yīng)對(duì)方法是,您可以盡量扼要地了解所使用軟件的公司的內(nèi)部安全實(shí)踐,或者從應(yīng)用程序中判讀該公司是否具備足夠的內(nèi)部安全性。
但對(duì)于一般互聯(lián)網(wǎng)用戶而言,此類信息難以了解。最終,保護(hù)用戶免受類似供應(yīng)鏈攻擊的責(zé)任也必須轉(zhuǎn)向軟件供應(yīng)鏈,也就是讓那些有供應(yīng)鏈漏洞的公司為之買單。