依据行业媒体的报道,一个名为“Cozy Bear”的黑客联盟日前对IT管理手机软件房地产商SolarWinds企业的Orion软件开展了毁灭性的黑客攻击,进而得到了进到美国政府部门和其他组织IT系统的管理权限。而大部分单位和机构并没为这类对手机软件供应链管理的黑客攻击做好充分的准备。
黑客联盟近期对大中型网络信息安全组织FireEye公司的侵入是一次经营规模很大的黑客攻击,该进攻是根据对流行网络视频监控商品开展故意升级而实行的,并对一些政府部门和公司导致了危害。该事情彰显了对手机软件供应链管理黑客攻击很有可能产生的严重影响,而大部分机构也没有为防范和检验该类危害做好充分的准备。
2022年3月,一个黑客联盟在一次黑客攻击中得到了浏览好几个美国政府部门(主要包括美国财政部和美国财政部)网站服务器的管理权限。这一事情造成英国我国安委会那时候马上举办紧急召开商讨解决和处理。
黑客联盟“Cozy Bear”的黑客攻击毁坏了SolarWinds企业研发的名为“Orion“的网上和应用软件监控服务平台,随后应用这一访问限制来转化成木马病毒并将其分发送给手机软件客户。在这里一信息传来以后,SolarWinds企业在其平台上的一个网页页面声称,其顾客包含英国资本500强中的425家生产商、英国十大电力公司、英国五大会计师事务所、美国军队全部分支机构、五角大楼、美国国务院,及其全世界数百人所高校和学校。
对SolarWinds企业的手机软件供应链管理开展进攻还使网络黑客可以浏览英国网络信息安全服务提供商FireEye公司的互联网,这一系统漏洞于日前公布,虽然FireEye公司沒有表露互联网网络攻击的名字,但据《华盛顿邮报》报道,互联网网络攻击可能是“APT29“或“Cozy Bear”。
FireEye公司在日前推送的一份项目分析报告中表明:“大家已在世界好几个实体线中检查到这一主题活动。受害人包含北美地区、欧洲地区、亚洲地区和中东国家的政府机构、咨询管理公司、高新科技生产商、电力公司及其矿厂,大家预估其他国家和竖直地域还会继续有大量受害人。大家早已通告遭受黑客攻击危害的全部实体线。”
故意Orion的升级
2020年3月至2020年6月中间公布的Orion 2019.4 HF 5至2020.2.1版本号的手机软件很有可能包括恶意代码。可是,FireEye公司在数据分析报告中强调,每一次进攻都要互联网网络攻击精心策划和人力互动。
互联网网络攻击想方设法改动了一个称之为SolarWinds.Orion.Core.BusinessLayer.dll的Orion服务平台软件,该插件是做为Orion服务平台升级的一部分派发的。这一木马病毒部件通过数字签名,并包括一个侧门,可与互联网网络攻击操纵的第三方服务器虚拟机通讯。FireEye公司将该部件做为SUNBURST开展追踪,并已在GitHub上推送了开源系统检验标准。
FireEye公司投资分析师说:“在最开始长达两个星期的休眠状态以后,它会查找并实行名为‘工作’的指令,这种指令包含传输文件、实行文档、数据分析系统、重启设备及其禁止使用服务程序。这一恶意程序将其数据流量装扮成Orion改进方案(OIP)协议书,并将侦查結果储存在正规的软件环境变量中,使其能与合理合法的SolarWinds主题活动相结合。之后门应用好几个搞混的阻拦目录来鉴别已经运作的调查取证和病毒防护专用工具做为步骤、服务项目和驱动软件。”
互联网网络攻击将它们的恶意程序普及率维持在很低的水准,她们更喜欢盗取并应用凭证,在互联网中实行横着挪动并创建正规的远程连接。之后门用于交货一个轻量的恶意程序删除程序,该程序流程从未被发现过,而且被FireEye公司称之为TEARDROP。这一程序流程立即读取到运存中,不容易在固态硬盘上遗留下印痕。科学研究工作人员觉得,它被用于布署订制版的Cobalt Strike BEACON有效载荷。Cobalt Strike是一种商业服务网站渗透测试架构和开发设计代理商,也已被网络黑客和复杂性的网络诈骗机构所选用和应用。
为了防止检验,互联网网络攻击应用缓存文件更换技术性远程控制实行其专用工具。这代表她们用他们的故意专用工具改动了总体目标体系上的合理合法应用工具,在实行以后,随后用合理合法的专用工具更换了它。相近的工艺包含根据升级合理合法每日任务以实行故意专用工具,随后将每日任务复原为其初始配备,进而临时性修改系统方案的每日任务。
FireEye公司科学研究工作人员说:“防御者可以查验SMB对话的日志,以表明对合理合法文件目录的浏览,并在很短的時间内遵循删掉、建立、实行、建立的方式。除此之外,防御者可以应用頻率剖析来鉴别每日任务的出现异常改动,进而监控目前的任务计划以开展临时性升级。还能够监控每日任务以监控实行新的或不明二进制文件的合理合法每日任务。”
这也是FireEye公司所观测到的危害参加者所呈现的较好的使用安全系数,它致力于检验避开和运用原有的信赖关联。但是,该公司的分析工作人员觉得,这种黑客攻击可以根据不断防御力开展检验,并在其项目分析报告中叙述了多种多样无损检测技术。
SolarWinds公司建议顾客尽早更新到Orion Platform版本号2020.2.1 HF 1,以保证她们已经运作商品的全新升级版本号。该企业还方案公布一个新的修复程序流程2020.2.1 HF 2,它将更换受传染的模块并进一步增强安全系数。
英国国土安全局还向政府部门机构公布了一项应急命令,以检测其互联网中是不是存有木马病毒部件并做好汇报。
并沒有高效的解决方法
对手机软件供应链管理的黑客攻击并不是什么新生事物,安全性权威专家很多年来一直警示说,这也是较难预防的危害之一,由于他们运用了经销商和顾客间的信赖关联及其设备对机器的通讯方式,例如客户原有信赖的系统更新体制。
早在2012年,科学研究工作人员发觉Flame恶意程序的互联网网络攻击应用了对于MD5文档hach协议书的数据加密进攻,使它们的恶意程序看上去好像由Microsoft合理合法签字的,并根据Windows Update体制分发送给总体目标。这并没有手机软件房地产商自身(微软中国)遭受黑客攻击,可是互联网网络攻击运用了Windows Update文档查验中的系统漏洞,证实可以灵活运用系统更新体制。
2017年,诺顿杀毒软件试验室的安全性科研工作人员发觉了一个名为Winnti的APT机构的手机软件供应链管理进攻,该攻击涉及到入侵生产制造服务器管理手机软件服务提供商NetSarang企业的基础设施建设,此软件容许她们派发商品的木马病毒版本号。选用NetSarang企业合理合法资格证书执行数字签名。之后,这种互联网网络攻击侵入了Avast分公司CCleaner的开发设计基础设施建设,并向220多万元客户派发了该系统的木马病毒版本号。上年,互联网网络攻击挟持了电子计算机生产商ASUSTeK Computer的升级基础设施建设,并向客户派发了ASUS Live Update Utility的故意版本号。
安全性咨询管理公司TrustedSec企业创办人David Kennedy说,“从危害模型的方面看来,我不知道有一切机构将供应链管理进攻融合到她们的条件中。当查询SolarWinds的状况时,这是一个非常好的事例,说明互联网网络攻击可以挑选已布署商品的一切总体目标,而这种总体目标是世界各国的很多企业,而且大部分机构都没法检验和防止。”
尽管布署在机构中的手机软件很有可能会通过安全性核查,以掌握开发者是不是具备较好的安全性实践活动,以修复很有可能被充分利用的设备系统漏洞,但机构不容易考虑到假如其升级体制遭受危害,此软件将怎样危害其基础设施建设。Kennedy说,“我们在这方面还很不成熟,并且都没有简易合理的解决方法,由于许多机构必须手机软件来运作它们的工作负荷,她们必须选用新技术应用来扩张存有并始终保持竞争能力,而给予系统的机构却没将其视作危害实体模型。”
Kennedy觉得,最先应当从手机软件开发者逐渐,并大量地考虑到怎样自始至终维护其编码一致性,与此同时也要考虑到怎样在产品设计时尽可能减少风险性。
他说道:“许多情况下,当机构在搭建手机软件时,可能搭建一个从外而内的危害实体模型,但并不是一直从内而异地考虑到。这也是很多人必须特别关注的行业:怎样设计方案构架和基础设施建设使其更能抵挡这种类别的进攻?是不是有方法根据降到最低产品架构中的基础设施建设来阻拦很多那样的进攻?例如,把SolarWinds企业Orion保存在自身的荒岛中,那样就可以使通讯一切正常工作中,但我不相信爱情。一般来说,优良的安全性执行是为敌人造就尽量多的多元性,那样即使她们成功了,并且已经运作的编码也遭受了毁坏,黑客攻击者也难以完成她们的总体目标。”
做为软件开发公司,也需要逐渐考量将零信任互联网标准和根据人物角色的密钥管理不但运用于客户,还运用于应用软件和网络服务器。正如并不是每一个客户或机器设备都可以浏览互联网上的所有应用软件或网络服务器一样,并非每一个网络服务器或应用软件都可以与互联网上的别的网络服务器和程序开展通讯。在将新软件或技术性布署到她们的互联网里时,机构应当问一下自己:假如该商品因为故意升级而遭受危害可能产生什么原因?她们必须试着采用控制方法,以尽量减少危害。
针对手机软件供应链管理的黑客攻击的总数在未来很有可能会提升,尤其是在别的互联网网络攻击见到其取得成功和丰富性时。在2017年遭受WannaCry和NotPetya网络进攻以后,对于机构的勒索病毒进攻总数猛增,由于他们向互联网网络攻击说明其互联网的抵抗能力比不上她们以为的那般。从那时起,很多网络诈骗机构选用了优秀的技术性。
勒索病毒机构也掌握运用供应链管理的使用价值,并已逐渐进攻代管服务提供商,以运用其对顾客互联网的浏览权。NotPetya本身有一个供应链管理部件,由于勒索病毒蜘蛛最开始是根据称之为M.E.Doc的计费软件的侧门系统更新网络服务器运行的,该计费软件在欧洲国家很时兴。
Kennedy表明,黑客联盟将此次围攻视作一次十分顺利的黑客攻击。从勒索病毒的方面看来,她们与此同时进攻安裝了SolarWinds Orion服务平台的任何机构。他说道,“网络黑客很有可能了解,针对这类类别的黑客攻击,必须提升多元性,可是充分考虑从勒索病毒团队中见到的提高及其她们资金投入的资产,这并非一件很容易的事。但我觉得之后还会继续看发生这样的事情。”