江苏龙网

  1. 首页 > 资讯 > 科技 > >

【】震惊,过去二十年最危险的数字供应链攻击!


【】震惊,过去二十年最危险的数字供应链攻击!
本文插图

“古老”的供应链攻击为何成为2020年业界公认的六大新兴威胁之一?除了华硕“影锤”、苹果“Xcode”、CCleaner这些令人闻风丧胆的切尔诺贝利和福岛级别的供应链攻击以外 , 过去十年在数字(软件)供应链领域 , 我们还经历了哪些已经发生 , 并且很可能依然在持续泄露或者“辐射” , 值得我们反思和复盘 , 预防“毁灭性喷发”可能性的供应链攻击事件?
根据ESG和Crowstrike的2019年供应链安全报告:
16%的公司购买了被做过手脚的IT设备 。
90%的公司“没有做好准备”应对供应链网络攻击 。
在安全牛“ 供应链安全五大数字风险 ”一文中 ,“企业或者供应商软件漏洞”和“被植入恶意软件的软硬件”占据了两席 , 软件(包括固件)供应链正在成为黑客实施供应链攻击的重要突破口 , 而且此类攻击往往能够“突破一点 , 打击一片” , 危害性极大 , 甚至很多网络安全软件自身都存在供应链风险 。
2015年9月14日 , 国家互联网应急中心CNCERT发布预警通告 , 目前最流行的苹果应用程序编译器XCODE被植入了恶意代码(XcodeGhost) 。 超过一亿部iOS移动终端受到影响 , 包括网易云音乐、微信等头部APP悉数中招 。
2017年6月末 , NotPetya恶意软件袭击了全球59个国家的跨国企业 , 世界首屈一指的集装箱货运公司马士基航运接单受阻 , 充分验证了供应链面临的巨大威胁 。 航运订单之前只能通过电话下单 , 马士基航运集团刚刚引入数字化策略 , 攻击便发生了 。
2017年9月18日 , 思科Talos安全研究部曝光计算机清理工具CCleaner的更新被黑客嵌入后门 , 潜入数百万个人电脑系统中 。 该攻击摧毁了消费者对CCleaner开发者Avast的基本信任 , 其他软件公司也受牵连 , 消费者信任下滑 。 因为恶意软件竟是捆绑到合法软件中分发的 , 而且还是安全公司出品的合法软件 。
19年年初 , 卡巴斯基报告了影锤行动(ShadowHammer) , 披露这是一起利用华硕升级服务的供应链攻击 , 不计其数的用户在使用该软件更新时可能会安装植入后门程序的软件更新包 。
根据埃森哲2019年的一项调查 , 受访的4600家企业中 40%曾因供应商遭受网络攻击而发生数据泄露 , 大量企业报告直接攻击减少的同时 , 通过供应链发起的“间接攻击”却呈上升趋势 。 19年2月 , 赛门铁克发布报告显示 , 过去一年全球供应链攻击爆增78% , 并特别强调2019年全球范围内供应链攻击活动仍在继续扩大 。
近年来 , 供应链攻击的常态化已经是APT攻击的重大趋势 , 以下是过去二十年最具破坏力的技术(软件)供应链攻击:
软件供应链入侵一览表(SIG安全小组)
虽不能记录每个已知供应链攻击 , 但捕捉了各种不同类型软件供应链攻击案例 。 编撰此表可帮助安全人员更好地理解供应链入侵的模式 , 开发出最佳实践与工具 。
【】震惊,过去二十年最危险的数字供应链攻击!
本文插图

Pure nmp安装程序依赖项恶意代码
恶意代码已插入pure npm安装程序的依赖项中 。 该代码已插入到load-from-cwd-or-npm和rate-map包中 。
影响
带有后门的第一版于2019年5月7日21:00UTC发布 。 2019年7月9日世界标准时间01:00发布了不包含后门程序的更新版本 。 NPM官方下载统计数据表明 , 这些软件包每周下载约1400次 。
入侵类型
攻击者已经获得了软件包维护者的npm帐户的访问权限 。
Electron原生通知
Agama加密货币钱包用户成为恶意软件攻击对象 , npm公司安全团队与Comodo合作 , 护住当时价值1,300万美元的加密货币资产 。
该攻击专注往Agama构建链中植入恶意软件包 , 盗取钱包种子和该应用中使用的其他登录密码 。


推荐阅读


上一篇:##中国科学家揭示光信号和独脚金内酯协同调控植物分蘖的分子机制

下一篇:『我的第一部5G手机』2698就有144Hz+865,iQOO Neo3扔出了“王炸”