從(cóng) XZ 到(dào) Crowdstrike ——供應鏈攻擊的(de)影(yǐng)©★ 響和(hé)未來(lái)意義
供應鏈攻擊可(kě)能(néng)對(duì)全球經濟造成潛在影(yǐng¥←)響,甚至導緻其崩潰。CrowdstriΩ"♠ke、XZ Utils 項目發生(shēng)了(le)什(shén)麽?組織應該采γ←±∞取哪些(xiē)緩解策略來(lái)應對(duì)供應鏈攻擊?×↔π¥
全球化(huà)與數(shù)字化(huà)使得(de)世界經濟的(de)許多(du₹<★"ō)方面高(gāo)度依賴技(jì)術(shù),如(rú)••智能(néng)手機(jī)和(hé)筆(bǐ)記本電(d§≈iàn)腦(nǎo),而這(zhè)些(xiē)技(jì)術(sh♦←ù)又(yòu)依賴于制(zhì)造商定期提供的(de)軟件(jiàn)和(∑≤hé)安全更新。這(zhè)種錯(cuò)綜複雜(zá)的(de)實體(tǐ)、資源、商α&™→品和(hé)服務網絡構成了(le)一(yī)個(gè)供應網格,使我們今天所熟 ₩♣知(zhī)的(de)國(guó)際貿易、旅行(xíng)和(hé)商業(yè)成為(wè♥∏i)可(kě)能(néng)。
為(wèi)了(le)實現(xiàn)這(zhè)些(xiē★δ∏)軟件(jiàn)更新,當公司向其設備推送更新時(shí),人(rén)們會(÷☆®huì)默認信任這(zhè)些(xiē)更新是(shì)無惡意軟件(jiàn)且無¶'錯(cuò)誤的(de)。這(zhè)種默認的(d•₩∑e)信任讓供應鏈攻擊變得(de)對(duì)威脅行(x> íng)為(wèi)者來(lái)說(shuō)頗具吸引力。通(tōn≥"εg)過獲取制(zhì)造商的(de)基礎設施訪問( α₽wèn)權限,威脅行(xíng)為(wèi)者能(©©néng)夠在合法的(de)軟件(jiàn)更新中注入惡意軟件(jiàn),這(zhè)¶ ©可(kě)能(néng)成為(wèi)最↓÷¶ 有(yǒu)效和(hé)最危險的(de)攻擊途徑之一(yī)。這(zhè)種σ₩$✘攻擊途徑并不(bù)是(shì)一(yī)個(gè)新概念₹ ,近(jìn)年(nián)來(lái)如λ(rú)ShadowPad、CCleaner和(hé)ShadowHammer等事(shì)件∏♦(jiàn)表明(míng),隻要(yào)攻擊者下(xià)定決心,就(jiù)能(né £ng)進入受保護最嚴密的(de)網絡。然而,最近(jìn)的(de)"♥♣ Crowdstrike 事(shì)件(jiàn✔"★)表明(míng)了(le)供應鏈的(de)重要(yào)性,以及一(yī♥₩)旦出錯(cuò)将造成的(de)空(kōng♠ε)前規模的(de)影(yǐng)響,從(cóng)而對(duì)供應鏈的(de)脆✔∏₽弱性和(hé)我們今天對(duì)供應鏈的(de)依賴性提出了(le)新的(de)問(wèn)題®★'≠。
Crowdstrike——地(dì)球停轉之日$¥♥(rì)
從(cóng)世界協調時(shí)間(jiān)2024 年(nián) 7 月(yuè) 1™δ£9 日(rì)(星期五)04:09 開( α≈kāi)始,持續大(dà)約兩到(dào)三天,全球經濟陷入停滞,原因是(shì)α✘€ CrowdStrike 發布了(le)一(yī)次內(nèi)容配置←φ↓<更新。CrowdStrike 是(shì)一(yβπī)家(jiā)美(měi)國(guó)網絡安全公司,是(shì)少(sh× ↓ǎo)數(shù)幾家(jiā)獲得(deΩ£) Windows 操作(zuò)系統內(nèi)核權限的(de)公司之一♣ Ω(yī)。
“Crowdstrike 的(de)配置更新應該是(sh← ←ì)一(yī)項常規操作(zuò),是(shì)對(duì)其 Falcon 平台保護λφ≥機(jī)制(zhì)的(de)定期更新,以獲取遙測數(shù)據并檢測Window∏★s平台可(kě)能(néng)出現(xiàn)的(d<∑e)新威脅技(jì)術(shù)。不(bù)幸的(de)是(shìε≠),這(zhè)次更新導緻全球超過 850 萬台 Windows 機(jī)器₩→¥(qì)陷入無限重啓循環。”
據媒體(tǐ)報(bào)道(dào),包括醫(yī)院、銀(yín)行(γ☆÷xíng)、航空(kōng)公司等關鍵基礎設施,以及美(měi)國(guó)宇航局、÷≥ 聯邦貿易委員(yuán)會(huì)、國(guó)家(jiā)核安全管理(lǐ)局、緊↔₹急情況 911 呼叫中心、菲律賓政府網站(zh•àn)等關鍵政府基礎設施,其系統運行(xíng) Windows ←☆↓并受到(dào) Crowdstrike 的(de)保護,都(d±ε✔¶ōu)受到(dào)錯(cuò)誤更新的(de)影(yǐng)響,無法正常運營。目前,這±™®(zhè)可(kě)以被認為(wèi)是(shì)曆史上(shàng)最嚴重的(de)停機(jī ™§←)事(shì)件(jiàn),造成了(le)前所未有(yǒu)的(de)經£↑☆濟損失。
受影(yǐng)響的(de)系統包括在 202™ ¥4 年(nián) 7 月(yuè) 19 日(rì)(世界協調時(shí))星期五 04:'↑♠$09 至 2024 年(nián) 7 月(y♦δuè) 19 日(rì)(世界協調時(shí))星期五 0 £>∞5:27 期間(jiān)在線并收到(dào)€♣更新的(de)運行(xíng) 7.11 及以上λ<(shàng)版本傳感器(qì)的(de) Windows 主機λ✘(jī)。Mac和(hé)Linux主機(jī)未受影(y¥<∏ǐng)響。最終,這(zhè)種情況并非由任何高(gāo)級持續性威脅 (AP >→T) 引起,而是(shì)由一(yī)個(gè)錯(cuò)誤的(de)軟件(jiàn)更新引起的©©§Ω(de),其展示了(le)完美(měi)執行(xíng)™✘≥的(de)供應鏈攻擊可(kě)能(nénπ g)帶來(lái)的(de)後果。不(bù)過,這(zhè)并不(bù)是> (shì)第一(yī)次供應鏈故障事(shì)件(jiàn),因為(wèi)之 α¥前也(yě)發生(shēng)過類似事(shì)件(jiàn),§∏如(rú)在一(yī)次複雜(zá)的(de)行(xíng)動中,Linux XZ 庫遭≤≠•↓到(dào)入侵。
Linux XZ ——披著(zhe)羊皮的♠δ(de)狼被揭露
2024年(nián)初,Linux XZ Ut♦λ↓ils項目,一(yī)組免費(fèi)的(de)數(shù)據壓縮命令行(xíng)工(gōng)€±具和(hé)庫,被發現(xiàn)遭受了(le)供應鏈性質的(de)攻擊。該攻擊是(shì)一(y&₩ī)個(gè)高(gāo)度複雜(zá)和(hé)精密的(d✔₹e)後門(mén),它被巧妙地(dì)混淆和(hé)隐藏,巧妙地(dì)隐藏并篡改了(♦↑∞le)OpenSSH的(de)邏輯,OpenSSH是(shì)Se<≤cure Shell(SSH)協議(yì)的(d₹§e)一(yī)個(gè)實現(xiàn),從(cóng)而實現∏(xiàn)未經授權的(de)訪問(wèn)。SSH 也(yě)是( ☆shì)一(yī)種加密網絡協議(yì)的(de)名稱,用(yòng)于安全地(d>π§ì)操作(zuò)設備,包括企業(yè)服務器(qì)、物(wù)聯網設備、網絡路(lù)≈'φ≈由器(qì)、網絡附加存儲設備等。
目前,數(shù)以千萬計(jì)的(de)物(wù)聯網(IoT)家(jiā)≈δ&用(yòng)電(diàn)器(qì)、數(shù)百萬台服務器(qì)、數♠ε(shù)據中心和(hé)網絡設備依賴于SSH©♠∏,這(zhè)可(kě)能(néng)導緻一(yī)場(chǎng)災難,其規模将遠(yσφ§↓uǎn)超CrowdStrike事(shì)件(jiàn)。開(k<♣āi)源軟件(jiàn)公司 紅(hóng)毛(Red Hat )指出,這(zhè)一(y→≤ī)事(shì)件(jiàn)在 NIST 國(guó)家(jiā↑₩)漏洞數(shù)據庫中被編号為(wèi) CVE-2024-309β≥42,其最高(gāo)嚴重程度評分(fēn)為(wèi) 10,承認其可(♣§∑kě)能(néng)被惡意威脅行(xíng)為(wèi)者利用(yòng)ΩΩ♣。
取證分(fēn)析表明(míng),這(zhè)些(x£€ iē)提交是(shì)由一(yī)名用(yòng)戶名為(wèi) ¶ ×↕JiaT75(又(yòu)名 "Jia Ch≤×∞πeong Tan")的(de) GitHub 用(yòng)戶• 操作(zuò)的(de),該用(yòng)戶從(cóng) 2021 年(nián)開(kāi)£$始加入 XZ Utils 項目團隊并為(wèi) XZ 項目做(zuò&♥∞)出貢獻。JiaT75的(de)身(shēn)份尚不(bù)β•确定,因為(wèi)可(kě)能(néng)存在多(duō")個(gè)威脅行(xíng)為(wèi)者共用(yòng)一(yī)個(gè)賬γ₽戶的(de)情況,盡管已知(zhī)該賬戶使用(yòng)新加坡的(de)VPN并→★✘在UTC+8時(shí)區(qū)操作(z$>αuò)。
就(jiù)像披著(zhe)羊皮的(de)狼一(yī)樣,JiaT75通(tōng)過與項目其他(tā)貢獻者社交并提供積極貢獻,逐漸建立了(le)信任,最•♥終獲得(de)了(le)維護XZ項目檔案的(de)控制(zhì)權,并獲得(de)了(le)<π•↑合并提交的(de)權限。人(rén)們發現(xiàn)XZ/libzma構建被修改,并≈ •被一(yī)系列複雜(zá)的(de)混淆手段所掩蓋,成為(wèi)φ✔×某些(xiē)操作(zuò)系統上(shàng)SSH的(de)依賴項,實質上(shàng↕δ)允許對(duì)受感染系統進行(xíng)無限制(zhì)的(₹≤↔de)訪問(wèn)。
幸運的(de)是(shì),這(zhè)一(yī)事(shì)件(jiàn)被®•及時(shí)發現(xiàn),目前研究仍在₩♣進行(xíng)中,但(dàn)它突出表明(míng '₽ ),社會(huì)工(gōng)程學與開(kāi)源軟件(ji✔$φàn)的(de)特性相(xiàng)結合,仍然是(shì)供應鏈攻擊的♦¶¶λ(de)另一(yī)個(gè)可(kě)行(xíng)途徑。
威脅形勢預示著(zhe)人(rén)工(gōng)智§↓能(néng)一(yī)體(tǐ)化(huà)的(de)未來(lái)×♠會(huì)怎樣?
人(rén)工(gōng)智能(néng)正越來(lái)©₹™✘越多(duō)地(dì)融入社會(huì),其應用(yòng)領域包括優化(h←•uà)智慧城(chéng)市(shì)的(de)基礎設施、提升醫(yī≈)療、教育、農(nóng)業(yè)等。與任何技(j♦λ×♠ì)術(shù)一(yī)樣,人(rén←Ω★)工(gōng)智能(néng)并非無懈可(kě)擊,它依賴于學習(xí)模型和(hé)↓β♠訓練來(lái)獲得(de)有(yǒu)意義的(de)輸入,而這(zhè)些(xiē)輸入可(k♥"ě)能(néng)受到(dào)供應鏈攻擊,被注入惡意內(nèi)容。