报告 2020-07-29 08:07

美国大西洋理事会:打破信任——不安全软件供应链中的危机阴影

郭道平 摘自 美国大西洋理事会网站

2020年7月26日,美国大西洋理事会网站发布报告,题为《Breaking trust: Shades of crisis across an insecure software supply chain》,作者是特雷·赫尔博士(赛博治理倡议项目总监)和威尔·鲁米斯(赛博治理倡议项目助理)等4人。

在2017年2月辛苦工作了一天之后,丽芙结束了其项目并准备回家。管理国家1/3的电网是一项艰巨的工作,而在情况最好的时候也很累。她收拾行装,关闭计算机监视器,并注意到屏幕上有耐心等待更新的提示:“Flash Player可能已过时。您计算机上此插件的版本可能不包含最新的安全更新”。丽芙单击“是”开始更新,并急忙走出她的隔间。当她在落日的余晖下静静地前行时,其笔记本电脑风扇在访问特定网址时发出呜呜声,然后下载了名为“install_flash_player.exe”的文件,并且暗地里下载了Trojan.Karagany.B后门程序。

丽芙没有理由怀疑此软件更新与其它更新有什么不同,但它能使攻击者在其设备上快速安装其它工具。利用先前针对丽芙所在公司实施的网络钓鱼活动所盗取的密码和用户名,入侵者在整个公司网络中快速移动,并继续获取敏感窗口的屏幕快照并捕获公司网格操作控制面板的图像。看起来似乎无害的软件更新实际上是一个多阶段活动的一部分,该活动可能使攻击者造成美国成千上万家企业和家庭断电。

这种恶意软件不是虚构的。2015-2017年,一项名为Dragonfly 2.0的大规模活动见证了“特洛伊木马”软件更新以及钓鱼电子邮件和watering hole攻击,这些网络钓鱼和watering hole用于访问美国和欧洲20多个能源行业公司的网络。攻击者在2015年对乌克兰能源网的攻击中产生了令人震惊的成效,获得了几家公司网络的运营控制权,使其有能力破坏成千上万美国用户的能源使用。在整个攻击过程中,攻击者使用受感染的第三方软件在操作系统中立足。

丽芙并非很粗心。定期更新软件被认为是最佳实践。但是,假冒受信任的第三方供应商更新使DragonFly攻击者可以访问能源行业的主要公司。从关键基础设施公司到政府安全机构,软件供应链对组织机构形成了巨大的风险源,但供应链中的安全状态却与风险不相匹配。政策部门和行业有机会共同应对这一问题。

(欢迎转载,转载请标明引自“航空工业信息网”)

阅读 收藏

相关专题: