关于华硕的软件更新服务器遭骇,这样的问题是否有前例?事实上,这种更新机制遭骇客利用已经不是头一遭。
例如,2013年韩国防毒软件业AhnLab遭APT攻击一事,就是骇客透过更新服务器这样的正常管道,让企业使用的资安工具变成派毒工具。
不过当时的攻击更为直接,骇客对企业派送恶意程式造成短时间内多间韩国银行与电视台遇害,导致使用该防毒的企业电脑与ATM受害,更影响了正常的金融交易运作,这也使得该国-启动国家危机管控机制。
在台湾,过去也有安装下载服务器遭入侵的案例,例如2014年底,台湾游戏代理商Garena的游戏安装档遭到感染,该公司在网站上发出资讯安全公告,同时公司高层也透过公开声明向玩家致歉,表达对此骇侵事件的重视与负责。
从上述两起关于更新、下载服务器的受骇事件来看,早有前例可循,但类似状况并未因此终止。
在接下来几年,又相继传出各种形式的渗透攻击,不是直接从攻破企业防护,而是透过供应商的更新、部署,甚至是开发过程下手,进而威胁到使用这些应用或服务的企业,令人防不胜防。
举例来说,2015年的苹果XcodeGhost事件,骇客更是从App开发的环境下手,仿冒一个植入恶意程式码的山寨版,并散布到中国云端空间与论坛,让使用的开发者,打造出的App都具有恶意程式,而这一事件也点出一个现象,那就是许多中国开发者在下载苹果开发工具时,竟是选择非官方来源的载点。
不仅如此,骇客的下手面向与锁定对象,都有很大不同与可能性。像是2017年骇客利用在乌克兰知名的会计软件,被用来散布勒索软件NotPetya,不少资安业者更是认为,这是以瘫痪系统为目标的国家级攻击行动,与前述韩国防毒软件事件相同的是,骇客攻击目标有相当明确的区域性。
此外,在2017年还有像是知名网管工具Xshell 5、系统清理工具CCleaner,这类全球都有不少企业用户的软件,也都曾经发现被入侵、假冒,而成为骇客散播恶意程式的管道,带来广大的影响,这也与此次华硕事件相同,受害的用户遍及各地。
甚至,还有些是锁定产业上下游的事件,例如骇客从PC业者的合作伙伴下手,像是有研究人员揭露HP电脑的音效芯片驱动程式,内藏键盘侧录程式。此外,也有骇客假冒某PDF编辑软件业者合作伙伴的服务器,并透过特别的挟持手段,让用户安装PDF软件时原本要从合作伙伴下载MSI格式的字体包,变成连至骇客服务器,用户电脑因而被递送挖矿程式。
上述这些仅仅是部分案例而已,然而我们已经不难看出利用供应链的攻击形式与范围之广,而且又难以察觉。
在华硕的这次事件后,也再次让整体产业,都更关注到更新服务器与凭证的安全问题,更要提醒的是,尽管业者本身财物损失并不严重,但无形的商誉却造成极大的破坏。
而最关键的问题是,一旦更新服务器与程式码签章凭证受骇,等于骇客就能借由这样的合法管道散布恶意威胁,不论是产品开发的公司或是产品用户,该如何继续信任这些产品的安全性?
对此,面对用户软件服务更新有庞大需求的微软,他们的资讯安全暨风险管理协理林宏嘉也提出他们的观察。他强调这是一种攻击逻辑的转变,业者过去在意的是本身有没有东西被偷,做好自身的防护,但现在也应该要转变思维,或许业者本身不是价值标的物,但是骇客可以透过他们去掳获到很多有价值的标的,因此,本身的防御也要跟上。
林宏嘉并表示,从犯罪的经济体系来看,过去APT攻击只是锁定单一目标采各种针对性攻击手法。现在骇客更在意的是经济规模,而从这些软件业者下手,可一次获取到众多的受害者,再来看谁适合成为目标,或者是先知道某群用户使用的工具,然后搞清楚其产业炼结构,再从周边找出容易攻破的点。
无论如何,未来这样的网络威胁还可能会变得更泛滥。在今年初,我们也持续看到许多资安业者发布的2019网络安全预测,都在提醒供应链攻击将是现在的主流。对于软件开发商或自行开发应用程序的企业团队而言,近年不断在提倡安全软件开发,但软件部署与交付,以及后续软件升级与维护的安全,也都不能像过去一样轻忽。
当软件更新服务器遭骇,使用这些软件的企业与用户该如何处置?
一般而言,更新服务的作用不外乎是功能增加强化与漏洞的修补,企业在考量升级稳定性之余,通常都是信任这样的更新机制,而这样的管道一旦被入侵,不论系统、PC与软件业者的更新服务,其实都将带来同样严重程度的风险,但涉及系统与底层的威胁层面,还是最令人忧心。
在华硕这次传出软件更新服务器遭入侵,让用户可能更新了具后门的华硕Live Update版本,事后用户该如何因应?原则上,就是依照原厂提供的安全公告,将Live Update更新至最新且安全的版本,用户事后能够做的事情相当有限。另外,官方还建议若是确认自己受到影响,应备份重要资料并还原操作系统,同时定期更换密码以保障用户安全。
但对于企业用户而言,若是这种威胁事件不断增加的情形下,是否对于这些更新机制也应抱持着零信任的态度?因为这类攻击已经暴露了软件更新机制的风险,尽管软件供应链本身需要负相当大的责任,但用户也可以进一步思考的是,若是不小心发生这样的问题,该如何降低风险?
例如,现有的防护机制是否能查出这样的风险,是否要增强端点上的侦测与回应机制,或是做出更高要求的管控,以避免未经授权的程式执行。
同时,企业要对自己本身的标的掌握度也要够好,也就是要清楚知道一套软件安装在多少台电脑上,内部总共安装多少软件及其更新状态,即便问题发生也能快速清查影响范围。而对于企业在内部近端架设的软件更新主机,是否也应增设检查的关卡,来减少威胁的发生,
无论如何,在软件供应链攻击的威胁之下,除了供应商要保障本身服务的安全,但用户与企业本身是否也该采取更严谨的做法,因为这已是现今无法回避的挑战。
最近6年来软件供应链相关攻击事件
2013年3月
防毒业者、更新服务器
韩国防毒软件业AhnLab遭骇
骇客控制该公司病毒码更新服务器,透过更新病毒档这样的正常管道,让原本派送给企业用户最新防毒定义档的方式,变成直接对企业派送后门并传递恶意程式。而这次攻击行动,直接造成多间韩国银行与电视台的电脑与ATM受害。
2014年11月
游戏代理商、下载服务器
台湾游戏代理商Garena被入侵
该公司的游戏安装档服务器遭骇客入侵,数位签章也被窃取,影响英雄联盟(LOL)等三款线上游戏,导致2014年11月中旬到12月下旬之间,他们在官网供玩家下载的游戏安装档遭感染恶意程式。而业者在12月底,也对外发出安全公告。
2015年3月
App开发工具
苹果XcodeGhost事件
骇客从苹果开发工具Xcode着手,从其官网下载正版并植入恶意程式码,再将盗版借由云端空间与论坛散,导致用其开发的App都具有恶意程式。事件在2015年9月被揭露,影响App数量超过4千个,同时突显中国开发者竟选择非官方来源的载点的普遍现象。
2015年12月
PC业者上下游
HP电脑声卡内藏键盘侧录
HP电脑在2017年5月被研究人员Modzero发现内含了侧录程式,问题出在IC设计业者Conexant所生产的音效芯片驱动程式,该研究人员并从档案的metadata发现,该键盘测录程式,至少在2015年圣诞节期间,就已存在于HP笔电上。
2017年3月
会计软件、更新服务器
乌克兰会计软件供应商遭入侵
当地具有高市占率的会计软件M.E.Doc,其供应商Intellect Service的更新服务器在2017年3至6月间遭入侵多次,向其客户与及其他外部网站散布勒索软件NotPetya,经乌克兰警方在2017年7月破获。值得注意的是,多数研究人员认为,NotPetya是国家支持的攻击行动,而对象就是乌克兰。
2017年7月
网管业者、更新服务器
网管工具软件Xshell 5遭植入后门
网管工具业者NetSarang遭入侵,他们旗下的Xshell软件遭骇客修改了程式码并嵌入恶意档案,并使用了合法的数位签章,来执行后门程式ShadowPad,帮助攻击者私自搜集目标装置资料。卡巴斯基实验室在2017年8月公布相关细节。
2017年8月
系统清理工具、下载服务器
系统清理工具CCleaner遭植入后门
Ccleaner的官网下载被入侵,骇客入侵了Avast刚并购的Piriform公司下载服务器,使得CCleaner 5.33的Windows版遭到感染,被植入二阶段后门。这起事件经Cisco Talos在9月揭露,感染期间为一个月,当时,受感染的程式,已被下载两百多万次。
2018年1月
软件业者合作伙伴服务器
某一PDF编辑器的合作伙伴服务器遭入侵
微软在2018年7月揭露一起供应链攻击事件,骇客建立仿冒PDF编辑器软件之合作伙伴的服务器,从该合作伙伴提供的字体包MSI档案着手,注入恶意的虚拟货币挖矿程式码。攻击行动在1月到3月间,让使用者下载并执行PDF编辑器时,会自动从假冒服务器中安装字体包。
2018年6月
PC业者、更新服务器
华硕笔电软件更新主机遭入侵
华硕的更新服务器遭攻破,骇客偷偷借由更新机制散布后门,这起事件在今年1月被卡巴斯基发现并通知华硕,并于三月曝光于媒体,而根据卡巴斯基的研究,散布恶意更新的时间是在2018年6月到11月这段期间,影响用户数达百万。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09