在2019年3月底,一起关于华硕笔电的软件供应链攻击事件,引起全球关注,不仅因为华硕为台湾电脑设备大厂,也是全球前五大电脑品牌之一,拥有相当多的用户,所以影响范围广大。
揭露此事件的资安业者卡巴斯基,特别将此复杂的供应链攻击,命名为“ShadowHammer”,并在他们搜集的恶意程式样本中,逆向找出写死在程式码的600笔MAC位置清单,也就是这次攻击最可能锁定的目标。而随着事件的发现与曝光,也中断了这次攻击行动的继续发展。
不过,这次华硕更新服务器遭入侵的事件,已经让台湾的企业与用户更感受到软件供应链攻击的威胁,同时,还引发企业对更新服务安全,以及数位签章凭证安全的关注。因为近年来,已有多起软件供应链攻击,是与服务更新服务器有关,而华硕也为此撤销现行的程式码签章凭证,甚至他们又在4月13日公告,要将旗下的主板、显卡、迷你电脑、工作站、服务器等产品,执行多重性程式码签章凭证架构升级。
若更深入探究下去,这样的事件也再次引发各界对当今供应链的信任问题,以及在开发流程到更新管理的讨论。
华硕本身非最终目标,但因此受影响用户遍及全球
关于华硕软件更新服务器遭入侵一事,资安业者卡巴斯基先是在1月29日,确认这起涉及华硕Live Update服务的攻击活动,并于隔日通知华硕,后来于3月25日曝光于媒体,当日晚间华硕也针对此事发表声明。而根据卡巴斯基实验室的调查结果显示,骇客散布恶意更新的时间是在2018年6月到11月间,并指出被骇客偷偷改装成木马程式的华硕Live Update,因为使用了合法的数位签章,所以不容易被察觉。
值得注意的是,在这次事件中,从影响范围上,可以分成2个不同层面来看,包括受此攻击过程所影响到的用户,以及这次供应链攻击的主要目标。
首先,根据卡巴斯基的调查,他们统计到有5万7千名卡巴斯基用户,下载并安装了具有后门的华硕Live Update版本,同时他们还估计,在全球可能有超过一百万的用户受影响。
这也看出供应链攻击所影响的规模,相当广大,毕竟华硕在全球多个国家都有销售笔电,受波及的用户非常多。
在3月26日,另一家资安业者赛门铁克也公布关于华硕软件更新与供应链攻击的调查,他们指出有1万3千台他们的用户电脑,曾经被他们侦测到木马程式的更新。特别的是,他们并从这些用户的区域位置做出统计,其中,美国、澳洲、意大利占比都在10%以上,接下来是法国、英国、加拿大、日本、德国、台湾与瑞典,这也印证了受此事件影响的用户遍及全球。
关于可能的攻击目标方面,根据卡巴斯基的说明,他们在1月底至3月期间,已经与多次与华硕讨论此攻击活动的发现,包括两次面对面的电话会议,接着,卡巴斯基也在搜集的230份恶意程式样本中,发现600多个MAC位址清单,因此在3月8日将此新发现提供给华硕。
而这样的迹象也意谓著,这些装置可能才是这次攻击行动的主要目标,因为,每一笔MAC位址,也就代表一台装置使用的网络界面位址。简单来说,骇客这次攻击先是向华硕笔电用户递送恶意的更新程式,接着将进行第二阶段的行动,就可能是要针对这些目标所在电脑,发动更进一步的攻击。
但随着此一事件的曝光,相关攻击行动也因此被中断。对此,我们也询问了卡巴斯基台湾技术总监谢长轩,他表示,以现况来讲,当时他们公布相关资讯时,就已经列出了入侵指标(Indicators of Compromise,IOC),当中包含IP地址、网域名称,还有相关特征等,在这样的情资分享下,其他资安业者的解决方案可以套用这个IOC来侦测。
同时,卡巴斯基也提供给一般用户可识别ShadowHammer的工具程式,以及检查自己是否为锁定目标的MAC位置清单检查网页。而华硕也提供了一个名为ASDT的检测程式,可帮助民众检查自己的Live Update工具程式,确认是否更新至最新版。
而在此之前,是否有其他资安业者可能侦测到相关问题,并阻挡下来?像是透过木马化的Live Update下载了其他恶意程式的活动。谢长轩表示,对于资安业者而言,每天有相当多的恶意攻击发生,这些防护的机制大多是机器自动进行,在一些状况下,才会以人为方式介入去调查。
关于这次事件,谢长轩透露了更多的细节。他们在去年12月底接到客户通知电脑有问题,在协助进行IR事件回应过程中,才发现恶意程式为何是透过合法的软件而来。因此他们再从Hash值去比对,回头找出第一次与最后一次看到此样本的时间,以统计出他们客户中受影响的数量。
当然,为了要向他人说明这个合法的软件有问题,谢长轩表示,这还必须要更深入的去分析该程式的内容,而卡巴斯基也在确认后,将此攻击行动通知华硕,双方并在后续进行多次此事件的讨论。而对于通报这样的动作,他表示,全球有400家大大小小的防毒业者,如果都无法发现异常而进一步调查,此供应链攻击的潜伏期就会更长。
原本信赖的更新机制与数位签章被滥用,成为事件中的安全焦点
在这次华硕事件中,更新服务器与程式码签章凭证的安全防护问题,更是成为不可忽视的焦点。
简单来说,这个Live Update是华硕在自家笔电所附上的工具程式,主要是为了帮助使用者保护与增强设备安全,可透过这款工具,获得自动且即时的软件更新。例如,在网络上检查华硕的更新服务器,是否有系统适用的最新BIOS、固件、驱动程式及工具程式等。
但是,这种原本帮助改善系统安全的管道,如今却被骇客利用成为散布恶意后门的工具。一旦用户在更新服务器受害期间下载更新,安装了被攻击者偷偷加料的更新程式,成为骇客传送其他恶意程式的入口。由于这种用户信赖的系统更新工具遭到滥用,又不易察觉,而被多方关注。
不仅是更新服务器的安全,还有程式码签章凭证问题受到议论,因为这个被注入后门的更新程式,也使用了华硕的程式码签章凭证。
为何骇客要取得业者的程式码签章凭证?因为这可以避过既有的一些防护机制。例如,现有的基本资安防护机制会倾向相信此凭证资讯,认可该公司的这个软件没有被别人窜改过,是由签章拥有人发布。但如果骇客取得签章并帮加料的更新程式盖章,等于帮自己加上一个合法的护身符,而能在对方信任的情况下,不受到拦阻。
另外又衍生的状况是,当华硕推出ASDT检测工具时,国外资安研究人员GiuGiuseppe `N3mes1s`在推特上指出,该工具被微软Windows Defender误判为恶意程式,这样的乌龙事件,其实也是受到程式码签章凭证的影响,因为已有一些资安公司,得知此数位签章有冒用问题,因此先采不信任的态度,将之排除在白名单以外。
对此,谢长轩也进一步说明,在他们通报华硕之后,后续虽然没有发现新的恶意样本,但在3月时,华硕新发布的软件仍是使用有问题的程式码签署,因此他们提醒对方应尽快做出处理。而最简单的动作,就是注销骇客入侵冒用的数位签章,至少各家安全业者就能在检查签章时,发出警告资讯,并要注意新的签章凭证不会再次遭窃。
同时,谢长轩也提到Blind Trust的议题,对于信任凭证这样的机制,部分作法更为严谨的业者,不会单单只是依赖凭证检查,还有其他的作法一起搭配,也会有人去介入调查分析的情况。但在目前市场现况下,签章凭证仍是较普遍使用的一种方式,并且具有效率,未来要用什么样的机制来改善,将是挑战。
骇客使用华硕的数位签章而使得恶意更新难以被察觉
根据卡巴斯基的研究指出,这次事件中被注入恶意程式码的华硕Live Update程式,使用了合法的数位签章,因此难以被察觉。
面对骇客组织滥用凭证的威胁,卡巴斯基提醒华硕应注销被入侵的凭证
根据卡巴斯基的研究指出,骇客可能窃取了华硕数位凭证的副本,或是滥用了华硕内部安装凭证的系统,因此认为这些被入侵的凭证应该要被注销。但是,在他们向华硕报告的一个月后(如同中显示3月10日),他们发现华硕新发布的软件仍使用被入侵的凭证来签署,因此他们立即通知华硕,并提供相关证据。
近期华硕大动作进行多项产品的程式码签章凭证升级
在华硕更新服务器被骇事件传出后,后续事件处理也是各界关心的焦点。
在消息曝光后,华硕已在一日内对媒体发表正式声明,指出有部分机台搭载的Live Update版本遭骇客植入恶意程式码,企图对少数特定对象发动攻击,他们强调,已对Live Update软件升级了全新的多重验证机制,同时提供ASDT检查工具,并在当日晚间于官网发布相关公告,期望让用户能安心使用。
后续,华硕则在官网的FAQ页面增加相关说明,请用户更新Live Update到V3.6.8以后的版本,来解决安全问题,这也终于让用户可以有更清楚的答案。
只是,对于这次事件的影响范围,该公司只有针对供应链攻击的面向回应,表示受影响的数量为数百台,但未公布从华硕更新服务器下载木马化Live Update的用户数量。
事隔半月后,华硕则是进一步解决程式码签章凭证所引发的问题,他们在4月13日发出相关公告,并说明影响的产品包含旗下主板、显卡、迷你电脑、工作站、服务器等。
无论如何,这起事件也再次突显业者程式码签章遭窃的后果与严重性,而这样的状况,也让人想到去年台湾两家IT厂商D-Link与全景资讯,也被发现凭证遭窃与滥用的问题。接连不断的事件,该如何防止这样的事件再次上演,是企业必须重视的问题。
更让人震惊的是,即便是信誉良好的供应商业者,使用的数位签章证书也可能遭受入侵与冒用,而这将引起其他软件公司,乃至整个开发过程与更新环境的担忧。
华硕更新服务器遭骇事件处理过程
2019年1月29日
卡巴斯基发现遭入侵的ASUS Live Update工具程式
2019年1月30日
卡巴斯基将初步报告提供给华硕
2019年1月31日
双方进行面对面的电话会议。华硕并提供最新版本的华硕Live Update程式给卡巴斯基,经过分析发现它并未受到感染。
2019年2月1日
华硕提供2018年的Live Update备份档,经卡巴斯基分析后,发现没有感染的状况,并且使用不同的证书签章。
2019年2月14日
双方进行第二次面对面会谈,并讨论攻击细节。
2019年2月20日
卡巴斯基再次提供有关攻击的新发现细节
2019年3月8日
卡巴斯基向华硕提供了目标MAC地址列表的新发现
2019年3月26日
此事经科技媒体Motherboard报导曝光,卡巴斯基也同步揭露关于此次供应链攻击“ShadowHammer”行动的相关资讯,并指出骇客散布恶意更新的时间是在2018年6月到11月间。华硕也于晚间对此发表相关声明。
2019年4月8日
卡巴斯基提供一份关于对华硕攻击调查的综合报告。
2019年4月13日
华硕发布产品程式码签章凭证维护公告,将对旗下数项产品进行多重性程式码签章凭证架构升级,这些产品包括主板、显卡、迷你电脑、工作站与服务器等。同时,他们也提醒用户,此项升级作业需撤销现行的程式码签署凭证。
资料来源:卡巴斯基、iThome整理,2019年5月
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09