從 XZ 到 Crowdstrike ——供應(yīng)鏈攻擊的影響和未來意義

全球化與數(shù)字化使得世界經(jīng)濟(jì)的許多方面高度依賴技術(shù)，如智能手機(jī)和筆記本電腦，而這些技術(shù)又依賴于制造商定期提供的軟件和安全更新。這種錯綜復(fù)雜的實(shí)體、資源、商品和服務(wù)網(wǎng)絡(luò)構(gòu)成了一個供應(yīng)網(wǎng)格，使我們今天所熟知的國際貿(mào)易、旅行和商業(yè)成為可能。

為了實(shí)現(xiàn)這些軟件更新，當(dāng)公司向其設(shè)備推送更新時，人們會默認(rèn)信任這些更新是無惡意軟件且無錯誤的。這種默認(rèn)的信任讓供應(yīng)鏈攻擊變得對威脅行為者來說頗具吸引力。通過獲取制造商的基礎(chǔ)設(shè)施訪問權(quán)限，威脅行為者能夠在合法的軟件更新中注入惡意軟件，這可能成為最有效和最危險的攻擊途徑之一。這種攻擊途徑并不是一個新概念，近年來如ShadowPad、CCleaner和ShadowHammer等事件表明，只要攻擊者下定決心，就能進(jìn)入受保護(hù)最嚴(yán)密的網(wǎng)絡(luò)。然而，最近的 Crowdstrike 事件表明了供應(yīng)鏈的重要性，以及一旦出錯將造成的空前規(guī)模的影響，從而對供應(yīng)鏈的脆弱性和我們今天對供應(yīng)鏈的依賴性提出了新的問題。

從世界協(xié)調(diào)時間2024 年 7 月 19 日（星期五）04:09 開始，持續(xù)大約兩到三天，全球經(jīng)濟(jì)陷入停滯，原因是 CrowdStrike 發(fā)布了一次內(nèi)容配置更新。CrowdStrike 是一家美國網(wǎng)絡(luò)安全公司，是少數(shù)幾家獲得 Windows 操作系統(tǒng)內(nèi)核權(quán)限的公司之一。

據(jù)媒體報道，包括醫(yī)院、銀行、航空公司等關(guān)鍵基礎(chǔ)設(shè)施，以及美國宇航局、聯(lián)邦貿(mào)易委員會、國家核安全管理局、緊急情況 911 呼叫中心、菲律賓政府網(wǎng)站等關(guān)鍵政府基礎(chǔ)設(shè)施，其系統(tǒng)運(yùn)行 Windows 并受到 Crowdstrike 的保護(hù)，都受到錯誤更新的影響，無法正常運(yùn)營。目前，這可以被認(rèn)為是歷史上最嚴(yán)重的停機(jī)事件，造成了前所未有的經(jīng)濟(jì)損失。

受影響的系統(tǒng)包括在 2024 年 7 月 19 日（世界協(xié)調(diào)時）星期五 04:09 至 2024 年 7 月 19 日（世界協(xié)調(diào)時）星期五 05:27 期間在線并收到更新的運(yùn)行 7.11 及以上版本傳感器的 Windows 主機(jī)。Mac和Linux主機(jī)未受影響。最終，這種情況并非由任何高級持續(xù)性威脅 (APT) 引起，而是由一個錯誤的軟件更新引起的，其展示了完美執(zhí)行的供應(yīng)鏈攻擊可能帶來的后果。不過，這并不是第一次供應(yīng)鏈故障事件，因?yàn)橹耙舶l(fā)生過類似事件，如在一次復(fù)雜的行動中，Linux XZ 庫遭到入侵。

2024年初，Linux XZ Utils項(xiàng)目，一組免費(fèi)的數(shù)據(jù)壓縮命令行工具和庫，被發(fā)現(xiàn)遭受了供應(yīng)鏈性質(zhì)的攻擊。該攻擊是一個高度復(fù)雜和精密的后門，它被巧妙地混淆和隱藏，巧妙地隱藏并篡改了OpenSSH的邏輯，OpenSSH是Secure Shell（SSH）協(xié)議的一個實(shí)現(xiàn)，從而實(shí)現(xiàn)未經(jīng)授權(quán)的訪問。SSH 也是一種加密網(wǎng)絡(luò)協(xié)議的名稱，用于安全地操作設(shè)備，包括企業(yè)服務(wù)器、物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)路由器、網(wǎng)絡(luò)附加存儲設(shè)備等。

目前，數(shù)以千萬計的物聯(lián)網(wǎng)（IoT）家用電器、數(shù)百萬臺服務(wù)器、數(shù)據(jù)中心和網(wǎng)絡(luò)設(shè)備依賴于SSH，這可能導(dǎo)致一場災(zāi)難，其規(guī)模將遠(yuǎn)超CrowdStrike事件。開源軟件公司 紅毛（Red Hat ）指出，這一事件在 NIST 國家漏洞數(shù)據(jù)庫中被編號為 CVE-2024-30942，其最高嚴(yán)重程度評分為 10，承認(rèn)其可能被惡意威脅行為者利用。

取證分析表明，這些提交是由一名用戶名為 JiaT75（又名 "Jia Cheong Tan"）的 GitHub 用戶操作的，該用戶從 2021 年開始加入 XZ Utils 項(xiàng)目團(tuán)隊并為 XZ 項(xiàng)目做出貢獻(xiàn)。JiaT75的身份尚不確定，因?yàn)榭赡艽嬖诙鄠€威脅行為者共用一個賬戶的情況，盡管已知該賬戶使用新加坡的VPN并在UTC+8時區(qū)操作。

就像披著羊皮的狼一樣，JiaT75通過與項(xiàng)目其他貢獻(xiàn)者社交并提供積極貢獻(xiàn)，逐漸建立了信任，最終獲得了維護(hù)XZ項(xiàng)目檔案的控制權(quán)，并獲得了合并提交的權(quán)限。人們發(fā)現(xiàn)XZ/libzma構(gòu)建被修改，并被一系列復(fù)雜的混淆手段所掩蓋，成為某些操作系統(tǒng)上SSH的依賴項(xiàng)，實(shí)質(zhì)上允許對受感染系統(tǒng)進(jìn)行無限制的訪問。

幸運(yùn)的是，這一事件被及時發(fā)現(xiàn)，目前研究仍在進(jìn)行中，但它突出表明，社會工程學(xué)與開源軟件的特性相結(jié)合，仍然是供應(yīng)鏈攻擊的另一個可行途徑。

人工智能正越來越多地融入社會，其應(yīng)用領(lǐng)域包括優(yōu)化智慧城市的基礎(chǔ)設(shè)施、提升醫(yī)療、教育、農(nóng)業(yè)等。與任何技術(shù)一樣，人工智能并非無懈可擊，它依賴于學(xué)習(xí)模型和訓(xùn)練來獲得有意義的輸入，而這些輸入可能受到供應(yīng)鏈攻擊，被注入惡意內(nèi)容。