若要解析供應鏈攻擊牽涉的層面,微軟認為,可根據上下游來區分,以上游來看,駭客能針對DNS、PKI、雲端服務供應商、VPN服務供應商、網路服務供應商,以及合作夥伴。圖片來源/微軟

在過往的資安威脅當中,就受害對象而言,可分為隨機式攻擊(Opportunistic Attacks),以及目標鎖定式攻擊(Targeted Attack),然而,隨著滲透手法持續發展,這兩種攻擊搭配的狀況越來越多,尤其這幾年的多起供應鏈攻擊事件更為顯著。

IT人常用的工具軟體被駭客攻陷,成為滲透企業的新利器

舉例來說,2017年9月發生震驚全球的系統清理軟體CCleaner遭駭事件,該套軟體被植入惡意程式,導致227萬臺電腦受到影響。由於這套軟體是許多IT人員愛用的免費工具軟體,因此,有心人士若竄改這套產品,就能透過這個管道,將攻擊程式散播到許多企業。

到了2019年,供應鏈攻擊事件趨於多元,軟體類型仍為最大宗,其中,與臺灣最密切的,莫過於針對華碩個人電腦軟體更新平臺Asus Live Update的攻擊。

不久,華碩爆發雲端硬碟服務ASUS WebStorage用戶端程式遭濫用,在有漏洞的路由器與中間人攻擊的手法之下,裝有這套程式的個人電腦會感染惡意程式Plead。

VPN漏洞讓供應鏈有弱點,駭客趁虛而入

到了2019年第三季,有多起供應鏈攻擊被揭發,都跟VPN有關。

例如,9月底,歐洲飛機製造商空中巴士(Airbus)揭露,他們遭到一系列駭客攻擊,對方鎖定的目標是空中巴士的供應商,像是英國的引擎製造商勞斯萊斯(Rolls-Royce)、法國的技術諮詢與供應商Expleo,以及兩家承包商,企圖尋找其中的商業機密,而攻擊的目標,正是連接這些公司與空中巴士之間的VPN加密連線。

而在IT廠商的部份,也出現VPN相關的供應鏈攻擊事件。首先是防毒軟體廠商Avast,9月底發現有人透過暫存的VPN連線組態檔,從VPN侵入該公司內部網路,為期將近4個月,目標正是兩年前遇害的CCleaner(Avast在2017年9月併購開發CCleaner的Piriform公司);就在同一天,NordVPN、TorGuard與VikingVPN等三家VPN業者的金鑰,也被公開。

網站使用的外部服務遭濫用,駭客置入惡意程式

除了上述事件,資安業界也將表單劫持(formjacking),以及網站誤用被嵌入側錄付款資訊惡意程式(Skimmer)的網路服務,認定為供應鏈攻擊。

像是電子商務平臺Volusion用的雲端基礎設施,遭駭客入侵,就是一例。有駭客在芝麻街網站搭配基於Volusion平臺而設置的線上商店,載入置於Google雲端儲存服務的JavaScript檔,而這支檔案會動態注入線上商店頁面,並在Volusion網站存放另一支JavaScript檔,該程式會將消費者輸入的卡號轉貼至其他網站。

由於採用這樣的手法,因此,許多人推測,是攻擊英國航空與Newegg的Magecart集團所為。

綜觀這幾年發生的供應鏈攻擊事件,我們可以發現企業若要做好相關的防護,必須重新思考對於各種形式委外服務的依賴。

若無法完全自主,就要擴大整體防護的層面,強化或管制這類技術與服務整合的使用範圍,不應自掃門前雪,或過度信任外部合作的資源。

 相關報導  2020年10大資安趨勢預測


Advertisement

更多 iThome相關內容