从棱镜计划到维基解密、勒索软件事件,再到2020年底的SolarWinds事件,网络空间重磅事件近年来层出不穷。尤其是SolarWinds 事件,爆发之迅猛,波及面之大,社会影响之深,潜在威胁之严重,令世界为之震惊,堪称过去近十年来最重大的网络安全事件。其背后隐现了俄罗斯情报机构这样国家机构的“影子”,被黑客植入木马的SolarWinds Orion软件被国家行为体利用后所造成的危害,已大大突破了当今顶级安全公司及政府机构所具有的防御能力。更重要的是,这起重大事件揭开了软件供应链存在的问题及隐患,折射出软件供应链攻击难发现、难溯源、难清除、低成本、高效率的特点;同时也真实反映了网络空间技术和力量较量无处不在,美国或将调整其网空防御与进攻举措,全球网络空间攻防态势或面临重塑,大国间的地缘政治博弈也将加剧。

 一、“SolarWinds”事件基本情况

2020年12月8日,美国顶级安全公司火眼(FireEye)爆出,黑客通过木马化的SolarWinds Orion软件入侵了公司网络。12月14日,美国联邦调查局(FBI)、国家情报局局长办公室(ODNI)与美国国土安全部网络安全与基础设施安全局(CISA)联合发布声明,首次正式确认被黑客植入木马的SolarWinds造成多个美国联邦政府机构的网络遭受入侵。黑客对文件的源码进行篡改添加了后门代码,该文件具有合法数字签名伴随软件更新下发。通过该渠道,高级持续攻击(APT)黑客组织可直接攻击目标机构的网络管理员,获得网络设备账号及管理权限、IT基础设施及管理权限,以及业务系统与数据库的最高权限,从而可畅通无阻地访问内部网络,具备长期的匿名网络接入能力,以及越过内部安全等级防护的权限,从而达到长期控制目标、窃取核心数据的目的。

事态仍在不断发酵,截止12月16日,已确认受害的重要机构至少200家,波及北美、欧洲等全球重要科技发达地区的敏感机构,其中美国占比超过60%。综合多家媒体报道显示,受此事件影响的美国政府机构包括美国国务院、国防部、财政部、国土安全部、能源部国家核安全局、美国国家电信和信息管理局、美国国立卫生研究院等。针对该事件的风险,CISA以“超出了容忍极限”的罕见字眼在官方通报中予以通告,并发布紧急指令21-01,呼吁所有联邦运行SolarWinds产品的机构立即断开或关闭SolarWinds Orion的电源。

为尽快全面调查该事件,12月14日美国成立了由FBI、CISA和ODNI组成的网络统一协调小组(UCG),并由美国家安全局(NSA)协助和采取补救措施。调查目前集中在四个关键方面:确定受害者,收集证据,分析证据以确定进一步的归因,并与政府和私营部门合作伙伴共享结果以告知行动。随着调查的不断深入,UCG发现多达250个组织继续遭受了第二阶段攻击,攻击者投掷了名为Teardrop的恶意软件,可窃取数据,安装其他恶意软件和后门程序,并帮助黑客到达其他系统。据美国司法部披露,黑客已向其内部邮件系统渗透,受影响人数多达司法部员工邮件账户总数的三分之一,其第二阶段重大受害机构之一。大多数运行后门软件的Orion客户(可能多达18,000个组织)有可能只进入第一阶段,后续攻击阶段的高价值目标仍有待进一步调查。

因此,可以判断,此次软件供应链攻击具有极大的战略意图,意在长期控制某些重要目标,或旨在获取足以长期活动的凭据。目前,事件仍在持续发酵,未来如何发展仍有待观察。

 二、“SolarWinds”事件特点分析

极高的技术水平和隐蔽性

隐蔽处于绝对首位是其攻击思想,在入口选择上,攻击者选择源代码阶段,且选择代码仓库为发起感染的位置,并选择非常深层次的调用堆栈,以降低代码重构期被发现的可能性,甚至有研究机构发现此后门实质上仅仅是一个高隐蔽性探针,后续攻击一定会更换后渗透的攻击套件进行下一阶段行动。其设计思路隐蔽巧妙,显示出了非常老练的后门功底。在上线选择上,宁可放弃大量的上线机会也不愿在某个非安全环境上线,谨小慎微的做法和常规行动者情况完全相反。在编码上,高度仿照了SolarWinds的编码方式与命名规范和类名等,非常工整,其高超的代码仿冒能力成功绕过了SolarWinds公司复杂的测试、交叉审核、校验等多个环节,在技术和思维上已大大超过常规行动体。因此,不难理解为何火眼作为顶级安全公司,在网络威胁检测、邮件威胁检测、终端威胁检测等领域具备世界一流水平,但是攻击者能够利用前所未有、令人耳目一新的技术组合以及多种应对安全工具和取证检查的方法,渗透进入火眼公司内网,盗取其红队测试工具网络武器库。致使火眼首席执行官凯文•曼迪亚对此次事件所展示的攻击能力甚至用火眼25年所遭遇的顶级攻击来形容。

极强的耐心和高精准性

黑客早在2019年10月已控制了代码仓库,由此逆推SolarWinds公司被控制的时间可能在2019年初甚至更早。此阶段据推测意在验证攻击手法是否能成功,并据此推断后续行动所需时间。2020年3月引入了第一个恶意SolarWinds Orion版本,随后进入行动筹备和实施阶段,但时隔9个月后才被发现。也就是说,攻击者在2019年10月进行“预演”来进行技术测试,然后在2020年3月开始实际攻击。这些数据一方面再次印证了其高隐蔽性,同时也揭示了攻击组织花费长时间用以收集被感染目标相关信息,根据回传信息进行目标精准辨识,再根据既定作战任务进行目标筛选、研判并做出具体指令,是终止、等待或是持续渗透。潜伏时间之长,充分说明了攻击者意在精准筛选,仅对特定目标实施后续攻击,体现其攻击的高精度性。正如微软总裁布拉德·史密斯所表示的:“这是一次非常复杂、非常有耐心、坚持不懈的攻击。”SolarWinds在其安全警报中明确指出:这种攻击是一种极有针对性的、手动执行的攻击,而不是广泛的、系统范围的攻击。据最新调查发现,黑客已使用名为Teardrop的第二阶段恶意软件控制本地网络,再以此为支点入侵受害目标,收集大量第一手情报。因此,此类攻击通常会从破坏最小到危害最大的多个阶段展开,最终实现最有价值目标的彻底突破,窃取大量数据。

难度极大的细节挖掘和清除工作

随着SolarWinds事件更多信息的浮出水面,美国CISA调查发现此次黑客攻击行动很有可能利用了其他战术、技术和程序(TTP),攻击者不仅限于将后门偷偷潜入代码中,而且能够与被感染系统进行通信而不会被发现。攻击者可以完全不受限制地访问SolarWinds软件和分发机制。这些策略、技术和程序尚未被发现,很难从受感染网络中删除,不但高度复杂而且极有挑战性。美CISA新负责人布兰登•威尔斯称“该事件是CISA在网络领域面临的最复杂和最具挑战性的活动之一。”据CISA最新调查发现,黑客无需SolarWinds即可闯入网络,正在利用SolarWinds Orion漏洞之外的方法破坏联邦网络。CISA发现黑客可能已经使用密码猜测和密码喷射技术来获取其他管理权限,可伪造身份验证令牌,获得对其他云资源和环境的访问权限。

因此,此次经过精心策划的、复杂的大规模软件供应链入侵不但调查取证历时比较久,而且揭露攻击活动的全部细节及清除工作是一项艰巨的任务。到目前为止,还没有全面了解该攻击可能造成的损害以及它是否仍然存在。

国家背景黑客组织幕后所为

通过分析该事件的各种蛛丝马迹,可以发现至少经过专业黑客组织两年的踩点与渗透,由基础建设团队提供链路与武器,由分析团队进行目标确认,由后渗透团队实行深入控制,通过供应链打击的实质形式,有组织、有目的、成建制的进行网络攻击。此外,能将非常复杂的定制化后门作为一次性探针使用,这么高的开发和攻击成本对于小团队是完全不现实的。并且通过IP这种难以精确控制的资源作为控制载体也能体现出攻击者本身维护了一个庞大的基础设施网络资源库,同时也体现出较为雄厚的经济实力。因此,从攻击者的行为和使用的技术,以及足够的基础设施支撑来看,其攻击水平与技术成熟度无疑是国家背景的黑客组织。2021年1月,白宫网络统一协调小组(UCG)也首次明确披露俄罗斯情报部门是此次事件的幕后黑手,并为此付出了极高的成本。

三、软件供应链已成为黑客攻击的重要突破口

由上述对该事件的深度解析可以清晰看出,软件供应链攻击作为一种新型威胁,具有威胁对象多、极端隐蔽、检测难度大、涉及维度广等特点,已成为国家级攻击行为的重要选项,在未来一段时间内软件供应链攻击将是最难防范的威胁之一,而且攻击数量还会增加。那么,为何软件供应链悄然成为了黑客实施攻击的最佳切入点,原因分析如下:

软件供应链攻击造成的影响深远

软件供应链攻击具有极大的传播性,如在上游开发环节发生的攻击,一旦成功,便会波及整个软件供应链的中下游,对大量的软件供应商和最终用户,包括政府机构、组织、企业等带来巨大风险和损失。尤其是当上升为国家行为后,国家级攻击组织利用软件供应链攻击可取得极大攻击效果。例如,2012年的震网病毒对伊朗核设施的破坏。2017年NotPetya攻击和Equifax数据泄露影响了数百万用户。同年,勒索软件变种Petya攻击乌克兰,使得乌克兰首都机场、国家储蓄银行遭遇重大损失。而此次爆发的SolarWinds事件直接将国家级网络攻击的关注推至新高,无论从规模、影响力和潜在威胁性来看,都堪称过去十年最重大的网络安全事件。这些事件一方面展示了软件供应链攻击可危害敌对国的大型机构、基础设施以及大型企业;另一方面也展示了软件供应链攻击的巨大潜在规模,及其对国家级攻击者的战略价值。因此,软件供应链攻击近年来备受黑客青睐。

软件供应链的攻击面多

软件供应链是一个通过一级或多级软件设计、开发阶段编写软件, 并通过软件交付渠道将软件从软件供应商送往软件用户的系统。从软件生命周期的视角可以将软件供应链简单抽象为软件设计、代码编写到生成软件的开发环节,软件分发和用户下载的交付环节,直至交付到用户的使用环节,三大环节环环相扣构成其链状结构。这种链状结构中每个环节都面临着安全风险,致使攻击面多,易暴露脆弱性。同时,相比于传统的针对软件漏洞的攻击,软件供应链攻击从软件本身扩展为软件以及内部的所有代码、模块和服务,以及与这些模块相关的供应链上游供应商的编码过程、开发工具和设备,不但大大增加了攻击途径,而且还显著降低了攻击难度。

软件供应链的攻击手法多样

软件供应链攻击呈现多样化特点,从近年来发生的多起典型软件供应链攻击事件可见一斑,例如,2015年的XcodeGhost开发工具污染事件,2017年的CCleaner恶意代码植入事件,以及WireX Android 僵尸网络和NotPetya 勒索病毒事件,采用了不同攻击手段。软件供应链的链状结构特点使其每个环节面临不同的安全风险,自然衍生出不同的攻击手法,例如,针对开发环节的源代码和开发工具污染,针对交付环节的下载网站和软件更新网站攻击,针对使用环节的升级更新劫持等。攻击者针对各环节的不同脆弱点实施不同攻击,再依赖供应链上的信任关系以逃避传统安全产品的检查,沿着供应链向后渗透,从而实施对目标网络的渗透及非法攻击。此次SolarWind事件一经报道后,国内外多家研究机构和智库即从不同角度进行分析,其中阿里云安全通过分析历史曾经发生过的126起供应链攻击事件,将相关攻击手段总结为15种,包括黑灰产模式推广恶意软件,入侵官方网站替换下载链接,劫持正式更新下载地址的域名,入侵官方更新升级系统,入侵软、硬件开发公司,向目标项目的源码植入恶意代码,开发工具污染篡改源码,植入后门,应用运行环境、应用组件环境被植入后门,等等。

 四、事件背后的原因分析

美网络防御能力建设相对滞后被充分暴露和放大

隐藏在该事件背后的一个根本原因实际上是美国长期以来推进的进攻性网络安全战略,从奥巴马到特朗普政府时期均延续着这一战略思想,强调“主动攻击”,追求强大的进攻能力和网络威慑能力,不断加大美军进攻性网络空间作战力度。高估通过进攻性战略获得的安全利益,严重低估了网络防御的重要性。路透社曾援引美国联邦政府公布的数据以及情报部门官员的话报道称,美国90%的网络项目开支用于研发黑客攻击武器,各种攻击武器可侵入敌方电脑系统、通讯窃听、使基础设施瘫痪或受阻。在网络资源布局方面将较多的资源用于攻击而非防御,此次SolarWind事件也充分暴露了美网络防御能力建设相对滞后乃至不足,其缺陷被充分暴露和放大。因此,该事件为美国家网络安全防御能力的建设,以及全球范围防控网络空间进攻性代码和能力扩散等问题敲响了警钟,亟需在国家网络安全战略能力体系建设和全球网络空间安全规范构建中得到充分重视。

针对软件供应链攻击的研究还不成熟

虽然软件供应链攻击事件时有发生,但是2017年“针对软件供应链的网络攻击”概念才首次由微软提出。作为一种新的安全问题,目前还缺乏权威而准确的定义。相比于针对目标计算机系统的漏洞安全研究,针对软件供应链安全的研究目前整体还处于提出问题或分析问题的起步阶段,还没有到解决问题的关键阶段,一定程度上还缺少直接的有针对性且有价值的研究成果。因此,面对数量繁多、涉及领域广泛、与用户信息接触最为直接的各类软件产品,目前尚未形成一套防御理论完备、技术手段长久有效的软件供应链防护体系,直接导致应对措施和机制缺失、检测和溯源技术水平等跟不上。未来在进一步加强软件供应链攻击风险防范意识的同时,还需要在软件安全质量的检测与控制,软件供应链各类渠道的安全防范,供应链攻击的防护、检测和响应,软件供应链的风险管理流程等方面进一步深入研究。

保障软件供应链安全的难度比较大

其难度首先体现在当开源软件的数量呈指数级增长时所带来的安全问题不容忽视。当前新增开源代码数量巨大,直接导致软件库之间的引用关系非常复杂,只要其中一个环节出现了问题,就会导致所有使用该软件库的下游软件均存在该漏洞。更重要的是,对于开发过程中引入开源软件的执行细节与其中潜在的风险,大多数开发者都无从获知。其次,攻守完全不平衡。对攻击者而言,只需找到软件供应链的一个突破口便可入侵并造成危害,而开发者则需要对整个软件供应链进行完备的安全防护,对漏洞挖掘、安全防范提出了更高要求。即便企业安全意识足够高,从漏洞公布,发现安全隐患设计补丁,最终测试并发布安全的新版本,仍然需要一定的周期,而攻击者根据漏洞生成攻击向量的速度可能更快。第三,软件供应链攻击的隐蔽性非常强。软件供应链攻击作为一种新型攻击手段,能够绕开传统安全产品的防护,通过侵入合法软件并篡改数据的方式进行伪装,实现大范围的传播及攻击,造成巨大损失。

五、“SolarWinds”事件后美在供应链安全方面的后续动作

该事件自爆发后,美对其进一步深入分析、细节挖掘及调查研究从未停息,拜登政府也对其给予高度重视。从几大重要网站相关新闻报道的一些线索可以预测美未来在供应链安全方面将可能采取的一些相应措施。

(1) 白宫将出台软件安全行政指令。随着SolarWinds违规事件的持续发展,白宫正在执行一项行政命令,将专注于建立软件标准,尤其是用于关键领域的软件,以鼓励软件开发人员在其产品中增强安全性。针对该事件,未来拜登政府的应对方式将可能很大程度影响白宫未来网络安全政策,新政府是否会有重大的架构变化还将拭目以待。

(2) 美CISA将着眼于改变以应对未来的供应链黑客,美政府将加大CISA的投资及授权,并增强CISA等机构在整个联邦网络中进行更广泛的威胁搜寻能力。目前CISA正在探索内部监控“异常活动”的方法,例如通过加密通道与网络外部实体进行通信的网络管理系统,此外,CISA将被赋予更大的权力进行威胁监管,以及更多的职权如对科技企业的整体知情权,以有效地防御和快速反应。

(3) 创建并实施现代的供应链安全。2021年2月,软件联盟发布了《构建更有效的ICT供应链安全》白皮书,呼吁将美国的供应链安全政策转变为基于保障的方法,聚焦战略重点,在政府机构间展开协调。软件联盟认为,近年来的供应链安全政策偏于被动并过于宽泛,最终无法(实现)促进安全,并会阻碍经济增长。白皮书呼吁美国政府专注于保障工作,加强美国领导力,激发公私合作关系,并对现行政策进行调整,以降低供应链风险,推动全球ICT供应链的信任和安全。

 六、结 语

SolarWinds供应链黑客攻击事件对全球各国供应链和关键基础设施安全防御体系而言都富有极大的冲击性,暴露了包括美国在内的全球各国网络安全策略的软肋。大量传统网络安全工具、措施和策略失效,一定程度上颠覆了业内人士对网络信息安全防御传统方法的认知。“重攻轻守,以攻代守”的美国国家网络空间安全战略遭受严重打击,全球网络安全行业或将面临斯诺登事件以来最大的不确定性或变革,对未来美国家安全策略或将带来深远影响。

此次事件的攻击者技术高超、手段老练、有着极强的专业能力和高度的纪律性,SolarWinds是否并非其唯一目标,还有多少未被发现的SolarWinds,谁会是下一个被发现的SolarWinds?在进入SolarWinds之后是否已经控制了其它更多的供应商?攻击者是否已通过本次攻击转移了打击阵地?这些问题,尚未知晓。唯一确定的是,我们看到的远远少于所有的可能性,攻击所造成的危害及威胁,可能比我们已知的要严重的多。