面临数字化转型 信息化部门的挑战与行动

2022年初,以提供学习管理系统为生的供应商Blackboard Inc遭到了黑客入侵。 利用这家供应商的系统权限,黑客顺藤摸瓜,很快攻入了其客户之一的Millersville大学网络,并进一步渗透链接到该校系统的另一家学校Blackwell教育服务网。这场发端于小供应商的供应链攻击,让12万学生和员工的个人信息沦为黑客掠夺品。供应链效应放大了原本隐蔽的攻击力度。

Conti勒索软件攻击Costa Rica政府

2022年4月,黑客组织Conti通过渗透Costa Rica政府一个税务软件外包商的系统,并在软件更新中植入了勒索软件病毒,这种病毒代码可以在软件安装或更新时启动,并快速对整个网络发起加密攻击。这种精心设计的供应链攻击让Conti成功进入Costa Rica多个政府部门系统,加密了重要数据并要挟政府支付数百万美元赎金。本可以轻易避免的软件更新变成了国家灾难,严重打击Costa Rica政府运作。黑客只需攻陷一个小供应商,就可导致整个网络瘫痪。

利用Config Server 攻击SAML平台

2022年6月,黑客利用开源配置管理系统Config Server的安全漏洞,实现了对服务供应商一站式SAML身份认证平台的供应链攻击。该平台为众多企业客户提供身份验证服务。黑客将恶意代码注入Config Server系统,然后通过配置更改将其传递到SAML平台,从而进一步向客户发起攻击。这种多级供应链攻击实现了隐蔽而持久的渗透。尽管供应商赶忙修补漏洞,但已有数十家客户因此面临安全风险。

ItsMy的供应链攻击

2023年1月的那场利用开源软件ItsMy的供应链攻击,足以说明无人问津的古老系统也可能成为黑客下手新目标。ItsMy诞生已久,很多用户将其遗忘在某个袋底,而黑客却在这个看似冷清的角落发现了价值。通过注入隐蔽的恶意代码,黑客成功突破了ItsMy简陋的安全防线,并利用其具备的自动化分发功能,将攻击扩散开来。任其自动运行多年的ItsMy,瞬间成了供应链攻击的帮凶。无数企业用户在毫无察觉的情况下,系统已被植入了后门,大量敏感数据直通黑客掌控。供应链攻击不再仅局限于新兴系统,“老东西”也需重视。

食品供应链攻击

2023年4月,食品业巨头JBS的美国牛肉厂再次成为黑客目标。黑客攻陷了JBS一个负责运输和物流的供应商的系统,并通过该供应商的访问权限成功入侵JBS加工厂的网络环境,使用新变种勒索软件RansomEXX加密了工业控制系统,导致JBS位于美国多个州的6家牛肉加工厂被迫停工。JBS此前在2021年5月也遭到过规模巨大的勒索软件攻击。供应链风险的反复利用给食品安全敲响了警钟。

3. 在攻防演练中供应链安全攻击的场景

随着近几年攻防演练的发展，一些较大企业部门在互联网测的攻击面愈加减少，而攻击队想要通过常规方法却很难攻进系统，便将攻击侧重点放到为企业或部门提供开发、统一托管等的企业上。

通过进入供应链企业网络后，利用常规攻击手法获取目标单位相关信息（系统开发源代码、平台登录账号密码等）；

部分单位将系统统一托管至企业，并在该系统中存在铭感数据，攻击者通过攻击托管系统也可获取目标单位敏感信息。

云服务供应链攻击：攻击者通过伪造云服务提供商的身份、盗窃云服务提供商的访问凭证等手段，对云服务提供商进行攻击。一旦攻击成功，攻击者可以获取云服务中保存的敏感数据，例如云存储、云计算等。