BP机爆炸后,对讲机也爆炸了 | 网络+供应链攻击之迷
继9月17日黎巴嫩发生针对真主党的BP机爆炸事件后,其首都贝鲁特等地于当地时间9月18日傍晚又发生了无线电对讲机爆炸。据媒体报道,贝鲁特的一家移动维修店和葬礼游行现场发生了爆炸,且南部多个地区的房屋中还发生了太阳能系统爆炸,造成至少一名女孩受伤。
当地时间9月18日,黎巴嫩多地再次发生通信设备爆炸事件,有部分地区房屋因此出现起火或爆炸
黎巴嫩卫生部称,此次对讲机爆炸目前已造成至少20人死亡,另有450多人受伤。根据《纽约时报》对现有视觉证据的分析,此次爆炸的对讲机比前一天在全国各地爆炸的BP机更大、更重,虽然爆炸发生地没有之前那么广泛,但在某些情况下还会引发更大的火灾,表明其中可能包含更多的爆炸物。
爆炸的对讲机型号,图源:CNN
黎巴嫩安全部门官员对此表示,以色列情报和特勤局(摩萨德)是两起爆炸事件的“始作俑者”,但并未给出实质性证据。为用户阅读更方便,本文假设爆炸事件是由摩萨德策划。
不得不说,摩萨德策划的两次爆炸事件给了安全圈一个小小的震撼。有一种“卧槽,网络攻击还可以这么玩”,当其他攻击者还在窃取数据,摩萨德已经把虚拟空间和现实世界融合在一起。
如果BP机和对讲机可以被定向引爆,那么其他电子产品呢?细思极恐。摩萨德接通过网络+供应链攻击,可以将全球电子产品变成定时炸弹?这点很有三体人“二向箔攻击”的风采,在网络攻击方面他们极其富有想象力。
而随着越来越多的网友讨论该事件,提出了越来越的疑问和假设。
9月17日BP机爆炸事件,不少网友猜测摩萨德渗透了BP机供应链,在其生产层面提前植入微量炸药,并通过网络攻击进行引爆。但在9月18日又出现了大量的对讲机爆炸,还涉及指纹安全锁、家用太阳能系统和其他类型的家用无线电设备。
这意味着此前在供应链源头的推测可能靠不住。摩萨德再厉害也无法同时入侵这么多产品的供应链源头,并在生产线上植入相应的爆炸物。
另外,根据媒体的报道,发生爆炸的ICOM V82型对讲机由日本公司ICOM生产,且该产品不是由公认的代理商提供,没有官方许可,也没有经过安全部门的审查。对此,ICOM表示目前正在调查有关此事的事实。该公司网站称 IC-V82 已停产,目前流通的几乎所有型号都是假冒的。
由此说明,摩萨德并非直接渗透至供应链源头公司。
如果渗透供应链源头的推测不可靠,那么反过来台湾省Apollo公司的声明可信程度就比较高了。在BP机爆炸事件后,Apollo公司CEO许景光举行了新闻发布会,声称真主党订购的AR-294BP机是由一家名为BAC的公司授权生产的。
BAC公司位于匈牙利布达佩斯,与Apollo公司签署合作协议,可以使用Apollo公司的品牌,并且AR-294型号的设计和制造由BAC全权负责。如果BAC公司是由摩萨德控制的,那么一切就可以解释的通,他们完全可以直接生成一批内含高爆炸药且可通过网络信号定向引爆的BP机,再出售给黎巴嫩。
Apollo公司的声明中也指出,BAC公司虽然地址在匈牙利,但转载汇款特别奇怪,一直是通过中东进行的,且一家台湾省的银行已经扣留了一笔可能与中东某个国家有关的可疑银行转账。
另外,从2022年初至今年8月,金阿波罗共出口BP机26万台,但主要出口欧美国家,没有直接出口黎巴嫩的记录。
综合上述信息,发生爆炸的BP机和对讲机很有可能是摩萨德“私人定制”,BAC公司的出现就是为了拿下真主党的订单,也只有真正掌握住供应链,才能让后面的引爆变的可控。
笔者之所以倾向上述猜测,是因为引爆炸药远没有那么简单。据专业人士分析,通过黑客手段使电池过载、发热,从而引爆炸药实现起来并不容易。
首先,引爆装置涉及信号接收器、控制电路、引爆器等,而BP机空间有限,想要通过改装将这些东西放进去并且不会被真主党发现,难度系数比较高。这也是为什么黎巴嫩安全部门官员认为,这批BP机是直接在“生产层面”实施改装,其中植入的炸药用扫描仪或其他设备“非常难以探测”,以至于真主党人员几个月来毫无察觉。
其次,根据亲历者的描述,BP机先是发热,然后再爆炸。但由于BP机缺乏远程代码执行的条件,所以难以通过信号传递使BP机电池快速过热。但如果是直接将电池中植入炸药,再通过特定网络信号引爆,操作起来会容易得多。但这些操作要求,攻击者必须要对供应链深度掌握,是在“生产层面”进行。
因此,如果Apollo公司没有直接为摩萨德定制这批BP机的话,那么后者很有可能是通过BAC公司生产。
这也很好解释了,为什么还会出现其他产品爆炸。BAC公司既然可以生产BP机,那么自然也可以生成对讲机、智能门锁、太阳能等一系列电子产品。其操作路径与BP机爆炸如出一辙,通过在机器内部植入相关的信号接收器、控制电路、引爆器等,通过网络信号即可实现远距离、针对性引爆,让人防不胜防。
那些未曾爆炸的BP机、对讲机等电子产品未必就安全。因为他们完全可以通过特定信号来实现定向引爆,甚至于想什么时候引爆就什么时候引爆,这很可能会让民众陷入恐慌之中,也将大大阻碍黎巴嫩真主党武装的通讯,从而实现“破坏其在黎巴嫩南部针对以色列的行动”。
联合国安理会将在当地时间20日就近期黎巴嫩多地发生的通信设备爆炸事件举行紧急会议,此前,联合国秘书长古特雷斯发表声明,对9月18日黎巴嫩多地发生的大量通信设备爆炸事件深感震惊,呼吁各方保持最大克制,以避免事态进一步升级。
谷歌云被曝重大漏洞,或影响数百万台服务器
9月16日,美国网络安全公司Tenable的研究人员发文称,其发现了名为“CloudImposer”的远程代码执行(RCE)漏洞,攻击者可能利用该漏洞劫持影响GCP(Google Cloud Composer,谷歌云平台上的一项托管式工作流程编排服务)的内部软件依赖项。
云中的供应链攻击
具体来说,该漏洞用于编排软件管道,但它也影响了Google服务App Engine和Cloud Function。Tenable称,该漏洞造成了一种称为依赖关系混淆的场景,该技术几年前就已发现,但时至今日依然被云平台提供商广泛误解。
2021年,安全研究员Alex Birsan首次发现了依赖项混淆攻击——当攻击者创建恶意软件包,为其提供与合法内部包相同的名称,并将其发布到公共存储库时,依赖项混淆攻击就会开始。
“当开发人员的系统或构建过程错误地拉取恶意包而不是预期的内部包时,攻击者就会获得对系统的访问权限。”Tenable高级安全研究员Liv Matan在分析中解释道,“这种攻击利用了开发人员对包管理系统的信任,并可能导致未经授权的代码执行或数据泄露。”
他补充说:“令人惊讶和担忧的是,即使是像Google这样的领先的技术供应商,也缺乏对如何防止依赖关系混淆的认识。不幸的是,这种类型的依赖关系可以被利用在云中执行供应链攻击,这些攻击‘比本地攻击的危害要大得多’。”
“例如,云服务中的一个恶意包可以部署到数百万用户并造成伤害。”Matan观察到。因此,从本质上讲,GCP中的一个错误命令可能会在无数云部署中产生连锁反应,使攻击者能够访问客户的企业云环境。
有风险的文档导致缺陷
Tenable称,该漏洞的第一个迹象是关于GCP和Python软件基金会的Google文档,该文档在云部署中引入了依赖关系混淆的可能性。研究人员进一步挖掘发现,Google本身对GCP应用了相同的风险实施建议,从而引入了漏洞。
具体来说,Google建议想要在GCP服务App Engine、Cloud Function和Cloud Composer服务中使用私有Python包的用户使用所谓的“--extra-index-url”参数。
“除了应用程序或用户打算从中安装私有依赖项的指定私有注册表之外,此参数还查找公共注册表(PyPI),”Matan解释说,“这种行为为攻击者进行依赖关系混淆攻击打开了大门。”
研究人员推断,有“众多GCP客户”遵循了Google的风险实施建议,并最终发现Google在自己的内部服务中安装私有软件包时,也采用了自己的建议。
具体来说,Tenable研究人员发现,Google使用有风险的--extra-index-url参数来安装公共注册表中缺少的私有代码包,允许攻击者将恶意包上传到公共注册表,并接管管道。
Google修复和其他缓解措施
据Tenable称,研究人员负责任地向Google披露了文档和Cloud Imposer RCE漏洞,后者迅速做出响应并采取行动。
具体来说,谷歌修复了Google Cloud Composer中存在的漏洞,该漏洞在从私有注册表安装私有包时使用了“--extra-index-url”参数。
Google还检查了易受攻击的软件包实例的校验和,并通知Tenable,据Google所知,没有证据表明Cloud Imposer曾被利用过。
Google还确认,虽然Tenable发现的漏洞利用代码在Google的内部服务器中运行,但它很可能不会在客户环境中运行,因为它无法通过集成测试。
此外,Google修复了有风险的文档,现在建议GCP客户使用“--index-url”参数替代“--extra-index-url”参数,并且这家科技巨头已经采纳了Tenable的建议,建议GCP客户使用GCP Artifact Registry的虚拟存储库来安全地控制Python包管理器的搜索顺序。
GCP客户应分析其软件包安装过程的环境,以防止违规,特别是在Python中搜索--extra-index-url参数的使用,以确保他们不易受到依赖项混淆攻击。
Matan总结道:“云提供商和云客户将负责任的安全实践相结合,可大大减轻与云供应链攻击相关的风险。”
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...