2024供应链安全态势报告

2024 供应链安全态势报告 2024-04 双子座实验室 c目o录ntents P3引言 P4供应链攻击事件及特点 P9供应链安全态势P11供应链攻击防范措施P12附录 01引言 随着全球化和数字化的快速发展，供应链已成为企业运营的关键环节，其安全状况直接影响到企业的运营效能、品牌形象以及经济效益。然而，近年来供应链攻击事件频发，不仅对单个企业造成严重冲击，也对全球经济安全构成了显著威胁。本次报告通过分析近几年供应链攻击走势及重大事件，旨在探讨当前供应链安全的发展态势、存在的安全风险、供应链攻击的典型特征及其对整个网络安全行业造成的影响，报告同时给出了相应的防范建议，以增强供应链的安全防护能力。 02供应链攻击事件及特点 2.1供应链攻击事件走势 近年来，供应链攻击的发生频率呈明显增长趋势，攻击者利用供应链网络固有的复杂性和互联性，通过恶意软件植入、代码篡改、供应链流程破坏等方式，实现了对目标组织的深度渗透和控制。下图为天际友盟监测记录的近年来重要的供应链安全事件的统计数据及趋势展示： 30 38 13 80 70 60 50 40 30 20 10 02021年 2022年 2023年 2024年 图1重大供应链攻击事件趋势图 从趋势图可以看出，从2021年到2023年，供应链攻击事件稳步增加，可以预测到2024年，供应链攻击活动会更加频繁，数量将大幅提升。仅从2014年第一季度来看，就已经监测到了近20起有影响力的攻击案例，其中多起攻击活动通过冒充或修改流行PYPI软件包，进而利用软件供应链传播信息窃取软件或挖矿软件等进行攻击。 在过去的几年中，供应链攻击事件频繁曝光，并造成了显著的影响。下图展示了最近八年来，一系列标志性的供应链攻击事件： 2017.062017.092018.07 2018.10 2020.072019.092019.04 2020.11 2020.122021.022021.05 SolarWinds 2021.07 G2i0tH2u2b.O0A4uth 2022.032022.012021.11 2022.072022.08 2023.03 2023.05 MOVEitTransfer 2023.09 2024.032023.122023.10 2.2典型供应链案例分析 接下来我们将精选几个典型的供应链攻击案例来深入分析此类攻击的特点。 案例一：SolarWinds供应链攻击 事件 2020年12月13日，安全公司FireEye发布报告，声称全球知名IT管理及监控软件供应商SolarWinds遭受供应链攻击。攻击者篡改了SolarWindsOrion平台软件更新包，以分发名为SUNBURST的恶意软件。 攻击过程 根据SolarWinds官方披露，攻击者自2019年起潜伏于公司的产品开发环境，并于2020年2月正式开始部署恶意后门。攻击者使用了一个名为SUNSPOT植入程序来将SUNBURST后门植入SolarWinds的源码构建程序中。SUNSPOT利用了互斥体等多种方式来保证在替换源文件时不会引起SolarWinds开发人员的怀疑。SUNBURST后门则是一个极其复杂且隐蔽的后门，在被植入SolarWindsOrion平台软件更新包后，通过供应链传播至SolarWinds相关客户系统。 在攻击后续阶段中，攻击者使用了Loader程序（RAINDROP、TEARDROP）来加载自定义的CobaltStrike有效负载，其中RAINDROP还具备在网络中横向传播的功能。完成环境检测后，SUNBURST恶意软件将向自定义的NameServer发起DNS请求。2021年3月，Microsoft继续跟踪披露了该活动后期阶段（横向移动后）使用的三个系列恶意组件（GoldMax、Sibot、GoldFinder）。GoldMax恶意软件采用Go语言编写，主要作为与C2进行通信的后门，通过模拟系统管理软件上的计划任务来保持持久性。Sibot则是一个由VBScript编写的恶意组件，功能包括持久性维护和下载执行有效负载。GoldFinder是一个采用Go语言编写的恶意组件，可以作为自定义HTTP跟踪器，其记录数据包到达硬编码的C2服务器的路由或跳数。 针对SolarWinds供应链攻击，研究人员认为其幕后组织针对性很强，并且有着的强大的技术能力和完备的运作管理方式。已有多家安全公司把此次攻击活动的幕后黑手归为APT29。 影响 由于SolarWinds的客户群体十分庞大，给全球许多知名公司和政府组织机构都带来了安全危机，据报道全球超过250家企业受到影响，这些受害者包括美国联邦机构以及微软、VMware和思科等高知名度科技公司。其行业影响范围涉及北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采矿业等实体。 案例二：CL0P勒索组织利用MOVEitTransfer漏洞进行大规模攻击 事件 2023年5月，MOVEitTransfer零日漏洞CVE-2023-34362被CL0P勒索团伙大量利用进行恶意攻击活动。ProgressMOVEit是一款安全托管文件传输(MFT)软件，可提供敏感数据的安全传输。据Progress官方表示，MOVEitTransferWeb应用程序中存在一个SQL注入漏洞，该漏洞可允许未经身份验证的攻击者访问MOVEitTransfer数据库。 攻击过程 2023年5月28日，CL0P勒索组织将漏洞有效利用后门程序(human2.aspx)上传至公共服务站点，而5月29日则是美国"阵亡将士纪念日"，攻击者似乎利用了美国联邦假日无人值守或防御松懈的特点对目标系统进行攻击。之后CL0P针对存在漏洞的多个目标进行了广泛攻击，在短短两个月的时间内攻陷了一系列目标，造成了巨大的影响。 影响 文件传输服务MOVEit的漏洞已经导致全球约2706个组织遭到勒索软件攻击，超过9300万人的个人数据被泄露，其中包括西门子能源、施耐德电气等多家知名公司和机构在内的部分数据在暗网上被泄露。 据统计，此次MOVEitTransfer漏洞影响行业涉及航空、运输、政府、金融、医疗、生物、软件和信息技术、制造、建筑、媒体、公用事业等，影响组织则遍及全球，欧美地区尤为严重。 案例三：XZ压缩库供应链攻击事件 事件 2024年3月29日，一位微软的工程师在进行软件性能基准测试时，发现系统SSHD进程CPU占用飙升的异常情况，进一步定位到SSHD中调用的xz/liblzma模块疑似被安插后门，并最终确认该事件为一次非常严重的供应链攻击事件。 攻击过程 此次事件的攻击者于2021年1月注册GitHub账号(JiaT75)，2022年10月加入了Tukaani项目组，在2023年逐步参与xz项目的维护，并获得提交代码的权利，在2024年3月8日至3月20日期间，提交了bad-3-corrput_lzma2.xz和good-large_compressed.lzma两个恶意测试文件。其中，XZ压缩库的编译脚本会在特定条件下从文件中读取恶意载荷以对编译结果进行修改，且攻击者会利用glibc的IFUNC特性针对编译的二进制文件植入后门代码，该后门代码又会在特定条件下HOOK系统OpenSSH服务的RSA_public_decrypt函数，从而致使攻击者可通过构造特定验证数据针对受害者的远程SSH服务进行任意操作或远程代码执行。 影响 此次攻击中编译的XZ压缩库（liblzma.so），在debian、ubuntu、centos等多个发行版中，用来处理xz格式的压缩数据。因其在开源软件体系中被大量直接或间接引用，这些复杂的交叉引用互为依赖为该后门在Linux生态体系中提供了难以想象的巨量攻击面，故影响了其供应链条上各种类型的行业，辐射范围较大。 2.3供应链攻击特点 通过以上三个具体的供应链攻击案例，我们发现供应链攻击具有如下的显著特点： 1)隐蔽性高且潜伏期长，逐步进行深入渗透 供应链攻击通常发生在供应链的某个隐秘环节，如第三方软件供应商、硬件制造商、中间服务等环节，攻击者利用这些链条的复杂性和信任关系潜入目标系统，且能在较长时间内保持不被察觉。案例1和3都是经过长达2至3年的潜伏期，一步步为渗透做准备，最终才成功发起了攻击。 2)影响范围广泛 一旦攻击者成功突破供应链某一环节的防线，他们能够深入到目标网络的核心区域，甚至可能影响到整个供应链体系中的众多组织。这种攻击可能导致系统瘫痪、数据泄露、服务中断等严重后果。从以上三个案例的严重影响就可以看出一旦攻击成功，这个波及范围可能随时间的推移而呈指数级扩大。 3)利用信任与依赖关系，难以预防 供应链攻击善于利用企业对供应商、合作伙伴的信任以及对特定服务或产品的依赖。攻击者可能通过伪造身份、社交工程等方式，欺骗供应链成员获得访问权限，或者在供应链产品中植入恶意软件，或者利用供应链环节中通用软件的漏洞等。由于供应链的复杂性和动态性，预防供应链攻击颇具挑战。攻击者可能利用供应链中的薄弱环节，如未及时更新的软件、缺乏安全意识的员工等，进行渗透，且单个组织的努力往往不足以抵御此类攻击，所以供应链攻击的预防相对来说难度较大。 4)技术手段高超，攻击者往往是有实力的幕后组织或个人 以上案例的攻击者无不显示出其高超的技术能力，无论是长期蛰伏准备渗透工具，还是挖掘零日漏洞进行攻击，这些都需要攻击者具备全面的攻击能力和躲避检测的技巧。供应链攻击相较于普通的恶意攻击，其攻击链条更长，只要瞄准某一薄弱环节进行精准攻击，并配以完善的攻击产业链，其获取的回报往往是超出预期的，但也对攻击者的实力提出了极高的要求。 03供应链安全态势 3.1供应链安全风险 随着技术的快速发展，当前供应链安全存在着诸多风险，具体如下： 1)第三方供应商风险 不论是软件还是硬件供应商，若其安全措施不到位，都有可能成为攻击者进入目标网络的通道。供应商的安全短板可能转化为整个供应链的脆弱点。 2)供应链透明度不足 很多企业在供应链管理中难以全面掌握供应商的安全状态，这使得潜在的安全隐患难以及时发现和消除。 3)技术依赖性风险 开源软件和通用组件的广泛应用带来了便利，但也增加了供应链攻击的风险，一旦关键组件存在安全漏洞，极易被大规模利用。 3.2供应链攻击威胁体现 由于企业的供应链条相对较长，面临了上述提到的诸多风险，所以供应链攻击对企业和组织构成了多重威胁，这些威胁具体体现在以下几个方面： 1)深度渗透和持久威胁 供应链攻击能够通过第三方供应商或合作伙伴潜入目标网络，这意味着攻击者可以绕过传统边界防御，实现深度渗透。一旦成功植入恶意软件或取得控制权，攻击者可以长时间在受害者的网络中保持隐形，收集敏感信息，或者在关键时刻激活恶意代码，造成严重后果。 2)波及范围广 因供应链网络的连通性和辐射效应，一次攻击可能会影响众多下游企业甚至消费者。例如，通过篡改某一软件供应商的产品，攻击者可以影响到数千乃至数万家使用该软件的企业和个人，从而造成大面积的数据泄露、系统瘫痪或服务中断。 3)信任破裂与品牌形象受损 受害企业不仅要应对内部系统安全问题，还可能因为供应链攻击事件导致公众信任度下降，品牌形象受损，客户流失，甚至引发法律诉讼和监管处罚。 4)关键基础设施和国家战略安全 当供应链攻击瞄准关键基础设施（如能源、通信、交通、金融等领域）时，其影响远超商业范畴，可能触及国家战略安全层面，对社会稳定和国家安全构成威胁。 5)高昂的修复成本和经济损失 供应链攻击通常意味着修复成本极高，企业需要投入大量人力、财力和时间去排查安全隐患，修复受损系统，恢复业务正常运行，同时，由于停摆期间的业务损失、客户补偿以及后续的合规整改，都将带来巨大的经济损失。 因此，供应链攻击的威胁不仅针对个体企业的安全，更是对整个社会经济秩序和国家安全造成了深刻影响。 04供应链攻击防范措施 防范供应链攻击是一个系统性的工程，需要从多个层面采