借刀杀人

  • 以前人们只听说过硬件供应链攻击,现在更值得注意的是软件供应链攻击。全球开发者社区有一个严重的弱点,现在它正在被利用,这是非常危险的!
安全部门正在意识到软件供应链攻击所带来的潜在威胁,攻击者不会直接攻击单个设备或网络,而是瞄准分发其目标使用的代码的公司。
 
现在,安全公司卡巴斯基和ESET的研究人员已经发现的证据表明,今年早些时候以这种供应链攻击华硕的黑客也针对了另外三个不同的视频游戏开发者 —— 这次瞄准的是更高的上游,破坏了游戏开发者所依赖的编程工具。
 
在揭露华硕事件 —— 黑客劫持计算机公司的软件更新过程以悄悄用恶意代码感染客户 —— 的几周后,卡巴斯基研究人员将其与另一组漏洞联系了起来。
 
同样的黑客似乎已经破坏了 Microsoft Visual Studio 开发工具的版本,然后三个不同的视频游戏公司在他们自己的开发中使用了这些工具。然后,黑客可以在某些游戏中植入恶意软件,可能会通过后端版本的程序感染数十万受害者。
 
卡巴斯基研究人员表示,华硕和视频游戏案件可能是更广泛的软件供应链攻击网络的一部分,其中还包括2017年劫持实用软件 CCleaner 和服务器管理软件 Netsarang 的案件。
 
Game over
 
卡巴斯基的亚洲研究主管 Vitaly Kamluk 表示,视频游戏攻击尤其代表了许多软件公司迫在眉睫的盲点。
 
在使用恶意 Microsoft 开发工具之后,每个受到攻击的游戏公司在分发游戏之前都会对其进行数字签名,即使它们包含恶意软件也会将其标记为合法。
 
这代表了对华硕案例的升级,例如,黑客在创建后更改了更新文件,并使用受感染的华硕服务器使用公司密钥对其进行签名。
 
“我担心有很多软件开发人员完全没有意识到这种潜在的威胁,这种攻击的角度,”Kamluk 说。如果最受信任的工具是带有后门的,将继续生成受损的可执行文件,如果对它们进行数字签名,它们将受到用户、安全软件等的信任。攻击者发现了全球开发者社区的弱点,这就是他们正在利用的东西。“
 
卡巴斯基和ESET都表示泰国游戏公司 Electronics Extreme 是该攻击的目标公司之一; 该公司以僵尸为主题的游戏 —— 具有讽刺意味的是名为 Infestation(侵扰) —— 携带恶意软件。
 
卡巴斯基星期二将韩国公司 Zepetto 列为另一个受害者,其第一人称射击游戏 PointBlank 是被入侵的第二款游戏,在某些情况下曾被恶意软件包围。到目前为止,两家公司都拒绝透露第三名受害者是谁。
 
总的来说,卡巴斯基反病毒软件检测到92,000台计算机运行恶意版本的游戏,但它怀疑可能会有更多的受害者。3月份的ESET记录的数字高达“数十万”。
 
据ESET称,几乎所有已知的受感染机器都在亚洲,其中泰国55%,菲律宾和台湾各13%,香港、印度尼西亚和越南的比例较小。 “我相信这只是冰山一角”Kamluk 说。
 
卡巴斯基和ESET都注意到,恶意软件经过精心设计,可以在配置为在使用俄语或中国大陆使用的简体中文的任何机器上停止执行。
 
Dark link
 
根据 Kamluk 的说法,卡巴斯基在1月份首次发现了视频游戏恶意软件,该公司开始扫描的代码看起来类似于被劫持的华硕更新中发现的后门。
 
调查导致 Microsoft Visual Studio 的受损版本包括恶意“链接器”,这是 Microsoft 工具的元素,当源代码被编译成机器可读的二进制文件时,它将代码的不同部分连接在一起。新的邪恶链接器将恶意代码库集成到最终编译的程序中。
 
Kamluk 表示目前尚不清楚黑客如何欺骗受害公司使用受损版本的微软开发者工具的。他补充说,有可能这些公司的程序员从留言板或 BitTorrent 下载了盗版版本的 Visual Studio,就像2015年中国开发人员使用Apple的 XCode 工具的恶意版本时类似的情况。
 
但他怀疑,根据目前已知的仅针对三家公司而且仅针对特定游戏的目标,攻击性可能知道他们要找谁。“我推测认为黑客是先破坏公司,然后在内部寻找负责重要可执行文件的软件工程师,这似乎更合乎逻辑一些,”他说。
 
视频游戏黑客似乎正在进行侦察,而不是在尽可能多的机器上不分青红皂白地植入犯罪软件。恶意软件似乎只是一个第一阶段的木马,只是获得立足点并将机器的唯一标识符上传回黑客的服务器,因此他们可以决定使用第二阶段工具来定位哪些计算机。对华硕的攻击同样严格,旨在将其有效负载恶意软件安装在可能感染的数十万台计算机中的600台特定计算机上。
 
ShadowHammer
 
卡巴斯基发现有证据表明,华硕和电子游戏的攻击,它统称为 ShadowHammer,可能与较老的、复杂的间谍活动有关,该活动在2017年被称为 ShadowPad
 
在那些早期的事件中,黑客劫持了 Netsarang 公司分发的服务器管理软件,然后使用类似的供应链攻击来搭载安装在700,000台计算机上的 CCleaner 软件。但只有40家特定公司的计算机收到黑客第二阶段恶意软件感染 – 包括华硕
 
卡巴斯基将这些联系建立在代码的相似之处上,两者关注供应链攻击和分发数字签名的恶意软件,还有一个更具启发性的指纹:CCleaner攻击和视频游戏公司攻击都使用了韩国 Konkuk 大学的受损服务器作为命令和控制服务器。卡巴斯基的 Kamluk 说,这两个攻击中的两台计算机甚至位于该大学网络的同一部分。
 
正在进行的一系列攻击标志着一群积极破坏软件供应链的咄咄逼人的黑客,因此即使是可靠的来源也会被变成恶意软件的分销商。
 
但在这些攻击中,视频游戏劫持最接近本源。 Kamluk 说,它们也应该作为警告。“软件开发人员应该问问自己,你的开发软件来自哪里?它是一个值得信赖的来源吗,它是官方的吗,它是否被篡改过?软件开发公司最后一次检查他们正在使用的编译器的完整性是什么时候?“他问道。“我觉得没有人会这样做。这就是这个问题为什么值得警惕。”
 
广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据