早前美國網絡安全公司FireEye自爆遭受入侵,其研發的Red Team滲透測試工具更被網絡罪犯偷走。當時FireEye未有公布詳情,不過隨著被入侵的受害者愈來愈多,終於發現原來問題出在IT基礎設施供應商SolarWinds之上,原來SolarWinds的軟件更新被網絡罪犯加料,客戶安裝後便被加上後門,可讓罪犯自由出入!
這次網絡安全事故屬於供應鏈攻擊(Supply Chain Attack),指服務供應商被網絡罪犯入侵,於源頭加入惡意軟件,結果導致客戶連環中招。經調查後發現,這次入侵應由網絡犯罪集團APT29(又稱Cozy Bear),他們最早可能於今年春季已入侵SolarWinds系統,並將加入了木馬程式的SolarWinds Orion商業軟件放在伺服器上,當客戶啟動自動更新功能,由於更新軟件位處官方伺服器又通過驗證,所以客戶端便會自動安裝。由於SolarWinds的客戶廣泛,估計約有30萬用戶受影響,當中包括上述的FireEye、美國財政部、國防部、Fortune 500強企業等等。SolarWinds正緊急推出修補更新檔,用戶必須即時安裝才可封鎖這度暗門。
供應鏈攻擊極難防備,因為主導權不在企業,而是握在服務供應商手中。造成供應鏈攻擊的主原不外乎兩個,一是供應商網絡被入侵,二是供應商的開發人員錯誤使用有漏洞的開源程式碼。去年網絡安全公司Kaspersky亦發現,台灣電腦設備製造商ASUS曾於2018年6月至11月期間遭受供應鏈攻擊,網絡罪犯暗中在ASUS電腦的系統更新檔上做手腳,而用戶在啟動了ASUS Live Update Utility的自動更新模式下,結果超過100萬部電腦從ASUS伺服器下載並安裝了木馬程式,受影響用戶極多。
