從 XZ 到 Crowdstrike ——供應鏈攻擊的影響和未來意義

全球化與數字化使得世界經濟的許多方面高度依賴技術，如智能手機和筆記本電腦，而這些技術又依賴于制造商定期提供的軟件和安全更新。這種錯綜復雜的實體、資源、商品和服務網絡構成了一個供應網格，使我們今天所熟知的國際貿易、旅行和商業(yè)成為可能。

為了實現這些軟件更新，當公司向其設備推送更新時，人們會默認信任這些更新是無惡意軟件且無錯誤的。這種默認的信任讓供應鏈攻擊變得對威脅行為者來說頗具吸引力。通過獲取制造商的基礎設施訪問權限，威脅行為者能夠在合法的軟件更新中注入惡意軟件，這可能成為最有效和最危險的攻擊途徑之一。這種攻擊途徑并不是一個新概念，近年來如ShadowPad、CCleaner和ShadowHammer等事件表明，只要攻擊者下定決心，就能進入受保護最嚴密的網絡。然而，最近的 Crowdstrike 事件表明了供應鏈的重要性，以及一旦出錯將造成的空前規(guī)模的影響，從而對供應鏈的脆弱性和我們今天對供應鏈的依賴性提出了新的問題。

從世界協調時間2024 年 7 月 19 日（星期五）04:09 開始，持續(xù)大約兩到三天，全球經濟陷入停滯，原因是 CrowdStrike 發(fā)布了一次內容配置更新。CrowdStrike 是一家美國網絡安全公司，是少數幾家獲得 Windows 操作系統(tǒng)內核權限的公司之一。

據媒體報道，包括醫(yī)院、銀行、航空公司等關鍵基礎設施，以及美國宇航局、聯邦貿易委員會、國家核安全管理局、緊急情況 911 呼叫中心、菲律賓政府網站等關鍵政府基礎設施，其系統(tǒng)運行 Windows 并受到 Crowdstrike 的保護，都受到錯誤更新的影響，無法正常運營。目前，這可以被認為是歷史上最嚴重的停機事件，造成了前所未有的經濟損失。

受影響的系統(tǒng)包括在 2024 年 7 月 19 日（世界協調時）星期五 04:09 至 2024 年 7 月 19 日（世界協調時）星期五 05:27 期間在線并收到更新的運行 7.11 及以上版本傳感器的 Windows 主機。Mac和Linux主機未受影響。最終，這種情況并非由任何高級持續(xù)性威脅 (APT) 引起，而是由一個錯誤的軟件更新引起的，其展示了完美執(zhí)行的供應鏈攻擊可能帶來的后果。不過，這并不是第一次供應鏈故障事件，因為之前也發(fā)生過類似事件，如在一次復雜的行動中，Linux XZ 庫遭到入侵。

2024年初，Linux XZ Utils項目，一組免費的數據壓縮命令行工具和庫，被發(fā)現遭受了供應鏈性質的攻擊。該攻擊是一個高度復雜和精密的后門，它被巧妙地混淆和隱藏，巧妙地隱藏并篡改了OpenSSH的邏輯，OpenSSH是Secure Shell（SSH）協議的一個實現，從而實現未經授權的訪問。SSH 也是一種加密網絡協議的名稱，用于安全地操作設備，包括企業(yè)服務器、物聯網設備、網絡路由器、網絡附加存儲設備等。

目前，數以千萬計的物聯網（IoT）家用電器、數百萬臺服務器、數據中心和網絡設備依賴于SSH，這可能導致一場災難，其規(guī)模將遠超CrowdStrike事件。開源軟件公司 紅毛（Red Hat ）指出，這一事件在 NIST 國家漏洞數據庫中被編號為 CVE-2024-30942，其最高嚴重程度評分為 10，承認其可能被惡意威脅行為者利用。

取證分析表明，這些提交是由一名用戶名為 JiaT75（又名 "Jia Cheong Tan"）的 GitHub 用戶操作的，該用戶從 2021 年開始加入 XZ Utils 項目團隊并為 XZ 項目做出貢獻。JiaT75的身份尚不確定，因為可能存在多個威脅行為者共用一個賬戶的情況，盡管已知該賬戶使用新加坡的VPN并在UTC+8時區(qū)操作。

就像披著羊皮的狼一樣，JiaT75通過與項目其他貢獻者社交并提供積極貢獻，逐漸建立了信任，最終獲得了維護XZ項目檔案的控制權，并獲得了合并提交的權限。人們發(fā)現XZ/libzma構建被修改，并被一系列復雜的混淆手段所掩蓋，成為某些操作系統(tǒng)上SSH的依賴項，實質上允許對受感染系統(tǒng)進行無限制的訪問。

幸運的是，這一事件被及時發(fā)現，目前研究仍在進行中，但它突出表明，社會工程學與開源軟件的特性相結合，仍然是供應鏈攻擊的另一個可行途徑。

人工智能正越來越多地融入社會，其應用領域包括優(yōu)化智慧城市的基礎設施、提升醫(yī)療、教育、農業(yè)等。與任何技術一樣，人工智能并非無懈可擊，它依賴于學習模型和訓練來獲得有意義的輸入，而這些輸入可能受到供應鏈攻擊，被注入惡意內容。