从 XZ 到 Crowdstrike ——供应链攻击的影响和未来意义

全球化与数字化使得世界经济的许多方面高度依赖技术，如智能手机和笔记本电脑，而这些技术又依赖于制造商定期提供的软件和安全更新。这种错综复杂的实体、资源、商品和服务网络构成了一个供应网格，使我们今天所熟知的国际贸易、旅行和商业成为可能。

为了实现这些软件更新，当公司向其设备推送更新时，人们会默认信任这些更新是无恶意软件且无错误的。这种默认的信任让供应链攻击变得对威胁行为者来说颇具吸引力。通过获取制造商的基础设施访问权限，威胁行为者能够在合法的软件更新中注入恶意软件，这可能成为最有效和最危险的攻击途径之一。这种攻击途径并不是一个新概念，近年来如ShadowPad、CCleaner和ShadowHammer等事件表明，只要攻击者下定决心，就能进入受保护最严密的网络。然而，最近的 Crowdstrike 事件表明了供应链的重要性，以及一旦出错将造成的空前规模的影响，从而对供应链的脆弱性和我们今天对供应链的依赖性提出了新的问题。

Crowdstrike——地球停转之日

从世界协调时间2024 年 7 月 19 日（星期五）04:09 开始，持续大约两到三天，全球经济陷入停滞，原因是 CrowdStrike 发布了一次内容配置更新。CrowdStrike 是一家美国网络安全公司，是少数几家获得 Windows 操作系统内核权限的公司之一

 “Crowdstrike 的配置更新应该是一项常规操作，是对其 Falcon 平台保护机制的定期更新，以获取遥测数据并检测Windows平台可能出现的新威胁技术。不幸的是，这次更新导致全球超过 850 万台 Windows 机器陷入无限重启循环，”卡巴斯基全球研究与分析团队（GReAT）网络安全专家Vitaly Kamluk说。

据媒体报道，包括医院、银行、航空公司等关键基础设施，以及美国宇航局、联邦贸易委员会、国家核安全管理局、紧急情况 911 呼叫中心、菲律宾政府网站等关键政府基础设施，其系统运行 Windows 并受到 Crowdstrike 的保护，都受到错误更新的影响，无法正常运营。目前，这可以被认为是历史上最严重的停机事件，造成了前所未有的经济损失。

受影响的系统包括在 2024 年 7 月 19 日（世界协调时）星期五 04:09 至 2024 年 7 月 19 日（世界协调时）星期五 05:27 期间在线并收到更新的运行 7.11 及以上版本传感器的 Windows 主机。Mac和Linux主机未受影响。最终，这种情况并非由任何高级持续性威胁 (APT) 引起，而是由一个错误的软件更新引起的，其展示了完美执行的供应链攻击可能带来的后果。不过，这并不是第一次供应链故障事件，因为之前也发生过类似事件，如在一次复杂的行动中，Linux XZ 库遭到入侵。

Linux XZ ——披着羊皮的狼被揭露

2024年初，Linux XZ Utils项目，一组免费的数据压缩命令行工具和库，被发现遭受了供应链性质的攻击。该攻击是一个高度复杂和精密的后门，它被巧妙地混淆和隐藏，巧妙地隐藏并篡改了OpenSSH的逻辑，OpenSSH是Secure Shell（SSH）协议的一个实现，从而实现未经授权的访问。SSH 也是一种加密网络协议的名称，用于安全地操作设备，包括企业服务器、物联网设备、网络路由器、网络附加存储设备等。

目前，数以千万计的物联网（IoT）家用电器、数百万台服务器、数据中心和网络设备依赖于SSH，这可能导致一场灾难，其规模将远超CrowdStrike事件。开源软件公司 红毛（Red Hat ）指出，这一事件在 NIST 国家漏洞数据库中被编号为 CVE-2024-30942，其最高严重程度评分为 10，承认其可能被恶意威胁行为者利用。

取证分析表明，这些提交是由一名用户名为 JiaT75（又名 "Jia Cheong Tan"）的 GitHub 用户操作的，该用户从 2021 年开始加入 XZ Utils 项目团队并为 XZ 项目做出贡献。JiaT75的身份尚不确定，因为可能存在多个威胁行为者共用一个账户的情况，尽管已知该账户使用新加坡的VPN并在UTC+8时区操作。

就像披着羊皮的狼一样，JiaT75通过与项目其他贡献者社交并提供积极贡献，逐渐建立了信任，最终获得了维护XZ项目档案的控制权，并获得了合并提交的权限。人们发现XZ/libzma构建被修改，并被一系列复杂的混淆手段所掩盖，成为某些操作系统上SSH的依赖项，实质上允许对受感染系统进行无限制的访问。

幸运的是，这一事件被及时发现，目前研究仍在进行中，但它突出表明，社会工程学与开源软件的特性相结合，仍然是供应链攻击的另一个可行途径。

卡巴斯基专家对这起案件进行了全面分析，包括研究其中涉及的社交工程策略。

威胁形势预示着人工智能一体化的未来会怎样？

人工智能正越来越多地融入社会，其应用领域包括优化智慧城市的基础设施、提升医疗、教育、农业等。与任何技术一样，人工智能并非无懈可击，它依赖于学习模型和训练来获得有意义的输入，而这些输入可能受到供应链攻击，被注入恶意内容。“对人工智能进行供应链攻击的潜在途径是操纵训练数据，在模型中引入偏差和漏洞，或者用修改后的版本修改人工智能模型，使其产生错误的输出，”Vitaly说。他还补充说，这种行为可能难以被检测到，从而使恶意活动在较长时期内不被察觉。

对于那些采取长期策略的高级持续性威胁（APT），供应链攻击可以潜伏起来，等待合适的目标，同时可能混淆恶意软件有效载荷，将其伪装成合法文件，并将扩展工具放置在可信公司的基础设施中，以方便更高级别的访问或最终完全控制系统。更糟糕的是，长期来看，针对人工智能的供应链攻击可能会引入漏洞或缺陷，随着时间的推移降低其能力和质量，使其成为一颗定时炸弹，影响范围广泛或至关重要的关键系统。

像 ChatGPT、CoPilot 和 Gemini 这样的现成的大型语言模型 (LLM) 人工智能可以被操纵来帮助创建令人信服的鱼叉式网络钓鱼攻击，而人工智能深度伪造可以用来模仿重要人员，这导致香港一家公司损失了 2500 万美元，因为一名威胁行为者假冒了该公司首席财务官的形象来提取资金。

近二十年来，卡巴斯基人工智能技术研究中心的专家们一直站在将人工智能应用于网络安全和开发道德人工智能的最前沿。该团队的人工智能专业知识被整合到多种卡巴斯基产品中，从人工智能增强的威胁检测和警报优先级排序，到由生成式AI驱动的威胁情报，各方面都有所提升。

为了应对供应链攻击的潜在威胁，组织可以采取多种策略。“除了最佳网络安全实践外，企业还需要实施缓解策略，以管理或最大限度地减少供应链攻击对其基础设施的潜在影响，”Vitaly说。这些策略包括在构建上线前进行严格测试、彻底的工具完整性检查和严格的制造控制、模型版本号和模型验证以跟踪变更和版本、持续监控异常、为构建添加数字签名以及定期进行安全审计。

更多有关这些活动的信息，请参阅卡巴斯基网站。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.