一个神秘的黑客集团在供应链劫持狂欢

1f80f044327875.580fa41ccce79-e1486430608718.jpg


一个软件供应链攻击代表的黑客攻击最阴险的形式之一。通过打入开发人员的网络并在用户信任的应用程序和软件更新中隐藏恶意代码,供应链劫持者可以在一次操作中将他们的恶意软件偷运到数十万或数百万台计算机上,没有任何违规行为。现在似乎是一群黑客已经反复管理这个伎俩,进入一个破坏性的供应链黑客狂欢 - 并随着他们的进展变得更加先进和隐秘。

在过去的三年中,利用至少六家不同公司的软件分销渠道的供应链攻击现在都被绑定到一群可能会说中文的黑客。它们被称为钡,或者有时候是ShadowHammer,ShadowPad或Wicked Panda,取决于你问的安全公司。Barium似乎比任何其他已知的黑客团队更多地将供应链攻击作为其核心工具。他们的袭击都遵循类似的模式:将大量受害者的感染播种,然后对他们进行排序以找到间谍目标。

该技术不仅因为它证明了Barium大规模破坏计算机的能力,而且因为它利用了最基本的信任模型中的漏洞来管理用户在其计算机上运行的代码。

“他们正在毒害可信赖的机制,”安全公司卡巴斯基亚洲研究团队主任维塔利卡姆鲁克说。当谈到软件供应链攻击时,“他们是这方面的支持者。随着他们违反的公司数量的增加,我不认为任何其他团体可以与这些人相提并论。”

在至少两个案例中 - 一个案例劫持了计算机制造商华硕的软件更新,另一个案例中,它玷污了一个版本的PC清理工具CCleaner -software被该组破坏,最终导致成千上万的不知情用户的计算机被盗。在这些案件和其他案件中,黑客可能很容易引发前所未有的混乱,字母拥有的安全创业公司Chronicle的研究员塞拉斯卡特勒说,他已经跟踪了钡黑客。他将这些案例的可能性与2017年用于启动NotPetya网络攻击的软件供应链攻击进行了比较; 在这种情况下,一名俄罗斯黑客组织劫持了一块乌克兰会计软件的更新,以便播下破坏性的蠕虫病毒,并为全球公司造成破纪录的100亿美元损失。

“如果[Barium]通过其中一次攻击部署了类似勒索软件的蠕虫,那将是一次比NotPetya更具破坏性的攻击,”卡特勒说。

到目前为止,该组织似乎专注于间谍而非破坏。但卡巴斯基的Kamluk表示,其重复的供应链劫持具有更微妙的有害影响。“当他们滥用这种机制时,他们就会破坏对核心的信任,这种机制可以验证系统的完整性,”他说。“这比定期利用安全漏洞或网络钓鱼或其他类型的攻击更重要,影响更大。人们将不再信任合法的软件更新和软件供应商。”

跟踪线索上游

卡巴斯基于2017年7月首次发现了钡黑客的供应链攻击,当时Kamluk表示,一个合作伙伴组织要求其研究人员帮助他们了解其网络上的奇怪活动。某种未触发防病毒警报的恶意软件正在向远程服务器发送信号并将其通信隐藏在域名系统协议中。当卡巴斯基调查时,它发现该通信的来源是NetSarang的后门版本,NetSarang是一家由韩国公司发行的流行的企业远程管理工具。

更令人费解的是,NetSarang产品的恶意版本带有公司的数字签名,这几乎是不可伪造的批准标记。卡巴斯基最终确定,NetSarang证实,攻击者违反了NetSarang的网络,并在应用程序加密签名之前在其产品中植入恶意代码,例如在应用防篡改密封之前将氰化物滑入一罐药丸。

两个月后,反病毒公司Avast透露,其子公司Piriform同样遭到破坏,而Piriform的计算机清理工具CCleaner已经在另一个更大规模的供应链攻击中受到了挫折,导致70万台机器遭到破坏。尽管层层混淆,但卡巴斯基发现该后门的代码与NetSarang案例中使用的代码非常匹配。

然后在2019年1月,卡巴斯基发现,台湾电脑制造商华硕已经推出了类似的后门软件更新,至少有六万台机器可以追溯至少五个月。虽然在这种情况下代码看起来不同,但它使用了与CCleaner攻击共享的唯一散列函数,并且恶意代码已经注入软件运行时函数中的类似位置。“有无限的方法来破坏二进制,但他们坚持使用这种方法,”Kamluk说。

当卡巴斯基扫描其客户的机器以寻找类似于华硕攻击的代码时,它发现代码与由三家不同公司分发的后门版本的视频游戏相匹配,这些公司已经被安全公司ESET检测到:一个讽刺的僵尸游戏,具有讽刺意味的是Infestation,一个名叫Point Blank的韩国制造射击游戏,以及第三个卡巴斯基和ESET的名字。所有迹象都表明,四轮不同的供应链攻击与同样的黑客联系在一起。

“就规模而言,现在这是最精通供应链攻击的群体,”ESET安全研究员Marc-EtienneLéveillé说。“我们之前从未见过这样的事情。这很吓人,因为他们可以控制很多机器。”

“操作约束”

然而,从各方面来看,该集团正在投入巨大的网络来监视其妥协的计算机中的一小部分。在华硕的情况下,它通过检查他们的MAC地址来过滤机器,寻求仅在其受到损害的600,000台中的600台计算机中。在早期的CCleaner事件中,它在其感染的700,000台计算机中仅安装了一台“第二阶段”间谍软件。Barium最终针对如此少的计算机,在大多数操作中,研究人员甚至从未接触到最终的恶意软件负载。仅在CCleaner案例中,Avast才发现第三阶段间谍软件样本的证据,该样本充当了键盘记录器和密码窃取器。这表明该集团一心想进行间谍活动,其严密的目标明确表明这不是一个以利润为重点的网络犯罪行动。

“令人难以置信的是,他们将所有这些受害者留在了桌面上,只针对一小部分人,”Chronicle的Cutler说道。“他们必须携带的操作限制必须是最高质量的。”

目前尚不清楚钡黑客究竟是如何违反他们劫持软件的所有公司。但卡巴斯基的Kamluk猜测,在某些情况下,一个供应链攻击可以实现另一个。例如,CCleaner攻击针对的是华硕,它可能为Barium提供了后来劫持公司更新所需的访问权限。这表明黑客可能会通过相互关联的供应链劫持来刷新他们庞大的受感染机器集合,同时为特定的间谍目标梳理该集合。

简体中文,复杂的技巧

尽管他们将自己区分为今天活跃的最多产和最具侵略性的黑客团体之一,但Barium的确切身份仍然是一个谜。但研究人员指出,其黑客似乎会说中文,可能住在中国大陆,他们的大多数目标似乎都是韩国,台湾和日本等亚洲国家的组织。卡巴斯基在其代码中发现了简体中文工件,并且在一个案例中,该组使用Google Docs作为命令和控制机制,让我们得到一个线索:该文档使用简历模板作为占位符 - 可能是为了使其看起来合法并阻止谷歌删除它 - 该表格是用中文编写的,默认电话号码包括国家代码+86,表示中国大陆。在最近的视频游戏供应链攻击中,黑客'

更有说服力的是,Barium代码中的线索也将其与以前已知的中国黑客组织联系起来。它与中国国家赞助的间谍组织Axiom或APT17分享了一些代码指纹,该组织在政府和私营部门目标中进行了至少十年的广泛网络间谍活动。但它似乎也与卡巴斯基称之为Winnti的老组织共享工具,后者同样表现出从视频游戏公司窃取数字证书的模式。根据安全公司Crowdstrike的一项分析,令人困惑的是,Winnti集团长期以来被认为是自由职业者或犯罪黑客组织,似乎将其被盗的数字证书出售给其他在中国的黑客。。“他们可能是自由职业者,他们加入了一个现在专注于间谍活动的大集团,”Avast威胁情报负责人Michal Salat说。

无论它的起源如何,Barium的未来都让卡巴斯基的Kamluk感到担忧。他指出该组织的恶意软件变得更加隐蔽 - 在华硕攻击中,该公司的污染代码包括一个目标MAC地址列表,因此它不必与命令和控制服务器通信,剥夺了防御者的那种网络信号,允许卡巴斯基在NetSarang攻击后找到该组。在视频游戏劫持案例中,Barium通过破坏游戏开发者正在使用的Microsoft Visual Studio编译器的版本来制造其恶意软件 - 基本上将一个供应链攻击隐藏在另一个中。

Kamluk说:“他们的方法不断发展,而且它的复杂程度也在不断提高。” “随着时间的推移,抓住这些人变得越来越难。”

640.webp.jpg

发表评论 / Comment

用心评论~