摘要

　　2021年10月22日，在無錫舉辦的2021世界物聯網博覽會-物聯網信息安全高峰論壇上，奇安信威脅情報中心負責人汪列軍帶來了閉門會議議題《針對中國的供應鏈來源APT攻擊分析》的精彩分享。議題重點介紹了國內遭受的APT供應鏈攻擊的多個案例，披露了多個奇安信威脅情報中心紅雨滴團隊獨家發現的針對我國的APT供應鏈攻擊：包括針對某頂級虛擬貨幣交易所、某知名在線客服系統、多個國內網絡安全公司的APT供應鏈攻擊活動，影響面巨大。而這類來源于供應鏈并最終造成巨大危害的安全事件其實并不少見，在本報告中，奇安信威脅情報中心對軟件供應鏈的概念進行了梳理，分析了各環節中已有的事件實例，最后提供一些從供應鏈安全角度對威脅進行防護的對策和建議。

　　威脅情報中心負責人汪列軍分享議題《針對中國的供應鏈來源APT攻擊分析》

　　02

　　概述

　　2021年10月22日，國內安全廠商披露了一起針對Npm倉庫ua-parser-js庫的供應鏈攻擊活動。攻擊者通過劫持ua-parser-js官方賬號，并且投放惡意ua-parser-js安裝包，該軟件包每周下載量超百萬次，影響面頗廣。北美時間2020年12月13日，多家歐美媒體報道美國多個重要政企機構遭受了國家級APT組織的入侵，攻擊疑似由于網絡安全管理軟件供應商SolarWinds遭遇國家級APT團伙高度復雜的供應鏈攻擊并植入木馬后門導致。奇安信威脅情報中心第一時間通過解碼部分DGA域名，推導出部分受害者計算機域，從而發現大量中招的知名企業和機構，其中不乏Intel、Cisco等在美高科技企業以及各類高校和政企單位。同時，近年來大量的使用軟件捆綁進行傳播的黑產活動也被揭露出來，從影響面來看這些惡意活動的力度頗為驚人，這類來源于供應鏈并最終造成巨大危害的安全事件其實并不少見，而我們所感知的可能只是冰山一角而已。

　　以最近這些事件為切入點，奇安信威脅情報中心對軟件供應鏈來源的攻擊做了大量的案例分析，得到了一些結論并提供對策建議。在本報告中，奇安信威脅情報中心首先對軟件供應鏈的概念進行了梳理，劃分了開發、交付及使用環節。然后針對每個環節，以實例列舉的方式分析了相應環節中目前已經看到過的攻擊向量，同時提供了每個事件的發生時間、描述、直接威脅和影響范圍等信息。在這些案例分析的基礎上，整合信息做可視化展示并提出一些結論。最后，基于之前章節的事實分析，奇安信威脅情報中心提出了從供應鏈安全角度對相應威脅進行防護的對策和建議。

　　03

　　軟件供應鏈相關概念

　　01

　　概念和環節劃分

　　傳統的供應鏈概念是指商品到達消費者手中之前各相關者的連接或業務的銜接，從采購原材料開始，制成中間產品以及最終產品，最后由銷售網絡把產品送到消費者手中的一個整體的供應鏈結構。

　　傳統商品的供應鏈概念也完全適用于計算機軟硬件，則可以衍生出軟件供應鏈這一概念。出于簡化分析的目的，我們將軟件供應鏈簡單抽象成如下幾個環節：

　　1

　　開發環節

　　軟件開發涉及到的軟硬件開發環境、開發工具、第三方庫、軟件開發實施等等，并且軟件開發實施的具體過程還包括需求分析、設計、實現和測試等，軟件產品在這一環節中形成最終用戶可用的形態。

　　2

　　交付環節

　　用戶通過在線商店、免費網絡下載、購買軟件安裝光盤等存儲介質、資源共享等方式獲取到所需軟件產品的過程。

　　3

　　使用環節

　　用戶使用軟件產品的整個生命周期，包括軟件升級、維護等過程。

　　02

　　灰色供應鏈

　　在國內，眾多的未授權的第三方下載站點、云服務、共享資源、破解盜版軟件等共同組成了灰色軟件供應鏈，這些環節的安全性問題其實也屬于軟件供應鏈攻擊的范疇，但由于這些問題屬于長期困擾我國信息系統安全的灰色供應鏈問題，具有一定的中國特色，故單獨進行說明。

　　我們在接下來的事件分析中會有很多涉及到灰色供應鏈的案例，特別是軟件交付環節中的“捆綁下載”等案例，以及各類破解、漢化軟件被植入木馬后門等，而這些案例也會被歸屬到我們定義的軟件供應鏈攻擊范疇中。

　　04

　　攻擊場景與案例分析

　　前面定義了軟件供應鏈的概念并抽象出了軟件供應鏈的幾大環節，那么顯而易見的是，攻擊者如果針對上述各個環節進行攻擊，那么都有可能影響到最終的軟件產品和整個使用場景的安全。從我們分析的多個現實攻擊的案例來看，第三方庫、開發工具、開發軟硬件環境、到達用戶的渠道、使用軟硬件產品的過程等供應鏈相關的安全風險，并不低于針對軟件應用本身、相應操作系統的安全漏洞導致的安全風險。

　　近年來我們觀察到了大量基于軟硬件供應鏈的攻擊案例，比如針對Xshell源代碼污染的攻擊機理是攻擊者直接修改了產品源代碼并植入特洛伊木馬；針對蘋果公司的集成開發工具Xcode的攻擊，則是通過影響編譯環境間接攻擊了產出的軟件產品。這些攻擊案例最終影響了數十萬甚至上億的軟件產品用戶，并可以造成比如盜取用戶隱私、植入木馬、盜取數字資產等危害。接下來我們將從劃分出來各環節的角度，舉例分析這些針對供應鏈攻擊的重大安全事件。

　　01

　　開發環節

　　軟件開發涉及到軟硬件開發環境部署、開發工具、第三方庫等的采購/原料供應、軟件開發測試等等，各環節都可能被惡意攻擊，在針對軟件開發環境的攻擊中就有開發機器被感染病毒木馬、開發工具植入惡意代碼、第三方庫被污染等攻擊方式。

　　而具體的軟件開發更是一個復雜的過程，不單單是源碼的編寫，還涉及到諸如需求分析、開源/商業庫使用、算法、外包開發等等復雜環節，其中的各個環節都有可能被攻擊并造成嚴重后果。最近的Xshell后門代碼植入事件就是最切實的例子，更早的事件還包括NSA聯合RSA在加密算法中植入后門等，下面是我們整理的在開發環節針對開發環境以及軟件開發過程進行工具污染、源代碼攻擊以及廠商預留后門等真實案例。

　　開發工具污染

　　針對開發工具進行攻擊，影響最為廣泛的莫過于XcodeGhost（Xcode非官方版本惡意代碼污染事件），值得一提的是早在30多年前的1984年，UNIX創造者之一Ken Thompson在其ACM圖靈獎的獲獎演講中發表了叫做Reflections on Trusting Trust（反思對信任的信任）的演講。他分三步描述了如何構造一個非常難以被發現的編譯器后門，后來被稱為 the Ken Thompson Hack（KTH），這或許是已知最早的針對軟件開發工具的攻擊設想。而最近的XcodeGhost最多只能算是KTH的一個簡化版本，沒有試圖隱藏自己，修改的不是編譯器本身，而是Xcode附帶的框架庫。