俄罗斯资安公司卡巴斯基(Kaspersky)于昨日(25)表示,黑客透过华硕的软件更新服务器在去年6月到11月间发送恶意软件,并在用户的电脑里植入后门程序,影响将近百万台电脑。由于黑客使用的是华硕的官方数码凭证,所以用户在下载时难以察觉异样。这次攻击事件在今年1月时由卡巴斯基发现,并紧急向华硕联系告知。
难以侦查、伤害规模庞大的「供应链攻击」
这次攻击属于供应链攻击(supply-chain attack),是近年来破坏程度最严重的网络攻击型态之一。供应链攻击相当难以察觉且杀伤力大,黑客通常会透过已渗透的平台大量发送恶意程序。以华硕的案例来说,他们就是利用软件更新服务器来进行大规模的全球性攻击。
▲华硕攻击事件属于供应链攻击的一种,其特色为攻击规模大,而攻击来源难以侦查。
卡巴斯基亚全球研究中心亚太区负责人Vitaly Kamluk表示,这个进化版的攻击事件,代表用户对国际大厂以及数码凭证的信任已不足以抵抗恶意程序的入侵。
然而,这次攻击虽影响近百万台电脑,真正在后门程序被植入后进行第二波攻击的,只有600台电脑。其他受影响的电脑,其后门程序只是维持待机状态,不会有实质影响。但仍旧有一定程度风险,毕竟远端随时有人可以启动程序,对电脑造成伤害。
卡巴斯基亚全球研究中心负责人Costin Raiu说,这是典型的供应链攻击,他们先是撒下大网逮住一大群人,再从里面找出真正的目标。然而黑客为何挑出这600个目标进行第二波攻击,第二波攻击又如何影响这600个机台,卡巴斯基表示目前还在继续调查当中,详细情形将在4月初于新加坡举办的资安大会中向外界做进一步说明。
华硕:幕后黑手是第三世界主导的黑客集团
对于这次攻击事件,华硕表示幕后黑手为特定的APT集团。APT通常由第三世界国家主导,针对全世界特定机构用户进行攻击,甚少针对一般消费用户。华硕已主动联系遭攻击的部份用户,提供产品检测及软件更新服务,并持续追踪处理。此外,华硕并透过新的多重验证机制、端对端的密钥加密机制,以及服务器端与用户端的软件架构更新,强化防护机制,避免入侵事件再次发生。华硕并无在声明中提及黑客集团的攻击目的。
▲2017年CCleaner也曾透过软件更新遭到黑客攻击,影响近200万名用户。
这并非黑客第一次以软件更新的方式进行攻击。2012年的Flame spy tool攻击,便是黑客伪造了微软的数码凭证,瞒过微软的更新工具进而感染用户电脑。不过在这个例子中,黑客并没有真的入侵微软的更新服务器,而是在目标用户的终端电脑里激发微软更新工具,将用户导向到黑客的服务器。
2017年5月的NotPetya恶意软件攻击事件则透过一个会计软件的更新肆虐欧洲各国,受害者包含乌克兰银行、丹麦船运大厂Maersk以及多间电厂及机场。同样爆发于2017年的知名软件清理工具CCleaner,更是透过软件更新传播恶意软件给近两百万用户。
