俄羅斯資安公司卡巴斯基(Kaspersky)於昨日(25)表示,駭客透過華碩的軟體更新伺服器在去年6月到11月間發送惡意軟體,並在用戶的電腦裡植入後門程式,影響將近百萬台電腦。由於駭客使用的是華碩的官方數位憑證,所以用戶在下載時難以察覺異樣。這次攻擊事件在今年1月時由卡巴斯基發現,並緊急向華碩聯繫告知。
難以偵查、傷害規模龐大的「供應鏈攻擊」
這次攻擊屬於供應鏈攻擊(supply-chain attack),是近年來破壞程度最嚴重的網路攻擊型態之一。供應鏈攻擊相當難以察覺且殺傷力大,駭客通常會透過已滲透的平台大量發送惡意程式。以華碩的案例來說,他們就是利用軟體更新伺服器來進行大規模的全球性攻擊。
卡巴斯基亞全球研究中心亞太區負責人Vitaly Kamluk表示,這個進化版的攻擊事件,代表用戶對國際大廠以及數位憑證的信任已不足以抵抗惡意程式的入侵。
然而,這次攻擊雖影響近百萬台電腦,真正在後門程式被植入後進行第二波攻擊的,只有600台電腦。其他受影響的電腦,其後門程式只是維持待機狀態,不會有實質影響。但仍舊有一定程度風險,畢竟遠端隨時有人可以啟動程式,對電腦造成傷害。
卡巴斯基亞全球研究中心負責人Costin Raiu說,這是典型的供應鏈攻擊,他們先是撒下大網逮住一大群人,再從裡面找出真正的目標。然而駭客為何挑出這600個目標進行第二波攻擊,第二波攻擊又如何影響這600個機台,卡巴斯基表示目前還在繼續調查當中,詳細情形將在4月初於新加坡舉辦的資安大會中向外界做進一步說明。
華碩:幕後黑手是第三世界主導的駭客集團
對於這次攻擊事件,華碩表示幕後黑手為特定的APT集團。APT通常由第三世界國家主導,針對全世界特定機構用戶進行攻擊,甚少針對一般消費用戶。華碩已主動聯繫遭攻擊的部份用戶,提供產品檢測及軟體更新服務,並持續追蹤處理。此外,華碩並透過新的多重驗證機制、端對端的密鑰加密機制,以及伺服器端與用戶端的軟體架構更新,強化防護機制,避免入侵事件再次發生。華碩並無在聲明中提及駭客集團的攻擊目的。
這並非駭客第一次以軟體更新的方式進行攻擊。2012年的Flame spy tool攻擊,便是駭客偽造了微軟的數位憑證,瞞過微軟的更新工具進而感染用戶電腦。不過在這個例子中,駭客並沒有真的入侵微軟的更新伺服器,而是在目標用戶的終端電腦裡激發微軟更新工具,將用戶導向到駭客的伺服器。
2017年5月的NotPetya惡意軟體攻擊事件則透過一個會計軟體的更新肆虐歐洲各國,受害者包含烏克蘭銀行、丹麥船運大廠Maersk以及多間電廠及機場。同樣爆發於2017年的知名軟體清理工具CCleaner,更是透過軟體更新傳播惡意軟體給近兩百萬用戶。
資料來源:Wired、Motherboard
