美国软件开发商Kaseya遭勒索攻击值得关注的原因

原载于：公众号「奇安网情局」

美国Corellium公司首席运营官马特·泰特、前英国政府通讯总部信息安全专家马特·泰特评论美国软件开发商Kaseya遭勒索软件攻击事件。

文章称，Kaseya遭勒索攻击事件可能是今年影响最大的网络安全事件，甚至比美国Colonial管道勒索软件事件以及去年年底的太阳风（SolarWinds）入侵影响更大。与事件造成的直接影响相比，事件发生原因更应引起重视，即通过破坏软件交付机制作为安装勒索软件的手段。诸如此类的供应链攻击是造成许多最严重网络攻击的直接技术原因，类似事件如NotPetya和SolarWinds。

对供应链的勒索攻击值得关注的方面还有三个方面：一是攻击者会对所有目标发起无差别攻击，肇事者往往无法控制、预测或限制颠覆软件供应链的现实后果，当供应链被用来安装勒索软件时尤其如此；二是目前遭入侵的软件供应商从总体上看规模相对较小，一旦如微软、苹果、谷歌等大型平台或客户规模较大的软件产品供应链遭受入侵，将产生规模难以想象的全球影响；三是网络安全行业目前无法通过防御性修复来应对通过自动更新部署的勒索软件，原因是供应商无法以正常方式响应供应链恶意软件，且会导致网络安全响应能力不堪重负。

---

卡西亚（Kaseya）勒索软件事件可能是今年影响最大的网络安全事件，比科洛尼尔（Colonial）管道勒索软件事件更大，比去年的太阳风（SolarWinds）入侵影响更大。

Kaseya是一家托管服务提供商；它的客户使用Kaseya来管理他们公司IT基础设施。作为此任务的一部分，Kaseya可以将软件部署到所管理的系统，其方式大致相当于软件提供商为这些机器部署自动更新。

自动软件部署通常是一件好事，尤其是在软件更新的情况下。但在这里，这个功能被颠覆了。俄罗斯犯罪团伙REvil入侵了Kaseya的管理系统，并将REvil软件推送到Kaseya管理的所有系统中。勒索软件在那里立即禁用了这些计算机，并要求为每个系统支付约4.5万美元的加密货币才会释放这些计算机。REvil声称约有100万台计算机受到影响，并提供了7000万美元的“批量折扣”，以一次性支付解锁所有受影响系统。

虽然直接影响已经很大，但直接影响在某种意义上远不如事件如何发生的问题重要，即通过破坏软件交付机制作为安装勒索软件的手段。

诸如此类的供应链攻击是造成许多网络安全“最严重”攻击（包括NotPetya和SolarWinds）的直接技术原因。2017年6月的NotPetya攻击在全球造成了大约100亿美元的损失。SolarWinds活动导致成千上万的大型机构和数十个联邦机构遭入侵。NotPetya是通过乌克兰会计软件公司MeDoc的恶意更新所实现的；SolarWinds恶意软件是通过对SolarWinds的IT管理软件的恶意更新所实现的。

如果这还不够引发关注，三个进一步的观察会引起注意：

首先，诸如此类的供应链入侵通常是无差别的（indiscriminate）；安装恶意更新的每个人都会感染恶意软件。即使在供应链恶意软件只是在初始入侵后为进一步次攻击奠定基础的情况下（如SolarWinds恶意软件所做的那样），其影响也会对所有接收者造成破坏，无论其是否为次攻击目标。除了极少数情况外，供应链攻击背后的肇事者无法控制、预测或限制颠覆软件供应链的现实后果——当它们被用来安装勒索软件时尤其如此。

第二个可能也是最可怕的观察结果是，到目前为止，恶意更新入侵所用的软件供应商从总体上看规模相对较小。MEDoc、SolarWinds和Kaseya当然对各自的客户都很重要，但在各自事件发生前，这些都不是家喻户晓的名字。还存在更大的软件供应商。有些是现代计算基本功能的核心。微软、苹果或谷歌等平台供应商的供应链中断将产生难以想象规模的影响；其全球破坏如此之大，以至于如果不听起来是丧心病狂或危言耸听，就无法真正表达出来。但平台供应商并不是唯一的大型软件开发商。数以百计的小公司存在于外围，每家都有庞大的客户群，机构来自于：英伟达（NVidia）、戴尔（Dell）、奥多比（Adobe）和谋智（Mozilla）；Linux及其各种主要发行版；大量软件开发人员所用核心包管理器的维护者；大型企业IT产品；以及任何大型游戏公司，如动视暴雪（Blizzard Activision）或维尔福（Valve）。其中大多数定期以运营规模向大量用户和组织推送软件，使得MEDoc、Kaseya和SolarWinds看起来像轻量级产品。

最后的观察结果是，对通过自动更新部署的勒索软件进行防御性修复对网络安全行业本身来说是无法控制的，其方式与其他类别的网络安全事件在性质上不同。

要了解原因，需要将Kaseya入侵与更“传统”的针对每个受影响的目标使用零日漏洞的恶意软件部署进行对比。开发或获取零日漏洞的黑客在大规模使用方面有两个自然障碍：难以触及暴露系统以及存在被发现风险。零日漏洞一旦被发现，其效用就会迅速而急剧地下降。

一旦发现“在野外”使用的零日漏洞，补救措施通常以网络安全界中的两个关键流的形式出现。第一个流是受影响供应商的软件开发人员。这些开发人员迅速对漏洞进行逆向工程以识别软件缺陷。对于简单的修复，开发人员可以直接修复；对于更复杂的问题，他们可能会暂时禁用周围功能，直到可以安全地重新设计有缺陷的组件。在任何一种情况下，通常在最初发现漏洞后的几天内，都会准备好“免疫”补丁并部署给客户。

当开发人员设计补丁以防止新感染时，事件响应界会动员起来帮助受感染机构。这些事件响应者执行密集的鉴别分类和补救。他们识别和恢复受影响的系统，发现被窃取内容，并采取措施，让受影响的系统和机构未来不太可能发生入侵情况，或者造成的破坏更小。

通过供应链自动部署的恶意软件无法控制地结束了所有这些动态。可以访问自动软件交付基础设施的恶意软件运营商没有动力将感染保持在较小的范围内。黑客通常不会只感染优先级列表顶部的几个目标，而是几乎同时攻击所有受影响客户。找到并触及暴露系统也不是大规模部署的障碍；传递机制“有帮助地”将恶意软件路由到深埋在企业网络内部或隐藏在传统防御层后面的系统。

供应商也无法以正常方式响应供应链恶意软件。恶意软件来自他们自己的软件交付基础设施，因此修复开始于他们禁用自身基础设施以防止进一步滥用，然后转向内部以保护自身系统。在任何情况下，补丁都是错误的修复工具：补丁有助于保护可能容易受到恶意软件攻击的系统，但在这里他们的客户已经感染了恶意软件。当漏洞被发现时，通过补丁修复已经为时已晚。

好像这还不够，充满恶意软件的更新对于事件响应也是无法控制的。由于恶意更新同时影响大量系统，它们往往会突然让整个事件响应行业的能力饱和，压垮他们的响应能力。

简而言之，软件供应链安全入侵看起来不像其他类别的入侵。这在很大程度上归结为系统安全的核心难题：没有中心化就不可能保护系统的边缘，以便我们可以集中防御资源。但同样的集中化将进攻性行动集中在几个单一的故障点上，如果被突破，所有的边缘都会立即崩塌。中央故障点控制的边缘越多，任何入侵（尤其是勒索软件入侵）附带现实世界后果越有可能是灾难性的，并导致防御性网络安全行业的响应能力不堪重负。

解决这个问题并非易事；它将需要大量不同领域的资源和创造力，从技术界到外交政策界。而且，公平地说，许多通往更安全基础设施的选择可能需要针对一些根深蒂固的大利益进行大规模（坦率地说不受欢迎的）调整才能取得进展。

但在研究人员和政策制定者开始寻找解决方案前，第一步是认识到为什么供应链入侵与网络安全中日常遇到的大多数其他问题有着根本的不同，并且其故障模式可能异常快速和大规模。只有这样，信息安全界才能开始以应有的规模和严肃性来解决它。