◎中國電子科技集團公司第三十研究所 張曉玉 陳河

2020年12月的Solar Winds事件，爆發(fā)之迅猛，波及面之大，社會影響之深，潛在威脅之嚴重，令世界為之震驚，堪稱過去近十年來最重大的網絡安全事件。其背后隱現了俄羅斯情報機構這樣國家機構的“影子”，更重要的是，這起重大事件揭開了軟件供應鏈存在的問題及隱患。本文簡要介紹了Solar Winds事件的基本情況，分析了此次網絡攻擊的特點，指出軟件供應鏈已成為黑客攻擊的重要突破口，并挖掘了本次事件的深層原因。

從棱鏡計劃到維基解密、勒索軟件事件，再到2020年底的Solar Winds事件，網絡空間重磅事件近年來層出不窮。尤其是Solar Winds事件，爆發(fā)之迅猛，波及面之大，社會影響之深，潛在威脅之嚴重，令世界為之震驚，堪稱過去近十年來最重大的網絡安全事件。其背后隱現了俄羅斯情報機構這樣國家機構的“影子”，被黑客植入木馬的Solar Winds Orion軟件被國家行為體利用后所造成的危害，已大大突破了當今頂級安全公司及政府機構所具有的防御能力。更重要的是，這起重大事件揭開了軟件供應鏈存在的問題及隱患，折射出軟件供應鏈攻擊難發(fā)現、

難溯源、難清除、低成本、高效率的特點；同時也真實反映了網絡空間技術和力量較量無處不在，美國或將調整其網空防御與進攻舉措，全球網絡空間攻防態(tài)勢或面臨重塑，大國間的地緣政治博弈也將加劇。

一、“Solar Winds”事件基本情況

2020年12月8日，美國頂級安全公司火眼（Fire Eye）爆出，黑客通過木馬化的Solar Winds Orion軟件入侵了公司網絡。12月14日，美國聯邦調查局（FBI）、國家情報局局長辦公室（ODNI）與美國國土安全部網絡安全與基礎設施安全局（CISA）聯合發(fā)布聲明，首次正式確認被黑客植入木馬的Solar Winds造成多個美國聯邦政府機構的網絡遭受入侵。黑客對文件的源碼進行篡改添加了后門代碼，該文件具有合法數字簽名伴隨軟件更新下發(fā)。通過該渠道，高級持續(xù)攻擊（APT）黑客組織可直接攻擊目標機構的網絡管理員，獲得網絡設備賬號及管理權限、IT基礎設施及管理權限，以及業(yè)務系統(tǒng)與數據庫的最高權限，從而可暢通無阻地訪問內部網絡，具備長期的匿名網絡接入能力，以及越過內部安全等級防護的權限，從而達到長期控制目標、竊取核心數據的目的。

事態(tài)仍在不斷發(fā)酵，截止12月16日，已確認受害的重要機構至少200家，波及北美、歐洲等全球重要科技發(fā)達地區(qū)的敏感機構，其中美國占比超過60%。綜合多家媒體報道顯示，受此事件影響的美國政府機構包括美國國務院、國防部、財政部、國土安全部、能源部國家核安全局、美國國家電信和信息管理局、美國國立衛(wèi)生研究院等。針對該事件的風險，CISA以“超出了容忍極限”的罕見字眼在官方通報中予以通告，并發(fā)布緊急指令21-01，呼吁所有聯邦運行Solar Winds產品的機構立即斷開或關閉Solar Winds Orion的電源。

為盡快全面調查該事件，12月14日美國成立了由FBI、CISA和ODNI組成的網絡統(tǒng)一協調小組（UCG），并由美國國家安全局（NSA）協助和采取補救措施。調查目前集中在四個關鍵方面：確定受害者，收集證據，分析證據以確定進一步的歸因，并與政府和私營部門合作伙伴共享結果以告知行動。隨著調查的不斷深入，UCG發(fā)現大多數運行后門軟件的Orion客戶（可能多達18,000個組織）有可能只進入第一階段，后續(xù)攻擊階段的高價值目標仍有待進一步調查。多達250個組織繼續(xù)遭受了第二階段攻擊，攻擊者投擲了名為Teardrop的惡意軟件，可竊取數據，安裝其他惡意軟件和后門程序，并幫助黑客到達其他系統(tǒng)。據第二階段重大受害機構之一的美國司法部披露，黑客已向其內部郵件系統(tǒng)滲透，受影響人數多達司法部員工郵件賬戶總數的三分之一。

因此，可以判斷，此次軟件供應鏈攻擊具有極大的戰(zhàn)略意圖，意在長期控制某些重要目標，或旨在獲取足以長期活動的憑據。目前，事件仍在持續(xù)發(fā)酵，未來如何發(fā)展仍有待觀察。

二、“Solar Winds”事件特點分析

（一）極高的技術水平和隱蔽性

隱蔽處于絕對首位是其攻擊思想，在入口選擇上，攻擊者選擇源代碼階段，且選擇代碼倉庫為發(fā)起感染的位置，并選擇非常深層次的調用堆棧，以降低代碼重構期被發(fā)現的可能性，甚至有研究機構發(fā)現此后門實質上僅僅是一個高隱蔽性探針，后續(xù)攻擊一定會更換后滲透的攻擊套件進行下一階段行動。其設計思路隱蔽巧妙，顯示出了非常老練的后門功底。在上線選擇上，寧可放棄大量的上線機會也不愿在某個非安全環(huán)境上線，謹小慎微的做法和常規(guī)行動者情況完全相反。在編碼上，高度仿照了Solar Winds的編碼方式與命名規(guī)范和類名等，非常工整，其高超的代碼仿冒能力成功繞過了Solar Winds公司復雜的測試、交叉審核、校驗等多個環(huán)節(jié)，在技術和思維上已大大超過常規(guī)行動體。因此，不難理解為何火眼作為頂級安全公司，在網絡威脅檢測、郵件威脅檢測、終端威脅檢測等領域具備世界一流水平，但是攻擊者能夠利用前所未有、令人耳目一新的技術組合以及多種應對安全工具和取證檢查的方法，滲透進入火眼公司內網，盜取其紅隊測試工具網絡武器庫。致使火眼首席執(zhí)行官凱文·曼迪亞對此次事件所展示的攻擊能力甚至用火眼25年所遭遇的頂級攻擊來形容。

（二）極強的耐心和高精準性

黑客早在2019年10月已控制了代碼倉庫，由此逆推Solar Winds公司被控制的時間可能在2019年初甚至更早。此階段據推測意在驗證攻擊手法是否能成功，并據此推斷后續(xù)行動所需時間。2020年3月引入了第一個惡意Solar Winds Orion版本，隨后進入行動籌備和實施階段，但時隔9個月后才被發(fā)現。也就是說，攻擊者在2019年10月進行“預演”來進行技術測試，然后在2020年3月開始實際攻擊。這些數據一方面再次印證了其高隱蔽性，同時也揭示了攻擊組織花費長時間用以收集被感染目標相關信息，根據回傳信息進行目標精準辨識，再根據既定作戰(zhàn)任務進行目標篩選、研判并做出具體指令，是終止、等待或是持續(xù)滲透。潛伏時間之長，充分說明了攻擊者意在精準篩選，僅對特定目標實施后續(xù)攻擊，體現其攻擊的高精度性。正如微軟總裁布拉德·史密斯所表示的：“這是一次非常復雜、非常有耐心、堅持不懈的攻擊?！盨olar Winds在其安全警報中明確指出：這種攻擊是一種極有針對性的、手動執(zhí)行的攻擊，而不是廣泛的、系統(tǒng)范圍的攻擊。據最新調查發(fā)現，黑客已使用名為Teardrop的第二階段惡意軟件控制本地網絡，再以此為支點入侵受害目標，收集大量第一手情報。因此，此類攻擊通常會從破壞最小到危害最大的多個階段展開，最終實現最有價值目標的徹底突破，竊取大量數據。

（三）難度極大的細節(jié)挖掘和清除工作

隨著Solar Winds事件更多信息的浮出水面，美國CISA調查發(fā)現此次黑客攻擊行動很有可能利用了其他戰(zhàn)術、技術和程序（TTP），攻擊者不僅限于將后門偷偷潛入代碼中，而且能夠與被感染系統(tǒng)進行通信而不會被發(fā)現。攻擊者可以完全不受限制地訪問Solar Winds軟件和分發(fā)機制。這些策略、技術和程序尚未被發(fā)現，很難從受感染網絡中刪除，不但高度復雜而且極有挑戰(zhàn)性。美CISA新負責人布蘭登·威爾斯稱“該事件是CISA在網絡領域面臨的最復雜和最具挑戰(zhàn)性的活動之一?！睋﨏ISA最新調查發(fā)現，黑客無需Solar Winds即可闖入網絡，正在利用Solar Winds Orion漏洞之外的方法破壞聯邦網絡。CISA發(fā)現黑客可能已經使用密碼猜測和密碼噴射技術來獲取其他管理權限，可偽造身份驗證令牌，獲得對其他云資源和環(huán)境的訪問權限。

因此，此次經過精心策劃的、復雜的大規(guī)模軟件供應鏈入侵不但調查取證歷時比較久，而且揭露攻擊活動的全部細節(jié)及清除工作是一項艱巨的任務。到目前為止，還沒有全面了解該攻擊可能造成的損害以及它是否仍然存在。

（四）國家背景黑客組織幕后所為

通過分析該事件的各種蛛絲馬跡，可以發(fā)現至少經過專業(yè)黑客組織兩年的踩點與滲透，由基礎建設團隊提供鏈路與武器，由分析團隊進行目標確認，由后滲透團隊實行深入控制，通過供應鏈打擊的實質形式，有組織、有目的、成建制的進行網絡攻擊。此外，能將非常復雜的定制化后門作為一次性探針使用，這么高的開發(fā)和攻擊成本對于小團隊是完全不現實的。并且通過IP這種難以精確控制的資源作為控制載體也能體現出攻擊者本身維護了一個龐大的基礎設施網絡資源庫，同時也體現出較為雄厚的經濟實力。因此，從攻擊者的行為和使用的技術，以及足夠的基礎設施支撐來看，其攻擊水平與技術成熟度無疑是國家背景的黑客組織。2021年1月，白宮網絡統(tǒng)一協調小組（UCG）也首次明確披露俄羅斯情報部門是此次事件的幕后黑手，并為此付出了極高的成本。

三、軟件供應鏈已成為黑客攻擊的重要突破口

由上述對該事件的深度解析可以清晰看出，軟件供應鏈攻擊作為一種新型威脅，具有威脅對象多、極端隱蔽、檢測難度大、涉及維度廣等特點，已成為國家級攻擊行為的重要選項，在未來一段時間內軟件供應鏈攻擊將是最難防范的威脅之一，而且攻擊數量還會增加。那么，為何軟件供應鏈悄然成為了黑客實施攻擊的最佳切入點，原因分析如下。

（一）軟件供應鏈攻擊造成的影響深遠

軟件供應鏈攻擊具有極大的傳播性，如在上游開發(fā)環(huán)節(jié)發(fā)生的攻擊，一旦成功，便會波及整個軟件供應鏈的中下游，對大量的軟件供應商和最終用戶，包括政府機構、組織、企業(yè)等帶來巨大風險和損失。尤其是當上升為國家行為后，國家級攻擊組織利用軟件供應鏈攻擊可取得極大攻擊效果。例如，2012年的震網病毒對伊朗核設施的破壞。2017年Not Petya攻擊和Equifax數據泄露影響了數百萬用戶。同年，勒索軟件變種Petya攻擊烏克蘭，使得烏克蘭首都機場、國家儲蓄銀行遭遇重大損失。而此次爆發(fā)的Solar Winds事件直接將國家級網絡攻擊的關注推至新高，無論從規(guī)模、影響力和潛在威脅性來看，都堪稱過去十年最重大的網絡安全事件。這些事件一方面展示了軟件供應鏈攻擊可危害敵對國的大型機構、基礎設施以及大型企業(yè)；另一方面也展示了軟件供應鏈攻擊的巨大潛在規(guī)模，及其對國家級攻擊者的戰(zhàn)略價值。因此，軟件供應鏈攻擊近年來備受黑客青睞。

（二）軟件供應鏈的攻擊面多

軟件供應鏈是一個通過一級或多級軟件設計、開發(fā)階段編寫軟件, 并通過軟件交付渠道將軟件從軟件供應商送往軟件用戶的系統(tǒng)。從軟件生命周期的視角可以將軟件供應鏈簡單抽象為軟件設計、代碼編寫到生成軟件的開發(fā)環(huán)節(jié)，軟件分發(fā)和用戶下載的交付環(huán)節(jié)，直至交付到用戶的使用環(huán)節(jié)，三大環(huán)節(jié)環(huán)環(huán)相扣構成其鏈狀結構。這種鏈狀結構中每個環(huán)節(jié)都面臨著安全風險，致使攻擊面多，易暴露脆弱性。同時，相比于傳統(tǒng)的針對軟件漏洞的攻擊，軟件供應鏈攻擊從軟件本身擴展為軟件以及內部的所有代碼、模塊和服務，以及與這些模塊相關的供應鏈上游供應商的編碼過程、開發(fā)工具和設備，不但大大增加了攻擊途徑，而且還顯著降低了攻擊難度。

（三）軟件供應鏈的攻擊手法多樣

軟件供應鏈攻擊呈現多樣化特點，從近年來發(fā)生的多起典型軟件供應鏈攻擊事件可見一斑，例如，2015年的Xcode Ghost開發(fā)工具污染事件，2017年的CCleaner惡意代碼植入事件，以及Wire X Android 僵尸網絡和Not Petya勒索病毒事件，采用了不同攻擊手段。軟件供應鏈的鏈狀結構特點使其每個環(huán)節(jié)面臨不同的安全風險，自然衍生出不同的攻擊手法，例如，針對開發(fā)環(huán)節(jié)的源代碼和開發(fā)工具污染，針對交付環(huán)節(jié)的下載網站和軟件更新網站攻擊，針對使用環(huán)節(jié)的升級更新劫持等。攻擊者針對各環(huán)節(jié)的不同脆弱點實施不同攻擊，再依賴供應鏈上的信任關系以逃避傳統(tǒng)安全產品的檢查，沿著供應鏈向后滲透，從而實施對目標網絡的滲透及非法攻擊。此次Solar Winds事件一經報道后，國內外多家研究機構和智庫即從不同角度進行分析，其中阿里云安全通過分析歷史曾經發(fā)生過的126起供應鏈攻擊事件，將相關攻擊手段總結為15種，包括黑灰產模式推廣惡意軟件，入侵官方網站替換下載鏈接，劫持正式更新下載地址的域名，入侵官方更新升級系統(tǒng)，入侵軟、硬件開發(fā)公司，向目標項目的源碼植入惡意代碼，開發(fā)工具污染篡改源碼，植入后門，應用運行環(huán)境、應用組件環(huán)境被植入后門，等等。

四、事件背后的原因分析

（一）美網絡防御能力建設相對滯后被充分暴露和放大

隱藏在該事件背后的一個根本原因實際上是美國長期以來推進的進攻性網絡安全戰(zhàn)略，從奧巴馬到特朗普政府時期均延續(xù)著這一戰(zhàn)略思想，強調“主動攻擊”，追求強大的進攻能力和網絡威懾能力，不斷加大美軍進攻性網絡空間作戰(zhàn)力度。高估通過進攻性戰(zhàn)略獲得的安全利益，嚴重低估了網絡防御的重要性。路透社曾援引美國聯邦政府公布的數據以及情報部門官員的話報道稱，美國90%的網絡項目開支用于研發(fā)黑客攻擊武器，各種攻擊武器可侵入敵方電腦系統(tǒng)、通訊竊聽、使基礎設施癱瘓或受阻，在網絡資源布局方面將較多的資源用于攻擊而非防御。此次Solar Winds事件也充分暴露了美網絡防御能力建設相對滯后乃至不足，其缺陷被充分暴露和放大。因此，該事件為美國家網絡安全防御能力的建設，以及全球范圍防控網絡空間進攻性代碼和能力擴散等問題敲響了警鐘，亟需在國家網絡安全戰(zhàn)略能力體系建設和全球網絡空間安全規(guī)范構建中得到充分重視。

（二）針對軟件供應鏈攻擊的研究還不成熟

雖然軟件供應鏈攻擊事件時有發(fā)生，但是2017年“針對軟件供應鏈的網絡攻擊”概念才首次由微軟提出。作為一種新的安全問題，目前還缺乏權威而準確的定義。相比于針對目標計算機系統(tǒng)的漏洞安全研究，針對軟件供應鏈安全的研究目前整體還處于提出問題或分析問題的起步階段，還沒有到解決問題的關鍵階段，一定程度上還缺少直接的有針對性且有價值的研究成果。因此，面對數量繁多、涉及領域廣泛、與用戶信息接觸最為直接的各類軟件產品，目前尚未形成一套防御理論完備、技術手段長久有效的軟件供應鏈防護體系，直接導致應對措施和機制缺失、檢測和溯源技術水平等跟不上。未來在進一步加強軟件供應鏈攻擊風險防范意識的同時，還需要在軟件安全質量的檢測與控制，軟件供應鏈各類渠道的安全防范，供應鏈攻擊的防護、檢測和響應，軟件供應鏈的風險管理流程等方面進一步深入研究。

（三）保障軟件供應鏈安全的難度比較大

其難度首先體現在當開源軟件的數量呈指數級增長時所帶來的安全問題不容忽視。當前新增開源代碼數量巨大，直接導致軟件庫之間的引用關系非常復雜，只要其中一個環(huán)節(jié)出現了問題，就會導致所有使用該軟件庫的下游軟件均存在該漏洞。更重要的是，對于開發(fā)過程中引入開源軟件的執(zhí)行細節(jié)與其中潛在的風險，大多數開發(fā)者都無從獲知。其次，攻守完全不平衡。對攻擊者而言，只需找到軟件供應鏈的一個突破口便可入侵并造成危害，而開發(fā)者則需要對整個軟件供應鏈進行完備的安全防護，對漏洞挖掘、安全防范提出了更高要求。即便企業(yè)安全意識足夠高，從漏洞公布，發(fā)現安全隱患設計補丁，最終測試并發(fā)布安全的新版本，仍然需要一定的周期，而攻擊者根據漏洞生成攻擊向量的速度可能更快。第三，軟件供應鏈攻擊的隱蔽性非常強。軟件供應鏈攻擊作為一種新型攻擊手段，能夠繞開傳統(tǒng)安全產品的防護，通過侵入合法軟件并篡改數據的方式進行偽裝，實現大范圍的傳播及攻擊，造成巨大損失。

五、結語

Solar Winds供應鏈黑客攻擊事件對全球各國供應鏈和關鍵基礎設施安全防御體系而言都富有極大的沖擊性，暴露了包括美國在內的全球各國網絡安全策略的軟肋。大量傳統(tǒng)網絡安全工具、措施和策略失效，一定程度上顛覆了業(yè)內人士對網絡信息安全防御傳統(tǒng)方法的認知?！爸毓ポp守，以攻代守”的美國國家網絡空間安全戰(zhàn)略遭受嚴重打擊，全球網絡安全行業(yè)或將面臨斯諾登事件以來最大的不確定性或變革，對未來美國家安全策略或將帶來深遠影響。

此次事件的攻擊者技術高超、手段老練、有著極強的專業(yè)能力和高度的紀律性，Solar Winds是否并非其唯一目標，還有多少未被發(fā)現的Solar Winds，誰會是下一個被發(fā)現的Solar Winds？在進入Solar Winds之后是否已經控制了其它更多的供應商？攻擊者是否已通過本次攻擊轉移了打擊陣地？這些問題，尚未知曉。唯一確定的是，我們看到的遠遠少于所有的可能性，攻擊所造成的危害及威脅，可能比我們已知的要嚴重的多。