安恒威胁情报中心&ampamp猎影实验室：2020年度高级威胁态势研究报告（29页）.pdf

1、供应链中的不可信源今年 2 月，国外媒体爆出美国 CIA 秘密掌控瑞士加密通信公司克里普托 (Crypto AG)监听对手国家的情报。瑞士公司 Crypto AG 通过向 120 多个国家、地区出售加密设备产品赚取数百万美元，其客户包括伊朗、拉丁美洲军政府、核竞争对手印度和巴基斯坦，甚至梵蒂冈。Crypto AG 由美国中央情报局 (CIA) 秘密掌控，并且与德国联邦情报局 BND 保持高度机密的合作伙伴关系。这些间谍机构通过操控这家公司，从而轻松破解各对手国发送的机密信息。监听已持续多年，直到今年年初才被爆出，之前一直处于无声无息的状态。今年 4 月，黑客组织通过一些技术手段控制了某厂商 S

2、SL VPN 设备，并利用 SSL VPN 客户端升级漏洞下发恶意软件到客户端，从而控制用户机器。受影响用户包括多个中国驻外机构、国内多各单位、街道工会等，集中在北京、上海等地。今年 6 月，Github 的安全事件响应团队发布安全警报，恶意软件 Octopus Scanner 正通过 GitHub 上的开源项目传播，目的是感染开发人员的 NetBeans 构建环境，令其生成的可执行文件包含后门。并且发现了 26个开源项目被这个恶意软件感染。今年 11 月，Lazarus 组织通过韩国软件供应链来部署恶意程序，供应链中使用的是 WIZVERA VeraPort应用程序，用户使用该程序来接收并安

3、装特定网站所需的所有必需软件(例如，浏览器插件，安全软件，身份验证软件等)。从支持 WIZVERA VeraPort 的网站开始这种软件安装，需要最少的用户交互。通常，韩国政府和银行网站会使用此软件。对于其中的某些网站，必须安装 WIZVERA VeraPort，用户才能访问这些网站的服务。Lazarus 攻击者滥用了上述安装安全软件的机制，目的是从合法但受到破坏的网站上传播Lazarus 恶意软件。这里供应链攻击发生在使用 WIZVERA VeraPort 的网站上，而不是在 WIZVERA 本身，攻击者可以替换这类网站上的软件从而进行传播。今年 12 月，政府支持的 APT 组织针对 SolarWinds 产品进行供应链攻击，FireEye 将攻击者称为UNC2452，而接受华盛顿邮报采访的知情人士称攻击者与 APT29 组织有关联。SolarWinds 产品客户遍布全球涉及多个行业，如美国政府部门、美国财富 500 强企业等。此次攻击行动为具有针对性的定向攻击，据有关消息报导，美国多个部门以及 FireEye 已受影响。