供應鏈攻擊是一種針對機構供應鏈中不安全元素的網絡攻擊,而非直接攻擊機構。
目錄
供應鏈攻擊
近年來,供應鏈攻擊已對全球造成損害。供應鏈攻擊是針對機構之間可信賴關係的網絡攻擊,利用被入侵的合作夥伴作為踏腳石進行入侵。它透過入侵可存取其數據、軟件或網絡基建的第三方廠商、供應商或合作夥伴來滲透機構的網絡或系統。
供應鏈攻擊的特點是它讓攻擊者先入侵組織供應鏈中較不安全的部份,例如第三方供應商,從而間接入侵系統。由於這些第三方已融入日常運作中,黑客更容易被忽略,直至造成重大損害為止。
供應鏈攻擊的主要特徵
間接方式
攻擊者不會直接攻擊目標機構,而是入侵值得信賴的第三方,例如軟件供應商、硬件供應商或服務承包商。然後,該第三方會成為將惡意負載傳遞至最終目標的渠道。
複雜性及規模
供應鏈攻擊可能很複雜,涉及多個階段並影響大量機構。攻擊者可能會在供應鏈的不同階段插入惡意代碼或硬件,令偵測變得困難。
利用信任度入侵
這些攻擊利用了機構與其供應商之間的信任關係。由於第三方供應商通常享有存取機構系統或敏感資料的特權,因此成為對攻擊者具吸引力的目標。
廣泛影響
供應鏈攻擊的影響可以很大,不僅會影響主要目標,還可能影響成千上萬其他依賴被入侵第三方的組織。
供應鏈攻擊的類型
供應鏈攻擊可以根據其來源分為三種:
軟件供應鏈攻擊
軟件供應鏈的攻擊涉及入侵開發或交付軟件的程序,以將惡意代碼插入軟件本身或其更新程式。這讓攻擊者利用看似合法的軟件滲透目標組織。
常見的攻擊媒介包括開放源碼、系統管理工具及常用應用程式。攻擊者通常不直接入侵公司,而是入侵開發軟件或託管其下載項目的可信賴第三方軟件商的系統。他們利用更新伺服器或發佈渠道,為毫無戒心的用戶提供已遭入侵的版本。
如果被入侵的軟件被廣泛使用,攻擊者可能會同時觸發大規模、影響深遠的攻擊,影響眾多機構。
服務供應鏈攻擊
商務供應鏈攻擊
企業供應鏈攻擊以合作夥伴、廠商、物流商及供應商的全面生態系統為目標,利用這些關係滲透主要目標組織。
這種方法變得十分常見,現已被視為獲取機構登入權的標準策略。
趨勢科技一直密切留意網絡攻擊集團,例如 Earth Hundun(又名 BlackTech)及 Earth Tengshe(連結至 APT10),它們會先入侵海外公司分支機構,再利用這個途徑滲透其主要國內運作,亦即是其實際目標。
供應鏈攻擊類別
- 受入侵的軟件更新:攻擊者在分發給大量用戶的軟件更新中注入惡意代碼。
- 受入侵的第三方軟件庫:將惡意代碼插入第三方資料庫或整合合法相依性軟件的機構。
- 硬件或韌體受損:在製造或發佈過程中將惡意硬件組件或韌體插入產品中。
- 綁架開發人員工具:入侵開發人員使用的工具,例如整合式開發環境或持續 CI/CD 流程。
- 受入侵的軟件依賴:將惡意代碼注入廣泛使用的合法相依性軟件。
- 透過入侵通訊協定外洩資料:利用 SMB、TLS、SSH 等通訊協定漏洞,或透過 SQL 注入等方法直接針對資料庫來外洩資料。
- 針對開放源碼項目:攻擊廣泛使用的開放源碼項目,插入可影響許多下游項目的惡意程式碼。
供應鏈攻擊的例子
Node Package Manager(2025 年)
RockYou2024 (2024)
RockYou2024 密碼洩漏令近 100 億個之前已遭入侵的憑證在黑客論壇上被發佈,凸顯了平台及服務憑證被集成、再利用及公開曝露所帶來的重大供應鏈風險。
大型語言模型及公共聊天機器人(2024)
由大型語言模型支援的公共聊天機械人可能會無意中在互動過程中分享敏感內部資料,洩露信任這些人工智能服務機構的機密,這凸顯了依賴外部人工智能平台可能無意中透過學習和互動程序洩露機密資料的風險。
US National Public Data(2024 年)
入侵是經由姊妹機構 RecordsCheck 的漏洞而來,讓黑客利用相關服務之間的信任關係來取得敏感資料。
PHP Git Server Compromise(2021 年)
攻擊者入侵了 PHP 的 Git 伺服器,試圖將後門程式插入常用網頁腳本語言的源代碼。
SolarWinds 攻擊(2020 年)
攻擊者滲透 SolarWinds 的 Orion 軟件更新機制,為超過 18000 客戶提供惡意更新,包括政府機構及大型企業。
Trend Vision One 平台
利用單一平台更快阻止威脅及管控您的網上風險。以人工智能、領導市場的威脅研究及情報為後盾,提供全面預防、偵測及回應功能以更有效管理保安運作。
Trend Vision One 支援各式各樣的資訊科技環境,自動化及協調工作流程,並提供專業的網絡保安服務,讓您可以整合及簡化保安運作。
Jon Clay 在網絡保安領域擁有超過 29 年經驗。他利用其業界經驗來教育及分享所有趨勢科技對外發佈的威脅研究及情報。