卡巴斯基发布调查报告称除华硕外还有多家开发商遭遇供应链攻击
上月卡巴斯基发现华硕系列电脑预装的管理程序被植入病毒,攻击方式是提前入侵华硕服务器感染源代码包。
通过这种方式病毒随华硕管理程序被分发到成千上万台电脑,这也就是我们近年来常提到的供应链攻击手法。
供应链攻击即通过感染上游软件开发商并借助开发商的力量进行分发,实际上攻击集团并未直接接触到用户。
除华硕外还有多家公司遭遇攻击:
卡巴斯基的初期报告主要指出华硕管理程序被感染病毒,携带华硕正规数字签名的软件包通过升级抵达用户。
经过更详细的调查后卡巴斯基发现还有多家公司遭遇攻击,包括游戏开发商、综合控股公司和制药公司等等。
例如仙境传说开发商韩国重力社、特战先锋开发商韩国 Zepetto 和IT基础服务公司Innovative Extremist等。
可以看到攻击者更倾向于那些用户数量广泛的游戏或软件开发商,这样可以尽可能通过开发商感染更多用户。
这次攻击是非常典型的间谍行为:
尽管攻击团伙感染无数用户但是并不会发动任何攻击,而是先检查用户网卡 MAC 地址与预设地址进行对比。
如果对比成功则说明此用户是攻击团伙的目标用户,然后返回数据给服务器并等待控制者下发新的远程命令。
如果对比不成功那说明就是普通用户不是目标用户,这时候病毒不会有任何恶意行为最多借用户继续传播等。
所以从这方面看可以得出背后的攻击团伙其实就是间谍机构,通过广撒网的方式来追踪数百名特定目标用户。
很难说这是哪里的间谍机构:
能够感染华硕这类规模非常大的公司其背后的攻击能力可见一斑,所以这也不是普通的间谍机构就能达到的。
感染大量知名公司用来分发恶意软件追踪特定用户,不论需要投入的人力还是财力都应该很大没有预算上限。
所以一般的间谍机构不太可能会使用这方式来进行攻击和追踪,目前卡巴斯基也并未提到是来自哪里的攻击。