中国人民银行遭受供应链攻击事件

admin 2021年10月19日20:38:51安全新闻中国人民银行遭受供应链攻击事件已关闭评论1,088 views21686字阅读5分37秒阅读模式

今天到处在流传这张图

图片

朋友跑来问我,是不是中国人民银行被黑客入侵了?这里先给结论:

  • 中国人民银行没有被入侵,这是供应链攻击!
  • 中国人民银行没有被入侵,这是供应链攻击
  • 中国人民银行没有被入侵,这是供应链攻击

ok,接下来分析下这到底是件什么事。

  • 0x1 先看原文

  • 0x2 是哪一家供应商被入侵了?

  • 0x3 被忽略的评论信息

  • 0x4 进一步分析

0x1 先看原文

这篇文章来自于国外 RAIDForum 论坛,名为 AgainstTheWest 的用户(简称ATW)在10月14日发的帖子图片

我简单进行翻译

来自ATW的问候:

我们花了两个月的时间,终于能有权访问到中国人民银行的内部资产。
本次泄露的信息包含了中国人民银行所有软件项目的源代码,以及漏洞信息、代码smells和debts、以及安全报告。

我们使用了供应链攻击,目前正处于潜伏状态。因此,对中国人民银行用来进行私有化软硬件代码协作的网络,我们可以保持持续访问。

通过本次入侵,我们收集到了以下信息:
- 自动化办公信创产品-用于帮助国有资产开发和设计安全措施的软件
- 长春人民银行大数据系统
- 产品服务器收集平台-大数据系统之间的链接服务器&信创OA
- ETL 平台服务端
- ETL 平台代理
- 江苏省法人金融机构风险监测系统
- 长沙人民银行国库大数据管理系统
- EAST 数据质量管理系统
- Db2ImportTool  (2021年10月)

需要通过 BTC或者ETH 支付,下面是一些证据。

这里有几张截图:

1、自动化办公信创产品图片

2、长春人民银行大数据系统图片

3、长沙人民银行国库大数据管理系统图片

总结一下,这里面的两个关键词:

  • 源码:标题和原文中一直强调的是源码泄露,而非网络被入侵。
  • 供应链:攻击者承认是通过供应链攻击拿到的源码。

那么,从中能推断出是哪一家供应链厂商吗?

0x2 是哪一家供应商被入侵了?

其实前面攻击者给出了这么多信息,找到被入侵厂家并不难。

图片

直接搜索泄露信息的系统名称 + “中标”,第一个链接就能找到中标厂商。

图片

再去招投标专用网站,反查一下“北京青麦科技有限公司”,结果反向证明了正确性:

图片
图片
图片

看看“北京青麦科技有限公司”的产品列表:

图片红色部分与ATW给出的系统清单能对应上。

EAST系统介绍
EAST系统全称Examination and Analysis System Technology,是银监会在2008年开发的具有自主知识产权的检查分析系统,旨在顺应大数据发展趋势需求,并帮助监管部门提高检查效能。系统包含银行标准化数据提取、现场检查项目管理、数据模型生成工具、数据模型发布与管理等功能模块。

同时,该公司典型案例中也包括了中国人民银行。

图片

基于以上信息,基本可以推测是该厂商被ATW花了2个月入侵成功,拿到了为中国人民银行开发的一些系统源码。

0x3 被忽略的评论信息

从目前的信息来看,只能证明是供应链攻击,并未入侵到人民银行内部网络。

那么,危害仅此而已吗?图片

当有人问道,是否有数据泄露,攻击者在下面答复到:

“大数据系统”中硬编码了管理员凭证,可以用来连接存储了用户敏感信息的管理服务端,我只能说到这里了。

攻击者提到了两个大数据系统:

  • 产品服务器收集平台-大数据系统之间的链接服务器&信创OA
  • 长沙人民银行国库大数据管理系统

假设是第二个系统,会不会有互联网通路可以访问到呢?目前不得而知。

0x4 进一步分析

针对供应链厂家被入侵,从“横向”和“纵向”两方面来做进一步分析。

纵向来看,攻击者针对“中国人民银行”还能做哪些事情?

  • 源码审计。找出应用系统存在的漏洞、泄露的凭证信息,为进一步渗透做准备。
  • 内外勾结。通过社工方式买通具备敏感系统访问权限的人员,例如外包公司。
  • 供应链污染。在源码里面放置后门,等待部署上线。

横向来看,该公司的客户众多,攻击者可以:

  • 捡软柿子入手。找到安全防护能力偏弱的银行,进入其办公网络。比如下图的“办公系统”,很可能未作物理隔离。
  • 迂回到核心。在软柿子内部进一步渗透,找到专有网络的入口点,攻击核心。
图片

综上,目前需要紧急动员起来开展自查的,可能是一些中小银行。作为央妈,经过多轮的实战攻防,网络隔离+物理隔离,理论上攻击难度会非常大。

时间有限,以上仅为简单分析,欢迎讨论。

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月19日20:38:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  中国人民银行遭受供应链攻击事件 http://cn-sec.com/archives/589311.html