年度案例：全球 IT 中断和供应链攻击

网络安全公司 CrowdStrike 的错误更新引发了历史上最大的 IT 中断之一，影响了全球约 850 万个系统。这一事件清楚地提醒我们，全球 IT 中断和供应链弱点所带来的重大风险。由于大规模安全危机是全球最相关的威胁之一，因此反思过去的事件、评估新出现的威胁，以及最重要的是，探索防止未来事件的策略比以往任何时候都更加重要。

作为卡巴斯基安全公告 2024 的一部分，我们的“年度案例”聚焦于这些紧迫的问题。我们将首先回顾 2024 年值得注意的供应链事件，然后探讨更具破坏性案例的潜在情况以及我们应对这些事件的方式。

让我们开始吧！

发生了什么事？就在 Windows 事件发生前几周，CrowdStrike 遇到了 Linux 问题。4 月份的软件更新导致许多发行版出现问题，例如 Red Hat、Debian 和 Rocky。

为什么这很重要？Linux 是许多关键基础设施和安全设施使用的操作系统。之前的一次错误更新已经表明 CrowdStrike 的安全软件当时存在更广泛的问题，尽管该问题并没有得到太多的关注。

发生了什么事？3 月，Openwall 的开源软件安全项目 （oss-security） 报告了 XZ 中的后门，XZ 是一种压缩实用程序和流行的代码库，广泛用于 Linux 发行版。与过去对 Node.js、PyPI、FDroid 和 Linux 内核的供应链攻击不同，这些攻击依赖于供应链滥用导致的小型恶意注入或虚假包裹交付，这是一次多阶段攻击，几乎破坏了全球数百万或至少数十万台 SSH 服务器，攻击者采用社会工程策略，甚至创建虚假的社区成员来赢得 XZ Utils 维护者的信任。卡巴斯基分三个部分对本案进行了详细的技术分析。Kaspersky 产品检测与攻击相关的恶意对象。

为什么这很重要？由于这些策略，攻击者秘密地植入了后门。此案例凸显了社会工程和供应链攻击对开源项目构成的严重风险。它强调了实施更严格的安全措施、采用更警惕的项目管理方法以及对项目贡献者进行仔细监督的重要性。

发生了什么事？最近在中东发生的涉及寻呼机的事件说明了与硬件供应链攻击相关的风险。一次有针对性的攻击利用了真主党使用的一批寻呼机，造成了广泛的混乱和人员伤亡。媒体报道称，这些装置内藏有爆炸物。

为什么这很重要？该事件表明，通过攻击造成物理伤害的可能性，各种威胁行为者可能正在利用电子或全数字组件。臭名昭著的 Stuxnet 攻击清楚地提醒了这种可能性。通过以工业控制系统为目标，Stuxnet 展示了网络武器如何造成有形的现实损害，强调了对硬件和软件系统中的此类威胁保持警惕的迫切需要。

发生了什么事？大约 385,000 个使用 Polyfill.io（一段远程托管的编程代码）的网站成为大规模供应链攻击的受害者，因为在收购 polyfill.io 域后，加载的脚本被更改以将用户重定向到恶意和欺诈网站。Polyfill.io 服务提供旧版 Web 浏览器中缺少的支持和功能。它使开发人员能够使用现代工具，即使它们不受特定浏览器版本的支持。截至 2024 年 7 月，受影响的房东包括与华纳兄弟、Hulu 和梅赛德斯-奔驰等主要平台相关的网站。

为什么这很重要？据 Cloudflare 称，Polyfill.io 被数千万个网站使用，约占互联网上所有网站的 4%，这凸显了该事件的严重性，其全部影响尚未确定。

发生了什么事？任何公司都无法幸免于供应链攻击的威胁。由于针对第三方电话提供商员工的网络钓鱼攻击，用户数据从 Cisco Duo 中被盗，该服务为组织提供多因素身份验证 （MFA） 和单点登录 （SSO） 网络访问。该漏洞允许威胁行为者下载 SMS 消息日志。

为什么这很重要？此事件凸显了第三方服务提供商成为切入点的攻击风险。IT 外包越来越受欢迎，提供了节省时间和资源等好处。但是，委派任务也带来了新的信息安全挑战。2023 年，使用信任关系的网络攻击已经成为三大最常见的媒介之一，这一趋势在 2024 年将获得新的动力。

发生了什么事？今年早些时候在 OpenSSH 中发现了一个名为“regreSSHion”的关键漏洞。OpenSSH 用于需要安全网络通信的广泛场景。它是各个领域的关键工具，包括系统管理、开发和网络安全。SSH 协议被各行各业的公司使用，可能允许犯罪者执行恶意代码并获得 root 权限。

为什么这很重要？由于计算能力要求很高，因此不可能大规模利用此漏洞 — 由于它依赖于争用条件，攻击者需要在目标服务器上进行多次身份验证尝试。根据 Qualys 的说法，成功利用需要 10,000 次尝试，这可能需要几个小时到几天的时间，具体取决于目标 OpenSSH 服务器配置。但是，针对性攻击仍然是一种可行的可能性。这个问题提醒人们广泛使用的软件固有的潜在风险。

发生了什么事？2024 年 10 月，据报道，四款 Fortinet 产品中的关键 CVE 遭到积极利用。研究人员表示，当时有超过 87,000 个 Fortinet IP 可能受到其中一个已发现的漏洞的影响。这些信息被传播，使易受攻击的系统成为威胁行为者的高知名度目标，尤其是因为 Fortinet 产品常见于政府、医疗保健和其他关键部门。

为什么这很重要？Fortinet 产品是许多组织网络安全不可或缺的一部分。当此类广泛部署的产品中的关键漏洞被利用时，它为攻击者打开了一条途径，通过单个供应商的软件或设备来破坏多个组织的安全。

2024 年其他值得注意的供应链攻击包括：

• 黑客将恶意软件直接注入最大的 Discord 机器人平台的源代码中。

• 攻击者试图使用模仿合法项目的名称将数百个恶意包上传到 PyPI。

• 在 PyPI 存储库中发现了另一组恶意软件包。这些包模仿了 LLM 的库，而实际上它们将 JarkaStealer 恶意软件下载到了受害者的系统。

• 威胁行为者获得了对 Tornado Cash 加密混合器的控制权。

上面提到的事件引发了一个关键问题：什么样的情况会导致更具破坏性的后果？在下一节中，我们将深入探讨潜在的全球中断。

AI 主导了我们的“2023 年度故事”，因为生成工具的采用已经影响了我们当时生活的几乎方方面面。今年，随着 AI 与数百万人使用的服务正式集成，这一趋势进一步加深。以 OpenAI 为例，其技术广泛用于各种助手，从 Apple 和 GitHub Copilot 到摩根士丹利的专有工具。企业还依赖 Meta （Llama）、Anthropic （Claude） 和 Google （Gemini） 的模型。一方面，这种转变增强了日常体验，但另一方面，它增加了与依赖少数关键提供商相关的风险。事实上，这种趋势造成了集中的故障点：如果其中一家主要的 AI 公司经历严重中断，它可能会严重影响数十、数百甚至数千项依赖它的服务。在最坏的情况下，这些服务的故障可能意味着各行各业的广泛运营失败。

另一个迫在眉睫的威胁是数据泄露。任何主要 AI 提供商的事件都可能导致最广泛的泄漏之一，因为 AI 驱动的系统通常会收集和存储大量敏感信息。虽然由于针对个人的恶意软件活动，AI 聊天机器人帐户已经在暗网上进行交易，但影响企业层面客户的 AI 提供商存储泄露可能会导致更敏感的数据泄露。

采用 AI 的企业应考虑供应商多样化，并优先考虑基础设施弹性，仔细配置集成 AI 组件的访问限制，并像往常一样密切关注任何处理敏感数据的人员。数据泄露可能并不总是源于外部网络攻击;它们可能是由粗心或坚定的内部人员精心策划的，他们可能会利用 AI 作为数据盗窃工具。

AI 集成正在面向消费者和面向业务的小工具和工具中加速。例如，Apple Intelligence 最近为其最新系统的用户推出了测试版。此功能主要由神经内核或“神经引擎”提供支持。这些引擎以及一般的设备端 AI 提供了一种全新的体验，针对在日常任务中运行大型语言模型进行了优化。

然而，出色的用户体验伴随着巨大的网络风险，随着 AI 变得越来越普遍，它被选为攻击媒介的可能性也在增加。在卡巴斯基去年发现的三角测量活动中，攻击者通过利用零日漏洞将高级间谍软件加载到设备上，破坏了系统软件和硬件的完整性。神经处理单元中的类似软件或硬件辅助漏洞（如果存在）可能会扩展或呈现更危险的攻击媒介。在这种情况下，攻击者不仅可以访问存储在目标设备上的信息，还可以从 AI 实用程序中提取上下文数据，使他们能够构建受害者的高度详细的档案并扩大潜在损害。

我们对“三角测量行动”的研究还揭示了卡巴斯基报告的第一个此类案例——滥用设备端机器学习进行数据提取，这凸显了旨在增强用户体验的功能也可能被老练的威胁行为者作为武器。

这些风险凸显了供应商采取主动措施的重要性，例如进行安全研究和严格测试，以建立更强大的防御措施来抵御新出现的威胁。

卫星在日常生活中发挥着关键作用，支持导航、媒体广播、应急响应、通信基础设施和许多其他服务，尽管普通人往往不会注意到它们的存在。随着我们对卫星技术的依赖增加，这些系统正在成为威胁行为者的有吸引力的目标。例如，在 2024 年，APT 的一名行为者通过后门瞄准了航天工业。在另一起案件中，据报道，一名行为者给芬兰公用事业公司 Fortum 造成了与卫星相关的问题。

虽然这些事件没有导致严重的全球中断，但它们凸显了卫星基础设施面临的日益增长的风险。潜在影响更大的威胁在于卫星互联网接入供应链。例如，考虑 Starlink 和 Viasat——这些公司在全球范围内提供高速卫星互联网连接，尤其是在偏远地区。与此同时，传统的互联网服务提供商倾向于与基于卫星的互联网服务提供商合作以扩大其覆盖范围，这可能是恶意活动的沃土。

卫星互联网接入是全球连接链的重要组成部分。当其他系统出现故障时，它可以提供临时通信链路;航空公司、船舶和其他移动平台依靠它来提供机上连接等。网络风险随之而来：来自领先或主导卫星提供商的针对性网络攻击或错误更新可能会导致互联网中断和潜在的通信中断，从而影响个人、企业和关键基础设施。

连接后，互联网也容易受到物理威胁。虽然卫星作为一种通信手段正在迅速发展，但 95% 的国际数据是通过海底电缆传输的。全球大约有 600 条此类电缆在运行，其质量和容量各不相同。除了这些电缆之外，互联网还依赖于近 1,500 个互联网交换点 （IXP），这些交换点是物理位置，有时在数据中心内，不同的网络在这里交换流量。

如果该链条的几个关键组件（例如电缆或 IXP）中断，则可能会使剩余的基础设施过载，从而可能导致大面积中断并严重影响全球连接。世界已经目睹了此类中断的例子。例如，在最近的一个案例中，据报道波罗的海的两条海底电缆受到影响，这进一步证明物理安全的重要性，包括硬件保护，在未来几年继续成为关键问题。

这两个主要操作系统为世界上许多关键资产提供支持，包括服务器、制造设备、物流系统和物联网设备。这些操作系统中的内核漏洞都可能使全球无数设备和网络面临潜在攻击。例如，在 2024 年，报告了多个内核漏洞，例如 Linux 内核提权漏洞。在 Windows 方面，Microsoft 在 2024 年披露了 CVE-2024-21338，这是一个在野外使用的新“管理员到内核”特权提升漏洞。

这种脆弱性造成了全球供应链可能面临重大中断的高风险情况。这些风险凸显了警惕的网络安全实践、及时修补和安全配置对于保护供应链连续性的重要性。

虽然上述情况和案例似乎令人担忧，但提高意识是防止此类攻击并减轻其后果的第一步。尽管供应链风险的性质多种多样，但可以通过几种统一的策略来解决。这些需要一种多方面的方法，将技术、组织和工作场所文化措施相结合。

从安全角度来看，定期更新应在部署前进行严格测试，供应商必须采用精细更新的原则，以最大限度地减少中断。AI 驱动的异常检测可以通过减少警报疲劳来增强人工审核。在用户方面，补丁管理和及时更新对于维护安全环境至关重要。

从弹性的角度来看，提供商多样化可以减少单点故障，增强系统的稳健性。同样重要的是在员工中培养一种责任和诚信的文化，因为人类的警惕性仍然是安全和稳定的基石。

这些措施共同构成了一个强大的框架，以增强供应链弹性，防范潜在的中断，并引导全球系统和经济走向更光明、更安全的未来。