中国人民银行遭受供应链攻击事件

  • Comments Off on 中国人民银行遭受供应链攻击事件
  • 634 views
  • A+
所属分类:安全新闻

今天到处在流传这张图

中国人民银行遭受供应链攻击事件

朋友跑来问我,是不是中国人民银行被黑客入侵了?这里先给结论:

  • 中国人民银行没有被入侵,这是供应链攻击!
  • 中国人民银行没有被入侵,这是供应链攻击
  • 中国人民银行没有被入侵,这是供应链攻击

ok,接下来分析下这到底是件什么事。

  • 0x1 先看原文

  • 0x2 是哪一家供应商被入侵了?

  • 0x3 被忽略的评论信息

  • 0x4 进一步分析

0x1 先看原文

这篇文章来自于国外 RAIDForum 论坛,名为 AgainstTheWest 的用户(简称ATW)在10月14日发的帖子中国人民银行遭受供应链攻击事件

我简单进行翻译

来自ATW的问候:

我们花了两个月的时间,终于能有权访问到中国人民银行的内部资产。
本次泄露的信息包含了中国人民银行所有软件项目的源代码,以及漏洞信息、代码smells和debts、以及安全报告。

我们使用了供应链攻击,目前正处于潜伏状态。因此,对中国人民银行用来进行私有化软硬件代码协作的网络,我们可以保持持续访问。

通过本次入侵,我们收集到了以下信息:
- 自动化办公信创产品-用于帮助国有资产开发和设计安全措施的软件
- 长春人民银行大数据系统
- 产品服务器收集平台-大数据系统之间的链接服务器&信创OA
- ETL 平台服务端
- ETL 平台代理
- 江苏省法人金融机构风险监测系统
- 长沙人民银行国库大数据管理系统
- EAST 数据质量管理系统
- Db2ImportTool  (2021年10月)

需要通过 BTC或者ETH 支付,下面是一些证据。

这里有几张截图:

1、自动化办公信创产品中国人民银行遭受供应链攻击事件

2、长春人民银行大数据系统中国人民银行遭受供应链攻击事件

3、长沙人民银行国库大数据管理系统中国人民银行遭受供应链攻击事件

总结一下,这里面的两个关键词:

  • 源码:标题和原文中一直强调的是源码泄露,而非网络被入侵。
  • 供应链:攻击者承认是通过供应链攻击拿到的源码。

那么,从中能推断出是哪一家供应链厂商吗?

0x2 是哪一家供应商被入侵了?

其实前面攻击者给出了这么多信息,找到被入侵厂家并不难。

中国人民银行遭受供应链攻击事件

直接搜索泄露信息的系统名称 + “中标”,第一个链接就能找到中标厂商。

中国人民银行遭受供应链攻击事件

再去招投标专用网站,反查一下“北京青麦科技有限公司”,结果反向证明了正确性:

中国人民银行遭受供应链攻击事件
中国人民银行遭受供应链攻击事件
中国人民银行遭受供应链攻击事件

看看“北京青麦科技有限公司”的产品列表:

中国人民银行遭受供应链攻击事件红色部分与ATW给出的系统清单能对应上。

EAST系统介绍
EAST系统全称Examination and Analysis System Technology,是银监会在2008年开发的具有自主知识产权的检查分析系统,旨在顺应大数据发展趋势需求,并帮助监管部门提高检查效能。系统包含银行标准化数据提取、现场检查项目管理、数据模型生成工具、数据模型发布与管理等功能模块。

同时,该公司典型案例中也包括了中国人民银行。

中国人民银行遭受供应链攻击事件

基于以上信息,基本可以推测是该厂商被ATW花了2个月入侵成功,拿到了为中国人民银行开发的一些系统源码。

0x3 被忽略的评论信息

从目前的信息来看,只能证明是供应链攻击,并未入侵到人民银行内部网络。

那么,危害仅此而已吗?中国人民银行遭受供应链攻击事件

当有人问道,是否有数据泄露,攻击者在下面答复到:

“大数据系统”中硬编码了管理员凭证,可以用来连接存储了用户敏感信息的管理服务端,我只能说到这里了。

攻击者提到了两个大数据系统:

  • 产品服务器收集平台-大数据系统之间的链接服务器&信创OA
  • 长沙人民银行国库大数据管理系统

假设是第二个系统,会不会有互联网通路可以访问到呢?目前不得而知。

0x4 进一步分析

针对供应链厂家被入侵,从“横向”和“纵向”两方面来做进一步分析。

纵向来看,攻击者针对“中国人民银行”还能做哪些事情?

  • 源码审计。找出应用系统存在的漏洞、泄露的凭证信息,为进一步渗透做准备。
  • 内外勾结。通过社工方式买通具备敏感系统访问权限的人员,例如外包公司。
  • 供应链污染。在源码里面放置后门,等待部署上线。

横向来看,该公司的客户众多,攻击者可以:

  • 捡软柿子入手。找到安全防护能力偏弱的银行,进入其办公网络。比如下图的“办公系统”,很可能未作物理隔离。
  • 迂回到核心。在软柿子内部进一步渗透,找到专有网络的入口点,攻击核心。
中国人民银行遭受供应链攻击事件

综上,目前需要紧急动员起来开展自查的,可能是一些中小银行。作为央妈,经过多轮的实战攻防,网络隔离+物理隔离,理论上攻击难度会非常大。

时间有限,以上仅为简单分析,欢迎讨论。