資安公司Aqua Security打造的掃描工具Trivy於3月19日發生供應鏈攻擊,該公司透露駭客在2月底利用GitHub Actions錯誤配置竊得特殊權限的權杖(Token),但影響範圍究竟有多大?有資安公司透露初步調查的發現。
根據資安新聞網站CyberScoop的報導,Mandiant Consulting技術長Charles Carmakal於近期舉辦的RSAC資安大會指出,他們已掌握超過1,000個SaaS環境受到影響,相關的維運團隊正積極因應這起事故帶來的威脅。Carmakal指出,這些遭波及的下游系統,很有可能會再感染500個、1,000個,甚至10,000個系統。對此,Mandiant認為接下來幾個月,將會有駭客公開大量竊得的資料或是從事後續攻擊。
針對攻擊者的身分,可能不只先前被揭露的駭客團體TeamPCP,恐怕有多組人馬參與。Carmakal指出有來自美國、加拿大、英國的駭客團體,但未透露組織名稱。他形容這次犯案的網路犯罪份子,以極具侵略性的勒索手法而惡名昭彰,而且他們非常高調且具有強烈攻擊性。
Carmakal也提到Mandiant正在試圖尋找最初攻擊的來源,原因是該公司認為,駭客竊得的憑證並非直接來自受害組織,有可能是透過其他雲端環境、業務流程外包商、合作夥伴,或是從工程師的電腦取得。
這起事故也引起政府當局的注意。美國聯邦調查局(FBI)網路安全部門助理局長Brett Leatherman警告,駭客組織TeamPCP藉由從Trivy竊得的權杖,在5天之內,對GitHub Actions、Docker Hub、NPM、Open VSX、PyPI等5個生態系統發動供應鏈攻擊。
這組人馬的惡意程式會收集雲端憑證、SSH金鑰、Kubernetes密鑰、資料庫密碼、API權杖、環境設定檔,以及加密貨幣錢包。在Kubernetes環境,該惡意程式還會向每個節點部署具特殊權限的Pod,藉此橫向移動。
值得留意的是,TeamPCP下手的目標,幾乎都是以特殊權限運作的資安工具,由於這些工具通常被賦予廣泛的存取權限,一旦成功入侵,駭客就有機會存取受害組織最為敏感的環境。
微軟也針對這起供應鏈事故發布檢測、調查,以及防禦的指引,呼籲企業組織的開發團隊要強化CI/CD管線,來防範相關的攻擊。
