1.5 标志性案例三：Kaseya

另一个值得讨论的非常突出的软件供应链攻击是 Kaseya 勒索软件攻击。Kaseya (http://kaseya.com) 是一家统一的 IT 管理和安全软件公司，专门为托管服务提供商 (MSP) 和 IT 团队提供帮助。他们的解决方案旨在帮助团队在 IT 安全、效率和服务交付方面取得进步。

Kaseya 勒索软件攻击发生在 2021 年 7 月，估计已影响了 2,000 家组织。它被归咎于 REvil 勒索软件组织，这是一个主要讲俄语的恶意行为者团体。REvil 组织的个人与 Kaseya 等攻击有关，但也与针对美国企业甚至政府实体的其他攻击有关。

Kaseya 为客户提供本地和基于软件即服务 (SaaS) 的软件解决方案。2021 年 7 月 2 日，该组织的事件响应 (IR) 团队检测到其名为 Kaseya VSA 的远程管理软件存在潜在的安全事件。初步调查引起了足够多的关注，以至于该组织建议其所有本地客户关闭 VSA 服务器，直至另行通知，并且他们还关闭了自己的基于 SaaS 的产品 (http://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689)。Kaseya 建议客户关闭服务器至关重要，因为攻击者在初始攻击期间删除了 VSA 的管理访问权限。

随后，Kaseya 与 FBI 和 CISA 的外部权威机构和专家合作开展 IR 活动。Kaseya 迅速提供了工具，帮助组织确定他们是否因尝试检测入侵而受到影响。在 CISA 和 FBI 等组织与 Kaseya 合作的同时，他们也开始为可能受到影响的客户提供指导 (http://cisa.gov/uscert/ncas/current-activity/2021/07/04/cisa-fbi-guidancemsps-and-their-customers-affected-kaseya-vsa)。他们的指导包括使用 Kaseya 提供的检测工具、加强身份验证流程以及最大限度地减少与已知可信 IP 地址的网络通信等活动。

与此同时，Kaseya 开始测试补丁以解决问题并实施其他缓解安全控制措施。他们还发布了客户指南，试图为即将到来的补丁活动做好准备（http://helpdesk.kaseya.com/hc/en-gb/articles/4403709150993）。

在此过程中，2021 年 7 月 8 日，白宫发表官方声明，将此次袭击归咎于俄罗斯。美国政府领导层也发表声明，承诺追究俄罗斯对此次袭击的责任。虽然 Kaseya 努力为本地和云端的客户解决问题，但有传言称，该组织的高管此前已在数年内被警告过其软件存在缺陷（http://krebsonsecurity.com/2021/07/kaseya-left-customer-portal-vulnerableto-2015-flaw-in-its-own-software）。更有趣的是，涉及的 CVE CVE-2015-2862 属于 Kaseya 自己。

虽然据称此次攻击本身仅影响了该组织 40,000 多名客户中的 0.1%，但根据该组织首席执行官 Fred Voccola 的评论，这一比例仍然相当于 800 到 1,500 家小型到中型组织，这些组织通过使用 Kaseya 软件的 MSP 受到影响。这种涓滴效应是现代软件供应链复杂性的完美例证，以及单个软件的影响如何影响数千个下游消费者。大多数消费者都无法了解他们的 MSP 用于向他们提供服务的软件，因为软件供应链不透明，尤其是在与 MSP 和 CSP 等外部服务提供商打交道时。下游消费者只知道他们直接从提供商那里消费的服务或软件在交付过程中使用。

值得注意的是，回到白宫关于追究责任人责任的评论，已经逮捕了相关人员。美国司法部 (DOJ) 于 2021 年 11 月宣布 (http://justice.gov/opa/pr/ukrainian-arrested-and-charged-ransomware-attackkaseya)，俄罗斯国内安全机构逮捕了 14 名与 REvil 勒索软件组织有关的个人。这还包括缴获与该组织各种勒索软件漏洞相关的 610 万美元。司法部领导层还强调，他们将继续针对那些专注于美国受害者的个人。