今天到处在流传这张图

朋友跑来问我，是不是中国人民银行被黑客入侵了？这里先给结论：

• 中国人民银行没有被入侵，这是供应链攻击！
• 中国人民银行没有被入侵，这是供应链攻击！
• 中国人民银行没有被入侵，这是供应链攻击！

ok，接下来分析下这到底是件什么事。

• 0x1 先看原文

• 0x2 是哪一家供应商被入侵了？

• 0x3 被忽略的评论信息

• 0x4 进一步分析

0x1 先看原文

这篇文章来自于国外 RAIDForum 论坛，名为 AgainstTheWest 的用户（简称ATW）在10月14日发的帖子

我简单进行翻译

来自ATW的问候：

我们花了两个月的时间，终于能有权访问到中国人民银行的内部资产。
本次泄露的信息包含了中国人民银行所有软件项目的源代码，以及漏洞信息、代码smells和debts、以及安全报告。

我们使用了供应链攻击，目前正处于潜伏状态。因此，对中国人民银行用来进行私有化软硬件代码协作的网络，我们可以保持持续访问。

通过本次入侵，我们收集到了以下信息：
- 自动化办公信创产品-用于帮助国有资产开发和设计安全措施的软件
- 长春人民银行大数据系统
- 产品服务器收集平台-大数据系统之间的链接服务器&信创OA
- ETL 平台服务端
- ETL 平台代理
- 江苏省法人金融机构风险监测系统
- 长沙人民银行国库大数据管理系统
- EAST 数据质量管理系统
- Db2ImportTool  （2021年10月）

需要通过 BTC或者ETH 支付，下面是一些证据。

这里有几张截图：

1、自动化办公信创产品

2、长春人民银行大数据系统

3、长沙人民银行国库大数据管理系统

总结一下，这里面的两个关键词：

• 源码：标题和原文中一直强调的是源码泄露，而非网络被入侵。
• 供应链：攻击者承认是通过供应链攻击拿到的源码。

那么，从中能推断出是哪一家供应链厂商吗？

0x2 是哪一家供应商被入侵了？

其实前面攻击者给出了这么多信息，找到被入侵厂家并不难。

直接搜索泄露信息的系统名称 + “中标”，第一个链接就能找到中标厂商。

再去招投标专用网站，反查一下“北京青麦科技有限公司”，结果反向证明了正确性：

看看“北京青麦科技有限公司”的产品列表：

红色部分与ATW给出的系统清单能对应上。

EAST系统介绍
EAST系统全称Examination and Analysis System Technology，是银监会在2008年开发的具有自主知识产权的检查分析系统，旨在顺应大数据发展趋势需求，并帮助监管部门提高检查效能。系统包含银行标准化数据提取、现场检查项目管理、数据模型生成工具、数据模型发布与管理等功能模块。

同时，该公司典型案例中也包括了中国人民银行。

基于以上信息，基本可以推测是该厂商被ATW花了2个月入侵成功，拿到了为中国人民银行开发的一些系统源码。

0x3 被忽略的评论信息

从目前的信息来看，只能证明是供应链攻击，并未入侵到人民银行内部网络。

那么，危害仅此而已吗？

当有人问道，是否有数据泄露，攻击者在下面答复到：

“大数据系统”中硬编码了管理员凭证，可以用来连接存储了用户敏感信息的管理服务端，我只能说到这里了。

攻击者提到了两个大数据系统：

• 产品服务器收集平台-大数据系统之间的链接服务器&信创OA
• 长沙人民银行国库大数据管理系统

假设是第二个系统，会不会有互联网通路可以访问到呢？目前不得而知。

0x4 进一步分析

针对供应链厂家被入侵，从“横向”和“纵向”两方面来做进一步分析。

纵向来看，攻击者针对“中国人民银行”还能做哪些事情？

• 源码审计。找出应用系统存在的漏洞、泄露的凭证信息，为进一步渗透做准备。
• 内外勾结。通过社工方式买通具备敏感系统访问权限的人员，例如外包公司。
• 供应链污染。在源码里面放置后门，等待部署上线。

横向来看，该公司的客户众多，攻击者可以：

• 捡软柿子入手。找到安全防护能力偏弱的银行，进入其办公网络。比如下图的“办公系统”，很可能未作物理隔离。
• 迂回到核心。在软柿子内部进一步渗透，找到专有网络的入口点，攻击核心。

综上，目前需要紧急动员起来开展自查的，可能是一些中小银行。作为央妈，经过多轮的实战攻防，网络隔离+物理隔离，理论上攻击难度会非常大。

时间有限，以上仅为简单分析，欢迎讨论。