Atak na łańcuch dostaw. Dlaczego jest taki groźny?

Czym jest atak na łańcuch dostaw?

Tłumaczy to na swojej stronie internetowej Kaspersky: „Atak na łańcuch dostaw ma miejsce, gdy haker uzyskuje dostęp do sieci biznesowej za pośrednictwem dostawców będących podmiotami trzecimi lub przez łańcuch dostaw. Łańcuchy dostaw mogą mieć ogromy zasięg relacji, dlatego ataki te są niezwykle trudne do wykrycia.
Firmy współpracują z wieloma dostawcami, którzy zaopatrują je m.in. w składniki i materiały produkcyjne, czy oferują outsourcing i technologię. Dlatego tak istotna jest ochrona łańcucha dostaw i zapewnienie, że firmy, z którymi współpracujesz również dbają o odpowiednie zabezpieczenia.
Atak na łańcuch dostaw polega na dostarczeniu wirusa lub innego szkodliwego oprogramowania za pośrednictwem dostawcy. Na przykład keylogger włożony do portu USB może stanowić połączenie z dużą firmą detaliczną. Rejestruje on korzystanie z klawiatury, aby poznać hasła do określonych kont. W ten sposób cyber-przestępcy mogą uzyskać dostęp do poufnych informacji firmowych, danych klientów, szczegółów płatności i innych informacji.”

Z kolei grupa TCG mówi w komunikacie z tego tygodnia: „Łańcuch dostaw sprzętu jest trudny do zabezpieczenia ze względu na liczbę zaangażowanych etapów, organizacji i osób, a obecne metody bezpieczeństwa są w większości subiektywne i wymagają interwencji człowieka” – i dalej w publikacji TCG czytamy – „Ponieważ złośliwy i podrobiony sprzęt jest niezwykle trudny do zidentyfikowania, większość organizacji nie ma dostępu do narzędzi, wiedzy ani doświadczenia, aby skutecznie go wykryć. Dzięki wskazówkom grupy roboczej (tej do której należy Intel i Microsoft) osoby odpowiadające za proces będą lepiej wyposażone do ochrony przed zagrożeniami cybernetycznymi”

Atak na łańcuch dostaw – oprogramowanie

W przypadku oprogramowania sytuacja jest najbardziej wrażliwa. Atak wymaga naruszenia zaledwie jednej aplikacji lub części oprogramowania – to wystarczy, aby zainstalować złośliwe oprogramowanie w całym łańcuchu dostaw. Celem ataków jest często kod źródłowy aplikacji. Wówczas bądź w łatkach bądź podczas zwykłej komunikacji złośliwy kod jest przesyłany do zaufanej aplikacji lub oprogramowania. Takie ataki trudno wykryć. Wynika to m.in. z tego, że cyber-przestępcy często używają skradzionych certyfikatów do „podpisania” kodu, aby wyglądał na prawidłowy.
W ciągu ostatniego roku wyszło na jaw kilka ataków na łańcuch dostaw o dużym znaczeniu, o kilku piszemy w artykule poniżej:

Kaseya Lipiec 2021

Dobrze zaplanowany atak, ponieważ zespoły IT i bezpieczeństwa miały za mało personelu i wolniej reagują ze względu na weekend świąteczny 4 lipca w Stanach Zjednoczonych. Jednocześnie Kaseya zezwala na używanie swojego oprogramowania w modelu MSP. Co znaczy, że klienci Kaseya świadczą usługi outsourcingowe i mają swoich klientów. Potencjalne pole ataku jest więc bardzo rozległe.

Atak polegał na wykorzystaniu luki w zabezpieczeniach i dostarczeniu złośliwej aktualizacji oprogramowania Kaseya VSA. Aktualizacja dostarczyła oprogramowanie ransomware, które szyfrowało pliki w zaatakowanych systemach.

Złośliwe oprogramowanie próbowało wyłączyć różne zabezpieczenia Microsoft Defender dla punktów końcowych, w tym monitorowanie w czasie rzeczywistym, IPS, skanowanie skryptów, ochronę sieci, przesyłanie próbek w chmurze, wyszukiwanie w chmurze i kontrolowany dostęp do folderów. Co gorsza, konta administratorów VSA były wyłączane tuż przed wdrożeniem ransomware.

Według różnych szacunków ucierpiało pomiędzy 40-200 podmiotów.

Codecov kwiecień 2021

Włamanie ujawniło poufne informacje, takie jak tokeny, klucze i dane uwierzytelniające organizacji na całym świecie. Włamanie miało miejsce w styczniu, ale zostało odkryte na klienta Codecov rano 1 kwietnia 2021 r.,

„W czwartek 1 kwietnia 2021 r. dowiedzieliśmy się, że ktoś uzyskał nieautoryzowany dostęp do naszego skryptu Bash Uploader i zmodyfikował go bez naszej zgody. Aktor uzyskał dostęp z powodu błędu w procesie tworzenia obrazu Docker w Codecov, który umożliwił wyodrębnienie poświadczeń wymaganych do zmodyfikowania naszego skryptu Bash Uploader” – powiedział Codecov w komunikacie – „Na podstawie dotychczasowych wyników dochodzenia kryminalistycznego wydaje się, że od 31 stycznia 2021 r. miał miejsce okresowy nieautoryzowany dostęp do klucza Google Cloud Storage (GCS), który pozwolił złośliwej stronie trzeciej zmienić wersję naszego skryptu do przesyłania bash potencjalnie eksportować informacje podlegające ciągłej integracji (CI) na serwer strony trzeciej. Codecov zabezpieczył i naprawił skrypt 1 kwietnia 2021 r.”

Codecov twierdzi, że ponad 29 000 przedsiębiorstw wykorzystuje jego narzędzia do optymalizacji procesu wytwarzania oprogramowania. Jednocześnie nigdy nie podał ilu klientów zostało „dotkniętych” podczas incydentu.

SolarWinds 2019

Najbardziej znane i najprawdopodobniej największe dotychczasowe włamanie w historii IT. Hakerzy, którzy zostali oficjalnie powiązani przez Stany Zjednoczone z rosyjską Służbą Wywiadu Zagranicznego (SVR), włamali się do systemów SolarWinds w 2019 r., a być może nawet wcześniej. Naruszyli zautomatyzowane środowisko kompilacji dla oprogramowania monitorującego Orion, a w październiku 2019 r. zaczęli testować swoją zdolność do wstrzykiwania złośliwego kodu do kompilacji Orion. Złośliwe aktualizacje Oriona wysłali klientom SolarWinds tylko między marcem a czerwcem 2020 r.

Złośliwe aktualizacje, śledzone jako SUNBURST, mogły zostać pobrane nawet przez 18 000 klientów SolarWinds, ale rzeczywista liczba organizacji, które zostały dotknięte szkodliwym oprogramowaniem, była mniejsza. Co więcej, cyberprzestępcy dostarczali dodatkowe złośliwe oprogramowanie tylko znacznie mniejszej liczbie podmiotów, które były specjalnie atakowane.

Wstępne raporty mówiły, że w rzeczywistości naruszono ponad 250 organizacji, ale później rząd USA stwierdził, że zidentyfikował około 100 firm z sektora prywatnego i 9 agencji federalnych, których systemy były celem atakujących.

W swoim poście na blogu SolarWinds podał, że szacuje, że rzeczywista liczba klientów zhakowanych za pośrednictwem szkodliwego oprogramowania SUNBURST wynosi mniej niż 100. Firma przyznała, że cyberprzestępca „utworzył i przeniósł” pliki, które według niego zawierały kod źródłowy produktu, ale nie był w stanie określić rzeczywistej zawartości plików. Ponadto wydaje się, że hakerzy uzyskali dostęp do plików zawierających niektóre informacje o użytkowniku związane z portalem klienta (imię i nazwisko, adres e-mail, zaszyfrowane dane uwierzytelniające, adres rozliczeniowy, adres IP), a także niektóre konta e-mail pracowników.

Jeśli chodzi o to, w jaki sposób atakujący włamali się do jego systemów, SolarWinds twierdzi, że trzy początkowe wektory dostępu wydają się w tym momencie najbardziej prawdopodobne: luka dnia zerowego w urządzeniu lub aplikacji innej firmy, atak brute-force lub socjotechnika (np. ukierunkowane phishing).