En 2021, Codecov, una plataforma de prueba de software que genera informes y estadísticas de cobertura de código, fue blanco de un ataque a la cadena de suministro que manipuló los scripts de carga de Docker. El entorno de Codecov se vio comprometido sin generar ninguna señal de alerta. El daño fue enorme ya que Codecov presta servicios a más de 29,000 clientes empresariales, incluidos IBM, Google, HP, Washington Post, Atlassian, GoDaddy, Procter & Gamble y el Royal Bank of Canada. La violación masiva pasó desapercibida durante varios meses. A pesar de comenzar el 31 de enero de 2021, no fue descubierto hasta el 1 de abril de 2021.
En otro incidente infame, la omnipresente herramienta de limpieza de computadoras CCleaner había sido comprometido durante más de un mes por piratas informáticos. Avast, propietario de CCleaner, ha contaminado las actualizaciones de software que los usuarios descargan con una puerta trasera de malware. Millones de computadoras quedaron expuestas y este incidente reforzó la amenaza de Los llamados ataques a la cadena de suministro digital., en el que en realidad está infectado software confiable y ampliamente distribuido.
También conocido como ataque de terceros o violación de puerta trasera, un ataque a la cadena de suministro ocurre cuando un pirata informático se infiltra en el sistema de una empresa a través de un socio o proveedor externo que brinda servicios de software a esa organización. Se denomina ataque a la cadena de suministro porque el punto de vulnerabilidad a través del cual se produce el ataque es la cadena de suministro del software. Este tipo de ataques suelen tener un alcance bastante masivo y difíciles de detectar. Los ciberdelincuentes suelen atacar cadenas de suministro de software como ésta porque una sola infracción les permite comprometer a miles de víctimas al mismo tiempo.
Dado que más proveedores de software tienen acceso a datos confidenciales que antes, el riesgo de estos ataques ha aumentado en los últimos años. De hecho, existen numerosas fuentes que sostienen que el número de ataques a la cadena de suministro de software se triplicó en 2021 en comparación con las cifras del año anterior. En mayo de 2021, la Administración Biden Enumeró los ataques a la cadena de suministro de software como un área de preocupación., lo que confirma la importancia de esta cuestión.
¿Cuáles son los diferentes tipos de ataques a la cadena de suministro de software?
Cualquier empresa de software que proporcione sus servicios a otras organizaciones es un objetivo potencial para un ataque de software a la cadena de suministro. Un ataque requiere solo un software comprometido para propagar malware a lo largo de toda la cadena de suministro. Los piratas informáticos suelen buscar software mal protegido o protocolos de red desprotegidos que puedan acceder y ocultar malware durante el proceso de compilación o actualización del software. Los actores de amenazas pueden emplear una amplia gama de técnicas para ejecutar un ataque a la cadena de suministro.
En la mayoría de los casos, los ataques a la cadena de suministro se esconden detrás de procesos legítimos para obtener acceso ilimitado al ecosistema de software de una organización. Los atacantes suelen empezar infiltrándose en las defensas de seguridad de un proveedor o proveedor de software. Esto suele ser más fácil que atacar directamente a una víctima debido a las malas prácticas de ciberseguridad de muchos de estos proveedores.
Una vez que el malware de la cadena de suministro se inyecta en el ecosistema de software del proveedor, debe vincularse a un proceso legítimo firmado digitalmente. Los atacantes suelen aprovechar las actualizaciones de software como puntos de entrada para propagar el malware a lo largo de la cadena de suministro de software. Algunas de las técnicas comunes utilizadas en los ataques a la cadena de suministro incluyen:
Herramientas de creación de software comprometidas
El proceso de creación de aplicaciones de software modernas es bastante similar a la cadena de suministro física: en la mayoría de los casos, las aplicaciones se crean utilizando varios componentes listos para usar de varios proveedores. Esto incluye código propietario, API de terceros, componentes de código abierto, etc. Es imposible crear una aplicación moderna desde cero, razón por la cual la mayoría de los desarrolladores de software simplemente reutilizan estos diferentes componentes como práctica estándar.
Si bien esta práctica plug-and-play acelera el proceso de desarrollo, introduce el riesgo de vulnerabilidades de seguridad, la principal de las cuales son los ataques a la cadena de suministro. Si un componente de software se ve comprometido de alguna manera, innumerables organizaciones cuyas aplicaciones están construidas con este componente se vuelven vulnerables a un ataque.
Certificados de firma de código robados o aplicaciones maliciosas firmadas utilizando identidad robada
En este tipo de ataque, el hacker roba un certificado que confirma que el producto de una empresa es legítimo y seguro. Este certificado robado les permite difundir código malicioso disfrazado de producto de una empresa legítima.
ATP41, un grupo de hackers respaldado por el gobierno chino, utiliza este método de ataque para llevar a cabo ataques a la cadena de suministro. Al hacer que el código malicioso parezca legítimo (utilizando certificados de firma de código robados), pueden hacer que el código supere los controles de seguridad de los sistemas que atacan. Este tipo de ataque es particularmente difícil de detectar.
Un ataque a una aplicación maliciosa firmada es similar a un ataque con código robado; en este caso, el atacante disfraza un software comprometido como una aplicación legítima utilizando la identidad firmada robada de la aplicación. Esto le permite superar varias medidas de seguridad para que se pueda producir un ataque.
Código comprometido en componentes de hardware o firmware
Cada dispositivo digital depende del firmware para funcionar sin problemas. En la mayoría de los casos, este firmware es un producto de terceros mantenido por otra empresa. Los piratas informáticos pueden inyectar código malicioso en el firmware, lo que les permite acceder a la red o a los sistemas de dispositivos digitales que utilizan estos componentes de firmware. Este tipo de ataque crea una puerta trasera en los dispositivos digitales que funcionan con este firmware, lo que permite a los piratas informáticos robar información e instalar aún más malware.
Malware preinstalado
En ocasiones, los piratas informáticos colocan malware malicioso de la cadena de suministro en dispositivos de hardware como teléfonos, cámaras de bus serie universal (USB), unidades y otros dispositivos. Esto les permite apuntar a sistemas o redes conectados a los dispositivos para los que se utiliza el hardware infectado.
Por ejemplo, se puede utilizar una unidad USB para transportar un registrador de teclas que luego llega a los sistemas de una gran empresa minorista. Este registrador de teclas se puede utilizar para registrar las pulsaciones de teclas de los clientes de la empresa, dando a los piratas informáticos acceso a información como detalles de pago, registros de clientes, etc.
¿Cómo protegerse contra los ataques a la cadena de suministro?
La propia naturaleza de los ataques a la cadena de suministro hace que sea difícil actuar contra ellos. Este tipo de ataques explotan la confianza que las empresas tienen en sus proveedores para contraatacar. Si bien es difícil prevenir estos ataques, las siguientes son algunas de las cosas que puede hacer para mitigar su impacto o reducir sus riesgos:
Audita tu infraestructura
El uso de software que no está aprobado ni supervisado por TI (TI en la sombra) es uno de los factores que pueden predisponer a su empresa a ataques a la cadena de suministro. Una de las formas de mitigar estos ataques es realizar una auditoría exhaustiva de todo el software que se utiliza dentro de su organización. Esto podría revelar vulnerabilidades que los piratas informáticos de la cadena de suministro pueden aprovechar para lanzar un ataque.
Mantenga un inventario actualizado de todos sus activos de software
Cada software de terceros que utilice (independientemente de lo seguro que parezca) es un punto potencial de vulnerabilidad. Al mantener un inventario actualizado de todo su software de terceros, puede realizar un mejor seguimiento de sus actualizaciones, mejoras y problemas de seguridad. Esto también ayuda a reducir los posibles puntos de ataque y a implementar las soluciones necesarias.
Evalúe rigurosamente a los proveedores y aplique un enfoque de confianza cero
Antes de utilizar cualquier herramienta de terceros o asociarse con un nuevo proveedor, debe verificar rigurosamente qué tan seguros son. La mayoría de las veces, los ataques a la cadena de suministro ocurren porque los proveedores no siguen las prácticas de seguridad estándar. Como parte de sus esfuerzos de evaluación de riesgos, puede pedirle a cualquier proveedor potencial que proporcione detalles de sus prácticas de seguridad estándar para determinar su preparación para ataques a la cadena de suministro. Puede comenzar solicitando un informe de tipo SOC 2 y una certificación ISO 27001 a cualquier proveedor con el que desee asociarse. También debe consultar sus informes de seguridad y verificar los certificados de cualquier producto antes de comprarlo.
Nunca confíes en ningún software o usuario nuevo de forma predeterminada. Incluso después de confirmar su marco de seguridad y aceptar utilizar sus servicios, limitando las actividades o permisos, cualquier herramienta nueva en su red reducirá su vulnerabilidad.
Usa herramientas de seguridad
Si bien los antivirus, los cortafuegos y otras herramientas de seguridad suelen ser ineficaces contra los ataques a la cadena de suministro, aún pueden ayudar a verificar la integridad del código y reducir el riesgo de un ataque. Incluso si no pueden detener el ataque, estas herramientas aún pueden alertarlo sobre ataques en curso. Por ejemplo, un firewall puede avisarle cuando se envían grandes bloques de datos a través de su red, lo que suele ser el caso de un ataque de malware o ransomware.
Asegure sus puntos finales
Los atacantes de la cadena de suministro a menudo aprovechan las vulnerabilidades del software en puntos finales mal protegidos para lanzar un ataque. La implementación de un sistema de respuesta y detección de endpoints ayudará a proteger sus endpoints contra malware y ransomware. De esta manera, ya no pueden usar estos puntos finales para propagar un ataque a otras partes de su red, deteniendo el ataque antes de que se propague más.
Implementar políticas sólidas de integridad del código
Los ataques a la cadena de suministro que aprovechan la integridad de las aplicaciones o del código se pueden detener implementando políticas sólidas de integridad del código que solo autoricen aplicaciones según reglas estrictas. Estas políticas de dependencia de código bloquearán cualquier aplicación que parezca sospechosa o que genere una señal de alerta. Si bien puede haber algunas llamadas equivocadas y falsas alarmas, mitigar los riesgos de la cadena de suministro de esta manera sigue siendo mejor que sufrir un ataque. Cualquier aplicación marcada puede investigarse más a fondo y autorizarse si se determina que es legítima.
Tener un plan de respuesta a incidentes
Dada la creciente frecuencia de los ataques a la cadena de suministro, es mejor estar preparado con anticipación creando un plan de respuesta a incidentes. Cada organización debe tener planes para proteger los componentes críticos en caso de violaciones para mantener las operaciones intactas. También debe contar con estrategias claras de respuesta y comunicación para informar a los socios, proveedores y clientes cada vez que se produzca una infracción. Su equipo de TI siempre debe estar preparado para posibles ataques. Una planificación adecuada de la gestión de riesgos incluye realizar simulacros de respuesta a incidentes con su equipo con regularidad para evaluar la preparación ante posibles ataques.
Ejemplos de ataques recientes a la cadena de suministro
La eficiencia de los ataques a la cadena de suministro es el factor principal que explica su prevalencia. Este tipo de ataques afectan a varias organizaciones, desde empresas más grandes como Target hasta agencias gubernamentales. En la última década, ha habido algunos casos destacados de ataques a la cadena de suministro. Algunos de los ejemplos de ataques a la cadena de suministro más notables incluyen:
-
SITA, 2021
A principios de 2021, la empresa de datos de transporte aéreo SITA experimentó una filtración de datos que se cree que expuso los registros de vuelo de más de 580,000 pasajeros de Malaysia Airlines.
Programa de viajero frecuente. La misma violación de datos también afectó a Finnair Air en Nueva Zelanda y a varias otras. Los expertos creen que el punto de ataque fue a través de una empresa conocida como Star Alliance, con la que Singapore Airlines comparte datos. Posteriormente, el ataque se extendió a toda la cadena de suministro.
-
Estado de contraseña, 2021
ClickStudios, una empresa con sede en Australia y creadores de Passwordstate (una solución de gestión de contraseñas), informó de un ataque a la cadena de suministro en 2021. El ataque se produjo a través del servicio de actualización de software alojado en una CDN de terceros. El malware se descargó automáticamente en los dispositivos de los clientes que actualizaron su software durante el momento del ataque. El software malicioso fue diseñado para descifrar todos los datos almacenados en la base de datos del cliente y enviarlos como texto sin formato al servidor externo del atacante.
-
Confusión de dependencia 2021
Este fue un ataque deliberado para probar la propagación de los ataques a la cadena de suministro. Alex Birsan, un investigador de seguridad, violó sistemas pertenecientes a empresas como Microsoft, Uber, Tesla y Apple aprovechando los protocolos de dependencia que utilizaban sus aplicaciones para brindar servicios a los usuarios finales. Estas dependencias hicieron posible la transmisión de paquetes de datos falsificados a varios usuarios de alto perfil en la red.
-
Mimecast, 2021
Un certificado digital Mimecast comprometido provocó una de las violaciones de datos de la cadena de suministro más comentadas de 2021. El certificado digital utilizado para autenticar algunos de los servicios de Mimecast en los servicios web de Microsoft 365 Exchange se vio comprometido. Las investigaciones revelaron que el grupo detrás de este hack también fue responsable del ataque a SolarWinds de 2020. El ataque afectó hasta al 10% de los clientes de Mimecast.
-
Ataque de SolarWinds, 2020
Este es posiblemente el caso de ataques a la cadena de suministro más sonado en la última década. Los piratas informáticos que se cree que son jugadores maliciosos extranjeros atacaron varias agencias gubernamentales de EE. UU. a través de un proveedor externo conocido como SolarWinds, un proveedor de servicios de TI. Seis departamentos del gobierno de EE. UU. se encuentran entre los 18,000 clientes de SolarWinds afectados por los ataques, incluidos el Departamento de Energía y la Administración Nacional de Seguridad Nuclear, el Departamento de Estado de los Estados Unidos, el Departamento de Comercio, el Departamento del Tesoro y el Departamento del Interior. Seguridad.
-
ASUS, 2018
En 2018, un ataque malicioso aprovechó el software de actualización en vivo de ASUS para instalar malware de puerta trasera en más de un millón de computadoras. En este ataque a la cadena de suministro, los piratas informáticos aprovecharon la función de actualización automática para introducir malware en las PC de los usuarios. El malware estaba firmado con certificados de seguridad legítimos de ASUS, lo que dificultaba su detección. Afortunadamente, los piratas informáticos tenían una lista limitada de sólo 600 usuarios, y los miles de otros usuarios que no estaban en esa lista no se vieron afectados significativamente.
-
Flujo de eventos, 2018
En el ataque de flujo de eventos de 2018, los piratas informáticos inyectaron malware en un repositorio dentro del sistema GitHub. Dado que GitHub era un servicio de respaldo para millones de desarrolladores, el ataque expuso a varios usuarios a un posible ataque de malware. Sin embargo, el código malicioso fue programado específicamente para atacar la billetera bitcoin Copay. Si los desarrolladores de Copay afectados por el malware ejecutaran un script de compilación de lanzamiento durante el ataque, el código malicioso se habría incluido en la aplicación y esto habría recopilado las claves privadas y la información de la cuenta de los usuarios de Copway con al menos 1000 Bitcoin en su cuenta. cuenta.
-
Ataque a la cadena de suministro de Equifax
Equifax, una de las agencias de informes de tarjetas de crédito más grandes del mundo, sufrió un ataque a la cadena de suministro en 2018. El código malicioso se entregó a través de una vulnerabilidad de la aplicación en el sitio web de la empresa. Más de 147 millones de clientes de Equifax se vieron afectados por el ataque que expuso datos personales confidenciales, incluidas direcciones, números de seguro social, fechas de nacimiento, etc.
Conclusión
Si solo hay una cosa que debe aprender de este artículo, ésta debería ser: los ataques a la cadena de suministro de software son una amenaza inminente. No hay duda de eso.
Por lo tanto, no se puede confiar en los productos firmados ni en las actualizaciones de los proveedores; Es posible que ya haya modificaciones o adiciones a su código. Entonces, ¿qué puede hacer para asegurarse de que su sistema no esté infectado con archivos maliciosos? Asegúrese de que cada propietario de biblioteca o proveedor de programas le proporcione un SBOM completo; obtenga más información sobre los SBOM aquíY asegúrese de obtener lo que espera del proveedor o propietario de la biblioteca solicitando una certificación confiable.