Che cos'è un attacco alla catena di fornitura del software?

Nel 2021, Codecov, una piattaforma di test del software che genera report e statistiche sulla copertura del codice, è stato preso di mira da un attacco alla catena di approvvigionamento che ha manipolato gli script di caricamento di Docker. L'ambiente di Codecov è stato compromesso senza sollevare alcun campanello d'allarme. Il danno è stato enorme poiché Codecov serve oltre 29,000 clienti aziendali, tra cui IBM, Google, HP, Washington Post, Atlassian, GoDaddy, Procter & Gamble e la Royal Bank of Canada. La massiccia violazione è rimasta inosservata per diversi mesi. Nonostante sia iniziato il 31 gennaio 2021, non è stato scoperto fino al 1 aprile 2021.

In un altro famigerato incidente, l'onnipresente strumento di pulizia del computer CCleaner era stato compromesso per più di un mese da parte degli hacker. Avast, proprietaria di CCleaner, ha contaminato gli aggiornamenti software che gli utenti stanno scaricando con una backdoor malware. Milioni di computer sono stati esposti e questo incidente ha rafforzato la minaccia i cosiddetti attacchi alla catena di fornitura digitale, in cui software affidabile e ampiamente distribuito viene effettivamente infettato.

Conosciuto anche come attacco di terze parti o violazione backdoor, un attacco alla catena di fornitura si verifica quando un hacker si infiltra nel sistema di un'azienda tramite un partner o fornitore di terze parti che fornisce servizi software a tale organizzazione. Si chiama attacco alla catena di fornitura perché il punto di vulnerabilità attraverso il quale avviene l'attacco è la catena di fornitura del software. Questi tipi di attacchi hanno spesso una portata piuttosto massiccia e difficili da rilevare. I criminali informatici spesso prendono di mira catene di fornitura di software come questa perché una singola violazione consente loro di compromettere migliaia di vittime contemporaneamente.

Dato che più fornitori e venditori di software hanno accesso ai dati sensibili rispetto al passato, il rischio di questi attacchi è aumentato negli ultimi anni. Numerose fonti, infatti, sostengono che il numero di attacchi alla catena di fornitura del software è triplicato nel 2021 rispetto ai dati dell’anno precedente. Nel maggio 2021, l'amministrazione Biden ha elencato gli attacchi alla catena di fornitura del software come un'area di preoccupazione, a conferma dell’importanza della questione.

 

Immagine di attacchi alla catena di fornitura del software

Quali sono i diversi tipi di attacchi alla catena di fornitura del software?

Qualsiasi azienda di software che fornisce i propri servizi ad altre organizzazioni è un potenziale bersaglio per un attacco software alla catena di fornitura. Un attacco richiede un solo software compromesso per diffondere il malware lungo l’intera catena di fornitura. Gli hacker in genere cercano software scarsamente protetti o protocolli di rete non protetti in cui possono penetrare e nascondere malware nel processo di creazione o aggiornamento del software. Gli autori delle minacce possono utilizzare un’ampia gamma di tecniche per eseguire un attacco alla catena di fornitura.

Nella maggior parte dei casi, gli attacchi alla supply chain si nascondono dietro processi legittimi per ottenere accesso illimitato all'ecosistema software di un'organizzazione. Gli aggressori in genere iniziano infiltrandosi nelle difese di sicurezza di un fornitore o di un fornitore di software. Questo di solito è più semplice che attaccare direttamente una vittima a causa delle scarse pratiche di sicurezza informatica di molti di questi fornitori.

Una volta che il malware della supply chain viene iniettato nell'ecosistema software del fornitore, deve collegarsi a un processo legittimo firmato digitalmente. Gli aggressori spesso sfruttano gli aggiornamenti software come punti di ingresso per diffondere il malware attraverso la catena di fornitura del software. Alcune delle tecniche comuni utilizzate negli attacchi alla catena di fornitura includono:

Strumenti di creazione di software compromessi

Il processo di creazione di moderne applicazioni software è abbastanza simile alla catena di fornitura fisica: nella maggior parte dei casi, le applicazioni vengono create utilizzando vari componenti già pronti di vari fornitori. Ciò include codice proprietario, API di terze parti, componenti open source e così via. È impossibile creare un'applicazione moderna da zero, motivo per cui la maggior parte degli sviluppatori di software riutilizza semplicemente questi diversi componenti come pratica standard.
Sebbene questa pratica plug-and-play acceleri il processo di sviluppo, introduce il rischio di vulnerabilità della sicurezza, la principale delle quali sono gli attacchi alla catena di fornitura. Se un componente software viene in qualche modo compromesso, innumerevoli organizzazioni la cui applicazione è realizzata con questo componente diventano vulnerabili a un attacco.

Immagine del codice compromesso

 

Certificati di firma del codice rubati o app dannose firmate utilizzando identità rubate

In questo tipo di attacco, l'hacker ruba un certificato che conferma la legittimità e la sicurezza del prodotto di un'azienda. Questo certificato rubato consente loro di diffondere codice dannoso mascherato da prodotto di un'azienda legittima.

ATP41, un gruppo di hacker sostenuto dal governo cinese, utilizza questo metodo di attacco per sferrare attacchi alla catena di approvvigionamento. Facendo apparire legittimo il codice dannoso (utilizzando certificati di firma del codice rubati), sono in grado di far sì che il codice oltrepassi i controlli di sicurezza nei sistemi che stanno attaccando. Questo tipo di attacco è particolarmente difficile da rilevare.

Un attacco ad un'app dannosa firmato è simile a un attacco con codice rubato; in questo caso, l'aggressore maschera un software compromesso come un'app legittima utilizzando l'identità firmata rubata dell'app. Ciò gli consente di superare varie misure di sicurezza e di consentire un attacco.

Codice compromesso nei componenti hardware o firmware

Ogni dispositivo digitale fa affidamento sul firmware per funzionare senza problemi. Nella maggior parte dei casi, questo firmware è un prodotto di terze parti gestito da un'altra società. Gli hacker possono iniettare codice dannoso nel firmware, consentendo loro di accedere alla rete o ai sistemi di dispositivi digitali che utilizzano questi componenti firmware. Questo tipo di attacco crea una backdoor nei dispositivi digitali alimentati da questo firmware, consentendo agli hacker di rubare informazioni e installare ancora più malware.

Malware preinstallato

Gli hacker a volte inseriscono malware dannoso della catena di fornitura su dispositivi hardware come telefoni, fotocamere USB (Universal Serial Bus), unità e altri dispositivi. Ciò consente loro di prendere di mira sistemi o reti collegati ai dispositivi per cui viene utilizzato l'hardware infetto.

Ad esempio, un'unità USB può essere utilizzata per trasportare un keylogger che poi si fa strada nei sistemi di una grande azienda di vendita al dettaglio. Questo keylogger può essere utilizzato per registrare le sequenze di tasti dei clienti dell'azienda, offrendo agli hacker l'accesso a informazioni come dettagli di pagamento, record dei clienti, ecc.

Come proteggersi dagli attacchi alla catena di fornitura?

La natura stessa degli attacchi alla catena di fornitura rende difficile orientarsi contro di essi. Questi tipi di attacchi sfruttano la fiducia che le aziende ripongono nei propri fornitori per contrattaccare. Sebbene sia difficile prevenire questi attacchi, di seguito sono elencate alcune cose che puoi fare per mitigarne l'impatto o ridurne i rischi:

Controlla la tua infrastruttura

L'utilizzo di software non approvato o supervisionato dall'IT (shadow IT) è uno dei fattori che possono predisporre la tua azienda ad attacchi alla catena di fornitura. Uno dei modi per mitigare questi attacchi è eseguire un controllo completo di tutto il software utilizzato all'interno dell'organizzazione. Ciò potrebbe rivelare vulnerabilità che gli hacker della supply chain possono sfruttare per lanciare un attacco.

Mantieni un inventario aggiornato di tutte le tue risorse software

Ogni software di terze parti che utilizzi (indipendentemente da quanto sembri sicuro) è un potenziale punto di vulnerabilità. Mantenendo un inventario aggiornato di tutto il software di terze parti, puoi tenere traccia meglio dei loro aggiornamenti, upgrade e problemi di sicurezza. Ciò aiuta anche a restringere i potenziali punti di attacco e a implementare le soluzioni necessarie.

Valutare rigorosamente i fornitori e applicare un approccio Zero Trust

Prima di utilizzare qualsiasi strumento di terze parti o collaborare con un nuovo fornitore, è necessario verificare rigorosamente quanto siano sicuri. Nella maggior parte dei casi, gli attacchi alla catena di fornitura si verificano perché i fornitori non riescono a seguire le pratiche di sicurezza standard. Nell'ambito delle tue attività di valutazione del rischio, puoi chiedere a qualsiasi potenziale fornitore di fornire dettagli sulle sue pratiche di sicurezza standard per determinare la sua preparazione agli attacchi alla catena di fornitura. Puoi iniziare richiedendo un rapporto di tipo SOC 2 e la certificazione ISO 27001 a qualsiasi fornitore con cui intendi collaborare. Dovresti anche controllare i loro rapporti sulla sicurezza e verificare i certificati per qualsiasi prodotto prima dell'acquisto.

Non fidarti mai di nuovi software o utenti per impostazione predefinita. Anche dopo aver confermato il loro quadro di sicurezza e accettato di utilizzare i loro servizi, limitando le attività o le autorizzazioni, qualsiasi nuovo strumento sulla tua rete ridurrà la tua vulnerabilità.

Immagine di Zero Trust

Usa strumenti di sicurezza

Sebbene antivirus, firewall e altri strumenti di sicurezza siano spesso inefficaci contro gli attacchi alla catena di fornitura, possono comunque aiutare a verificare l’integrità del codice e ridurre il rischio di un attacco. Anche se non riescono a impedire che l’attacco si verifichi, questi strumenti possono comunque avvisarti degli attacchi in corso. Ad esempio, un firewall può avvisarti quando enormi blocchi di dati vengono inviati attraverso la tua rete, come spesso accade nel caso di un attacco malware o ransomware.

Proteggi i tuoi endpoint

Gli aggressori della catena di fornitura spesso sfruttano le vulnerabilità del software negli endpoint scarsamente protetti per lanciare un attacco. L'implementazione di un sistema di rilevamento e risposta degli endpoint aiuterà a proteggere i tuoi endpoint da malware e ransomware. In questo modo, non potranno più utilizzare questi endpoint per diffondere un attacco ad altre parti della rete, fermando l’attacco prima che si diffonda ulteriormente.

Distribuisci solide policy di integrità del codice

Gli attacchi alla catena di fornitura che sfruttano l’integrità delle app o del codice possono essere fermati implementando policy efficaci sull’integrità del codice che autorizzano le app solo in base a regole rigorose. Questi criteri di dipendenza del codice bloccheranno qualsiasi app che sembra sospetta o solleva un campanello d'allarme. Sebbene possano verificarsi chiamate errate e falsi allarmi, mitigare i rischi della catena di approvvigionamento in questo modo è comunque meglio che subire un attacco. Qualsiasi app contrassegnata può essere esaminata ulteriormente e autorizzata se ritenuta legittima.

Avere un piano di risposta agli incidenti

Data la crescente frequenza degli attacchi alla catena di fornitura, è meglio essere preparati in anticipo creando un piano di risposta agli incidenti. Ogni organizzazione dovrebbe avere piani per proteggere i componenti mission-critical in caso di violazioni al fine di mantenere intatte le operazioni. Dovresti inoltre disporre di strategie di risposta e comunicazione chiare per informare partner, fornitori e clienti ogni volta che si verifica una violazione. Il tuo team IT dovrebbe essere sempre preparato a potenziali attacchi. Un'adeguata pianificazione della gestione del rischio include esercitazioni periodiche di risposta agli incidenti con il team per valutare la preparazione a potenziali attacchi.

Esempi di recenti attacchi alla catena di fornitura

L’efficienza degli attacchi alla supply chain è il fattore principale che ne spiega la prevalenza. Questi tipi di attacchi colpiscono varie organizzazioni, dalle aziende più grandi come Target alle agenzie governative. Negli ultimi dieci anni si sono verificati alcuni casi di alto profilo di attacchi alla catena di fornitura. Alcuni degli esempi più importanti di attacchi alla catena di fornitura includono:

  • SITA, 2021

    All'inizio del 2021, la società di dati sul trasporto aereo SITA ha subito una violazione dei dati che si ritiene abbia esposto i registri di volo di oltre 580,000 passeggeri della Malaysia Airlines.

    Programma frequent flyer. La stessa violazione dei dati ha colpito anche Finnair Air in Nuova Zelanda e molti altri paesi. Gli esperti ritengono che l'attacco sia avvenuto attraverso una società nota come Star Alliance, con la quale Singapore Airlines condivide i dati. Successivamente l’attacco si è esteso a tutta la filiera.

  • Stato della password, 2021

    ClickStudios, una società con sede in Australia e creatrice di Passwordstate (una soluzione di gestione delle password), ha segnalato un attacco alla catena di fornitura nel 2021. L'attacco è avvenuto tramite il servizio di aggiornamento software ospitato su una CDN di terze parti. Il malware veniva scaricato automaticamente sui dispositivi dei clienti che al momento dell'attacco avevano aggiornato il proprio software. Il software dannoso è stato progettato per decrittografare tutti i dati archiviati nel database del cliente e inviarli come testo in chiaro al server esterno dell'aggressore.

  •  Confusione delle dipendenze 2021

    Si è trattato di un attacco deliberato per testare la diffusione degli attacchi alla catena di approvvigionamento. Alex Birsan, un ricercatore di sicurezza, ha violato i sistemi appartenenti ad aziende come Microsoft, Uber, Tesla e Apple sfruttando i protocolli di dipendenza utilizzati dalle loro applicazioni per fornire servizi agli utenti finali. Queste dipendenze hanno reso possibile la trasmissione di pacchetti di dati contraffatti a vari utenti di alto profilo della rete.

  • Mimecast, 2021

    Un certificato digitale Mimecast compromesso ha portato a una delle violazioni dei dati della catena di fornitura più discusse del 2021. Il certificato digitale utilizzato per autenticare alcuni dei servizi Mimecast sui servizi Web Microsoft 365 Exchange è stato compromesso. Le indagini hanno rivelato che il gruppo dietro questo hack era anche responsabile dell’attacco SolarWinds del 2020. L'attacco ha colpito fino al 10% dei clienti di Mimecast.

  • Attacco SolarWinds, 2020

    Questo è probabilmente il caso più eclatante di attacchi alla catena di fornitura negli ultimi dieci anni. Gli hacker, ritenuti essere malintenzionati stranieri, hanno attaccato diverse agenzie governative statunitensi attraverso un fornitore di terze parti noto come SolarWinds, un fornitore di servizi IT. Sei dipartimenti governativi statunitensi sono tra i 18,000 clienti SolarWinds colpiti dagli attacchi, tra cui il Dipartimento dell'Energia e la National Nuclear Security Administration, il Dipartimento di Stato degli Stati Uniti, il Dipartimento del Commercio, il Dipartimento del Tesoro e il Dipartimento della Patria. Sicurezza.

  • Asus, 2018

    Nel 2018, un attacco dannoso ha sfruttato il software di aggiornamento live di ASUS per installare malware backdoor su più di un milione di computer. In questo attacco alla catena di fornitura, gli hacker hanno sfruttato la funzionalità di aggiornamento automatico per introdurre malware sui PC degli utenti. Il malware è stato firmato con certificati di sicurezza ASUS legittimi che ne hanno reso difficile il rilevamento. Fortunatamente, gli hacker avevano un elenco limitato di soli 600 utenti e le migliaia di altri utenti che non figuravano nell’elenco non sono stati colpiti in modo significativo.

  • Flusso di eventi, 2018

    Nell’attacco event-stream del 2018, gli hacker hanno iniettato malware in un repository all’interno del sistema GitHub. Poiché GitHub era un servizio di backup per milioni di sviluppatori, l'attacco ha esposto diversi utenti a un potenziale attacco malware. Tuttavia, il codice dannoso è stato programmato appositamente per prendere di mira il portafoglio bitcoin Copay. Se gli sviluppatori Copay colpiti dal malware avessero eseguito uno script di rilascio build durante l'attacco, il codice dannoso sarebbe stato raggruppato nell'applicazione e questo avrebbe raccolto le chiavi private e le informazioni sull'account degli utenti Copway con almeno 1000 Bitcoin nei loro account.

  • Attacco alla catena di fornitura Equifax

    Equifax, una delle più grandi agenzie di reporting delle carte di credito al mondo, è stata colpita da un attacco alla catena di fornitura nel 2018. Il codice dannoso è stato diffuso tramite una vulnerabilità dell'app sul sito web dell'azienda. Più di 147 milioni di clienti Equifax sono stati colpiti dall'attacco che ha esposto dati personali sensibili tra cui indirizzi, numeri di previdenza sociale, date di nascita e così via.

Conclusione

Se c'è solo una cosa che devi imparare da questo articolo, dovrebbe essere proprio questa: gli attacchi alla catena di fornitura del software sono una minaccia imminente. Nessun dubbio a riguardo.

Pertanto, non puoi fidarti dei prodotti firmati e degli aggiornamenti dei fornitori; potrebbero già esserci modifiche o aggiunte al tuo codice. Allora cosa puoi fare per assicurarti che il tuo sistema non sia infetto da file dannosi? Assicurati che ogni proprietario di libreria o fornitore di programmi fornisca una SBOM completa: scopri di più sulle SBOM qui—e assicurati di ottenere ciò che ti aspetti dal venditore o dal proprietario della biblioteca richiedendo un'attestazione attendibile.