В 2021 году Codecov, платформа для тестирования программного обеспечения, которая генерирует отчеты и статистику о покрытии кода, подвергся атаке на цепочку поставок который манипулировал сценариями загрузки Docker. Среда Codecov была скомпрометирована без каких-либо тревожных сигналов. Ущерб был огромным, поскольку Codecov обслуживает более 29,000 31 корпоративных клиентов, включая IBM, Google, HP, Washington Post, Atlassian, GoDaddy, Procter & Gamble и Королевский банк Канады. Массовое нарушение продолжалось незамеченным в течение нескольких месяцев. Несмотря на то, что он начался 2021 января 1 года, он был обнаружен только 2021 апреля XNUMX года.
В другом печально известном инциденте вездесущий инструмент для очистки компьютера CCleaner был скомпрометирован хакерами более месяца. Компания Avast, владеющая CCleaner, испортила загружаемые пользователями обновления программного обеспечения с помощью вредоносного бэкдора. Миллионы компьютеров были подвергнуты воздействию, и этот инцидент усилил угрозу так называемые атаки на цифровую цепочку поставок, при котором фактически заражается надежное, широко распространенное программное обеспечение.
Атака в цепочке поставок, также известная как атака третьей стороны или взлом бэкдора, происходит, когда хакер проникает в систему предприятия через стороннего партнера или поставщика, который предоставляет программные услуги этой организации. Это называется атакой на цепочку поставок, поскольку уязвимой точкой, через которую происходит атака, является цепочка поставок программного обеспечения. Атаки такого типа зачастую весьма масштабны по масштабу и их сложно обнаружить. Киберпреступники часто нацелены на подобные цепочки поставок программного обеспечения, поскольку одно нарушение позволяет им одновременно скомпрометировать тысячи жертв.
Поскольку доступ к конфиденциальным данным получает больше поставщиков программного обеспечения, чем раньше, риск таких атак за последние несколько лет увеличился. Фактически, есть многочисленные источники, которые утверждают, что количество атак на цепочки поставок программного обеспечения утроилось в 2021 году по сравнению с показателями предыдущего года. В мае 2021 года администрация Байдена назвал атаки на цепочки поставок программного обеспечения проблемными, подтверждая, насколько важен этот вопрос.
Каковы различные типы атак на цепочки поставок программного обеспечения?
Любая компания-разработчик программного обеспечения, предоставляющая свои услуги другим организациям, является потенциальной целью атаки на программное обеспечение в цепочке поставок. Для атаки достаточно всего одного взломанного программного обеспечения, чтобы распространить вредоносное ПО по всей цепочке поставок. Хакеры обычно охотятся за плохо защищенным программным обеспечением или незащищенными сетевыми протоколами, которые они могут взломать и скрыть вредоносное ПО в процессе сборки или обновления программного обеспечения. Злоумышленники могут использовать широкий спектр методов для проведения атаки на цепочку поставок.
В большинстве случаев атаки на цепочки поставок скрываются за законными процессами, чтобы получить неограниченный доступ к экосистеме программного обеспечения организации. Злоумышленники обычно начинают с проникновения в систему безопасности поставщика или поставщика программного обеспечения. Обычно это проще, чем атаковать жертву напрямую из-за плохих методов кибербезопасности многих из этих поставщиков.
Как только вредоносное ПО из цепочки поставок внедряется в экосистему программного обеспечения поставщика, ему необходимо подключиться к законному процессу с цифровой подписью. Злоумышленники часто используют обновления программного обеспечения в качестве точек входа для распространения вредоносного ПО по цепочке поставок программного обеспечения. Некоторые из распространенных методов, используемых в атаках на цепочки поставок, включают:
Инструменты для создания взломанного программного обеспечения
Процесс создания современных программных приложений очень похож на физическую цепочку поставок: в большинстве случаев приложения создаются с использованием различных готовых компонентов от разных поставщиков. Сюда входит собственный код, сторонние API, компоненты с открытым исходным кодом и т. д. Невозможно создать современное приложение с нуля, поэтому большинство разработчиков программного обеспечения просто повторно используют эти различные компоненты в качестве стандартной практики.
Хотя такая практика «подключи и работай» ускоряет процесс разработки, она создает риск уязвимостей безопасности, главной из которых являются атаки на цепочки поставок. Если компонент программного обеспечения каким-либо образом скомпрометирован, бесчисленное количество организаций, приложения которых созданы с использованием этого компонента, становятся уязвимыми для атаки.
Украденные сертификаты кодовой подписи или подписанные вредоносные приложения с использованием украденных личных данных.
При атаке этого типа хакер крадет сертификат, подтверждающий легитимность и безопасность продукта компании. Этот украденный сертификат позволяет им распространять вредоносный код, замаскированный под продукт законной компании.
ATP41, хакерская группа, поддерживаемая правительством Китая, использует этот метод атаки для проведения атак на цепочки поставок. Придавая вредоносному коду видимость легитимности (используя украденные сертификаты кодовых знаков), они получают возможность обойти меры безопасности в системах, которые они атакуют. Этот тип атаки особенно трудно обнаружить.
Атака подписанного вредоносного приложения аналогична атаке с украденным кодом; в этом случае злоумышленник маскирует скомпрометированное программное обеспечение под законное приложение, используя украденные подписанные идентификационные данные приложения. Это позволяет ему обойти различные меры безопасности и совершить атаку.
Скомпрометированный код в аппаратных компонентах или компонентах встроенного ПО.
Для бесперебойной работы каждого цифрового устройства требуется встроенное ПО. В большинстве случаев эта прошивка является продуктом стороннего производителя, поддерживаемым другой компанией. Хакеры могут внедрить вредоносный код в прошивку, что позволит им получить доступ к сети или системам цифровых устройств, использующих эти компоненты прошивки. Этот тип атаки создает бэкдор в цифровые устройства, оснащенные этой прошивкой, что позволяет хакерам украсть информацию и установить еще больше вредоносного ПО.
Предустановленное вредоносное ПО
Хакеры иногда помещают вредоносное ПО для цепочки поставок на аппаратные устройства, такие как телефоны, камеры с универсальной последовательной шиной (USB), накопители и другие устройства. Это позволяет им атаковать системы или сети, подключенные к устройствам, для которых используется зараженное оборудование.
Например, USB-накопитель можно использовать для хранения кейлоггера, который затем попадает в системы крупной розничной компании. Этот кейлоггер можно использовать для регистрации нажатий клавиш клиентами компании, предоставляя хакерам доступ к такой информации, как платежные реквизиты, записи клиентов и т. д.
Как защититься от атак на цепочки поставок?
Сама природа атак на цепочки поставок затрудняет противодействие им. Эти типы атак используют доверие предприятий к своим поставщикам для контратаки. Хотя эти атаки сложно предотвратить, ниже приведены некоторые меры, которые вы можете сделать, чтобы смягчить их воздействие или снизить риски:
Аудит вашей инфраструктуры
Использование программного обеспечения, которое не одобрено и не контролируется ИТ-отделом (теневые ИТ-отделы), является одним из факторов, которые могут предрасположить ваш бизнес к атакам в цепочке поставок. Одним из способов смягчения этих атак является проведение комплексного аудита всего программного обеспечения, используемого в вашей организации. Это может выявить уязвимости, которые хакеры цепочки поставок могут использовать для проведения атаки.
Держите обновленный перечень всех ваших программных активов
Любое стороннее программное обеспечение, которое вы используете (независимо от того, насколько безопасным оно кажется), представляет собой потенциальную точку уязвимости. Ведя обновленный реестр всего вашего стороннего программного обеспечения, вы можете лучше отслеживать их обновления, обновления и проблемы с безопасностью. Это также помогает сузить потенциальные точки атаки и развернуть необходимые решения.
Тщательно оценивайте поставщиков и применяйте подход нулевого доверия.
Прежде чем использовать какой-либо сторонний инструмент или сотрудничать с новым поставщиком, вам необходимо тщательно проверить, насколько они безопасны. В большинстве случаев атаки на цепочки поставок происходят из-за того, что поставщики не соблюдают стандартные методы обеспечения безопасности. В рамках оценки рисков вы можете попросить любого потенциального поставщика предоставить подробную информацию о его стандартных методах обеспечения безопасности, чтобы определить его готовность к атакам в цепочке поставок. Вы можете начать с запроса отчета типа SOC 2 и сертификации ISO 27001 у любого поставщика, с которым вы планируете сотрудничать. Вам также следует проверить их отчеты о безопасности и проверить сертификаты для любого продукта перед покупкой.
Никогда не доверяйте новому программному обеспечению или пользователям по умолчанию. Даже после подтверждения их системы безопасности и согласия на использование их услуг, ограничения действий или разрешений, любой новый инструмент в вашей сети снизит вашу уязвимость.
Используйте инструменты безопасности
Хотя антивирусы, межсетевые экраны и другие инструменты безопасности часто неэффективны против атак в цепочке поставок, они все же могут помочь проверить целостность кода и снизить риск атаки. Даже если они не смогут остановить атаку, эти инструменты все равно смогут предупредить вас о продолжающихся атаках. Например, брандмауэр может сообщить вам, когда по вашей сети передаются огромные блоки данных, что часто случается при атаке вредоносного ПО или программы-вымогателя.
Защитите свои конечные точки
Злоумышленники в цепочке поставок часто используют уязвимости программного обеспечения на плохо защищенных конечных точках для запуска атаки. Развертывание системы обнаружения и реагирования на конечных точках поможет защитить ваши конечные точки от вредоносных программ и программ-вымогателей. Таким образом, они больше не смогут использовать эти конечные точки для распространения атаки на другие части вашей сети, останавливая атаку до того, как она распространится дальше.
Развертывание строгих политик целостности кода
Атаки в цепочке поставок, использующие целостность приложений или кода, можно остановить путем развертывания строгих политик целостности кода, которые разрешают приложения только на основе строгих правил. Эти политики зависимости кода будут блокировать любое приложение, которое выглядит подозрительно или вызывает тревогу. Несмотря на то, что могут быть неправильные звонки и ложные тревоги, снижение рисков в цепочке поставок таким образом все же лучше, чем подвергаться атаке. Любое помеченное приложение может быть дополнительно исследовано и авторизовано, если окажется законным.
Иметь план реагирования на инциденты
Учитывая растущую частоту атак на цепочки поставок, лучше подготовиться заранее, разработав план реагирования на инциденты. Каждая организация должна иметь планы по защите критически важных компонентов в случае нарушений, чтобы обеспечить бесперебойную работу. У вас также должны быть четкие стратегии реагирования и коммуникации, чтобы информировать партнеров, поставщиков и клиентов о любых нарушениях. Ваша ИТ-команда всегда должна быть готова к потенциальным атакам. Соответствующее планирование управления рисками включает регулярное проведение с вашей командой тренировок по реагированию на инциденты для оценки готовности к потенциальным атакам.
Примеры недавних атак на цепочки поставок
Эффективность атак на цепочки поставок является основным фактором, определяющим их распространенность. Эти типы атак затрагивают различные организации: от крупных компаний, таких как Target, до государственных учреждений. За последнее десятилетие произошло несколько громких случаев атак на цепочки поставок. Некоторые из наиболее ярких примеров атак на цепочки поставок включают в себя:
-
СИТА, 2021 г.
В начале 2021 года компания SITA, занимающаяся данными воздушного транспорта, столкнулась с утечкой данных, в результате которой, как полагают, были раскрыты записи полетов более чем 580,000 XNUMX пассажиров Malaysia Airlines.
Программа для часто летающих пассажиров. Такая же утечка данных затронула Finnair Air в Новой Зеландии и ряд других компаний. Эксперты полагают, что точка атаки была осуществлена через компанию Star Alliance, с которой Singapore Airlines делится данными. Впоследствии атака распространилась на всю цепочку поставок.
-
Государство паролей, 2021 г.
ClickStudios, австралийская компания и создатели Passwordstate (решения для управления паролями), сообщили об атаке на цепочку поставок в 2021 году. Атака произошла через службу обновления программного обеспечения, которая размещалась на сторонней CDN. Вредоносное ПО автоматически загружалось на устройства клиентов, которые обновили свое программное обеспечение во время атаки. Вредоносное программное обеспечение было разработано для расшифровки всех данных, хранящихся в базе данных клиента, и отправки их в виде открытого текста на внешний сервер злоумышленника.
-
Путаница зависимостей 2021
Это была преднамеренная атака с целью проверить распространение атак на цепочки поставок. Алекс Бирсан, исследователь безопасности, взломал системы, принадлежащие таким компаниям, как Microsoft, Uber, Tesla и Apple, воспользовавшись протоколами зависимостей, которые их приложения использовали для предоставления услуг конечным пользователям. Эти зависимости позволяли передавать поддельные пакеты данных различным высокопоставленным пользователям сети.
-
Мимекаст, 2021 г.
Скомпрометированный цифровой сертификат Mimecast привел к одной из самых обсуждаемых утечек данных в цепочке поставок в 2021 году. Цифровой сертификат, используемый для аутентификации некоторых служб Mimecast в веб-службах Microsoft 365 Exchange, был скомпрометирован. Расследование показало, что группа, стоящая за этим взломом, также несет ответственность за атаку SolarWinds в 2020 году. Атака затронула до 10% клиентов Mimecast.
-
Атака SolarWinds, 2020 г.
Это, пожалуй, самый громкий случай атак на цепочки поставок за последнее десятилетие. Хакеры, которые предположительно являются иностранными злоумышленниками, атаковали несколько правительственных учреждений США через стороннего поставщика, известного как SolarWinds, поставщика ИТ-услуг. Шесть правительственных ведомств США входят в число 18,000 XNUMX клиентов SolarWinds, пострадавших от атак, в том числе Министерство энергетики и Национальное управление ядерной безопасности, Государственный департамент США, Министерство торговли, Министерство финансов и Министерство внутренних дел. Безопасность.
-
Асус, 2018 г.
В 2018 году злонамеренная атака использовала программное обеспечение ASUS для оперативного обновления и установила вредоносное ПО с бэкдором на более чем миллион компьютеров. В этой атаке на цепочку поставок хакеры использовали функцию автоматического обновления, чтобы внедрить вредоносное ПО на компьютеры пользователей. Вредоносное ПО было подписано законными сертификатами безопасности ASUS, что затрудняло его обнаружение. К счастью, у хакеров был ограниченный список, состоящий всего из 600 пользователей, и тысячи других пользователей, не вошедших в этот список, существенно не пострадали.
-
Ивент-стрим, 2018
В ходе атаки с использованием потока событий в 2018 году хакеры внедрили вредоносное ПО в репозиторий системы GitHub. Поскольку GitHub был службой резервного копирования для миллионов разработчиков, эта атака подвергла нескольких пользователей потенциальной атаке вредоносного ПО. Однако вредоносный код был запрограммирован специально для биткойн-кошелька Copay. Если бы разработчики Copay, пострадавшие от вредоносного ПО, запустили сценарий сборки релиза во время атаки, вредоносный код был бы встроен в приложение, и это привело бы к сбору закрытых ключей и информации об учетных записях пользователей Copway, имеющих на счету не менее 1000 биткойнов. счет.
-
Атака на цепочку поставок Equifax
Equifax, одно из крупнейших в мире агентств по отчетности по кредитным картам, подверглось атаке на цепочку поставок в 2018 году. Вредоносный код был доставлен через уязвимость приложения на веб-сайте компании. Более 147 миллионов клиентов Equifax пострадали от атаки, в результате которой были раскрыты конфиденциальные личные данные, включая адреса, номера социального страхования, даты рождения и т. д.
Заключение
Если есть только одна вещь, которую вам нужно вынести из этой статьи, так это она: атаки на цепочки поставок программного обеспечения представляют собой непосредственную угрозу. Никаких сомнений насчет этого.
Поэтому нельзя доверять подписанным продуктам и обновлениям вендоров; в ваш код уже могут быть изменения или дополнения. Итак, что вы можете сделать, чтобы гарантировать, что ваша система не заражена вредоносными файлами? Убедитесь, что каждый владелец библиотеки или поставщик программы предоставляет вам полный SBOM — узнайте больше о SBOM. здесь— и убедитесь, что вы получаете то, что ожидаете от поставщика или владельца библиотеки, запросив надежную аттестацию.