Что такое взлом цепочки поставок и как обезопасить себя?
Когда вы думаете об атаке кибербезопасности, на ум приходит образ хакера, исследующего сеть на наличие уязвимостей. Или фишинговая атака, которая крадет учетные данные сотрудника или вредоносное ПО, установленное на компьютере.
Все это действующие и распространенные методы атаки. Но что, если бы существовал другой способ проникновения в сеть, не связанный с прямой атакой на цель?
Атака цепочки поставок делает именно это, используя организации, связанные с целью, и атакует цепочку поставок цели. Итак, что такое атаки на цепочку поставок и как они работают?
Что такое взлом цепочки поставок?
Атака на цепочку поставок направлена на то, чтобы нанести ущерб организации или проникнуть в нее, выявляя уязвимые части ее сети поставок. Атака на цепочку поставок открывает множество возможностей для успешного проникновения, особенно при атаке на организацию со сложной или запутанной сетью цепочки поставок.
Практически во всех атаках на цепочку поставок первоначальная жертва не является единственной целью злоумышленника. Скорее, элемент цепочки поставок – это ступенька к более крупной рыбе. Злоумышленник использует уязвимости в более простой цели и использует их для достижения конечной цели.
Хотя атаки на цепочки поставок кажутся редкими, исследование Opinion Matters for BlueVoyant , проведенное в июне 2020 года [PDF, требуется регистрация], показало, что 80 процентов организаций «за последние 12 месяцев пострадали от взлома, связанного с третьей стороной». Более того, 77 процентов респондентов «плохо видят своих сторонних поставщиков».
С такими цифрами вы понимаете, почему атаки на цепочки поставок не только популярны, но и как они преуспевают в переходе от первоначальной цели к основной организации.
Попытка выяснить, что заслуживает доверия после атаки на цепочку поставок pic.twitter.com/QSXPxOHLjm
– SwiftOnSecurity (@SwiftOnSecurity) 17 декабря 2020 г.
Компании чрезвычайно сложно обнаружить атаку цепочки поставок стороннего программного обеспечения. Сама природа атаки означает, что вредоносные файлы скрыты не только от основной цели, но и от уязвимого звена в цепочке поставок. Чтобы атака сработала, компьютеру даже не обязательно быть в сети .
Целевая организация может понять, что существует проблема, только когда ее данные начинают появляться в продаже где-либо еще или что-то подобное вызывает тревогу. Благодаря такому глубокому доступу к внутренней сети можно свободно перемещаться внутри организации, даже удаляя контрольные признаки злоумышленника.
Типы атак цепочки поставок
Атаки на цепочки поставок не подходят для всех. Цепочка поставок для крупной организации может включать несколько различных движущихся частей. Злоумышленник должен подумать, какой тип атаки цепочки поставок использовать против цели.
Вот вам три заметных атаки на цепочку поставок.
1. Цель
В 2013 году американский ритейлер Target подвергся серьезной атаке, в результате которой была потеряна информация о 110 миллионах кредитных и дебетовых карт, используемых в их магазинах. Общий объем украденных данных составил всего 11 ГБ, но тип украденных данных был особенно ценным.
Злоумышленники идентифицировали ряд сторонних поставщиков в корпоративной сети Target. Хотя окончательное количество попыток атак неизвестно, уязвимым предприятием был Fazio Mechanical, подрядчик по холодильному оборудованию.
Как только подрядчик был скомпрометирован, злоумышленники ждали в сети компании, пока не появится возможность перейти на целевую систему с использованием украденных учетных данных. В конце концов злоумышленники получили доступ к серверам Target в поисках других уязвимых систем в сети компании.
Отсюда злоумышленники использовали систему точек продаж Target (POS), снимая информацию о картах миллионов клиентов.
2. SolarWinds
Одним из основных примеров атаки на цепочку поставок стороннего программного обеспечения является компания SolarWinds , чье программное обеспечение для удаленного управления Orion было взломано в 2020 году. Злоумышленники внедрили вредоносный бэкдор в процесс обновления программного обеспечения.
Когда обновление было отправлено сотням тысяч клиентов SolarWinds, злоумышленник пошел вместе с ним. Поскольку обновление было подписано цифровой подписью как обычно, все выглядело как обычно.
После активации программного обеспечения в рамках обычного процесса обновления злоумышленники получили доступ к огромному количеству критических целей, включая Министерство финансов США, министерства внутренней безопасности, торговли, государства, обороны и энергетики, а также Национальное управление ядерной безопасности. .
Атака SolarWinds – одна из самых крупных и успешных атак на цепочку поставок, когда-либо проводившихся.
3. Stuxnet
Знаете ли вы, что одним из самых печально известных взломов всех времен была атака на цепочку поставок?
Stuxnet – это компьютерный червь с чрезвычайно конкретной целью: системы, работающие под управлением определенного типа программного обеспечения от определенного производителя, обнаруженного на иранских атомных электростанциях. Вредоносная программа Stuxnet заставляет центрифуги резко увеличивать скорость, уничтожая при этом материал в центрифуге и саму инфраструктуру.
Считается, что этот чрезвычайно направленный и невероятно изощренный червь является результатом совместной работы правительств США и Израиля, направленных на устранение очевидной ядерной угрозы Ирана.
Stuxnet был внедрен в цепочку поставок иранской атомной электростанции с помощью зараженного USB-накопителя. После установки на один компьютер Stuxnet перемещался по сети в поисках правильной системы управления перед запуском.
Поскольку у Stuxnet есть точная цель, он не привлекает к себе внимания, а активируется только тогда, когда он попадает в компьютер, соответствующий спецификации.
Как оставаться в безопасности в эпоху атак на цепочки поставок
Цепочками поставок трудно управлять даже в лучшие времена. Многие компании используют сторонние программные решения для управления аспектами своего бизнеса. К ним относятся инструменты удаленного управления или бухгалтерское программное обеспечение, или даже такие платформы, как Microsoft Office 365.
Компании просто не могут объединить все аспекты своего бизнеса под одной крышей. И им не должно быть. Доверие разработчику программного обеспечения или поставщику облачных услуг не должно резко увеличивать шансы на то, что вы или ваш бизнес станете жертвой атаки.
Ах … атаки цепочки поставок. Люди просто забыли о таких инцидентах, как RSA или атака MeDoc NotPetya?
– Hoff (@Beaker) 15 декабря 2020 г.
Повышенная безопасность предприятий и потребителей также стимулирует атаки на цепочки поставок. Если злоумышленники не могут проникнуть в организацию, наиболее экономичным и прагматичным способом получения доступа является атака на следующий уровень. Кроме того, менее вероятно, что это будет обнаружено системами безопасности предприятия.
Во многих случаях атаки на цепочку поставок представляют собой обширные, хорошо изученные и хорошо финансируемые операции.
Например, SolarWinds – это работа хакерской команды национального государства, у которой были месяцы, чтобы поработать и внедрить хакерскую схему цепочки поставок. Точно так же Stuxnet объединил несколько атак нулевого дня в один пакет, чтобы поразить иранские атомные электростанции, и взлом цепочки поставок Target потребовал времени, чтобы сработать.
Мы говорим здесь не о случайных любителях сценариев, которые наткнулись на уязвимость. Это команды хакеров, работающих вместе, чтобы атаковать конкретную цель. Цепочка поставок оказывается путем наименьшего сопротивления.