Ланцюг постачання складається з багатьох процесів — від доставки сировини до виробництва, розподілу та виходу готового продукту для споживачів. Однак налагодженість цих взаємопов’язаних дій можна порушити не лише фізичним пошкодженням продукту, але й втручанням у кібербезпеку ланцюга постачання, наприклад, через інфікування роутера або програмного забезпечення.
Нещодавно компанія FireEye стала жертвою кібератаки, під час якої зловмисники встановили оновлення зі шкідливим кодом у продукт для управління мережею під назвою Orion від SolarWinds. Бекдор SUNBURST був впроваджений в Orion до того, як код був наданий FireEye. Таким чином споживачі отримали пошкоджений кінцевий продукт.
У цьому випадку шкідливе оновлення через механізм Orion встановили близько 18 000 комерційних та державних організацій. Принаймні на 100 з них були спрямовані наступні атаки, під час яких кіберзлочинці додавали додаткові компоненти та глибше проникали в мережі компаній.
Саме тому атаки на ланцюг постачання несуть величезні збитки, оскільки зламавши тільки одного постачальника, зловмисники можуть в кінцевому підсумку отримати безперешкодний доступ до великих клієнтських баз, який складно виявити.
Найгучніші атаки на ланцюг постачання
Інцидент з SolarWinds нагадав і про інші атаки такого типу, зокрема злам CCleaner у 2017 та 2018 роках, а також кібератаки з використанням NotPetya (також відомого як Diskcoder.C). А ще у 2013 році Target стала жертвою зламу, пов’язаного з викраденням облікових даних стороннього постачальника HVAC. Цей інцидент вперше привернув увагу до атак на ланцюг постачання.
Тільки за останні місяці дослідники виявили декілька прикладів подібних атак — від групи Lazarus, яка використовує додаткову програму з безпеки для поширення шкідливого коду, до операцій SignSight для зламу центру сертифікації та NightScout з метою інфікування емулятора Android.
Атаки на ланцюг постачання загрожують роботі компаній
Поступово рамки між апаратним та програмним забезпеченням стають більш розмитими. Велика частина складного механізму в готовому коді вже зроблена та знаходиться у відкритому або принаймні широкому доступі. Інженери лише завантажують його, пишуть код, який пов’язує все воєдино, та відправляють готовий продукт. Все працює за умови відсутності пошкодження коду десь в процесі.
Не можна бути впевненим, що кожна ланка у будь-якому ланцюгу постачання захищена від несанкціонованого доступу. В свою чергу зловмисники можуть скористатися цим та додати в програмне забезпечення бекдори для використання у подальших атаках.
Це перетворилося на глобальну гонитву, яка супроводжується зростанням ринку кіберзлочинності. У разі виявлення серйозної помилки у програмному забезпеченні постає питання продати інформацію зловмисникам за чималу суму чи повідомити виробнику та отримати символічну подяку. У таких умовах вибір здається очевидним, що становить ще більшу загрозу ланцюгам постачання.
Для будь-якої компанії повністю контролювати ланцюг постачання та гарантувати його безпеку неможливо. Спеціалісти ESET підготували рекомендації, дотримання яких допоможе мінімізувати ризики стати жертвою атак на ланцюг постачання:
- Знайте особливості свого програмного забезпечення — ведіть інвентаризацію усіх готових інструментів з відкритим вихідним кодом, які використовуються у вашій організації.
- Слідкуйте за відомими уразливостями та своєчасно застосовуйте виправлення — атаки з використанням шкідливих оновлень не є приводом відмовлятися від оновлення програмного забезпечення.
- Відмовтеся від непотрібних або застарілих систем, сервісів та протоколів.
- Оцініть ризики своїх постачальників, вивчивши їх власні процеси безпеки.
- Встановіть вимоги безпеки для постачальників програмного забезпечення.
- Пропонуйте здійснювати регулярні аудити коду та цікавтеся перевірками безпеки та змінами компонентів коду.
- Застосовуйте інструменти для управління доступом та двофакторну аутентифікацію для захисту процесів розробки програмного забезпечення.
- Використовуйте рішення з безпеки з кількома рівнями захисту.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ
Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?
Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.
Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.
Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.
До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.
Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.