По итогам 2023 года атаки на цепочки поставок стали настоящим бедствием для компаний и специалистов по кибербезопасности. Согласно данным исследований, хакеры активно эксплуатируют вопросы доверия при проведении атак типа компрометации поставщиков ПО (Software Supply Chain Compromise) или доверия третьих лиц (Third-party Risk), которые принято объединять под общим названием атаки на цепочку поставок/поставщиков. Эта тенденция сохраняется в 2024 году и, похоже, становится его главным трендом.
THIRD-PARTY RISK
Атака на цепочку поставщика — тип атак, который реализуется через компрометацию сторонних компаний — партнёров, клиентов или подрядчиков. По данным НКЦКИ, атаки на «цепочки поставок» возглавляют топ-3 векторов проникновения в ходе наиболее опасных компьютерных атак, выявленных в России в 2023 году. Следом за ними идёт эксплуатация уязвимостей в ПО на периметре(что подпадает под атаки типа Software Supply Chain Compromise) и фишинг. Реализация всех видов атак через цепочку поставок стала главной тенденцией прошлого года как в России, так и в мире. И этот тренд только усиливается.
По данным исследования «Атаки на подрядчиков. Эксплуатация доверия» компании «Инфосистемы Джет», лишь 20% компаний определяют набор мер, исходя из специфики взаимодействия и профиля риска поставщика, менее 10% проводят мероприятия по оценке уровня ИБ поставщика услуг. «Оценка проводится в основном с использованием опросных листов и зачастую носит формальный характер — не влияет на дальнейшее решение о выборе поставщика или архитектуры подключения к ресурсам компании. 80% компаний не используют защитные меры в отношении подрядчиков/поставщиков услуг, аналогичные удалённым работникам», — говорится в исследовании.
Чаще всего злоумышленники попадают в инфраструктуру к слабо защищённому поставщику, а затем двигаются по ней, получая доступ к более крупной жертве, отмечают эксперты по безопасности. Например, так злоумышленники из группировки LockBit, взломавшие системы консалтинговой компании Infosys McCamish Systems (IMS), получили доступ к данным клиентов Bank of America. Другой пример — «популярные» у хакеров взломы поставщиков медицинских услуг в Северной Америке. В результате взлома компании Shields Health Care Group злоумышленники получили данные 2 млн пациентов.
Кибератака вымогателей на компанию Change Healthcare, входящую в группу UnitedHealth Group, привела к отключению сервисов и, как следствие, нарушила систему взаиморасчётов и оборота лекарств, работу страховых компаний, врачей и больниц, аптечных сетей по всей территории США. Инцидент привёл к увеличению нагрузки на всю систему здравоохранения страны, вмешательству регуляторов, финансовым убыткам. Появлялись сведения, что Change Healthcare выплатила крупный выкуп хакерам, которые заявили, что в ходе атаки получили данные клиентов компании. Также целями атак становятся финансовые и ипотечные компании, юрфирмы и ретейлеры, которые хранят конфиденциальную информацию, включая персональные данные клиентов и партнёров.
Из российских инцидентов наибольшую огласку получила утечка архива учётных записей более 60 тыс. пользователей компании «ИнфоТеКС», которая произошла на стороне подрядчика, ответственного за разработку нового сайта. Хакеры эксплуатировали неизвестные уязвимости в системе «1С-Битрикс: Управление сайтом».
По мнению отечественных регуляторов, для обеспечения безопасности цепочек поставок необходимо управлять подключениями привилегированных пользователей из числа подрядчиков, следить за появлением сведений о компьютерных инцидентах в подрядных организациях, требовать от них отчёты о принятых мерах по реагированию на кибератаки. Иностранные регуляторы добавляют к этим советам рекомендации по сегментации сети и использованию многофакторной аутентификации для всех делегированных администраторов.
КОМПРОМЕТАЦИЯ ЦЕПОЧКИ
В 2022 году компания Sonatype, которая занимается управлением цепочки поставок ПО, в ежегодном исследовании, посвящённом программному обеспечению c открытым кодом (Open Source Software — OSS), разработке приложений на его основе, а также безопасности цепочки поставок такого ПО, отмечала рост числа атак на репозитории OSS. Чаще всего разработчики не подозревали о внедрении вредоносных пакетов в свои продукты в процессе сборки: одна из восьми загрузок OSS сопряжена с риском, говорится в исследовании.
По состоянию на осень 2023 году Sonatype зарегистрировала более 245 тыс. подобных атак, это втрое больше, чем годом ранее. Устранение последствий такого числа инцидентов обошлось компаниям в $46 млрд. Исследователи отметили, что число атак на цепочки поставок за 2023 году в два раза превышает суммарные показатели 2019–2022 годов.
По данным отчёта Application Security Posture Management 2024 компании Cycode, которая специализируется на обеспечении безопасности и управлении исходным кодом в области разработки ПО, 77% из 500 опрошенных CISA в США считают безопасность цепочки поставок ПО слепым пятном для AppSec. При этом разработчики приложений чаще сосредоточены на устранении критических уязвимостей, чем на исследовании безопасности используемого ПО. Только 21% разработчиков и безопасников понимает, что несёт солидарную ответственность за OSS. 2023 год показал, что экспоненциальный рост атак на цепочки поставок, связанный с вредоносным ПО, затмил рост числа эксплойтов.
Исследователи отмечают активное внедрение ВПО в репозитории OSS. Северокорейская группировка Lazarus в рамках кампании PaperPin активно атакует репозиторий Python. Так, целью пакетов VMConnect является дальнейшая загрузка ВПО с URL-адресов, контролируемых злоумышленниками, при использовании библиотек Python. В феврале 2024 года о внедрении пакетов pycryptoenv и pycryptoconf, которые схожи с библиотекой инструментов шифрования pycrypto для Python, сообщил CERT Японии. При загрузке лжепакетов происходит дальнейшее заражение трояном Comebacker.
Уязвимость в компоненте с открытым исходным кодом Redis, который использовала компания OpenAI, привела к утечке данных пользователей ChatGPT. Несколько крупных атак на цепочки поставок зарегистрировано на PyTorch — платформу машинного обучения. Атака на разработчика VoIP-решений 3CX и его клиент 3CXDesktopApp могла скомпрометировать миллионы клиентов, этим решением пользуются более 600 тыс. организаций, включая транснациональные корпорации.
Некоторые из наиболее значительных Supply Chain Attack включают эксплуатацию уязвимостей популярных инструментов. Атака на ПО для управляемой передачи файлов MOVEit Transfer привела к цепочке взломов, затронув более тысячи предприятий и 60 млн частных лиц. Общий ущерб превысил $9,9 млрд. Серию примеров можно продолжать до бесконечности.
По данным Sonatype, почти 96% загрузок компонентов с известными уязвимостями можно избежать, если обращать внимание на версии релизов. До сих пор четверть всех загрузок библиотеки журналирования Log4j приходится на версию, содержащую уязвимость нулевого дня Log4Shell и закрытую в декабре 2021 года.
ЧТО ДЕЛАТЬ?
В 2022 году Агентство ЕС по кибербезопасности (ENISA) назвало компрометацию цепочек поставок ПО новой главной киберугрозой. Признавая последствия для национальной безопасности и экономической стабильности, США и ЕС создают нормативные базы и разрабатывают рекомендации по усилению защиты от эскалации киберрисков. Комплексный подход к проблеме включает требования к критически важной инфраструктуре, национальные стратегии кибербезопасности, законы о защите данных и расширение международного сотрудничества в борьбе с киберпреступностью. Аналогичные меры принимает Канада, Quad — стратегический союз Австралии, Индии, США и Японии по проблемам безопасности в Индо-Тихоокеанском регионе. Частные компании, занимающиеся вопросами управления цепочками поставок ПО, разрабатывают и продвигают на рынок платформы и экосистемы — закрытые среды, предлагающие доверенную разработку ПО. Также рекомендуется учитывать вопросы безопасной разработки на всех этапах жизненного цикла ПО, повышение уровня зрелости его разработчиков и потребителей.
В России в 2022 году с целью повышения безопасности под эгидой ФСТЭК на базе ИСП РАН создан Технологический центр исследования безопасности ядра ОС Linux, в его работе принимают участие ведущие вендоры страны. Главная задача центра — повышение уровня безопасности отечественных Linux-систем. Также планируется создание испытательных полигонов и защищённых репозиториев доверенного ПО и программно-аппаратных комплексов, типовых решений, предназначенных для разработки, тестирования, хранения, распространения, развития и технической поддержки отечественного ПО. Работы ведутся в рамках нацпрограммы «Цифровая экономика» и войдут в нацпроект «Экономика данных».
А пока эти работы ведутся, атаки через поставщиков продолжаются…
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных