Атаки на цепочки поставок: какие существуют риски и как от них защититься

Количество атак на цепочки поставок (supply chain attack) продолжает расти, и российские компании находятся под особым прицелом хакеров. Расскажем о том, чем рискует бизнес из-за подобных инцидентов и как от них защититься.

1. Введение
2. Как хакеры атакуют цепочки поставок
3. Почему компании становятся жертвами атак на цепочки поставок?
4. Какие техники используют хакеры
5. Как защититься от атак на цепочки поставок?
6. Выводы

Введение

В рамках атаки на цепочки поставок злоумышленники пытаются проникнуть в инфраструктуру жертвы через сторонние компании. У таких инцидентов есть два вектора. В первом атакуется поставщик услуг или подрядчик, например маленькая слабозащищённая компания, которая сотрудничает с крупной финтех-организацией. Во втором — разработчик программного обеспечения: в продукт внедряется вредоносный код, который под прикрытием легитимного софта попадает в ИТ-периметры заказчиков.

В этой статье мы рассмотрим примеры атак на цепочки поставок и риски подобных инцидентов, разберём популярные тактики нападения и методы защиты.

Как хакеры атакуют цепочки поставок

Совершая атаки на цепочки поставок, злоумышленники преследуют разные цели. Например, хакерская группа RedCurl занимается коммерческим шпионажем и кражей корпоративных данных. Недавно она атаковала крупный российский банк через подрядчика. Предположительно, злоумышленники взломали компьютер сотрудника компании с помощью фишингового письма. Так хакеры получили доступ к общему сетевому файловому хранилищу, которое содержало финансовые документы. В него группа внедрила вредоносные файлы и таким образом попала в инфраструктуру банка. Инцидент был обнаружен лишь спустя месяц.

Инциденты типа «supply chain attack» опасны непредсказуемостью и широким охватом, компании могут оказаться под ударом просто по «счастливой» случайности. Например, 3CX, крупный разработчик корпоративного сервиса для телеконференций, стал жертвой многоступенчатой атаки на цепочку поставок. Подобный инцидент был задокументирован впервые. Всё началось с того, что в 2021 году злоумышленники скомпрометировали инфраструктуру компании Trading Technologies и начали распространять с её сайта заражённую версию приложения для торговли на бирже. Сотрудник 3CX скачал продукт на свой компьютер, в результате хакеры получили доступ к корпоративной сети компании, внедрили бэкдоры в её решения и массово атаковали клиентов.

Почему компании становятся жертвами атак на цепочки поставок?

Есть три главные причины:

1. Продукты организаций имеют низкий уровень защищённости. ИТ-системы 96 % крупных российских компаний содержат уязвимости, с помощью которых хакеры могут проникнуть во внутреннюю сеть и реализовать 89 % недопустимых событий — их определяют сами организации. Для компаний, которые производят и распространяют ПО, атака на цепочки поставок однозначно является недопустимым инцидентом. В 2022 году на события типа «supply chain» и «trusted relationship» (доверительные отношения) пришлось 20 % от числа всех атак. В первом полугодии 2023 года доля таких инцидентов увеличилась до 30 %.
2. Компании внедряют небезопасные компоненты от сторонних производителей и ПО с открытым кодом (Open Source Software, OSS). Не так давно аналитический центр Anti-Malware.ru писал о том, что российские разработки Open Source будут развиваться как глобальные проекты. С одной стороны, OSS позволяет сократить затраты на разработку и сроки создания продуктов, с другой — может внести критические уязвимости, которые откроют злоумышленникам двери во внутреннюю инфраструктуру компаний. Как минимум 33 % российского ПО на базе открытого кода содержит проблемы безопасности. В OSS и платформах с репозиториями в том числе бреши обнаруживаются весьма часто. Например, ИБ-эксперты сообщали о том, что больше 10 тысяч репозиториев на GitHub уязвимы для атаки RepoJacking. Это захват зависимостей, который хакеры могут использовать для совершения «supply chain attack».

Кроме этого, в OSS нередко используются сторонние компоненты, которые в свою очередь могут содержать другие элементы и так далее. Когда разработчик внедряет такую «матрёшку», он косвенно связывает свой проект с её внутренними частями. Это транзитивные зависимости, и именно из-за них возникают многие уязвимости — 6 из 7 проблем, по нашему опыту.

1. Игроки доверяют партнёрам и забывают о безопасности. Меньше 10 % компаний оценивают уровень безопасности поставщиков услуг, причём в основном они используют для этого опросные листы или проверяют только юридическую чистоту — аудит носит формальный характер и не позволяет объективно оценить зрелость ИБ. Реальные проверки проводит лишь 1 %, и зачастую предпосылкой к этому служит уже произошедшая атака.

По данным Forrester, 94 % организаций сегодня используют облачные сервисы. Эксперты утверждают, что безопасность таких продуктов пока находится на низком уровне, в них много опасных уязвимостей, которые в 2023 году выступают одной из главных ИБ-угроз. Компаниям стоит понимать, что здесь формальными проверками точно не обойтись.

К числу других рисков, реализация которых приводит к атакам на цепочки поставок, можно отнести небезопасные конвейеры разработки, незащищённую цепочку инструментов для разработки и поставки продуктов, а также ошибки при развёртывании ПО. Ещё сюда входят риски связанные с использованием устройств и оборудования.

Какие техники используют хакеры

Чаще всего встречаются атаки следующих типов:

• Программные — хакеры целятся в исходный код ПО поставщика. Они внедряют зловредные элементы в доверенное приложение или компрометируют сервер с обновлениями. Такие атаки трудно отследить, потому что злоумышленники часто подписывают код украденными легитимными сертификатами.
• Аппаратные — злоумышленники атакуют устройства связанные со всей цепочкой поставок, например клавиатуры или веб-камеры. Часто они используют для этого бэкдоры.
• Микропрограммные — киберпреступники внедряют вредоносные программы в загрузочный код компьютера. Атака запускается после включения устройства, в результате опасности подвергается вся система. Подобные инциденты происходят быстро, и если у компаний нет специальной защиты, вторжение с высокой вероятностью останется незамеченным.

Для реализации «supply chain attack» злоумышленники часто используют шпионское ПО, которое крадёт учётные данные сотрудников, и методы социальной инженерии, такие как фишинг, опечатки, поддельные приложения. Также хакеры внедряют SQL-код, используют ошибки конфигурации, ищут конфиденциальную информацию в открытых источниках, применяют «грубую силу» (угадывают пароль протокола SSH) и прибегают к физическому вторжению.

В атаках через Open Source злоумышленники в основном используют такие тактики:

• Несоответствие зависимостей — хакеры подделывают внутренние имена пакетов и публикуют вредоносные программы в реестре открытого кода с аномально высоким уровнем версии. Когда специалист или система сборки обращается к артефакту без указания конкретной версии, пакетный менеджер по умолчанию загружает последний (заражённый) вариант.
• Инъекция вредоносного кода (malicious code injection) — злоумышленники получают доступ к популярным библиотекам путём компрометации или от лица добросовестного разработчика и изменяют их поведение. Когда компании внедряют вредоносное OSS, они становятся жертвами атаки и распространителями заражённого ПО.
• Тайпсквоттинг — хакеры публикуют вредоносные компоненты, обозначая их искажёнными названиями популярных библиотек. По невнимательности разработчики загружают не то, что нужно. Но специалистов можно оправдать тем, что им приходится принимать множество решений. Так, в среднем Java-приложение содержит 148 зависимостей, а Java-проект обновляется 10 раз за 12 месяцев. То есть разработчикам нужно отслеживать почти 1 500 изменений зависимостей в год в рамках только одного проекта.

Кроме этого, в последнее время участились случаи саботажа по типу протестного ПО. Разработчики продуктов с открытым исходным кодом умышленно вносят вредоносные изменения, чтобы нарушить процессы компаний, использующих эти компоненты. Например, в прошлом году в NPM-пакете «node-ipc» было обнаружено изменение, которое активировалось при запуске на системах с IP-адресами из России или Беларуси.

Как защититься от атак на цепочки поставок?

• Реализовать практику безопасности цепочек поставок ПО, которая представляет собой комплекс мер по обеспечению защищённости и целостности всех этапов разработки и распространения программных продуктов.
• Внедрить инструменты Application Security, в том числе практику SCA (анализ состава ПО), которые позволят построить процесс безопасной разработки и выпускать надёжно защищённые программные продукты.
• Настроить с помощью автоматизированных средств непрерывный мониторинг сети на предмет подозрительной активности.
• Внедрить политику безопасности и в её рамках сегментировать сеть, ограничивать доступ третьих лиц к данным, которые им не нужны для работы.
• Анализировать зрелость процессов безопасности поставщиков и партнёров, проводить тщательный аудит, задействуя свои внутренние рабочие инструменты.
• Организовать резервное копирование — на случай, если хакеры удалят или зашифруют данные.
• Разработать план реагирования на «supply chain attack» — нужно смоделировать наихудший сценарий, когда, например, важный партнёр станет недоступен, и расписать шаги по устранению последствий атаки.

Выводы

Атака на цепочки поставок сегодня относится к одной из наиболее актуальных и опасных угроз. Подобный инцидент может привести к значительным нарушениям бизнес-процессов, разрыву сотрудничества с крупными партнёрами, большим финансовым расходам на ликвидацию последствий, потере репутации и наступлению юридической ответственности за несоблюдение мер безопасности. Полностью защититься от «supply chain attack» невозможно, но ключевые ИБ-практики позволят снизить риски и обнаружить вторжение на ранней стадии. Важно использовать комплексный подход к защите: комбинировать разные инструменты, закрывая таким образом как можно больше уязвимостей.