Aplicații bancare compromise in stadiul de dezvoltare
În Rusia au fost identificate atacuri ale grupării APT Winnti, cu origini chinezești, asupra dezvoltatorilor de software bancar, precum și asupra unor companii din domeniul construcțiilor. Plasarea de cod malițios în timpul fazei de dezvoltare a unei aplicații destinată domeniului bancar poate permite accesul ulterior la datele bancare. Dezvoltatorii de software și integratorii de sisteme au reprezentat aproximativ o treime din toate atacurile vizate din Rusia în ultimii ani.
Conform companiei rusești Positive Technologies, cel puțin cinci dezvoltatori de software bancar au fost afectați de acțiunile grupării Winnti, inclusiv cei care lucrează cu cele mai fiabile 100 bănci din top Forbes în 2020.
În primă fază, atacatorii injectează cod malițios în etapa de dezvoltare a software-ului, iar la momentul intrării în producție acesta va începe să colecteze informații despre organizație. Următorul pas constă în instalarea unei aplicații de tip “backdoor” pe mașina infectată în scopul accesării întregii rețele și exfiltrării datelor de interes.
Gruparea Winnti a vizat, în operațiunile derulate anterior, companii industriale și high-tech din Taiwan și Europa prin atacuri asupra lanțului de aprovizionare cu software, dar în ultima vreme acţiunile acestora au afectat entităţi din Rusia.
Atacurile asupra dezvoltatorilor de software pentru instituțiile financiare pot avea drept consecință manipularea informațiilor despre conturi, a sumelor și tranzacțiilor sau infectarea unei terțe părți care utilizează aplicaţia software. Sectorul financiar este caracterizat de un lanț de aprovizionare software foarte complex, asociat unui număr mare de sisteme informatice, o rețea extinsă de sucursale și alți factori, astfel încât gruparea Winnti poate viza nu numai obținerea de beneficii financiare directe, ci și spionajul corporativ.
În industria construcțiilor, hackerii chinezi pot fi interesați și de date sensibile din domeniul comercial deoarece companiile chineze intenționează să se extindă și pe piața rusă, încercând astfel să identifice în avans strategiile potențialilor concurenți.
Atacurile asupra dezvoltatorilor de software, de regulă, sunt asociate cu prezența caracteristicilor nedeclarate în funcționalitatea codului sursă creat de aceștia. Astfel de atacuri compromit canalele de comunicare considerate ca fiind de încredere, făcându-le mai greu de detectat. (Sergey Golovanov, expert Kaspersky Lab)
Atacurile, în special asupra dezvoltatorilor de software bancar, reprezintă o “abordare foarte sofisticată” care deschide oportunități cu adevărat nelimitate pentru atacuri ulterioare. Identificarea unor astfel de atacuri modifică regulile de securitate a informațiilor în domeniul dezvoltării: aceasta încetează să se limiteze doar la dezvoltarea unui cod sigur, protecția infrastructurilor în sine fiind în prim plan. (Mikhail Kondrashin, CTO Trend Micro)
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.