Atlanticcouncil.org a publicat un raport care analizează istoricul acestor atacuri
Atlantic Council a publicat recent raportul “Breaking trust: Shades of crisis across an insecure software supply chain” în care este analizată istoria atacurilor asupra lanţurilor de aprovizionare din industria IT. Mai multe idei relevante din raportul lor:
1) Impact profund din partea actorilor statali
Au existat cel puţin 27 de atacuri statale asupra lanţului de aprovizionare de software, inclusiv din China, Rusia, Coreea de Nord, India, Egipt, Vietnam şi Statele Unite. Actorii statali au vizat lanţuri de furnizare de software care să aibă un impact deosebit, cu intenţia ca ulterior să poată să execute cod de la distanţă pe sistemele infectate.
Exemple: CCleaner, NotPetya, Kingslayer, SimDisk şi ShadowPad.
2) Abuzul faţă de încrederea “oarbă” în codul software semnat
Atacurile respective au subminat criptografia cheilor publice şi a certificatelor utilizate în certificarea integrităţii codului, depăşirea acestor protecţii fiind esenţială pentru a putea efectua modificări ale codului “open source” şi lansarea unor campanii complexe de spionaj.
Exemple: ShadowHammer, Naid/McRAT şi BlackEnergy 3.
3) Deturnarea actualizărilor de software
27% din aceste atacuri au vizat actualizări software care au inserat cod maliţios în aplicaţiile instalate de milioane de ţinte în anumite cazuri. Aceste atacuri sunt efectuate în general de actori extrem de capabili şi de actualizări “otrăvite” ale unor furnizori legitimi.
Exemple: Flame, CCleaner 1 şi 2, NotPetya şi Adobe pwdum7v71.
4) “Otrăvirea” codului open source
Aceste incidente au inclus fie modificarea efectivă a codurilor din surse deschise de către atacatorii ce au obţinut acces la conturile care le întreţineau, fie postarea unor pachete proprii cu nume similare cu tool-urile vizate. Atacurile au inclus unele dintre cele mai utilizate instrumente din surse deschise de pe internet.
Exemple: Cdorked / darkleech, RubyGems Backdoor, Colourama şi JavaScript backdoor.
5) Ţintirea magazinelor de aplicaţii
22% din aceste atacuri vizează magazinele de aplicaţii legitime precum Google Play Store, Apple App Store şi alte hub-uri de aplicaţii terţe, cu scopul de a răspândi malware pe dispozitivele mobile. Unele atacuri au vizat chiar instrumente pentru dezvoltatori, aceasta înseamnă că fiecare aplicaţie creată ulterior prin instrumentul compromis va fi la rândul său potenţial compromisă.
Exemple: ExpensiveWall, BankBot, Googligan, Sandworm pentru Android şi XcodeGhost.
Raportul “Breaking trust: Shades of crisis across an insecure software supply chain” se încheie cu o serie de recomandări demne de luat în seamă.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.