Attacco alla catena di approvvigionamento: quando gli attacchi informatici arrivano tramite aggiornamento

Un attacco alla catena di fornitura IT mira a manipolare il processo di produzione del software di terze parti, dallo sviluppo all'aggiornamento, in modo che il codice dannoso sia spinto fuori invece di un aggiornamento. Questa catena di approvvigionamento IT è vulnerabile e i criminali informatici la attaccano sempre più spesso. Questo perché un tale attacco alla catena di approvvigionamento è efficiente per loro: quando attaccano pacchetti software e piattaforme di fornitori di software e sistemi informativi, raggiungono più vittime in un colpo solo. Non ha molto senso per l'hacker attaccare un'azienda alla volta con un attacco complesso quando forse decine di migliaia di aziende e organizzazioni usano un'applicazione o un servizio ampiamente disponibile e sono quindi efficientemente alla loro portata. L'attacco del dicembre 2020 alla catena di approvvigionamento di Solarwinds ha colpito quasi 18.000 dei 300.000 clienti di Solarwinds in tutto il mondo. Tuttavia, oltre a un attacco di massa, sono ugualmente possibili attacchi molto mirati attraverso la catena di approvvigionamento.

I teatri di un attacco alla catena di approvvigionamento

Una catena di approvvigionamento compromessa è difficile da rilevare per i clienti colpiti. Pertanto, i criminali informatici hanno abbastanza tempo per causare danni - come l'esfiltrazione di dati, gli attacchi ai sistemi o l'interruzione dei processi. Questi attacchi sono diversi dai precedenti attacchi rivolti ai singoli clienti e rappresentano una sfida anche per gli esperti. Non per niente le stime dell'Agenzia dell'Unione Europea per la sicurezza informatica, ENISALa minaccia è alta anche per quelle aziende le cui difese IT sono in realtà abbastanza ben stabilite.

Un attacco può essere lanciato in diverse fasi della catena di approvvigionamento per sviluppare, distribuire o aggiornare il software. Compromettere l'IT del fornitore non costituisce un attacco alla catena di approvvigionamento. Comporta la modifica dei sorgenti di codice e la scrittura di script. A seconda dell'anello della catena di approvvigionamento da cui parte l'hacker, le competenze che gli vengono richieste o le possibilità della difesa di riconoscere una manipolazione sono tanto più diverse. Le seguenti fasi della catena di approvvigionamento possono essere distinte come punti di partenza per un attacco:

• Fase uno - Programmazione: Questi attacchi sono relativamente facili da rilevare. Iniziano tramite mail mirate, exploit e siti web maligni per ottenere l'accesso al codice di programmazione. È relativamente facile per un hacker cambiare il codice a quel punto. Ma ciò che hanno cambiato è visibile nei registri.
• Fase due - Versioning: Gli attaccanti possono lanciare un attacco tramite un protocollo di desktop remoto (RDP) con poco sforzo. Le password deboli e gli exploit di un'applicazione li aiutano a fare questo. Possono anche avere versioni modificate distribuite in modo ridotto o ritardato, perché hanno accesso diretto al codice sorgente e ai log e lasciano poche tracce. Ma il codice modificato dimostra la manipolazione.
• Fase tre - Attuazione (Build): Qui diventa più impegnativo per gli hacker, ma purtroppo anche per la difesa. I mezzi sono quelli vecchi e gli attaccanti usano attacchi RDP, password deboli ed exploit nell'applicazione. Ma hanno bisogno di una buona comprensione degli script. Questo perché le modifiche necessarie delle singole costruzioni richiedono molto tempo e sono complesse. Il codice modificato può essere nascosto. La difesa dovrebbe anche controllare le versioni successive dello script individualmente per rilevare le manipolazioni.
• Fase Quattro - Firmare i componenti: Se l'attaccante viene coinvolto ora, non deve manipolare il codice. Sostituisce semplicemente il codice attuale con del codice maligno. Ma una convalida nel concetto di catena di approvvigionamento rifiuterà questo falso aggiornamento. Gli hacker devono quindi soddisfare alcuni criteri minimi di aggiornamento legale nei loro programmi falsi.
• Fase cinque - Consegna: Anche qui, un attaccante deve solo scambiare i componenti. Ma i componenti maligni non hanno una firma e possono essere riconosciuti da essa.

Come possono proteggersi le PMI?

Anche se gli attacchi avvengono nella catena di approvvigionamento del fornitore di aggiornamenti, gli attacchi colpiscono anche le piccole e medie imprese. Per armarsi contro i danni di un presunto aggiornamento legale, dovrebbero seguire queste misure:

1. A Implementare una sicurezza informatica completache include Endpoint Detection and Response (EDR), ma che vede e segnala anche connessioni di dati sospette grazie alla Threat Intelligence. Un sintomo comune di un attacco di successo alla catena di approvvigionamento è la comunicazione con un server maligno di comando e controllo. Le aziende con risorse IT limitate, in particolare, dovrebbero anche fare uso di un servizio di rilevamento e risposta gestito (MDR) e quindi della competenza e del tempo degli analisti di sicurezza IT. Solo attraverso la combinazione di EDR e MDR i responsabili possono vedere le anomalie che si verificano.
2. Altrettanto importante è Educare i dipendenti sul phishingper prevenire il dirottamento di un'identità nel processo della catena di approvvigionamento.
3. Centrale in questo è il Conoscere e rivedere continuamente i processi della catena di approvvigionamento di un'azienda.. Un responsabile IT sa almeno quali aggiornamenti di software o servizi riceve da chi e quando? Quale hardware acquista e come è protetto dal malware? Ogni responsabile della sicurezza dovrebbe porre le seguenti domande ai propri fornitori IT: - Il processo di sviluppo del software/hardware del fornitore è documentato, tracciabile e verificabile? - La correzione delle vulnerabilità note viene presa in considerazione nella progettazione e nell'architettura del prodotto, nella protezione del runtime e nella revisione del codice? - In che modo il fornitore tiene informato il cliente sulle nuove vulnerabilità? - Quali opzioni ha il fornitore per risolvere le vulnerabilità "zero-day", cioè quelle che sono state progettate nel software fin dall'inizio e scoperte solo in seguito? - In che modo il fornitore gestisce e monitora i processi di produzione del software e degli aggiornamenti? - Cosa fa il fornitore per proteggere gli aggiornamenti da manomissioni e malware? - Che tipo di controlli vengono effettuati sui dipendenti del fornitore e con quale frequenza? - Quanto è sicura la distribuzione degli aggiornamenti?

Chiunque riceva un aggiornamento software deve essere sicuro che non stia ricevendo malware dannosi: Alla fine, deve subire lui stesso le conseguenze di un attacco alla catena di approvvigionamento riuscito. La cautela e una scelta ponderata dei fornitori, combinata con una sicurezza informatica completa, sono i migliori aiutanti contro un tipo di attacco il cui potenziale di rischio è lungi dall'essere esaurito. Autore: Jörg von der Heydt è direttore regionale DACH di Bitdefender.

Questo articolo è apparso originariamente su m-q.ch - https://www.m-q.ch/de/supply-chain-attacke-wenn-cyber-angriffe-per-update-kommen/