Фахівці міжнародного розробника антивірусного програмного забезпечення, експерта в галузі кіберзахисту - компанії ESET попереджають про зростання атак на розробників і постачальників програмного забезпечення, суть яких полягає в додаванні шкідливого коду в безпечну програму і поширенні його серед всіх користувачів.
Як пояснюють у компанії ESET, подібний тип зараження називається атаками на ланцюг поставки.
"Ланцюг поставок складається з безлічі процесів - від доставки сировини до виробництва, розподілу і виходу готового продукту для споживачів. Однак налагодженість цих взаємопов'язаних дій можна порушити не тільки фізичним пошкодженням продукту, але і втручанням в кібербезпеку ланцюга поставок, наприклад, шляхом зараження роутера або програмного забезпечення", - повідомляють в ESET.
Згідно з повідомленням, нещодавно компанія FireEye стала жертвою кібератаки, під час якої зловмисники встановили оновлення зі шкідливим кодом в продукт для управління мережею під назвою Orion від SolarWinds. Шкідлива програма була впроваджена в Orion до того, як код був наданий FireEye. Таким чином споживачі отримали пошкоджений кінцевий продукт.
Читайте такожФахівці ESET виявили нову шкідливу банківську програмуУ цьому випадку шкідливе оновлення через механізм Orion встановили близько 18 тисяч комерційних і державних організацій. Принаймні на 100 з них були спрямовані наступні атаки, під час яких кіберзлочинці додавали додаткові компоненти й глибше проникали в мережі компаній.
Саме тому атаки на ланцюг поставок завдають величезних збитків, оскільки зламавши тільки одного постачальника, зловмисники можуть у підсумку отримати безперешкодний доступ до великих клієнтських баз, який складно виявити.
Найгучніші атаки на ланцюг поставок
За даними ESET, інцидент з SolarWinds нагадав і про інші атаки такого типу, зокрема, злом CCleaner у 2017 і 2018 роках, а також кібератаки з використанням NotPetya (також відомий як Diskcoder.C). А ще у 2013 році Target стала жертвою злому, пов'язаного з викраденням облікових даних стороннього постачальника HVAC. Цей інцидент вперше привернув увагу до атак на ланцюг поставок.
Тільки за останні місяці дослідники ESET виявили кілька прикладів подібних атак - від групи Lazarus, яка використовує додаткову програму з безпеки для поширення шкідливого коду, до операцій SignSight для злому центру сертифікації та NightScout з метою зараження емулятора Android.
Як повідомляють в ESET, поступово рамки між апаратним і програмним забезпеченням стають більш розмитими. Велика частина складного механізму в готовому коді вже зроблена і перебуває у відкритому або, принаймні, широкому доступі. Інженери лише завантажують його, пишуть код, який пов'язує все воєдино, і відправляють готовий продукт. Все працює за умови відсутності пошкодження коду десь в процесі.
"Не можна бути впевненим, що кожна ланка в будь-якому ланцюзі поставок захищена від несанкціонованого доступу. Своєю чергою, зловмисники можуть скористатися цим з метою додати в програмне забезпечення бекдори для використання в подальших атаках", - зазначають у компанії.
Це перетворилося на глобальну гонку, яка супроводжується зростанням ринку кіберзлочинності. У разі виявлення серйозної помилки в програмному забезпеченні виникає питання продати інформацію зловмисникам за чималу суму або повідомити виробника й отримати символічну подяку. У таких умовах вибір здається очевидним, що становить ще більшу загрозу ланцюгах поставок.
Рекомендації щодо захисту
Для будь-якої компанії повністю контролювати ланцюг поставок і гарантувати її безпеку неможливо, але можна максимально убезпечити себе від можливих ризиків. Для цього фахівці ESET рекомендують:
- Вести інвентаризацію всіх готових інструментів з відкритим вихідним кодом, які використовуються у вашій організації.
- Стежити за відомими вразливостями й своєчасно застосовувати виправлення — атаки з використанням шкідливих оновлень не є приводом відмовлятися від оновлення програмного забезпечення.
- Відмовитися від непотрібних або застарілих систем, сервісів і протоколів.
- Оцінити ризики своїх постачальників, вивчивши їхні власні процеси безпеки.
- Встановити вимоги безпеки для постачальників програмного забезпечення.
- Пропонувати здійснювати регулярні аудити коду і цікавитися перевірками безпеки й змінами компонентів коду.
- Застосовувати інструменти для управління доступом і двофакторну аутентифікацію для захисту процесів розробки програмного забезпечення.
- Використовувати рішення з безпеки з декількома рівнями захисту.
Як повідомляв УНІАН, в Україні щодня фіксується близько 300 тис. нових кіберзагроз для інформаційної безпеки. При цьому знайти хакерів-зловмисників вкрай складно, компаніям залишається лише проводити щохвилинні моніторинги на предмет виявлення кіберзагроз з метою їхнього подальшого блокування.
Компанія ESET - провідний розробник рішень у галузі комп'ютерної безпеки та експерт у сфері ІТ-безпеки. Компанія була заснована в 1992 році в Словаччині й на сьогодні представлена у понад 180 країнах світу.
Наші стандарти: Редакційна політика сайту Главред