Nedavna epidemija NotPetya virusa, napadi preko osam ekstenzija Google chrome pretraživača, kao i kompromitiranje popularnog softvera za upravljanje serverima su različiti cyber-napadi koji su koristili istu tehniku napada, poznatu kao “napad lanca snabdijevanja“[1]. Ovaj tekst pruža pregled osnovnih informacija o “napadima lanca snabdijevanja” i predstavlja kako je ova tehnika napada povezana sa već poznatim cyber-prijetnjama.
Ukratko, “napad lanca snabdijevanja” se odnosi na kompromitiranje određenog sredstva, npr. infrastrukture i komercijalnog softver provajdera, sa ciljem da indirektno ošteti određenu metu ili mete, npr. klijente softverskog provajdera. Ova vrsta napada obično se koristi kao prvi korak u seriji napada, konkretnije, ovakva vrsta napada se koristi kao polazna osnova za dalju eksploataciju, kada se postepeno stiže do ciljnog sistema ili više njih.
Nedavni slučajevi “napada lanca snabdijevanja”
- NotPetya
Virus “NotPetya” proširen je na sisteme koji su imali instaliran poseban računovodstveni softver. Istraga o incidentu otkrila je da je osoba koja stoji iza napada ugrozila infrastrukturu provajdera softvera, izmijenila softver i usmjerila izmijenjenu verziju softvera prema klijentima provajdera na način da izgleda kao legitimno ažuriranje softvera. Ažuriranje softvera u suštini je instaliralo maliciozni softver “NotPetya” na uređajima žrtava.
- Kompromitovani Chrome dodaci
Kao što je nedavno objavljeno, niz ekstenzija Chrome pretraživača je kompromitovano putem phishing napada koji su ciljali programere tih ekstenzija. Kompromitovani dodaci bili su korišteni u cilju manipulacije internetskim saobraćajem i pružanju zlonamjernih reklama svim sistemima koji su ih instalirali. Štaviše, zlonamjerni dodaci su imali za cilj i krađu CloudFlare akreditacija sa kompjutera žrtava.
- ShadowPad backdoor
Backdoor virus[2] nazvan ShadowPad je ubrizgan u softver za upravljanje mrežama i plasiran kroz ažuriranje softvera za odgovarajuće sisteme na kojima je instaliran. Napad je primijećen kada kompanija koja koristi softver otkriva sumnjive zahtjeve za pretraživanje domena.Takva baza može potencijalno omogućiti akteru prijetnje iza napada da učita malware[3] na sistemima žrtava i/ili ga eksfiltrira.
Preporuke za zaštitu vaših podataka od određenih napada/prijetnji
- Phishing
Krajnji korisnici trebaju koristiti dvofaktorsku autentifikaciju kad god je to moguće, a kompanije bi trebale raditi na podizanju svijesti o phishing napadima kroz odgovarajuću obuku.
- Krađa identiteta
Korisnici bi trebali koristiti dugačke, složene, jedinstvene i sigurne šifre, kao i dvostruku autentifikaciju kad god je to moguće.
- Napadi na web aplikacije
Onemogućite softver, npr. ekstenzije pretraživača, koje se ne koriste aktivno ili nisu potrebne.
- Web bazirani napadi
Zadržite operativni sistem i ažurirajte softvere čim postanu dostupne nove verzije.
U navedenim napadima lanca snabdijevanja, očigledno je da je softver koji je bio kompromitovan pružio značajnu bazu za napade. Napadi lanca snabdijevanja su prilično alarmantni, jer kompromitovani softver može ugroziti nekoliko entiteta koji nisu uradili ništa osim instaliranja ili ažuriranja softvera. Napadi u lancu snabdijevanja su prilično efikasni i ozbiljni, jer omogućavaju izvršiocima napada da indirektno oštete svoje ciljeve i omogućavaju im da pristupe nekolicini sistema odjednom. Zaključno, ustaljenje pozitivne prakse treba i dalje primjenjivati, npr. koristeći dva faktora autentičnosti, pošto oni čine osnove cyber sigurnosti (na osnovu čega bi se trebala izgraditi snažna sigurnost), i često mogu zaustaviti napad na samom početku.