حمله به زنجیره تأمین یک روند جدید و برای شرکت ها بسیار خطرناک است: هکرها کد مخرب را به نرم افزار تزریق می کنند ، بنابراین می توان از برنامه های قانونی برای توزیع بدافزار استفاده کرد. پس از ورود به سیستم ، میزان خسارت اغلب بعداً قابل ارزیابی است. ما حملات به زنجیره تأمین را توضیح می دهیم و نحوه جلوگیری از آنها را نشان می دهیم.
حملات زنجیره تأمین شایع می شود
زنجیره تأمین را می توان به عنوان زنجیره تأمین یا زنجیره تأمین ترجمه كرد. اولین اطلاعات می تواند از همین جا به دست آید: این نوع جدید از تهدید برای حمله به زنجیره تأمین (SCA) برای توسعه دهندگان نرم افزار و تأمین کنندگان هدف قرار گرفته است. هدف از چنین حمله ای استفاده از برنامه های مخرب مشروع است که در آن حمله کننده مستقیماً با کد منبع دخالت می کند.
این به این معنی است که سرویس ها یا برنامه هایی که سال ها بدون مشکل از آنها استفاده می کنید ، ناگهان می توانند مضر شوند ، مهاجمین که از این روش استفاده می کنند ، به دنبال پروتکل های شبکه نا امن و همچنین سرورهای نا امن یا زیرساخت ها و کدهای ناامن هستند. کدهای منبع توسط مهاجمان قطع و یا تغییر می یابند تا بدافزارها بتوانند در فرآیندهای ساخت و بروزرسانی تزریق شوند.
حملات در زنجیره تأمین بدون شک یکی از خطرناک ترین روش های عفونت است که در سالهای اخیر بازار را متزلزل کرده است. آنها عمدتاً در حملات سایبری پیشرفته مانند "ShadowPad" یا "CCleaner" دیده می شدند (به تصویر زیر مراجعه کنید). حملات این نوع هکرها به ضعف های شناخته شده سیستم های شبکه حمله می کنند ، که معمولاً منابع انسانی ، سازمانی و مادی را در بر می گیرد: از مرحله اول توسعه تا کاربر نهایی.
انواع مختلفی از حمله به زنجیره تأمین وجود دارد:
- برنامه های مخرب اما امضا شده که از هویت یک شرکت توسعه استفاده می کنند
- زیرساخت های به روز شده یا ابزارهای توسعه نرم افزار به خطر بیافتد
- کد ویژه اما به خطر بیافتد که از طریق قطعات سخت افزاری تحویل داده شد یا سیستم عامل
- دستگاه هایی با بدافزار از پیش نصب شده ، مانند تلفن های هوشمند ، تبلت ها ، میله های USB ، دوربین ها و غیره.
ShadowPad و NotPetya: دو حمله زنجیره تأمین شناخته شده
در سال 2017 ، یک حادثه انفجاری ShadowPad رخ داد. : تحت کد شبکه – نرم افزار اداری سازنده کره ای NetSarang به مدت 17 روز با پس زمینه پیشرفته بود. مهاجمان کنترل کامل بر شبکه کاربر را بدست آوردند. درب پشتی Xmanager ، Xshell ، Xlpd و Xftp را تحت تأثیر قرار داده است. نرم افزار Trojanized توسط صدها شرکت بزرگ از جمله شرکت های داروسازی و تأمین کنندگان انرژی ، بلکه بانک ها نیز مورد استفاده قرار می گیرد.
محققان تهیه کننده امنیتی کسپرسکی مسئول کشف درب پشت بودند. به ویژه ، آنها در شبکه ای از موسسه مالی در هنگ کنگ درب پشتیاب پیدا کردند. تحقیقات نشان می دهد که اتصالات DNS مشکوک از NetSarang حاصل شده است. ابزار مدیریت سرور یونیکس و لینوکس.
محققان آزمایشگاه کسپرسکی از مهارت های فنی تحت تأثیر قرار دادن درب عقب تحت تأثیر قرار گرفتند. کد مخرب متشکل از ماژول های رمزگذاری شده مختلف بود که فقط در صورت نیاز به پرواز رمزگشایی می شدند. این باید مانع از افشای نرم افزار امنیتی کد Trojan شود. فعال سازی کد مخرب فقط درصورتی امکان پذیر است که کامپیوتر هدف قربانی بسته خاصی را از سرور کنترل سایبری دریافت کند.
کسپرسکی حمله ShadowPad را تعمید داد. محققان امنیتی مدت هاست که نسبت به این نوع حمله هشدار می دهند ، که البته در مناطق وحشی نادر بود. تا زمانی که NotPetya Trojan منفجر شد.
NotPetya در ژوئن سال 2017 از طریق مکانیسم بروزرسانی نرم افزار مالی قانونی توزیع شد. در اینجا از گواهی های جعلی استفاده شد که دیگر به درستی توسط سازوکار به روزرسانی نرم افزار که قبلاً قانونی بود ، بررسی نشده است. نتیجه کد مخرب Trojanized بود – با گواهی های معتبر NetSarang امضا شد.
خود NetSarang بعداً حمله به سرورهای خود را تأیید كرد. علاوه بر این ، یک زیرساخت کاملاً جدید برای تهیه و ارائه به روزرسانی ها فراهم شد و سیستم های منسوخ شده کاملاً بازسازی شدند.
CCleaner Incident
به عنوان یکی از مشهورترین برنامه های تمیز کردن رجیستری سیستم ، CCleaner توسط کاربران خانگی و مجریان سیستم استفاده می شود که اغلب استفاده می شود. با این حال ، در سال 2017 ، مهاجمان محیط ساخت برنامه نویسان را نقض کردند. چندین نسخه از این نرم افزار به یک backdoor مجهز شده است. به گفته محققان امنیتی ، کد مخرب رمزگذاری شده در مرحله شروع برنامه بوده است.
با شروع برنامه ، کتابخانه پیوند پویا (DLL) استخراج شد. در یک موضوع جداگانه در متن برنامه عمل می کند. اطلاعات مختلفی در اینجا جمع آوری می شود: نام رایانه ، فرآیندهای در حال اجرا ، نرم افزار نصب شده ، حقوق سرپرست یا آدرس MAC. این اطلاعات به سرور فرمان و کنترل از راه دور ارسال شده است.
به گفته محققان امنیتی ، همین سرور همچنین قادر به استفاده از backdoor برای تزریق محتوای دیگر بر روی رایانه آلوده بود. Piriform ، تولید کننده CCleaner ، که اکنون توسط سازنده AV Avast به دست آمده است ، توضیح داد که سرور مورد استفاده به عنوان مرکز فرمان به زودی در دسترس نیست. سرورهای حمله بالقوه دیگری نیز وجود دارند ، اما آنها از کنترل مهاجم خارج نیستند. حتی اگر جواب سریع بود: نسخه های مصالحه به مدت یک ماه در وب سایت رسمی تأمین کننده توزیع شد. در این مدت CCleaner 2.27 میلیون بار بارگیری شده است.
عملیات ShadowHammer
بار دیگر ، محققان آزمایشگاه کسپرسکی می توانند از ShadowHammer برای شناسایی یک حمله خطرناک در زنجیره تأمین استفاده کنند. این بار ، مهاجمان به برنامه برنامه های کاربردی ASUS Live Update Utility حمله کردند: backdoor از ژوئن تا نوامبر سال 2018 به برنامه بروزرسانی معرفی شد. ظاهراً ، این بیش از یک میلیون کاربر در سراسر جهان را تحت تأثیر قرار داده است.
مهاجمان از گواهی های دیجیتالی به سرقت رفته ، كه ایسوس برای امضای پرونده های باینری مشروع استفاده می كند ، استفاده كردند. بنابراین می توان نسخه های قدیمی تر این نرم افزار را که از قبل نصب شده در بسیاری از رایانه های ایسوس انجام داده است ، دستکاری کرد و کد مخرب خود را تزریق کرد. کسپرسکی توضیح می دهد: "نسخه Trojan این ابزار با استفاده از گواهینامه های قانونی امضا شده است و در سرورهای رسمی بروزرسانی ایسوس میزبانی و توزیع شده است. در نتیجه ، آنها اکثریت قریب به اتفاق راه حلهای امنیتی فناوری اطلاعات نامرئی بودند. "
عملیات" ShadowHammer "به طور ویژه طراحی شده است: کدهای درپشتی حاوی یک جدول با آدرس های MAC رمزگذاری شده بود. اگر backdoor روی دستگاه ساخته شده بود ، آدرس MAC رایانه در حال اجرا با جدول مقایسه می شد. اگر ورودی ها مطابقت داشته باشند ، بدافزار کدهای مخرب بیشتری بارگیری می کند. در صورت عدم مطابقت ، برنامه به روزرسانی هیچ فعالیت شبکه ای را نشان نمی داد ، بنابراین این کشف تا مدت طولانی ادامه داشت.
کسپرسکی از کشف آن به ایسوس و سایر تهیه کنندگان خبر داد. ویتالی Kamluk، مدیر تیم جهانی از تحقیق و تجزیه و تحلیل در آزمایشگاه کسپرسکی توضیح می دهد: "تامین کنندگان علاقه مند اهداف بسیار جذاب برای گروه های غیر [uwagadRedaktorAPT=AdvancedTrwałezagrożenie)którzychcąskorzystaćzdużejbazyklientówNiejestjeszczejasnejakibyłostatecznycelatakującegoamywciążbadamyktostoizaatakiemJednaknieautoryzowanetechnikiwykonywaniakoduiinneodkryteartefaktysugerujążeShadowHammerjestprawdopodobniezwiązanyzBARIUMAPTktórywcześniejbyłpowiązanymiędzyinnymizShadowPadiCCleanerTanowakampaniajestkolejnymprzykłademtegojakskomplikowanyiniebezpiecznymożebyćdziśwyrafinowanyatakłańcuchadostawهستند"
حملات با احتیاط فراوان
همانطور که در نمونه های ما نشان داده شده است، حملات زنجیره ای عرضه کاملاً پیچیده است. از آنجا که SCA به طور فزاینده ای در برنامه های کاربردی مشاهده می شود ، کارشناسان امنیت IT نیز باید بر روی توپ بایستند. کریستین فانک ، رئیس تیم تحقیق و تجزیه و تحلیل جهانی DACH در کسپرسکی ، تحت تأثیر حرفه ای بودن حملات ، به ویژه عملیات "ShadowHammer" قرار دارد: "ما در مورد یک یا 1/0٪ از مهاجمان وقتی صحبت می کنیم صحبت می کنیم."
پوشش آهنگ آنقدر هوشمندانه ساخته شد که تعیین اینکه حمله از کجا انجام شده یا هدف واقعی کیست ، دشوار است. حداکثر ، داده های خوانده شده از سرور کنترل می توانند اطلاعاتی در مورد این موضوع ارائه دهند. هنوز مشخص نیست که توسعه دهندگان ShadowHammer و سایر حملات زنجیره تأمین چه کسانی را می خواهند و چه می خواهند به آن برسند. فانک تصور می کند که بازیگران پشت ShadowHammer هدف از داده و اطلاعات هستند – اما او همچنین مطمئن نیست که کدام یک. فانک گفت: "ممکن است این هدف نهایی نباشد ، بلکه بیشتر شبیه ملخ است."
حملات در زنجیره تأمین هنوز دست کم گرفته می شوند.
در نظرسنجی جهانی "پازل غیرممکن امنیت سایبر" ، ارائه دهنده امنیت Sophos نشان می دهد كه مدیر IT چگونه ریسك را ارزیابی می كند:
- 75٪ سوء استفاده های نرم افزاری ، آسیب پذیری های غیر قابل مشاهده و یا تهدیدات صفر روز را بالاترین خطر امنیتی می دانند
- 50٪ فیشینگ را بزرگترین خطر می دانند
- تنها 16٪ حملات زنجیره تأمین را تهدیدی برای امنیت فناوری اطلاعات می دانند
یکی دیگر از تحقیقات Hiscox نشان می دهد که بویژه SME ها در حال مبارزه با تعداد بیشتری از حملات هستند. در کل کشورهایی که توسط Hiscox مورد بررسی قرار گرفته اند ، 47 درصد از مشاغل کوچک و 63 درصد از شرکت های متوسط قبلاً قربانی حملات سایبری بودند (به گزارش 2018 مراجعه کنید: 33 درصد شرکت های کوچک و 36 درصد شرکت های متوسط). به لطف شبکه در حال رشد در شرکت ها ، مجرمان سایبری نقاط ورود بالقوه بیشتری را برای ورود به سیستم های افراد دیگر پیدا می کنند. یک زنجیره تامین به ویژه دیجیتالی در معرض خطر است: 65 درصد از کل شرکت های مربوطه به این زنجیره تأمین محکوم شدند. مهاجمان برای دستیابی به دسترسی از اتصالات موجود با تأمین کنندگان استفاده کردند.
Christian Funk از آزمایشگاه کسپرسکی فرض می کند که – کاملاً مستقل از فناوری استفاده شده توسط مهاجم – امری غیرمعمول نیست که از زنجیره تامین واقعی مطلع شوید تا هدف را تهیه کنید. همچنین جای تعجب ندارد که مهاجمان به جای شرکتهای بزرگ به SME ها حمله می کنند: "آنها فرض می کنند که تأمین کنندگان کوچکتر ، اغلب متوسط ، راحت تر از شرکت های بزرگ شکسته می شوند ، زیرا چنین منابع امنیتی IT ندارند."
برای جلوگیری از چه کاری می توانید انجام دهید. حملات در زنجیره تأمین؟
شما از گزارش حملات در زنجیره تأمین شوکه می شوید. با این حال به عنوان یک کاربر و به عنوان یک شرکت یا سازمان می توانید این ریسک را بسیار کم نگه دارید. و استفاده از فن آوری های فعلی بیش از حد معقول است
مجرمان سایبری همیشه در مورد هدف خاصی در حملات زنجیره تأمین تصمیم نمی گیرند. تا حدی حتی می توانید در مورد میزان قربانی شدن مجرمان سایبری اظهار نظر کنید: بدون خدمات یا برنامه هایی انجام دهید. شناخته شده است که آنها به طور نادرست مورد استفاده قرار می گیرند برای توزیع بدافزار: به عنوان مثال از CCleaner استفاده کنید و یکی از بسیاری از نسخه های پاک را انتخاب کنید.
اگرچه برنامه ما به خصوص اصلی نیست ، اما در واقع یک راه حل برای محافظت از هر دستگاهی با دسترسی به اینترنت است. مورد دیگر ، آگاهی از کاربران در مورد امنیت فناوری اطلاعات برای استفاده ایمن از فناوریهای موجود و همچنین جلوگیری از حملات مانند فیشینگ یا مهندسی اجتماعی در اختیار کاربران است. آگاهی یکی از قوی ترین سلاح ها در مبارزه برای امنیت فناوری اطلاعات است!
این مقاله را چگونه دوست دارید؟
