Considérez une attaque de la chaîne d'approvisionnement comme une plaque tournante et des rayons. C'est une relation un-à-plusieurs : faites un compromis et obtenez le reste gratuitement. Le one-to-many est le principal attrait des attaques de la chaîne d'approvisionnement. Ce n'est pas une idée nouvelle, mais elle a atteint de nouveaux niveaux de sophistication et de fréquence ces dernières années. Cette croissance se poursuivra jusqu'en 2022 et au-delà.
Mike Sentonas, CTO chez CrowdStrike, commente : « Franchement, les chaînes d'approvisionnement sont vulnérables et les adversaires recherchent activement des moyens d'en tirer parti. Nous n'avons pas presque vu la fin de ces attaques, et les implications pour chacune d'entre elles sont importantes à la fois pour les victimes et pour les clients et partenaires des victimes en amont et en aval de la chaîne.
Les chaînes d'approvisionnement sont des cibles attrayantes pour les gangs cybercriminels et les acteurs des États-nations. Pour les premiers, ils offrent la possibilité d'attaques d'extorsion à grande échelle (voir Cyber Insights 2022 : Rançongiciels), tandis que pour ces derniers, ils peuvent fournir un accès étendu aux cibles liées à l'espionnage (voir Cyber Insights 2022 : États-nations). Les deux ont été illustrés en 2021.
Editeur de logiciels de gestion de réseau Kaseya a été violé par le gang de rançongiciels REvil, désormais démantelé, entraînant la compromission des clients des services gérés et de nouvelles compromissions pour leurs clients.
Le package de surveillance et de gestion à distance de Kaseya, Virtual Administration Assistant (VSA), a été accessible via une vulnérabilité de contournement d'authentification, permettant la distribution de logiciels malveillants via des téléchargements de logiciels aux clients. Quelques jours après la découverte du compromis, Kaseya a annoncé qu'entre 800 et 1,500 XNUMX clients en aval avaient été touchés par l'attaque.
Une attaque majeure de la chaîne d'approvisionnement par des acteurs étatiques a été illustrée par la Incident SolarWinds. Bien que la brèche initiale chez SolarWinds se soit produite en 2019, elle n'a été divulguée qu'à la fin de 2020, et le fonctionnement généralement faible et lent des acteurs des États-nations signifiait que les effets complets n'étaient pas connus ou découverts avant 2021.
L'auteur de SolarWinds serait APT29 (alias Cozy Bear), lié au service russe de renseignement extérieur (FSR). SolarWinds a signalé qu'environ 18,000 XNUMX clients ont été touchés par les téléchargements de son logiciel compromis. Mais parmi ceux-ci, on pense que les attaquants n'ont ciblé que quelques centaines d'organisations (y compris des agences gouvernementales et des entreprises de cybersécurité).
Ces deux incidents illustrent l'attrait et l'étendue des attaques de la chaîne d'approvisionnement et suggèrent que nous verrons la même chose en 2022 et au-delà.
La perturbation de la pandémie entraînera des attaques sur la chaîne d'approvisionnement
L'effet mondial de la pandémie de Covid-19 se traduira par des attaques sur la chaîne d'approvisionnement en 2022. Le passage initial au travail à distance et plus récemment au travail hybride bureau/domicile a élargi la surface d'attaque pour toutes les organisations. Les grandes entreprises disposent des ressources nécessaires pour y faire face, par exemple avec la fourniture générale d'appareils détenus et contrôlés par l'entreprise.
Les petites entreprises ne peuvent souvent pas le faire ou ne le font pas. Les petites entreprises courent par conséquent un risque disproportionnellement plus élevé de compromis via les travailleurs à distance - mais les petites entreprises font souvent partie de la chaîne d'approvisionnement des grandes entreprises. « Les cybercriminels », avertit Guido Grillenmeier, technologue en chef chez Semperis, « continueront à trouver des moyens faciles d'entrer dans une organisation en attaquant une entreprise plus petite ou plus récente en amont de la chaîne d'approvisionnement qui n'a pas mis en place de solides cyberdéfenses. Il ne fait aucun doute que nous verrons davantage d'attaques sur la chaîne d'approvisionnement au cours de la nouvelle année.
Ryan Sydlik, ingénieur en sécurité chez Telos, a une vision similaire des causes et des effets pour 2022. "Covid-19, et plus particulièrement ses conséquences", a-t-il déclaré, "affecte les chaînes d'approvisionnement. La guérison du virus est inégale à l'échelle mondiale, ce qui entraîne un déséquilibre de l'offre et de la demande entre les nations. Attendez-vous à ce que les cyberattaques sur la chaîne d'approvisionnement prennent une situation déjà sauvegardée et l'aggravent sur des chaînes d'approvisionnement déjà stressées.
Comme Grillenmeier, il s'attend à ce que la petite entreprise la moins bien protégée soit un point d'entrée clé. "En plus des grandes entreprises impliquées dans le commerce mondial, les petits et moyens acteurs de la chaîne d'approvisionnement seront ciblés en 2022, car les adversaires reconnaissent que ces entités sont les points d'étranglement les plus vulnérables et ont une sécurité moins robuste. Une panne bien ciblée au bon endroit et au bon moment pourrait perturber des industries entières.
Plus précisément, James Carder, CSO et vice-président de LogRhythm Labs, estime que les fabricants de vaccins Covid-19 seront ciblés. « En 2022, les cybercriminels auront pour objectif de mener une attaque de ransomware contre l'une des sociétés pharmaceutiques produisant le vaccin COVID-19. Cela interrompra la production de rappels critiques et empêchera de nombreux autres médicaments vitaux d'atteindre les patients. Les retombées qui en résulteront attiseront la flamme des campagnes étrangères et nationales de désinformation sur les vaccins. » La chaîne d'approvisionnement pharmaceutique est une cible privilégiée pour compromettre le fabricant de vaccins.
La pénurie mondiale actuelle de puces est également en partie attisée par la pandémie. L'essor du travail et de l'apprentissage à distance a créé une forte demande d'électronique grand public utilisant des puces. Dans le même temps, la fabrication de puces a souffert des différents blocages - la demande a largement dépassé l'offre. Cela devrait se poursuivre tout au long de 2022.
Carder s'attend à ce que les criminels utilisent la chaîne d'approvisionnement pour profiter de la situation. "Un pays leader dans la production de puces à semi-conducteurs verra sa chaîne d'approvisionnement compromise, ce qui entraînera d'importantes pénuries de matériaux critiques", suggère-t-il.
"Alors que les pays cherchent à augmenter leur production", a-t-il poursuivi, "un pays sera surpris en train de tenter de s'accaparer le marché en utilisant des méthodes frauduleuses pour accéder à la production et à l'approvisionnement des principaux pays producteurs de puces. Cela entraînera des pénuries de fournitures essentielles, ainsi qu'une flambée des prix des produits de base.
Chaîne d'approvisionnement en logiciels
Les logiciels continueront d'être une cible principale de la chaîne d'approvisionnement tout au long de 2022 et au-delà. Jusqu'à présent, l'approche la plus couramment utilisée par les pirates consiste à violer un fournisseur d'applications logicielles et à modifier le code d'application téléchargé par les clients (comme dans SolarWinds et Kaseya).
Cependant, une troisième attaque de la chaîne d'approvisionnement en 2021 nous donne un aperçu des futures attaques potentielles de la chaîne d'approvisionnement - cette fois contre des logiciels open source (OSS) plutôt que des fournisseurs d'applications. "Notre économie numérique repose sur des logiciels open source (OSS)", explique Lavi Lazarovitz, responsable de la recherche chez CyberArk Labs. « Il est flexible, évolutif et exploite le pouvoir collectif de la communauté pour susciter de nouvelles innovations. Mais d'innombrables bibliothèques OSS « ouvertes » et « gratuites » signifient également une surface d'attaque considérablement étendue et un moyen pour les acteurs de la menace d'automatiser leurs efforts, d'éviter la détection et de faire plus de mal. »
Depuis le 31 janvier 2021, des acteurs malveillants ont eu accès et ont pu modifier le code du Bash Uploader de Codecov. L'intégration continue (CI) signifiait que les utilisateurs de Bash Uploader utilisaient automatiquement le code compromis, permettant finalement à l'attaquant de voler des jetons, des clés et des informations d'identification à des entreprises du monde entier.
OSS n'est généralement pas audité par l'utilisateur, et CI signifie qu'il est simplement accepté et utilisé. "En utilisant cette méthode d'infiltration hautement évasive, les attaquants peuvent cibler et voler des informations d'identification pour atteindre à l'unisson des milliers d'organisations à travers une chaîne d'approvisionnement", a ajouté Lazarovitz.
OSS est une énorme cible pour les attaquants. Les bibliothèques de logiciels OSS sont utilisées par d'innombrables développeurs dans d'innombrables entreprises, souvent avec peu de surveillance. Si la source de l'OSS peut être compromise, des vulnérabilités pourraient être introduites dans toute application utilisant la bibliothèque OSS.
"Au cours des 12 prochains mois, les attaquants continueront à chercher de nouvelles façons de compromettre les bibliothèques open source", poursuit Lazarovitz. "Nous avons vu des attaquants mettre en œuvre des attaques de type typosquatting en créant des packages de code qui incluent des changements subtils dans les noms des packages (tels que 'atlas-client' plutôt que 'atlas_client'). Il s'agissait en fait de versions trojanisées des packages d'origine, qui implémentaient ou téléchargeaient une fonctionnalité de porte dérobée ou de vol d'informations d'identification. Dans un autre cas, un package NPM a été infecté par un cheval de Troie pour exécuter un script de cryptominage et un logiciel malveillant de vol d'informations d'identification après que les informations d'identification d'un développeur ont été compromises.
L'attaque du NPM est typique de ce à quoi on peut s'attendre dans le futur. En octobre 2021, GitHub a annoncé que trois versions de 'ua-parser-js' avait été compromise. C'est un package populaire, avec quelque chose comme 8 millions de téléchargements par semaine. "Tout ordinateur sur lequel ce package est installé ou en cours d'exécution doit être considéré comme entièrement compromis", a averti GitHub. "Tous les secrets et clés stockés sur cet ordinateur doivent être immédiatement remplacés par un autre ordinateur."
Le cloud est également une cible naturelle pour les attaques de la chaîne d'approvisionnement. De par sa nature, il s'agit fondamentalement d'une structure un-à-plusieurs - et cela seul le rend attrayant pour les cybercriminels. En 2022, "Une attaque à grande échelle de la chaîne d'approvisionnement logicielle mettra fin à un important service de cloud computing", prévient Josh Rickard, architecte des solutions de sécurité chez Swimlane.
"Alors que les organisations ajoutent de plus en plus de fournisseurs SaaS et IaaS tiers à leur pile technologique", explique-t-il, "l'impact des cyberattaques sur les services cloud centralisés aura un effet plus large. En 2022, nous verrons des cybercriminels tirer parti d'API SaaS mal configurées pour exploiter des données privées à une échelle sans précédent. Cela entraînera la compromission d'une large distribution du code logiciel de base et aura un impact sur des milliers d'organisations à travers le monde.
Attaques de la chaîne d'approvisionnement à l'avenir
Toute topographie qui fournit une relation un-à-plusieurs doit être considérée comme une cible potentielle pour les attaques de la chaîne d'approvisionnement en 2022. Bien qu'elles se produisent depuis de nombreuses années, 2021 a démontré une augmentation spectaculaire à la fois de la quantité et de la sophistication - et nous pouvons nous attendre à ce qu'elles encore augmenter en 2022.
"Les attaques de la chaîne d'approvisionnement ne sont pas aussi fréquentes que d'autres, mais elles ont le potentiel de causer exponentiellement plus de dégâts", prévient Chris Hall, chercheur en sécurité cloud chez Lacework. «Cela a été mis en évidence dans le hack SolarWinds de 2020 et les attaques des projets Codecov et NPM de 2021. L'opportunité « un à plusieurs » offerte par une compromission réussie de la chaîne d'approvisionnement en fait une option attrayante et digne du temps et des ressources des attaquants. Pour cette raison, nous pensons que 2022 verra davantage d'attaques contre les chaînes d'approvisionnement en logiciels par des acteurs criminels et des États-nations.
La quantité inconnue est la nomenclature logicielle (SBOM) mandaté dans le décret exécutif de Biden sur l'amélioration de la cybersécurité de la nation du 12 mai 2021. En théorie, il fournira une visibilité granulaire sur les composants logiciels individuels de toute application ; et cela pourrait potentiellement rendre les logiciels plus sûrs. Seul le temps dira, cependant, si cela suffira à perturber la perturbation de la chaîne d'approvisionnement par les criminels.
À propos de SecurityWeek Cyber Insights 2022
Cyber Insights 2022 est une série d'articles examinant l'évolution potentielle des menaces au cours de la nouvelle année et au-delà. Six principaux domaines de menace sont abordés :
• Attaques contre l'État-nation (Édition 01/20/22)
• Active (Édition 01/24/22)
• Amélioration de la sophistication criminelle (Édition 01/26/22)
Bien que les sujets aient été séparés, les attaques se produiront rarement de manière isolée. Les attaques contre les États-nations et la chaîne d'approvisionnement seront souvent liées, tout comme la chaîne d'approvisionnement et les rançongiciels. L'IA contradictoire sera probablement vue principalement dans les attaques contre l'identité ; du moins à court terme. Et sous-jacent à tout, il y a la sophistication et le professionnalisme croissants du cybercriminel.
SecurityWeek s'est entretenu avec des dizaines d'experts en sécurité et a reçu près d'une centaine de suggestions pour la série.
Kevin Townsend est un contributeur principal chez SecurityWeek. Il écrit sur les questions de haute technologie depuis avant la naissance de Microsoft. Au cours des 15 dernières années, il s'est spécialisé dans la sécurité de l'information ; et a eu plusieurs milliers d'articles publiés dans des dizaines de magazines différents - du Times et du Financial Times aux magazines informatiques actuels et anciens.
Mots clés: Source : https://www.securityweek.com/cyber-insights-2022-supply-chain
