공급망 공격을 허브와 스포크로 생각하십시오. 일대다 관계입니다. 하나는 타협하고 나머지는 무료입니다. 일대다 방식은 공급망 공격의 핵심 요소입니다. 이것은 새로운 아이디어는 아니지만 최근 몇 년 동안 새로운 수준의 정교함과 빈도로 발전했습니다. 이러한 성장은 2022년 이후에도 계속될 것입니다.
CrowdStrike의 CTO인 Mike Sentonas는 다음과 같이 말했습니다. 우리는 이러한 공격의 끝을 거의 보지 못했으며 각각의 영향은 피해자와 피해자의 고객 및 파트너 모두에게 중요합니다.”
공급망은 사이버 범죄 조직과 국가 행위자 모두에게 매력적인 표적입니다. 전자의 경우 대규모 갈취 공격의 가능성을 제공합니다(참조 사이버 인사이트 2022: 랜섬웨어), 후자의 경우 첩보 관련 대상에 대한 광범위한 액세스를 제공할 수 있습니다(Cyber Insights 2022: Nation-States 참조). 둘 다 2021년에 삽화를 그렸습니다.
네트워크 관리 소프트웨어 회사 카세야가 무너졌다 지금은 해체된 REvil 랜섬웨어 갱에 의해 관리 서비스 고객의 손상과 고객의 추가 손상으로 이어집니다.
Kaseya의 원격 모니터링 및 관리 패키지인 VSA(Virtual Administration Assistant)는 인증 우회 취약점을 통해 액세스되어 소프트웨어 다운로드를 통해 고객에게 맬웨어를 배포할 수 있습니다. 손상이 발견된 지 며칠 만에 Kaseya는 800~1,500명의 다운스트림 고객이 공격의 영향을 받았다고 발표했습니다.
국가 행위자에 의한 주요 공급망 공격은 다음과 같이 설명되었습니다. SolarWinds 사건. SolarWinds의 초기 침해는 2019년에 발생했지만 2020년 말까지 공개되지 않았으며 국가 국가 행위자의 일반적으로 낮고 느린 작동으로 인해 2021년까지 전체 효과가 알려지거나 발견되지 않았습니다.
SolarWinds의 범인은 러시아 FSR(Foreign Intelligence Service)과 연결된 APT29(일명 Cozy Bear)로 추정됩니다. SolarWinds는 약 18,000명의 고객이 손상된 소프트웨어 다운로드의 영향을 받았다고 보고했습니다. 그러나 이 중 공격자들은 정부 기관 및 사이버 보안 회사를 포함하여 수백 개의 조직을 추가로 표적으로 삼은 것으로 생각됩니다.
이 두 사건은 공급망 공격의 매력과 범위를 보여주고 2022년과 그 이후에 동일한 공격을 더 많이 보게 될 것임을 시사합니다.
유행성 혼란은 공급망 공격으로 이어질 것입니다
코비드-19 전염병의 세계적 영향은 2022년 동안 공급망 공격에서 나타날 것입니다. 원격 근무로의 초기 전환과 최근에는 하이브리드 사무실/재택 근무로의 전환으로 인해 모든 조직의 공격 표면이 확대되었습니다. 대기업은 이에 대처할 수 있는 자원이 있습니다(예: 회사 소유 및 제어 장치의 일반 공급).
소규모 회사는 종종 이를 수행할 수 없거나 수행하지 않습니다. 결과적으로 소규모 회사는 원격 작업자를 통한 손상으로 인해 불균형적으로 더 큰 위험에 처하지만 소규모 회사는 종종 대기업의 공급망에 속합니다. Semperis의 수석 기술자인 Guido Grillenmeier는 "사이버범죄자들은 강력한 사이버 방어 체계를 갖추지 못한 공급망의 상위에 있는 더 작거나 새로운 회사를 공격함으로써 조직에 침투하기 쉬운 방법을 계속 찾을 것입니다. 새해에는 더 많은 공급망 공격을 보게 될 것이라는 데 의심의 여지가 없습니다.”
Telos의 보안 엔지니어인 Ryan Sydlik은 2022년의 원인과 결과에 대해 비슷한 견해를 가지고 있습니다. 그는 "Covid-19, 더 구체적으로는 그 여파가 공급망에 영향을 미치고 있습니다. 바이러스로부터의 회복은 전 세계적으로 불균등하여 국가 간의 불균형한 수급이 발생합니다. 공급망에 대한 사이버 공격은 이미 백업된 상황을 취하여 이미 스트레스를 받은 공급망을 더 악화시킬 것입니다.”
Grillenmeier와 마찬가지로 그는 보호가 덜 된 소규모 회사가 핵심 진입점이 될 것으로 기대합니다. “글로벌 무역에 관여하는 대기업 외에도 공급망의 중소 기업이 2022년에 표적이 될 것입니다. 적들은 이러한 기업이 가장 취약한 초크 포인트이고 보안이 덜 강력하다는 것을 인식하기 때문입니다. 적절한 장소와 시간에 잘 표적화된 정전은 전체 산업을 혼란에 빠뜨릴 수 있습니다."
보다 구체적으로, LogRhythm Labs의 CSO이자 부사장인 James Carder는 Covid-19 백신 제조업체가 표적이 될 것이라고 믿습니다. “2022년에 사이버 범죄자들은 COVID-19 백신을 생산하는 제약 회사 중 하나를 대상으로 랜섬웨어 공격을 수행하는 것을 목표로 삼을 것입니다. 이것은 중요한 부스터 주사의 생산을 방해하고 많은 다른 생명을 구하는 약물이 환자에게 도달하는 것을 막을 것입니다. 그로 인한 여파는 국내외 백신 허위 정보 캠페인에 불을 붙일 것입니다.” 의약품 공급망은 백신 제조업체를 손상시키는 주요 표적입니다.
현재의 글로벌 칩 부족 현상도 팬데믹으로 인해 부분적으로 부채질을 하고 있습니다. 원격 근무 및 원격 학습의 급증으로 칩을 사용하는 소비자 전자 제품에 대한 수요가 급증했습니다. 동시에 칩 제조는 다양한 잠금으로 어려움을 겪었습니다. 수요가 공급을 크게 초과했습니다. 이는 2022년 내내 계속될 것으로 예상됩니다.
Carder는 범죄자들이 상황을 이용하기 위해 공급망을 사용할 것으로 예상합니다. 그는 “반도체 칩을 생산하는 주요 국가는 공급망이 손상되어 중요한 재료가 크게 부족하게 될 것”이라고 제안합니다.
그는 “국가들이 생산을 늘리려고 할 때 한 국가는 주요 칩 생산 국가의 생산 및 공급에 접근하기 위해 사기적인 방법을 사용하여 시장을 장악하려 하다 적발될 것입니다. 이는 필수 공급품의 부족과 기초 물품의 가격 폭등을 초래할 것입니다.”
소프트웨어 공급망
소프트웨어는 2022년과 그 이후에도 계속해서 주요 공급망 목표가 될 것입니다. 지금까지 해커가 사용하는 가장 일반적인 접근 방식은 소프트웨어 응용 프로그램 공급자를 침해하고 고객이 다운로드한 응용 프로그램 코드를 수정하는 것입니다(SolarWinds 및 Kaseya 모두에서와 같이).
그러나 2021년의 세 번째 공급망 공격은 잠재적인 미래 공급망 공격을 엿볼 수 있게 해줍니다. 이번에는 애플리케이션 공급자가 아닌 오픈 소스 소프트웨어(OSS)에 대한 공격입니다. CyberArk Labs의 연구 책임자인 Lavi Lazarovitz는 "우리의 디지털 경제는 오픈 소스 소프트웨어(OSS)에서 실행됩니다. “유연하고 확장 가능하며 집단 커뮤니티의 힘을 활용하여 새로운 혁신을 촉발합니다. 그러나 수많은 '개방' 및 '무료' OSS 라이브러리는 또한 공격 표면이 극적으로 확장되고 위협 행위자가 자신의 노력을 자동화하고 탐지를 회피하며 더 많은 피해를 줄 수 있는 방법을 의미합니다.”
31년 2021월 XNUMX일부터 악의적인 행위자는 Codecov의 Bash 업로더 코드 변경. CI(지속적 통합)는 Bash Uploader 사용자가 손상된 코드를 자동으로 사용하여 궁극적으로 공격자가 전 세계 회사의 토큰, 키 및 자격 증명을 훔칠 수 있음을 의미합니다.
OSS는 일반적으로 사용자가 감사하지 않으며 CI는 승인되고 사용됨을 의미합니다. Lazarovitz는 "이 고도로 회피적인 침투 방법을 사용하여 공격자는 자격 증명을 표적으로 삼고 도용하여 공급망 전반에 걸쳐 수천 개의 조직에 동시에 도달할 수 있습니다."라고 덧붙였습니다.
OSS는 공격자의 거대한 표적입니다. OSS 소프트웨어 라이브러리는 종종 거의 감독 없이 수많은 회사의 수많은 개발자에 의해 사용됩니다. OSS의 소스가 손상될 수 있는 경우 OSS 라이브러리를 사용하는 모든 애플리케이션에 취약점이 도입될 수 있습니다.
"향후 12개월 동안 공격자들은 오픈 소스 라이브러리를 손상시키는 새로운 방법을 계속 찾을 것입니다."라고 Lazarovitz는 말합니다. “공격자가 패키지 이름에 대한 미묘한 변경을 포함하는 코드 패키지(예: 'atlas_client'가 아닌 'atlas-client')를 생성하여 타이포스쿼팅과 유사한 공격을 구현하는 것을 보았습니다. 이들은 실제로 백도어 또는 자격 증명 도용 기능을 구현하거나 다운로드하는 원래 패키지의 트로이 목마 버전이었습니다. 또 다른 경우에는 개발자의 자격 증명이 손상된 후 NPM 패키지가 크립토마이닝 스크립트와 자격 증명 도용 멀웨어를 실행하도록 트로이 목마가 발생했습니다.”
NPM 공격은 미래에 예상할 수 있는 전형적인 공격입니다. 2021년 XNUMX월 GitHub는 'ua-파서-js'를 훼손한 바 있다. 매주 8만 다운로드 정도의 인기 있는 패키지입니다. GitHub는 "이 패키지가 설치되어 있거나 실행 중인 모든 컴퓨터는 완전히 손상된 것으로 간주해야 합니다."라고 경고했습니다. "해당 컴퓨터에 저장된 모든 비밀과 키를 다른 컴퓨터에서 즉시 교체해야 합니다."
클라우드는 공급망 공격의 자연스러운 표적이기도 합니다. 본질적으로 이는 기본적으로 일대다 구조이며, 이것만으로도 사이버 범죄자에게 매력적입니다. Swimlane의 보안 솔루션 설계자인 Josh Rickard는 2022년에 "대규모 소프트웨어 공급망 공격으로 주요 클라우드 컴퓨팅 서비스가 중단될 것"이라고 경고합니다.
그는 "조직이 기술 스택에 더 많은 타사 SaaS 및 IaaS 제공업체를 추가함에 따라 중앙 집중식 클라우드 서비스에 대한 사이버 공격의 영향이 더 광범위할 것입니다. 2022년에는 사이버 범죄자들이 잘못 구성된 SaaS API를 활용하여 전례 없는 규모로 개인 데이터를 악용하는 것을 보게 될 것입니다. 이로 인해 핵심 소프트웨어 코드의 대규모 배포가 손상되고 전 세계 수천 개의 조직에 영향을 미칠 것입니다.”
미래의 공급망 공격
일대다 관계를 제공하는 모든 지형은 2022년 공급망 공격의 잠재적 표적으로 간주되어야 합니다. 수년 동안 발생했지만 2021년에는 양과 정교함 모두에서 극적인 증가가 나타났습니다. 2022년에는 더욱 증가한다.
Lacework의 클라우드 보안 연구원인 Chris Hall은 "공급망 공격은 다른 공격만큼 자주 발생하지는 않지만 기하급수적으로 더 많은 피해를 줄 가능성이 있습니다."라고 경고합니다. “이는 2020년 SolarWinds 해킹과 2021년 Codecov 및 NPM 프로젝트 공격에서 입증되었습니다. 성공적인 공급망 타협으로 인해 제공되는 '일대다' 기회는 매력적인 옵션이 되며 공격자의 시간과 자원에 가치가 있습니다. 이러한 이유로 우리는 2022년에 범죄 및 국가 행위자 모두에 의한 소프트웨어 공급망에 대한 더 많은 공격을 보게 될 것이라고 믿습니다.”
알 수 없는 수량은 소프트웨어 자재 명세서(SBOM) 12년 2021월 XNUMX일자 국가 사이버 보안 개선에 관한 Biden의 행정 명령에 명시되어 있습니다. 이론적으로 모든 애플리케이션의 개별 소프트웨어 구성 요소에 대한 세부적인 가시성을 제공합니다. 잠재적으로 소프트웨어를 더 안전하게 만들 수 있습니다. 그러나 이것이 범죄자들의 공급망 중단을 방해하기에 충분한지 여부는 시간이 말해줄 것입니다.
SecurityWeek 사이버 인사이트 2022 정보
Cyber Insights 2022는 새해와 그 이후에 위협의 잠재적 진화를 조사하는 일련의 기사입니다. XNUMX가지 주요 위협 영역이 논의됩니다.
• 랜섬
• 적대적 AI
• 국가 공격 (출판 01/20/22)
• 통합 인증 (출판 01/24/22)
• 범죄 지능 개선 (출판 01/26/22)
대상은 분리되어 있지만 공격이 단독으로 발생하는 경우는 거의 없습니다. 국가 및 공급망 공격은 종종 연결되어 있습니다. 공급망 및 랜섬웨어도 마찬가지입니다. 적대적 AI는 주로 신원에 대한 공격에서 볼 수 있습니다. 적어도 단기적으로는. 그리고 모든 것의 기저에는 사이버 범죄자의 정교함과 전문성이 점점 더 커지고 있습니다.
SecurityWeek 수십 명의 보안 전문가와 이야기를 나눴고 시리즈에 대한 거의 백 가지 제안을 받았습니다.
Kevin Townsend는 SecurityWeek의 수석 기고자입니다. 그는 Microsoft가 탄생하기 전부터 첨단 기술 문제에 대해 글을 써왔습니다. 지난 15년 동안 그는 정보 보안을 전문으로 했습니다. 타임즈와 파이낸셜 타임즈에서 현재 및 오래전에 사라진 컴퓨터 잡지에 이르기까지 수십 개의 다른 잡지에 수천 개의 기사가 실렸습니다.
태그 : 출처: https://www.securityweek.com/cyber-insights-2022-supply-chain
