Hãy coi một cuộc tấn công vào chuỗi cung ứng như một trung tâm và các nan hoa. Đó là mối quan hệ một - nhiều: thỏa hiệp một và nhận phần còn lại miễn phí. Một-nhiều là điểm thu hút chính của các cuộc tấn công chuỗi cung ứng. Đây không phải là một ý tưởng mới, nhưng nó đã được đưa lên cấp độ tinh vi và tần suất mới trong những năm gần đây. Sự tăng trưởng này sẽ tiếp tục cho đến năm 2022 và hơn thế nữa.
Mike Sentonas, CTO tại CrowdStrike, nhận xét, “Thành thật mà nói, chuỗi cung ứng rất dễ bị tổn thương và các đối thủ đang tích cực nghiên cứu các cách để tận dụng điều này. Chúng tôi gần như chưa thấy kết thúc của các cuộc tấn công này và tác động của mỗi cuộc tấn công là rất quan trọng đối với cả nạn nhân lẫn khách hàng và đối tác của nạn nhân trên và dưới chuỗi. ”
Chuỗi cung ứng là mục tiêu hấp dẫn đối với cả các băng nhóm tội phạm mạng và các tổ chức quốc gia-nhà nước. Đối với trước đây, chúng cung cấp tiềm năng cho các cuộc tấn công tống tiền quy mô lớn (xem Cyber Insights 2022: Ransomware), trong khi đối với phần sau, chúng có thể cung cấp quyền truy cập rộng rãi vào các mục tiêu có liên quan đến gián điệp (xem Cyber Insights 2022: Nation-States). Cả hai đều được minh họa vào năm 2021.
Công ty phần mềm quản lý mạng Kaseya đã bị vi phạm bởi băng đảng ransomware REvil hiện đã bị triệt hạ, dẫn đến sự thỏa hiệp của các khách hàng sử dụng dịch vụ được quản lý và gây thêm tổn hại cho khách hàng của họ.
Gói quản lý và giám sát từ xa của Kaseya, Trợ lý Quản trị Ảo (VSA), được truy cập thông qua lỗ hổng bỏ qua xác thực, cho phép phân phối phần mềm độc hại thông qua việc tải xuống phần mềm cho khách hàng. Trong vòng vài ngày sau khi phát hiện ra thỏa hiệp, Kaseya thông báo rằng khoảng 800 đến 1,500 khách hàng ở hạ nguồn đã bị ảnh hưởng bởi cuộc tấn công.
Một cuộc tấn công chuỗi cung ứng lớn của các tổ chức nhà nước quốc gia được minh họa bởi Sự cố của SolarWinds. Mặc dù vụ vi phạm ban đầu tại SolarWinds xảy ra vào năm 2019, nhưng nó đã không được tiết lộ cho đến cuối năm 2020 và hoạt động điển hình của các tổ chức nhà nước quốc gia thấp và chậm có nghĩa là những tác động đầy đủ không được biết đến hoặc được phát hiện cho đến năm 2021.
Thủ phạm SolarWinds được cho là APT29 (hay còn gọi là Cozy Bear), có liên hệ với Cơ quan Tình báo Nước ngoài của Nga (FSR). SolarWinds báo cáo rằng khoảng 18,000 khách hàng đã bị ảnh hưởng bởi việc tải xuống phần mềm bị xâm phạm. Nhưng trong số này, người ta cho rằng những kẻ tấn công chỉ nhắm mục tiêu thêm vào vài trăm tổ chức (bao gồm các cơ quan chính phủ và các công ty an ninh mạng).
Hai sự cố này cho thấy sức hút và mức độ của các cuộc tấn công chuỗi cung ứng và cho thấy rằng chúng ta sẽ thấy nhiều điều tương tự như vậy vào năm 2022 và hơn thế nữa.
Đại dịch gián đoạn sẽ dẫn đến các cuộc tấn công chuỗi cung ứng
Ảnh hưởng toàn cầu của đại dịch Covid-19 sẽ bộc phát trong các cuộc tấn công chuỗi cung ứng trong năm 2022. Việc chuyển đổi ban đầu sang làm việc từ xa và gần đây là làm việc tại nhà / văn phòng kết hợp, đã mở rộng phạm vi tấn công cho tất cả các tổ chức. Các công ty lớn hơn có đủ nguồn lực để đối phó với điều này - ví dụ với nguồn cung chung các thiết bị do công ty sở hữu và kiểm soát.
Các công ty nhỏ hơn thường không thể hoặc không làm điều này. Do đó, các công ty nhỏ hơn phải chịu rủi ro lớn hơn một cách tương xứng từ sự thỏa hiệp thông qua nhân viên làm việc từ xa - nhưng các công ty nhỏ hơn thường là một phần trong chuỗi cung ứng của các tập đoàn lớn hơn. “Tội phạm mạng”, Guido Grillenmeier, giám đốc công nghệ tại Semperis, cảnh báo, “sẽ tiếp tục tìm ra những cách dễ dàng để xâm nhập vào một tổ chức bằng cách tấn công một công ty nhỏ hơn hoặc mới hơn trong chuỗi cung ứng chưa có hệ thống phòng thủ an ninh mạng mạnh mẽ. Không nghi ngờ gì rằng chúng ta sẽ chứng kiến nhiều cuộc tấn công chuỗi cung ứng hơn trong năm mới ”.
Ryan Sydlik, một kỹ sư bảo mật tại Telos, có quan điểm tương tự về cả nguyên nhân và kết quả cho năm 2022. “Covid-19, và cụ thể hơn là hậu quả của nó,” ông nói, “đang ảnh hưởng đến chuỗi cung ứng. Sự phục hồi từ vi rút không đồng đều trên toàn cầu, dẫn đến cung và cầu không cân bằng giữa các quốc gia. Mong đợi các cuộc tấn công mạng vào chuỗi cung ứng sẽ xảy ra một tình huống đã được hỗ trợ và làm cho nó trở nên tồi tệ hơn đối với các chuỗi cung ứng vốn đã căng thẳng. "
Giống như Grillenmeier, ông hy vọng công ty nhỏ ít được bảo vệ tốt hơn sẽ là một điểm vào quan trọng. “Ngoài các tập đoàn lớn tham gia vào thương mại toàn cầu, các công ty vừa và nhỏ trong chuỗi cung ứng sẽ được nhắm mục tiêu vào năm 2022 khi các đối thủ nhận ra rằng những thực thể này là những điểm tắc nghẽn dễ bị tấn công nhất và có độ bảo mật kém mạnh mẽ hơn. Việc ngừng hoạt động được nhắm mục tiêu tốt vào đúng địa điểm và thời gian, có thể làm gián đoạn toàn bộ ngành công nghiệp. "
Cụ thể hơn, James Carder, CSO và VP tại LogRhythm Labs, tin rằng các nhà sản xuất vắc xin Covid-19 sẽ là mục tiêu. “Vào năm 2022, tội phạm mạng sẽ để mắt đến việc thực hiện một cuộc tấn công ransomware chống lại một trong những công ty dược phẩm sản xuất vắc-xin COVID-19. Điều này sẽ làm gián đoạn việc sản xuất các mũi tiêm tăng cường quan trọng và khiến nhiều loại thuốc cứu sinh khác tiếp cận với bệnh nhân. Kết quả là bụi phóng xạ sẽ thổi bùng ngọn lửa cho các chiến dịch thông tin vắc xin trong và ngoài nước ”. Chuỗi cung ứng dược phẩm là mục tiêu chính để thỏa hiệp với nhà sản xuất vắc xin.
Sự thiếu hụt chip toàn cầu hiện nay cũng một phần do đại dịch. Sự gia tăng mạnh mẽ của phương pháp làm việc từ xa và học tập từ xa đã tạo ra một nhu cầu lớn về thiết bị điện tử tiêu dùng sử dụng chip. Đồng thời, việc chế tạo chip phải chịu nhiều đợt hạn chế khác nhau - nhu cầu vượt quá cung rất nhiều. Điều này dự kiến sẽ tiếp tục trong suốt năm 2022.
Carder mong đợi bọn tội phạm sử dụng chuỗi cung ứng để tận dụng tình hình. Ông gợi ý: “Một quốc gia hàng đầu sản xuất chip bán dẫn sẽ bị tổn hại chuỗi cung ứng, dẫn đến sự thiếu hụt lớn các nguyên liệu quan trọng”.
Ông tiếp tục: “Khi các quốc gia tìm cách tăng cường sản xuất, một quốc gia sẽ bị bắt quả tang đang cố gắng lũng đoạn thị trường bằng cách sử dụng các phương pháp gian lận để tiếp cận sản xuất và cung cấp của các quốc gia sản xuất chip hàng đầu. Điều này sẽ dẫn đến tình trạng thiếu hụt các nguồn cung cấp thiết yếu, cũng như giá các mặt hàng cơ bản sẽ tăng vọt ”.
Chuỗi cung ứng phần mềm
Phần mềm sẽ tiếp tục là mục tiêu chính của chuỗi cung ứng trong suốt năm 2022 và hơn thế nữa. Cách tiếp cận phổ biến nhất được tin tặc sử dụng cho đến nay là xâm phạm nhà cung cấp ứng dụng phần mềm và sửa đổi mã ứng dụng mà khách hàng tải xuống (như trong cả SolarWinds và Kaseya).
Tuy nhiên, cuộc tấn công chuỗi cung ứng lần thứ ba vào năm 2021 cho chúng ta cái nhìn sơ lược về các cuộc tấn công chuỗi cung ứng tiềm năng trong tương lai - lần này là nhằm vào phần mềm nguồn mở (OSS) chứ không phải các nhà cung cấp ứng dụng. Lavi Lazarovitz, trưởng nhóm nghiên cứu tại CyberArk Labs giải thích: “Nền kinh tế kỹ thuật số của chúng tôi chạy trên phần mềm mã nguồn mở (OSS). “Nó linh hoạt, có thể mở rộng và khai thác sức mạnh cộng đồng tập thể để khơi dậy những sáng tạo mới. Nhưng vô số thư viện OSS 'mở' và 'miễn phí' cũng có nghĩa là bề mặt tấn công được mở rộng đáng kể và là cách để các tác nhân đe dọa tự động hóa nỗ lực của họ, tránh né phát hiện và gây hại nhiều hơn. "
Từ ngày 31 tháng 2021 năm XNUMX, những kẻ độc hại đã có quyền truy cập và có thể thay đổi mã của Trình tải lên Bash của Codecov. Tích hợp liên tục (CI) có nghĩa là người dùng Bash Uploader tự động sử dụng mã bị xâm phạm, cuối cùng cho phép kẻ tấn công ăn cắp mã thông báo, khóa và thông tin đăng nhập từ các công ty trên khắp thế giới.
OSS thường không được người dùng kiểm tra và CI có nghĩa là nó chỉ được chấp nhận và sử dụng. Lazarovitz cho biết thêm: “Sử dụng phương pháp xâm nhập có khả năng né tránh cao này, những kẻ tấn công có thể nhắm mục tiêu và đánh cắp thông tin đăng nhập để tiếp cận hàng nghìn tổ chức trong chuỗi cung ứng.
OSS là một mục tiêu lớn cho những kẻ tấn công. Thư viện phần mềm PMNM được sử dụng bởi vô số nhà phát triển trong vô số công ty, thường ít bị giám sát. Nếu nguồn của PMNM có thể bị xâm phạm, các lỗ hổng có thể được đưa vào bất kỳ ứng dụng nào sử dụng thư viện PMNM.
“Trong 12 tháng tới, những kẻ tấn công sẽ tiếp tục tìm kiếm những cách mới để xâm phạm các thư viện mã nguồn mở,” Lazarovitz tiếp tục. “Chúng tôi đã thấy những kẻ tấn công thực hiện các cuộc tấn công kiểu đánh máy bằng cách tạo các gói mã bao gồm các thay đổi tinh vi đối với tên của các gói (chẳng hạn như 'atlas-client' thay vì 'atlas_client'). Đây thực sự là các phiên bản bị trojanized của các gói gốc, các gói này triển khai hoặc tải xuống một cửa sau hoặc chức năng ăn cắp thông tin xác thực. Trong một trường hợp khác, một gói NPM đã bị trojanized để chạy tập lệnh mã hóa và phần mềm độc hại đánh cắp thông tin xác thực sau khi thông tin đăng nhập của nhà phát triển bị xâm phạm. ”
Cuộc tấn công NPM là điển hình của những gì có thể được mong đợi trong tương lai. Vào tháng 2021 năm XNUMX, GitHub thông báo rằng ba phiên bản của 'ua-phân tích cú pháp-js'đã bị xâm phạm. Đó là một gói phổ biến, với 8 triệu lượt tải xuống mỗi tuần. GitHub cảnh báo: “Bất kỳ máy tính nào đã cài đặt hoặc chạy gói này đều được coi là đã bị xâm phạm hoàn toàn. “Tất cả các bí mật và khóa được lưu trữ trên máy tính đó phải được xoay ngay lập tức từ một máy tính khác.”
Đám mây cũng là mục tiêu tự nhiên cho các cuộc tấn công chuỗi cung ứng. Về bản chất, nó về cơ bản là một cấu trúc một-nhiều - và chỉ riêng điều này đã khiến nó trở nên hấp dẫn đối với tội phạm mạng. Vào năm 2022, “Một cuộc tấn công chuỗi cung ứng phần mềm quy mô lớn sẽ hạ gục một dịch vụ điện toán đám mây lớn,” Josh Rickard, kiến trúc sư giải pháp bảo mật tại Swimlane cảnh báo.
Ông giải thích: “Khi các tổ chức thêm nhiều nhà cung cấp SaaS và IaaS bên thứ ba vào hệ thống công nghệ của họ,” tác động của các cuộc tấn công mạng lên các dịch vụ đám mây tập trung sẽ có ảnh hưởng rộng hơn. Vào năm 2022, chúng ta sẽ thấy tội phạm mạng lợi dụng các API SaaS bị định cấu hình sai để khai thác dữ liệu riêng tư ở quy mô chưa từng có. Điều này sẽ dẫn đến việc phân phối lớn mã phần mềm cốt lõi trở nên bị xâm phạm và ảnh hưởng đến hàng nghìn tổ chức trên toàn cầu ”.
Các cuộc tấn công chuỗi cung ứng trong tương lai
Bất kỳ địa hình nào cung cấp mối quan hệ một-nhiều đều nên được coi là mục tiêu tiềm năng cho các cuộc tấn công chuỗi cung ứng vào năm 2022. Mặc dù chúng đã xảy ra trong nhiều năm, nhưng năm 2021 đã chứng minh sự gia tăng đáng kể cả về số lượng và mức độ phức tạp - và chúng ta có thể mong đợi chúng tăng hơn nữa vào năm 2022.
Chris Hall, nhà nghiên cứu bảo mật đám mây tại Lacework cảnh báo: “Các cuộc tấn công vào chuỗi cung ứng không thường xuyên như những cuộc tấn công khác, nhưng chúng có khả năng gây hại nhiều hơn theo cấp số nhân. “Điều này đã được chứng minh trong vụ hack SolarWinds năm 2020 và các cuộc tấn công dự án Codecov và NPM năm 2021. Cơ hội 'một-nhiều' có được nhờ thỏa hiệp chuỗi cung ứng thành công khiến nó trở thành một lựa chọn hấp dẫn và xứng đáng với thời gian và nguồn lực của những kẻ tấn công. Vì lý do này, chúng tôi tin rằng năm 2022 sẽ chứng kiến nhiều cuộc tấn công chống lại chuỗi cung ứng phần mềm của cả tội phạm và các tổ chức nhà nước quốc gia ”.
Số lượng không xác định là hóa đơn nguyên vật liệu phần mềm (SBOM) được ủy quyền trong lệnh điều hành của Biden về Cải thiện An ninh mạng của Quốc gia ngày 12 tháng 2021 năm XNUMX. Về lý thuyết, nó sẽ cung cấp khả năng hiển thị chi tiết về các thành phần phần mềm riêng lẻ của bất kỳ ứng dụng nào; và điều đó có thể làm cho phần mềm an toàn hơn. Tuy nhiên, chỉ có thời gian mới trả lời được liệu điều này có đủ để làm gián đoạn chuỗi cung ứng của bọn tội phạm hay không.
Giới thiệu về SecurityWeek Cyber Insights 2022
Cyber Insights 2022 là một loạt các bài báo kiểm tra sự phát triển tiềm ẩn của các mối đe dọa trong năm mới và hơn thế nữa. Sáu khu vực đe dọa chính được thảo luận:
• Các cuộc tấn công quốc gia (Xuất bản 01/20/22)
• Bản sắc (Xuất bản 01/24/22)
• Cải thiện sự tinh vi của tội phạm (Xuất bản 01/26/22)
Mặc dù các đối tượng đã được tách biệt, các cuộc tấn công sẽ hiếm khi xảy ra một cách cô lập. Các cuộc tấn công của nhà nước quốc gia và chuỗi cung ứng thường sẽ được liên kết với nhau - chuỗi cung ứng và ransomware cũng vậy. AI đối nghịch có thể sẽ được nhìn thấy chủ yếu trong các cuộc tấn công chống lại danh tính; ít nhất là trong ngắn hạn. Và cơ bản của mọi thứ là sự ngày càng tinh vi và chuyên nghiệp của tội phạm mạng.
Bảo mật đã nói chuyện với hàng chục chuyên gia bảo mật và nhận được gần một trăm đề xuất cho loạt bài này.
Kevin Townsend là Cộng tác viên cấp cao tại SecurityWeek. Ông đã viết về các vấn đề công nghệ cao kể từ trước khi Microsoft ra đời. Trong 15 năm qua, ông chuyên về an ninh thông tin; và đã có hàng nghìn bài báo được xuất bản trên hàng chục tạp chí khác nhau - từ The Times và Financial Times đến các tạp chí máy tính hiện tại và lâu đời.
tags: Nguồn: https://www.securityweek.com/cyber-insights-2022-supply-chain
