Ataque à cadeia de abastecimento - Supply chain attack
Um ataque à cadeia de suprimentos é um ataque cibernético que visa prejudicar uma organização, visando elementos menos seguros na cadeia de suprimentos . Um ataque à cadeia de suprimentos pode ocorrer em qualquer setor, desde o setor financeiro, indústria de petróleo, até um setor governamental. Os cibercriminosos costumam adulterar o processo de fabricação de um produto instalando um rootkit ou componentes de espionagem baseados em hardware. Em um Internet Security Threat Report, desenvolvido pela Symantec, afirma-se que os ataques à cadeia de suprimentos ainda continuam a ser uma característica do cenário de ameaças, com um aumento de 78% em 2018.
A violação de segurança do Target , o malware de ATM do Leste Europeu , bem como o worm de computador Stuxnet, são exemplos de ataques à cadeia de suprimentos.
Os especialistas em gerenciamento da cadeia de suprimentos recomendam o controle estrito da rede de suprimentos de uma instituição para evitar danos potenciais dos cibercriminosos.
Visão geral
Uma cadeia de suprimentos é um sistema de atividades envolvidas no manuseio, distribuição, fabricação e processamento de mercadorias a fim de mover recursos de um fornecedor para as mãos do consumidor final. Uma cadeia de suprimentos é uma rede complexa de participantes interconectados governados pela oferta e demanda .
Embora ataque à cadeia de suprimentos seja um termo amplo sem uma definição universalmente aceita, em referência à cibersegurança, um ataque à cadeia de suprimentos envolve adulteração física de eletrônicos (computadores, caixas eletrônicos, sistemas de energia, redes de dados de fábrica) para instalar malware indetectável para o objetivo de causar danos a um jogador que está mais abaixo na rede da cadeia de abastecimento.
Em um sentido mais geral, um ataque à cadeia de suprimentos pode não envolver necessariamente eletrônicos. Em 2010, quando os ladrões obtiveram acesso ao armazém de suprimentos da gigante farmacêutica Eli Lilly , abrindo um buraco no telhado e carregando US $ 80 milhões em medicamentos prescritos em um caminhão, eles também poderiam ter feito um ataque à cadeia de suprimentos. No entanto, este artigo discutirá os ataques cibernéticos a redes físicas de suprimentos que dependem de tecnologia; portanto, um ataque à cadeia de suprimentos é um método usado por criminosos cibernéticos .
Estrutura de ataque
Geralmente, os ataques à cadeia de abastecimento em sistemas de informação começam com uma ameaça persistente avançada (APT) que determina um membro da rede de abastecimento com a segurança cibernética mais fraca para afetar a organização alvo. De acordo com uma investigação produzida pela Verizon Enterprise, 92% dos incidentes de segurança cibernética analisados em sua pesquisa ocorreram entre pequenas empresas.
Muitas vezes, os APTs podem obter acesso a informações confidenciais adulterando fisicamente a produção do produto. E Compras pela Internet, com perdas estimadas em US $ 100 milhões.
Riscos
A ameaça de um ataque à cadeia de suprimentos representa um risco significativo para as organizações modernas e os ataques não se limitam apenas ao setor de tecnologia da informação; Os ataques à cadeia de suprimentos afetam a indústria de petróleo, grandes varejistas, o setor farmacêutico e praticamente qualquer indústria com uma rede de suprimentos complexa.
O Information Security Forum explica que o risco derivado de ataques à cadeia de abastecimento é devido ao compartilhamento de informações com fornecedores, ele afirma que "compartilhar informações com fornecedores é essencial para o funcionamento da cadeia de abastecimento, mas também cria risco ... informações comprometidas no cadeia de suprimentos pode ser tão prejudicial quanto comprometida de dentro da organização ".
Enquanto Muhammad Ali Nasir, da National University of Emerging Sciences, associa o risco acima mencionado com a tendência mais ampla da globalização, afirmando "... devido à globalização, descentralização e terceirização das cadeias de abastecimento, o número de pontos de exposição também aumentou devido ao maior número de entidades envolvidas e que também estão espalhadas por todo o mundo ... [um] ataque cibernético em [uma] cadeia de suprimentos é a forma mais destrutiva de danificar muitas entidades vinculadas de uma vez devido ao seu efeito cascata. "
Sistemas de gerenciamento de cadeia de suprimentos mal gerenciados podem se tornar riscos significativos para ataques cibernéticos, o que pode levar à perda de informações confidenciais do cliente, interrupção do processo de fabricação e pode prejudicar a reputação de uma empresa.
Exemplos
Ataques de compilador
A Wired relatou um fio de conexão em recentes ataques à cadeia de suprimentos de software, em 3 de maio de 2019. Eles presumiram ter se espalhado a partir de compiladores populares infectados postados em sites piratas. Ou seja, versões corrompidas do XCode da Apple e do Microsoft Visual Studio. (Em teoria, compiladores alternados podem detectar ataques do compilador, quando o compilador é a raiz confiável.)
Alvo
.jpg)
No final de 2013, a Target , uma varejista dos EUA, foi atingida por uma das maiores violações de dados da história do setor de varejo.
Entre 27 de novembro e 15 de dezembro de 2013, as lojas físicas americanas da Target sofreram um hack de dados. Cerca de 40 milhões de cartões de crédito e débito de clientes tornaram-se suscetíveis a fraudes depois que o malware foi introduzido no sistema POS em mais de 1.800 lojas. A violação de dados das informações dos clientes da Target teve um impacto direto no lucro da empresa, que caiu 46% no quarto trimestre de 2013.
Seis meses antes, a empresa começou a instalar um sistema de segurança cibernética de $ 1,6 milhão. A Target tinha uma equipe de especialistas em segurança para monitorar seus computadores constantemente. No entanto, o ataque à cadeia de abastecimento contornou essas medidas de segurança.
Acredita-se que os cibercriminosos se infiltraram em um fornecedor terceirizado para obter acesso à rede de dados principal da Target. Embora não tenha sido confirmado oficialmente, os oficiais de investigação suspeitam que os hackers invadiram a rede da Target pela primeira vez em 15 de novembro de 2013 usando credenciais de senha roubadas da Fazio Mechanical Services, um provedor de sistemas HVAC com sede na Pensilvânia .
90 ações judiciais movidas contra a Target por clientes por negligência e indenização por danos indenizatórios. A Target gastou cerca de US $ 61 milhões respondendo à violação, de acordo com seu relatório do quarto trimestre aos investidores.
Stuxnet
Considerado uma arma cibernética israelense-americana , o Stuxnet é um worm de computador malicioso . O worm visa especificamente sistemas que automatizam processos eletromecânicos usados para controlar máquinas em linhas de montagem de fábricas ou equipamentos para separação de material nuclear.
Diz-se que o worm de computador foi desenvolvido especificamente para danificar os programas de enriquecimento de urânio do Governo do Irã ; Kevin Hogan, Diretor Sênior de Resposta de Segurança da Symantec , relatou que a maioria dos sistemas infectados pelo worm Stuxnet estavam localizados na República Islâmica do Irã, o que levou a especulações de que ele pode ter sido deliberadamente visando "infraestrutura de alto valor" em o país, incluindo a usina nuclear de Bushehr ou a usina nuclear de Natanz.
O Stuxnet é normalmente introduzido na rede de abastecimento por meio de uma unidade flash USB infectada com pessoas com acesso físico ao sistema. O worm então viaja pela rede cibernética, fazendo a varredura de software em computadores que controlam um controlador lógico programável (PLC). O Stuxnet introduz o rootkit infectado no PLC modificando os códigos e dando comandos inesperados ao PLC enquanto retorna um loop de feedback do valor de operação normal aos usuários.
Malware ATM
Nos últimos anos, o malware conhecido como Suceful, Plotus, Tyupkin e GreenDispense afetou caixas eletrônicos em todo o mundo, especialmente na Rússia e na Ucrânia. O GreenDispenser oferece especificamente aos invasores a capacidade de se dirigir a um sistema ATM infectado e remover seu cofre de dinheiro. Quando instalado, o GreenDispenser pode exibir uma mensagem 'fora de serviço' no caixa eletrônico, mas os invasores com as credenciais de acesso corretas podem drenar o cofre de dinheiro do caixa eletrônico e remover o malware do sistema usando um processo de exclusão não rastreável.
Os outros tipos de malware geralmente se comportam de maneira semelhante, capturando dados da tarja magnética do armazenamento da memória da máquina e instruindo as máquinas a sacar dinheiro. Os ataques exigem que uma pessoa com acesso interno, como um técnico de caixa eletrônico ou qualquer outra pessoa com uma chave para a máquina, coloque o malware no caixa eletrônico.
Acredita-se que o malware Tyupkin ativo em março de 2014 em mais de 50 caixas eletrônicos em instituições bancárias na Europa Oriental, também se espalhou na época para os EUA, Índia e China. O malware afeta caixas eletrônicos dos principais fabricantes que executam sistemas operacionais Microsoft Windows de 32 bits. O malware exibe informações sobre quanto dinheiro está disponível em cada máquina e permite que um invasor retire 40 notas do cassete selecionado de cada caixa eletrônico.
NotPetya / MEDoc
Durante a primavera de 2017, o código principal do pacote financeiro "MEDoc" usado na Ucrânia foi infectado com o vírus NotPetya e posteriormente baixado pelos assinantes. O hack foi executado no sistema do provedor: hackeando o próprio código no provedor ou um hack redirecionando as solicitações de download para outro servidor. Reportagens da imprensa da época deixaram claro que se tratava de um ataque à cadeia de suprimentos, mas o vetor de ataque usado não foi especificado.
British Airways
Durante agosto e setembro de 2018, a seção de pagamento do site da British Airways continha um código que coletava dados de pagamento do cliente. O código injetado foi escrito especificamente para rotear informações de cartão de crédito para um site em um domínio baways.com, que pode ser erroneamente considerado como pertencente à British Airways.
SolarWinds
O 2020 Global Supply Chain ciberataque é acreditado para ter resultado através de um ataque de cadeia de suprimentos visando as TI da empresa de infra-estrutura SolarWinds , que conta muitas instituições federais entre os seus clientes, incluindo os computadores de negócios da Administração de Segurança Nuclear Nacional (NNSA). O Departamento de Segurança Interna emitiu a Diretiva de Emergência 21-01, "Mitigar o comprometimento do código do SolarWinds Orion", que envolve a desconexão de qualquer SO host Windows afetado de seu domínio corporativo e a reconstrução desses hosts Windows usando fontes confiáveis. Os hosts do sistema operacional (SO) Windows afetados eram aqueles monitorados pelo software de monitoramento SolarWinds Orion. O NNSA do DOE, desde então, desconectou os hosts Windows violados.
Além do governo federal dos EUA, 18.000 dos 33.000 clientes da SolarWinds que usam a plataforma de atualização de software SolarWinds Orion estão vulneráveis. O Orion foi comprometido em março e junho de 2020, antes que a violação cibernética fosse detectada pela FireEye em dezembro de 2020. Por exemplo, a própria Microsoft foi vítima da violação do software de atualização. A Microsoft agora está trabalhando com a FireEye para conter o ataque cibernético em andamento contido no software da cadeia de suprimentos usado por "entidades governamentais, de consultoria, tecnologia, telecomunicações e extrativas na América do Norte, Europa, Ásia e Oriente Médio" —FireEye.
Volexity, uma empresa de segurança cibernética, reconstruiu a sequência de ataque em um think tank americano não identificado: primeiro, o invasor explorou uma vulnerabilidade de execução remota de código em um servidor Microsoft Exchange local; depois que essa vulnerabilidade foi corrigida, o invasor explorou brechas de segurança na plataforma SolarWinds Orion, que foram expostas em dezembro de 2020; terceiro, o servidor proxy de autenticação de dois fatores Duo do think tank foi explorado para obter acesso para violar a infraestrutura do think tank mais uma vez. Com base na reconstrução da Volexity, a Breaking Defense publicou uma cadeia de destruição simplificada explicando o ataque do Exchange Server a cerca de 30.000 clientes em todo o mundo. Em julho de 2021, a SolarWinds anunciou que foi atacado novamente.
Microsoft Exchange Server
Em fevereiro de 2021, a Microsoft determinou que os invasores haviam baixado alguns arquivos "(subconjuntos de serviço, segurança, identidade)" cada um de:
- "um pequeno subconjunto de componentes do Azure"
- "um pequeno subconjunto de componentes do Intune"
- "um pequeno subconjunto de componentes do Exchange"
Nenhum dos repositórios da Microsoft continha credenciais de produção. Os repositórios foram protegidos em dezembro e os ataques cessaram em janeiro. No entanto, em março de 2021, mais de 20.000 organizações dos EUA foram comprometidas por meio de uma porta dos fundos que foi instalada por meio de falhas no Exchange Server. As organizações afetadas usam e-mail auto-hospedado (no local em vez de baseado na nuvem), como cooperativas de crédito, prefeituras e pequenas empresas. As falhas foram corrigidas em 2 de março de 2021, mas em 5 de março de 2021 apenas 10% das organizações comprometidas haviam implementado o patch; a porta dos fundos permanece aberta. As autoridades americanas estão tentando notificar as organizações afetadas, que são menores do que as organizações afetadas em dezembro de 2020.
A Microsoft atualizou sua ferramenta Indicators of Compromise e lançou medidas de mitigação de emergência para as falhas do Exchange Server. Os ataques a SolarWinds e softwares da Microsoft são atualmente considerados independentes, em março de 2021. A ferramenta Indicadores de comprometimento permite que os clientes examinem seus arquivos de log do Exchange Server em busca de comprometimento. Pelo menos 10 grupos de ataque estão usando as falhas do Exchange Server. Os shells da Web podem permanecer em um servidor corrigido; isso ainda permite ataques cibernéticos com base nos servidores afetados. A partir de 12 de março de 2021, as tentativas de exploração estão dobrando a cada poucas horas, de acordo com a Check Point Research, algumas em nome dos próprios pesquisadores de segurança.
Em 14 de abril de 2021, o FBI concluiu uma operação cibernética secreta para remover os shells da web dos servidores afetados e estava informando os proprietários dos servidores sobre o que havia sido feito.
Em maio de 2021, a Microsoft identificou 3.000 e-mails maliciosos para 150 organizações em 24 países, que foram lançados por um grupo que a Microsoft denotou como 'Nobelium'. Muitos desses e-mails foram bloqueados antes da entrega. 'Nobelium' ganhou acesso a uma conta de marketing por e-mail da Constant Contact "usada pela Agência dos Estados Unidos para o Desenvolvimento Internacional ( USAID )". Pesquisadores de segurança afirmam que o 'Nobelium' cria mensagens de e-mail de spear-phishing que são clicadas por usuários desavisados; os links então direcionam a instalação do código malicioso 'Nobelium' para infectar os sistemas dos usuários, tornando-os sujeitos a resgate, espionagem, desinformação, etc. O governo dos Estados Unidos identificou 'Nobelium' como proveniente do Serviço de Segurança Federal da Rússia. Em julho de 2021, o governo dos Estados Unidos deve nomear o iniciador dos ataques ao Exchange Server: "O Ministério da Segurança do Estado da China tem usado hackers criminosos".
Em setembro de 2021, a equipe de fiscalização da Securities and Exchange Commission (SEC) solicitou que todas as empresas que fizeram o download das atualizações comprometidas da SolarWinds entregassem voluntariamente os dados à SEC, caso tivessem instalado as atualizações comprometidas em seus servidores.
Ataques de ransomware
Em maio de 2021, um ataque de ransomware ao gasoduto colonial expôs a vulnerabilidade do suprimento de gasolina dos Estados Unidos na costa leste. Em 16 de junho de 2021, o presidente Biden avisou o presidente Putin que 16 tipos de infraestrutura deveriam estar proibidos para ataques cibernéticos, ou então a Rússia sofreria na mesma moeda. Uma combinação de ataque à cadeia de suprimentos e ataque de ransomware surgiu em 2 de julho de 2021 em milhares de empresas em 17 países. Um código de ransomware REvil é escrito para evitar atingir sites que usam russo. O site REvil agora está offline de acordo com o The New York Times .
Prevenção
Em 12 de maio de 2021, a Ordem Executiva 14028 (o EO), Melhorando a segurança cibernética da nação , encarregou o NIST , bem como outras agências do governo dos EUA, de aumentar a segurança cibernética dos Estados Unidos. Em 11 de julho de 2021 (dia 60 do cronograma EO), o NIST, em consulta com a Agência de Segurança de Infraestrutura e Cibersegurança (CISA) e o Escritório de Gestão e Orçamento (OMB), entregou '4i': orientação para usuários de software crítico, conforme bem como '4r': para teste mínimo do fornecedor quanto à segurança e integridade da cadeia de suprimentos de software.
- Dia 30: solicitar contribuições
- Dia 45: definir 'software crítico'
- Dia 60: tarefa EO 4i, 4r: orientação do usuário e teste do fornecedor
- Dia 180: Tarefa EO 4c: diretrizes para aprimorar a segurança do software da cadeia de suprimentos
- Dia 270: tarefa EO 4e, 4s, 4t, 4u: diretrizes para aprimorar o software da cadeia de suprimentos
- Dia 360: Tarefa EO 4d: diretrizes para revisão e atualização de procedimentos de software da cadeia de suprimentos
- Dia 365: Tarefa EO 4w: resumo de suporte do piloto
Governo
A Comprehensive National Cybersecurity Initiative e a Cyberspace Policy Review, aprovados pelos governos Bush e Obama, respectivamente, direcionam o financiamento federal dos EUA para o desenvolvimento de abordagens multifacetadas para o gerenciamento de risco da cadeia de abastecimento global. De acordo com Adrian Davis, da Technology Innovation Management Review, a proteção das organizações contra ataques à cadeia de suprimentos começa com a construção de sistemas ciberresilientes. A resiliência da cadeia de suprimentos é, de acordo com o especialista em gestão de riscos da cadeia de suprimentos Donal Walters, "a capacidade da cadeia de suprimentos de lidar com perturbações inesperadas" e uma de suas características é o reconhecimento em toda a empresa de onde a cadeia de suprimentos é mais suscetível à infiltração. O gerenciamento da cadeia de suprimentos desempenha um papel crucial na criação de uma resiliência eficaz da cadeia de suprimentos.
Em março de 2015, sob a coalizão governamental democrática conservadora e liberal, o Departamento de Negócios do Reino Unido delineou novos esforços para proteger as PMEs de ataques cibernéticos, que incluíam medidas para melhorar a resiliência da cadeia de abastecimento.
O governo do Reino Unido produziu o Cyber Essentials Scheme, que treina empresas em boas práticas para proteger sua cadeia de suprimentos e segurança cibernética em geral.
Instituições financeiras
O Depository Trust and Clearing Group, uma empresa americana de pós-negociação, em suas operações implementou governança para gerenciamento de vulnerabilidade em toda a sua cadeia de suprimentos e analisa a segurança de TI ao longo de todo o ciclo de desenvolvimento; isso inclui onde o software foi codificado e o hardware fabricado.
Em um relatório da PwC de 2014, intitulado "Ameaça inteligente: construindo uma instituição financeira cibernética resiliente", a empresa de serviços financeiros recomenda a seguinte abordagem para mitigar um ataque cibernético:
"Para evitar danos potenciais aos resultados financeiros, à reputação, à marca e à propriedade intelectual de uma instituição financeira, a equipe executiva precisa assumir o controle do risco cibernético. Especificamente, eles devem colaborar desde o início para entender como a instituição se defenderá e responderá ao risco cibernético. riscos e o que será necessário para tornar sua organização resiliente cibernética.
Empresas de segurança cibernética
A FireEye , uma empresa de segurança de rede dos EUA que fornece análise forense automatizada de ameaças e proteção dinâmica contra malware contra ameaças cibernéticas avançadas, como ameaças persistentes avançadas e spear phishing, recomenda que as empresas tenham certos princípios em vigor para criar resiliência em sua cadeia de suprimentos, que incluem:
- Uma pequena base de fornecedores: Isso permite que uma empresa tenha um controle mais rígido sobre seus fornecedores.
- Controles estritos do fornecedor: Imposição de controles estritos aos fornecedores para obedecer às listas de protocolos aprovados. Além disso, a realização de auditorias ocasionais nos locais dos fornecedores e a visita regular de funcionários aos locais para fins comerciais permitem um maior controle.
- Segurança embutida no design: recursos de segurança, como dígitos de verificação , devem ser projetados no software para detectar qualquer acesso não autorizado anterior ao código. Um processo de teste iterativo para fortalecer a funcionalidade e a segurança do código é uma boa abordagem.
Em 27 de abril de 2015, Sergey Lozhkin, pesquisador de segurança sênior do GReAT na Kaspersky Lab , falou sobre a importância de gerenciar o risco de ataques direcionados e campanhas de espionagem cibernética, durante uma conferência sobre segurança cibernética, ele declarou:
"As estratégias de mitigação para ameaças avançadas devem incluir políticas de segurança e educação, segurança de rede, administração de sistema abrangente e soluções de segurança especializadas, como ... recursos de patch de software, controle de aplicativos, lista de permissões e um modo de negação padrão."