O que é um ataque à cadeia de suprimento?

O que é um ataque à cadeia de suprimento?

Um ataque à cadeia de suprimento é um tipo de ciber ataque que tem como alvo fabricantes confiáveis que oferecem serviços ou software essenciais para a cadeia de suprimento.

Os ataques à cadeia de suprimento de software injetam códigos maliciosos em uma aplicação para infectar todos os usuários de uma aplicação, e ataques à cadeia de suprimento de hardware comprometem componentes físicos com o mesmo propósito.

Historicamente, os ataques à cadeia de suprimentos se referiam a ataques contra relacionamentos de confiança, nos quais um fornecedor vulnerável em uma cadeia era atacado para obter acesso a seus parceiros comerciais maiores. Esse foi o caso do ataque à Target de 2013, no qual o ator de ameaças teve acesso a um contratante HVAC para invadir os sistemas da Target.

No entanto, o maior problema atualmente são os ataques à cadeia de suprimento de software. As cadeias de suprimento de software são particularmente vulneráveis, porque softwares modernos não são escritos do zero: eles geralmente envolvem vários componentes prontos para uso, como API de terceiros, código-fonte aberto e códigos próprios do fabricante do software.

Hoje em dia, um projeto de software tem, em média, 203 dependências. Se um app popular tiver uma dependência comprometida, TODAS as empresas que o baixarem serão comprometidas, resultando em um crescimento exponencial do número de vítimas.

Além disso, softwares são frequentemente reutilizados, ou seja, uma vulnerabilidade em uma aplicação pode persistir para além do ciclo de vida do software original. Softwares com pequenas comunidades de usuários são particularmente vulneráveis, porque uma comunidade grande tende a detectar vulnerabilidades mais rapidamente do que projetos com poucos usuários.

Estatísticas de ataques à cadeia de suprimento

Abaixo, seguem algumas estatísticas de 2021 da Pesquisa Global de Atitudes em Relação à Segurança da CrowdStrike:

• 84% dos entrevistados acreditam que ataques à cadeia de suprimento de software podem se tornar uma das maiores ciberameaças para suas organizações nos próximos três anos
• Apenas 36% das organizações verificaram a segurança de todos os fornecedores, novos e existentes, nos últimos 12 meses
• 45% das organizações participantes da pesquisa sofreram pelo menos um ataque à cadeia de suprimento de software nos últimos 12 meses, um aumento em relação aos 32% registrados em 2018
• 59% das organizações que sofreram seu primeiro ataque à cadeia de suprimentos de software não tinham estratégias de resposta predefinidas

Ataques em alta

Os ataques à cadeia de suprimento apresentaram um aumento de 430%, porque, à medida que as empresas melhoram a segurança dos ambientes, os invasores maliciosos se voltam para alvos mais vulneráveis e encontram formas mais criativas de camuflar os ataques e aumentar as chances de atingir alvos de valor.

Seguem abaixo alguns tipos de ataque à cadeia de suprimento:

• Ataques a servidores upstream são os mais comuns, nos quais um ator malicioso infecta um sistema "upstream" dos usuários, por exemplo, com uma atualização maliciosa, que infecta todos os usuários "downstream" que fizerem o download dela. Foi isso que aconteceu no ataque à cadeia de suprimento da SolarWinds.
• Ataques midstream visam elementos intermediários, tais como ferramentas de desenvolvimento de software.
• Ataques de confusão de dependência abusam de dependências de software privadas criadas internamente, registrando uma dependência com o mesmo nome, mas com uma versão superior, em um repositório público. A dependência falsa é incluída no build do software em vez da dependência certa.
• Ataques com certificados SSL e de assinatura de código roubados comprometem as chaves privadas usadas para autenticar usuários de websites seguros e serviços em nuvem. O Stuxnet se enquadra nessa categoria.
• Ataques à infraestrutura CI/CD introduzem malware na infraestrutura de automação de desenvolvimento, por exemplo, clonando repositórios legítimos do GitHub.
• Ataques a software de código aberto introduzem códigos maliciosos nos builds de software, que se propagam para os usuários que os utilizam.

Exemplos de ataques à cadeia de suprimento

O ataque SolarWinds é o ataque à cadeia de suprimento mais amplamente conhecido. Ele foi um ataque complexo que inseriu códigos maliciosos no ciclo de build do software, inicialmente infectando cerca de 18.000 clientes downstream, incluindo grandes empresas e agências governamentais protegidas pelas mais robustas ferramentas e serviços de cibersegurança disponíveis.

Outro ataque à cadeia de suprimento sofisticado foi direcionado ao ASUS Live Utility, um utilitário de software pré-instalado em sistemas ASUS que atualiza automaticamente BIOS, UEFI, drivers, aplicações e outros componentes do computador. Estima-se que mais de 57.000 usuários baixaram e instalaram o utilitário comprometido, mas o número real provavelmente é muito maior. O ataque foi direcionado a um grupo de usuários com endereços MAC específicos.

Uma ferramenta popular de JavaScript de código aberto foi alvo de um ataque direcionado a sistemas operacionais Linux e macOS. O ataque utilizou uma técnica chamada "brandjacking", que induz os usuários a baixar códigos maliciosos. O software alvo, Browserify, é baixado por mais de 1,3 milhão de usuários toda semana, ou seja, as consequências do comprometimento seriam possivelmente massivas. Nesse caso, o ataque foi identificado e parado um dia depois do lançamento. No entanto, muitos outros ataques desse tipo passam despercebidos. Em 2020, pelo menos 26 projetos de código aberto foram alvos de ataques à cadeia de suprimentos.

Empresas de cibersegurança também são vítimas de ataques à cadeia de suprimentos. Por exemplo, a ferramenta de limpeza gratuita CC Cleaner foi comprometida com um backdoor que concedeu aos atores maliciosos acesso a milhões de computadores que tinham o software instalado. O CC Cleaner era um produto da Avast, empresa de segurança, mas o comprometimento aconteceu antes da empresa que o criou originalmente ser adquirida. Os atacantes instalaram os backdoors e aguardaram a conclusão da aquisição para iniciar a contaminação dos downloads. Pesquisadores acreditam que esse ataque foi direcionado porque, apesar de 2,27 milhões de downloads maliciosos terem sido realizados, só 40 sistemas comprometidos foram alvos de um ataque de segunda etapa.

Como detectar e impedir um ataque à cadeia de suprimento?

Ataques à cadeia de suprimento estão se tornando um problema cada vez mais crítico para as empresas, impactando relacionamentos cruciais com parceiros e fornecedores. Ataques à cadeia de suprimento são notoriamente difíceis de detectar. E o fato de um produto de software ter sido validado no passado não garante que ele ainda seja seguro.

Além de avaliarem rigorosamente seus fornecedores, as organizações têm que mitigar os riscos da cadeia de suprimento que as deixam vulneráveis a ataques. Isso exige a implementação de tecnologias eficazes de prevenção, detecção e resposta.

Confira a seguir algumas recomendações para as organizações fortalecerem a segurança de suas cadeias de suprimentos e evitarem se tornar vítimas:

• Implemente soluções que incluam a detecção de ataques baseada em comportamento: a complexidade dos ataques à cadeia de suprimento exige que as organizações usem o poder da análise comportamental, tais como indicadores de ataque (IOAs). Mitigar os riscos decorrentes das situações nas quais "programas bons se tornam ruins" demanda certas tecnologias, tais como machine learning (ML), capazes de identificar padrões em centenas, milhares ou até milhões de ataques por dia — uma tarefa que ultrapassa a capacidade de análise humana.
• Antecipe futuros ataques à cadeia de suprimento com a inteligência de ameaças: ela informa sobre o surgimento de novos ataques à cadeia de suprimento e oferece as informações necessárias para entender o ataque e se defender proativamente. O CrowdStrike Falcon^® Counter Adversary Operations é a ferramenta de análise de ameaças integrada e automatizada da CrowdStrike, que combina análise e pesquisa de malware e inteligência de ameaças para fornecer informações contextuais que permitem a segurança preditiva.
• Melhore sua prontidão com serviços proativos: a equipe de Serviços CrowdStrike inclui a análise da cadeia de suprimentos na sua Avaliação de Maturidade da Cibersegurança e realiza exercícios de simulação com clientes, nos quais simulam um ataque à cadeia de suprimentos. Dessa forma, os clientes entendem a exposição atual e desenvolvem um plano para aprimorar a proteção e a preparação contra ataques à cadeia de suprimentos.