Atac cibernetic asupra lanțului de aprovizionare software: compromitere masivă a unui pachet folosit de mii de companii
Un atac cibernetic de amploare a compromis un pachet software utilizat de mii de companii americane, după ce hackeri suspectați de legături cu regimul nord-coreean au introdus cod malițios în actualizările aplicației. Specialiștii avertizează că e posibil să urmeze o campanie de furt de criptomonede, cu impact global.
Ce înseamnă atac cibernetic asupra lanțului de aprovizionare software?
Specialiști în securitate cibernetică atrag atenția asupra riscurilor generate de un atac cibernetic asupra lanțului de aprovizionare software, în care un pachet folosit la scară largă a fost compromis prin actualizări injectate cu cod malițios. Acest tip de atac lovește la baza logistică a dezvoltării de software: dacă un component software este manipulat, toate organizațiile care îl integrează pot fi afectate.
Ce s-a întâmplat în atacul recent
Atacatorii, despre care analiștii consideră că ar avea legături cu Phenianul, au obținut acces la contul unui dezvoltator care gestionează o bibliotecă open-source JavaScript folosită pentru efectuarea de cereri HTTP. Timp de circa trei ore au putut trimite actualizări compromise, iar orice organizație care a descărcat pachetul în acea perioadă a primit cod malițios care putea să deschidă backdoor-uri sau să sustragă credențiale.
Impactul și sectoarele vizate
Platformele afectate sunt folosite în aproape toate sectoarele economiei: servicii medicale, instituții financiare sau companii din industria tehnologică care activează și în zona criptomonedelor. Echipele de răspuns la incidente din multe organizații lucrează acum în regim de urgență pentru a evalua amploarea breșei și pentru a remedia vectorii de atac.
- Accesul compromis la contul unui dezvoltator a permis distribuirea de update-uri periculoase.
- Organizațiile care au integrat pachetul în aplicațiile lor trebuie să verifice dacă au fost afectate.
- Este vizată, în special, posibilitatea de a fura criptomonede folosind credențiale sau acces la sisteme.
Ce spun experții
Un reprezentant al unei firme de informații cibernetice a avertizat asupra următoarei faze potențiale a campaniei: „Anticipăm că vor încerca să profite de datele de autentificare şi de accesul la sistem pe care le-au obţinut recent în cadrul acestui atac asupra lanţului de aprovizionare cu software pentru a viza şi a fura criptomonede de la întreprinderi”, a declarat un specialist tehnic al respectivei companii. „Probabil va dura luni de zile pentru a evalua impactul acestei campanii”.
O firmă de securitate independentă a raportat detectarea a aproximativ 135 de dispozitive compromise, aparținând în jur de 12 companii, dar acestea sunt considerate doar vârful aisbergului, pe măsură ce tot mai multe organizații își vor identifica compromiterile.
Context istoric și finanțare
Acesta nu este un caz izolat: în ultimii ani au existat mai multe atacuri similare asupra furnizorilor de software, care au afectat servicii folosite de companii din sectorul sănătății sau de lanțuri hoteliere. Grupurile de hackeri asociate regimului nord-coreean reprezintă o sursă importantă de finanțare pentru acel stat, iar rapoarte internaționale și analize private arată că astfel de atacuri au generat miliarde de dolari în furturi digitale.
Un oficial guvernamental a estimat anterior că o parte semnificativă din finanțarea unor programe militare provenea din astfel de jafuluri digitale, iar în trecut s-au raportat furturi de criptomonede de ordinul miliardelor într-un singur atac.
Pași recomandați pentru organizații
- Verificarea integrității componentelor software și actualizarea imediată doar din surse verificate.
- Auditarea conturilor de dezvoltare și rotirea credențialelor compromise.
- Monitorizarea activității de rețea pentru semne de exfiltrare sau acces neautorizat.
Pe măsură ce investigațiile continuă, experții estimează că evaluarea completă a daunelor și remedierea efectelor acestui atac cibernetic asupra lanțului de aprovizionare software vor dura luni de zile.
