O que é um ataque à cadeia de suprimentos? Exemplos e estratégias de prevenção

Um ataque à cadeia de suprimentos é uma estratégia de ataque que visa uma organização por meio de vulnerabilidades em sua cadeia de suprimentos. Essas áreas vulneráveis geralmente estão ligadas a fornecedores com práticas de segurança inadequadas.

Uma violação de dados por meio de um fornecedor terceirizado é possível porque os fornecedores exigem acesso a dados confidenciais para integração com sistemas internos. Quando um fornecedor é comprometido, esse pool compartilhado de dados é violado.

Como cada fornecedor armazena dados confidenciais para vários clientes, um único ataque à cadeia de suprimentos geralmente resulta em várias empresas sofrendo uma violação de propriedade intelectual.

A Ordem Executiva de Segurança Cibernética de Joe Biden inclui uma seção especificamente dedicada a melhorar a segurança da cadeia de suprimentos, esta é uma ameaça cibernética que toda a nação deve levar a sério.

Tipos de ataques à cadeia de suprimentos

Os ataques à cadeia de suprimentos de software têm como alvo o código-fonte, o mecanismo de atualização ou os processos de compilação do software do fornecedor. Uma vítima pode ser comprometida por qualquer um dos seguintes vetores:

• Atualizações de software de terceiros
• Malware instalado em dispositivos conectados, por exemplo, discos rígidos externos, câmeras, telefones, etc.
• Instaladores de aplicativos

Como funciona um ataque à cadeia de suprimentos?

Os ataques à cadeia de suprimentos pegam carona em processos legítimos para obter acesso desinibido ao ecossistema de uma empresa.

Esse ataque começa com a infiltração nas defesas de segurança de um fornecedor. Esse processo geralmente é muito mais simples do que atacar uma vítima diretamente devido às infelizes práticas de segurança cibernética míope de muitos fornecedores.

A penetração pode ocorrer por meio de vários vetores de ataque. Uma vez injetado no ecossistema de um fornecedor, o código malicioso precisa se incorporar a um processo assinado digitalmente de seu host.

Essa é a chave para obter acesso à rede de clientes de um fornecedor. Uma assinatura digital verifica se um software é autêntico para o fabricante, o que permite a transmissão do software para todas as partes em rede.

Ao se esconder atrás dessa assinatura digital, o código malicioso fica livre para navegar no fluxo constante de tráfego de atualização de software entre um fornecedor comprometido e sua rede de clientes.

A carga maliciosa que comprometeu o governo dos EUA foi injetada em um arquivo da SolarWinds Dynamic Link Library (arquivo .dll). Esse arquivo era um ativo assinado digitalmente do software SolarWinds Orion, o disfarce que os hackers de estado-nação precisavam para obter acesso à base de clientes da SolarWind.

Os fornecedores comprometidos distribuem malware inadvertidamente para toda a rede do cliente. Os patches de software que facilitam a carga útil hostil contêm um backdoor que se comunica com todos os servidores de terceiros, este é o ponto de distribuição do malware.

Um provedor de serviços popular pode infectar milhares de empresas com uma única atualização, ajudando os agentes de ameaças a obter uma magnitude maior de impacto com muito menos esforço.

A SolarWinds anunciou que até 18.000 de seus clientes foram infectados por meio de sua atualização de software comprometida em um amplo espectro de verticais, incluindo governo, consultoria, telecomunicações e tecnologia.

Quando uma vítima instala uma atualização de software comprometida de um provedor de serviços, o código malicioso também é instalado com as mesmas permissões do software assinado digitalmente e o ataque cibernético é iniciado.

Uma vez instalado, um trojan de acesso remoto (RAT) geralmente é ativado para dar aos cibercriminosos acesso a cada host infectado para exfiltração de dados confidenciais.

O ataque à cadeia de suprimentos da SolarWinds foi único, pois os hackers não iniciaram o controle remoto imediatamente. Em vez disso, o malware ficou inativo por duas semanas antes de iniciar o contato com um servidor de comando e controle (um gerenciador de sessão remota para sistemas comprometidos, também conhecido como C2) por meio de um backdoor.

Cada conexão remota iniciada era um subdomínio do avsvmcloud[.]com contendo uma string exclusiva para cada vítima. Essa string, que à primeira vista parecia um arranjo aleatório de letras, era um identificador codificado do domínio da rede local de cada vítima.

O gráfico abaixo resume a operação de ataque à cadeia de suprimentos da Solarwinds. O processo geral de injeção de terceiros, implantação de malware e início de comunicações de dados por meio de um backdoor é a estrutura básica de todos os ataques à cadeia de suprimentos.

Um ataque à cadeia de suprimentos pode ser usado como um prelúdio para um ataque de ransomware em massa. Ou, como foi o caso da violação da SolarWinds, pode ser uma missão de reconhecimento para um ataque futuro e mais sinistro.

A eficiência destrutiva do ataque à cadeia de suprimentos do estado-nação é uma evidência de quão perigosamente vulneráveis muitas empresas são a violações de seus fornecedores terceirizados.

Exemplos de ataques à cadeia de suprimentos

Os ataques à cadeia de suprimentos permitem que os cibercriminosos infectem uma infinidade de vítimas sem precisar implantar ataques de phishing em cada alvo individual. Essa maior eficiência aumentou a prevalência desse método de ataque ultimamente.

Aqui estão alguns exemplos populares de ataques à cadeia de suprimentos.

Ataque à cadeia de suprimentos do governo dos EUA

Data: Março de 2020

Este evento provavelmente será o exemplo onipresente de um ataque à cadeia de suprimentos no futuro. Em março de 2020, hackers de estados-nação penetraram nas comunicações internas do governo dos EUA por meio de uma atualização comprometida de seu fornecedor terceirizado, a Solarwinds.

O ataque infectou até 18.000 clientes em todo o mundo, incluindo seis departamentos do governo dos EUA:

• O Departamento de Energia
• A Administração Nacional de Segurança Nuclear
• O Departamento de Estado dos EUA
• O Departamento de Comércio dos EUA
• O Departamento do Tesouro dos EUA
• O Departamento de Segurança Interna

As investigações ainda estão em andamento. Pode levar meses, ou até anos, para descobrir o impacto final de um ataque cibernético apelidado por especialistas como um dos ataques mais sofisticados à cadeia de suprimentos já implantados.

Alvo do ataque à cadeia de suprimentos

Data: Fevereiro de 2014

A Target USA sofreu uma violação significativa de dados depois que os cibercriminosos acessaram os dados confidenciais do varejista por meio de um fornecedor terceirizado de HVAC. Os invasores cibernéticos acessaram informações de identificação pessoal (PII) e informações financeiras, impactando 70 milhões de clientes e 40 milhões de cartões de débito e crédito.

Os invasores violaram o fornecedor terceirizado de HVAC por meio de um ataque de phishing por e-mail.

Ataque à cadeia de suprimentos da Equifax

Data: setembro de 2017

A Equifax, uma das maiores agências de relatórios de cartão de crédito, sofreu uma violação de dados por meio de uma vulnerabilidade de aplicativo em seu site. A violação afetou mais de 147 milhões de clientes da Equifax, os dados confidenciais roubados incluíam números de previdência social, números de carteira de motorista, datas de nascimento e endereços.

Ataque à cadeia de suprimentos da Paradise Papers

Data: Novembro de 2017

Documentos confidenciais de investimento offshore, apelidados de Paradise Papers. foram violados por meio do escritório de advocacia terceirizado Appleby. Os dados confidenciais expuseram 13,4 milhões de registros de investimento do 1% rico, incluindo Donald Trump, Justin Trudeau, genro de Vladimir Putin e até a rainha Elizabeth.

Ataque à cadeia de suprimentos dos Panama Papers

Data: Abril de 2016

O escritório de advocacia panamenho Mossack Fonseca vazou mais de 2,6 terabytes de dados confidenciais de clientes em uma violação. A violação revelou as táticas de evasão fiscal desonestas de mais de 214.000 empresas e políticos de alto escalão.

Os escritórios de advocacia tendem a ser os alvos de ataques cibernéticos mais desejáveis devido ao tesouro de dados de clientes altamente confidenciais e, portanto, altamente valiosos que armazenam em seus servidores.

Estatísticas de ataque à cadeia de suprimentos

A adoção desse método de ataque cibernético está crescendo a um ritmo alarmante. De acordo com um estudo da Symantec, os ataques à cadeia de suprimentos aumentaram 78% em 2019. Espera-se que essa prevalência aumente ainda mais à medida que os agentes de ameaças, motivados pelo sucesso da violação do governo dos EUA, mudam sua preferência para esse método de ataque.

O custo dos ataques à cadeia de suprimentos

O impacto financeiro de um ataque à cadeia de suprimentos pode ser monumental, independentemente do tamanho de uma empresa. Vários fatores contribuem para o custo resultante, como esforços de investigação de violação, perda de negócios devido a danos à reputação e multas regulatórias.

De acordo com um relatório da IBM e do Ponemon Institute, o custo médio das violações de dados em 2020 foi de US$3,86 milhões e o tempo médio para identificar e conter um alcance foi de 280 dias - ou seja, mais de 9 meses.

O custo médio de violação de dados nos Estados Unidos é o mais alto, de US$8,19 milhões por violação.

Nos Estados Unidos, os setores financeiro e de saúde incorrem nos custos mais altos de praia de dados devido aos requisitos regulatórios mais rígidos para proteger dados confidenciais.

O custo médio por violação de dados nos setores de saúde e finanças é de US$7,13 milhões e US$5,56 milhões, respectivamente.

Além dos encargos regulatórios, o alto preço das violações de dados é resultado do tempo prolongado de correção de cada incidente. 280 dias é cerca de 75% do ano, o que é uma quantidade significativa de tempo para pagar por ações corretivas adicionais enquanto as margens de lucro diminuem, ou até despencam.

A chave para reduzir os custos no caso de um ataque à cadeia de suprimentos é ter um processo de correção bem ajustado que possa ser ativado rapidamente.

A detecção e correção rápidas também podem minimizar o tempo que os invasores cibernéticos passam em seu ecossistema, o que, por sua vez, minimizará a quantidade de dados confidenciais comprometidos.

Como evitar ataques à cadeia de suprimentos

A chave para defender sua cadeia de suprimentos digital é garantir que cada um de seus fornecedores terceirizados esteja em conformidade com os mais rígidos padrões de segurança cibernética, independentemente de os requisitos regulatórios serem aplicados ou não.

A complacência é o principal ímpeto para a vulnerabilidade de ataque à cadeia de suprimentos. Isso se deve em parte ao fato de que as empresas não sabem como até mesmo os fornecedores mais confiáveis são suscetíveis a violações de dados.

Para manter seus fornecedores terceirizados em conformidade, questionários de segurança devem ser enviados a cada um deles regularmente para examinar continuamente sua postura de segurança.

Cada questionário deve ser adaptado a um setor específico e ajustado para os requisitos exclusivos de cada empresa. Você mesmo pode criar os questionários ou, idealmente, preenchê-los instantaneamente e enviá-los a partir de uma solução sofisticada de gerenciamento de risco de terceiros.

Para dar à sua empresa as melhores chances de mitigar os ataques à cadeia de suprimentos, esses questionários devem ser enviados imediatamente após perceber uma queda na pontuação de segurança de um determinado fornecedor.

A autenticação de dois fatores também pode evitar ataques à cadeia de suprimentos. Se os fornecedores ativarem esse protocolo de segurança, os agentes de ameaças terão um abismo adicional para cruzar entre eles e os sistemas internos de um fornecedor.

Saiba como evitar ataques à cadeia de suprimentos protegendo o Privileged Access Management.

Saiba como evitar ataques à cadeia de suprimentos com uma mentalidade de Assumir violação.

Saiba como evitar ataques à cadeia de suprimentos com uma arquitetura Zero Trust.