Специалисты по кибербезопасности предупреждают о росте атак на разработчиков программ

Специалисты международного разработчика антивирусного программного обеспечения, эксперта в области киберзащиты – компании ESET предупреждают о росте атак на разрабочиков и поставщиков программного обеспечения, суть которых заключается в добавлении вредоносного кода в безопасную программу и распространении его среди всех пользователей.

Как поясняют в компании ESET, подобный тип заражения называется атаками на цепь поставки.

"Цепь поставок состоит из множества процессов — от доставки сырья к производству, распределению и выходу готового продукта для потребителей. Однако налаженность этих взаимосвязанных действий можно нарушить не только физическим повреждением продукта, но и вмешательством в кибербезопасность цепи поставок, например, путем заражения роутера или программного обеспечения", - сообщают в ESET.

Согласно сообщению, недавно компания FireEye стала жертвой кибератаки, во время которой злоумышленники установили обновление с вредоносным кодом в продукт для управления сетью под названием Orion от SolarWinds. Вредононосная программа была внедрена в Orion до того, как код был предоставлен FireEye. Таким образом потребители получили поврежденный конечный продукт.

В этом случае вредоносное обновление через механизм Orion установили около 18 тысяч коммерческих и государственных организаций. По крайней мере на 100 из них были направлены следующие атаки, во время которых киберпреступники добавляли дополнительные компоненты и глубже проникали в сети компаний.

Именно поэтому атаки на цепь поставок несут огромные убытки, поскольку сломав только одного поставщика, злоумышленники могут в итоге получить беспрепятственный доступ к большим клиентским базам, который сложно обнаружить.

Самые громкие атаки на цепь поставок

По данным ESET, инцидент с SolarWinds напомнил и о других атаках такого типа, в частности, взлом CCleaner в 2017 и 2018 годах, а также кибератаки с использованием NotPetya (также известного как Diskcoder.C). А еще в 2013 году Target стала жертвой взлома, связанного с похищением учетных данных стороннего поставщика HVAC. Этот инцидент впервые привлек внимание к атакам на цепь поставок.

Только за последние месяцы исследователи ESET обнаружили несколько примеров подобных атак — от группы Lazarus, которая использует дополнительную программу по безопасности для распространения вредоносного кода, к операциям SignSight для взлома центра сертификации и NightScout с целью заражения эмулятора Android.

Как сообщают в ESET, постепенно рамки между аппаратным и программным обеспечением становятся более размытыми. Большая часть сложного механизма в готовом коде уже сделана и находится в открытом или, по крайней мере, широком доступе. Инженеры лишь загружают его, пишут код, который связывает все воедино, и отправляют готовый продукт. Все работает при условии отсутствия повреждения кода где-то в процессе.

"Нельзя быть уверенным, что каждое звено в любой цепи поставок защищено от несанкционированного доступа. В свою очередь, злоумышленники могут воспользоваться этим с целью добавить в программное обеспечение бэкдоры для использования в дальнейших атаках", - отмечают в компании.

Это превратилось в глобальную гонку, которая сопровождается ростом рынка киберпреступности. В случае выявления серьезной ошибки в программном обеспечении возникает вопрос продать информацию злоумышленникам за немалую сумму или сообщить производителю и получить символическую благодарность. В таких условиях выбор кажется очевидным, что составляет еще большую угрозу цепям поставок.

Рекомендации по защите

Для любой компании полностью контролировать цепь поставок и гарантировать ее безопасность невозможно, но можно максимально обезопасить себя от возможных рисков. Для этого специалисты ESET рекомендуют:

• Вести инвентаризацию всех готовых инструментов с открытым исходным кодом, которые используются в вашей организации.
• Следить за известными уязвимостями и своевременно применять исправления — атаки с использованием вредоносных обновлений не являются поводом отказываться от обновления программного обеспечения.
• Отказаться от ненужных или устаревших систем, сервисов и протоколов.
• Оценить риски своих поставщиков, изучив их собственные процессы безопасности.
• Установить требования безопасности для поставщиков программного обеспечения.
• Предлагать осуществлять регулярные аудиты кода и интересоваться проверками безопасности и изменениями компонентов кода.
• Применять инструменты для управления доступом и двухфакторную аутентификацию для защиты процессов разработки программного обеспечения.
• Использовать решение по безопасности с несколькими уровнями защиты.

Как сообщал УНИАН, в Украине ежедневно фиксируется около 300 тыс. новых киберугроз для информационной безопасности. При этом, найти хакеров-злоумышленников крайне сложно, компаниям остается лишь проводить ежеминутные мониторинги на предмет выявления киберугроз с целью их дальнейшего блокирования.

Компания ESET – ведущий разработчик решений в области компьютерной безопасности и эксперт в сфере IТ-безопасности. Компания была основана в 1992 году в Словакии и на сегодня представлена более, чем в 180 странах мира.

Наши стандарты: Редакционная политика сайта Главред