UA
RU
ENSUMINISTRO DE ATAQUES DE CADENA | ¿QUÉ SON ELLOS Y CÓMO LLEVARLOS?
¿Qué tienen en común el ataque Target, el gusano Stuxnet y el programa malicioso en ATM? Eso es correcto, todos son ejemplos de ataques a la cadena de suministro. Las empresas son cada vez más vulnerables a los ataques de la cadena de suministro de software. Aprende qué son y cómo defenderte de ellos.
Todos estamos familiarizados con la necesidad de defender la empresa contra los adversarios, pero es importante entender que los amigos también pueden convertirse en enemigos. En esta publicación, sin embargo, no hablaremos de amenazas internas, sino de vulnerabilidades que provienen de proveedores confiables. Los ataques a la cadena de suministro de software están en aumento y explotan la parte vulnerable de muchas empresas: software de terceros que puede haber sido validado en el pasado, pero no en el momento de un ataque.
¿Qué son los ataques a la cadena de suministro?
En lugar de atacar directamente a una organización, un ataque de cadena de suministro de software se dirige a los proveedores de aplicaciones y otros códigos utilizados por la organización. Por lo general, los actores malos buscarán explotar alguna debilidad en el ciclo de desarrollo del proveedor e intentarán inyectar código malicioso en una aplicación firmada y certificada. Al contaminar los servidores de actualización o las herramientas de desarrollo, al insertar código en los ejecutables o simplemente al reemplazar paquetes reales con falsos, los adversarios pueden obtener acceso a las víctimas a lo largo de la cadena de suministro.
Dos ejemplos notorios que atrajeron mucha atención fueron el ataque de 2013-4 a Target, en el que 40 millones de tarjetas de crédito y débito de clientes se volvieron susceptibles de fraude después de que el sistema POS en más de 1800 tiendas se infectara con el programa malicioso, y el gusano Stuxnet, el gusano del mundo. El primer uso registrado de un arma cibernética, que afectó a la central nuclear de Irán Bushehr a través de memorias USB maliciosas. Otros casos notables de ataques a la cadena de suministro han afectado a los cajeros automáticos en Europa del Este, EE. UU., India y China, permitiendo a los delincuentes drenar las máquinas de efectivo y luego eliminar el programa malicioso. El programa malicioso solo puede ser instalado por una persona o un proceso con acceso interno.
Los ataques de la cadena de suministro de software representan un gran peligro, ya que pueden ser difíciles de detectar por soluciones AV heredadas. Dado que muchas ofertas de software de terceros dependen de las bibliotecas externas, el compromiso podría estar oculto en varias capas eliminadas del objetivo deseado.
¿Por qué están aumentando los ataques a la cadena de suministro?
Hay una respuesta simple a esta pregunta: mayores recompensas por menos trabajo. Desde el punto de vista del atacante, las recompensas de un solo truco en un software ampliamente utilizado en comparación con solo atacar a un objetivo corporativo pueden ser enormes. Podría generar cientos, miles o incluso millones de víctimas: en septiembre de 2017, SentinelOne detectó y bloqueó una amenaza de lo que debería haber sido una aplicación segura. El cliente, inicialmente pensando que la detección debe ser un falso positivo, informó que una versión particular de CCleaner estaba siendo detectada como maliciosa. Tan pronto se hizo ampliamente conocido, esto no fue un falso positivo. Unas semanas antes, los atacantes habían reemplazado la versión original en el sitio web oficial con una versión de puerta trasera. Si bien el cliente de SentinelOne estaba protegido automáticamente, el software malicioso ya había sido descargado por 2,27 millones de usuarios en todo el mundo cuando la amenaza se hizo pública.
¿Qué tan fáciles son los ataques a la cadena de suministro?
La motivación para los ataques a la cadena de suministro está claramente ahí para los atacantes, pero ¿qué tan fácil son para lograrlo?
Todo depende de la seguridad de la seguridad de los proveedores externos de una empresa. Solo se necesita una grieta en la armadura de cualquier dependencia individual para resultar en un compromiso devastador. Los bancos y las empresas en Ucrania descubrieron esto de manera difícil en 2017, cuando el desarrollador Intellect Service perdió el control de los servidores de actualización para su popular software de contabilidad M.E.Doc. Ese software fue utilizado por alrededor del 80% de los servicios financieros de Ucrania y tenía alrededor de 1 millón de instalaciones. Los piratas informáticos penetraron en la red de la compañía y redirigieron las solicitudes de actualización a un servidor malicioso que entregó el programa malicioso a las víctimas.
¿Qué tan generalizados son los ataques de la cadena de suministro de software?
Los ataques a la cadena de suministro han afectado a las principales plataformas en los últimos años. Las plataformas Mac y iOS de Apple se vieron espectacularmente afectadas en 2015 con XcodeGhost, una versión infectada del entorno de desarrollo de Xcode de Apple. Al proporcionar a los desarrolladores una versión contaminada del IDE de Apple, los atacantes pudieron insertar código malicioso en cualquier aplicación que se haya creado con él. Se sabe que más de 4000 aplicaciones están infectadas con el código. Incluso después de que la amenaza se hiciera pública, cientos de empresas todavía llevaban software infectado unos dos meses después.
Otros ataques notables en la cadena de suministro incluyen compromisos de la herramienta de conversión de video HandBrake y de transmisión al cliente bitTorrent, siendo esta última hackeada dos veces a través de su mecanismo de actualización.
Más atractivas que atacar directamente las aplicaciones, las bibliotecas y los paquetes también están listos para su explotación. Una prueba aterradora de concepto acerca de cuán vulnerables son los paquetes npm a principios de 2018 resultó tener un ejemplo de la vida real cuando la popular biblioteca de código de flujo de eventos fue usurpada por un desarrollador malintencionado. Entre los más de 2 millones de descargadores de la transmisión de eventos hay una serie de compañías Fortune 500.
En un ejemplo más reciente, el popular repositorio PyPI de Python también ha sido atacado por codificadores maliciosos. En octubre de 2018, se descubrió en PyPI un secuestrador de portapapeles de criptomonedas llamado “colourama” que estaba tipificando el paquete legítimo de “colorama”. El progama malicioso se dirige a las máquinas de Windows y busca direcciones de bitcoin copiadas en el portapapeles. Si se encuentra, el código reemplaza la dirección en el portapapeles con una dirección que pertenece al atacante.
¿Cómo se puede defender la empresa contra los ataques de la cadena de suministro?
Los ataques de la cadena de suministro de software se basan en explotar la confianza entre proveedores y usuarios. Cuando los atacantes comprometen un software firmado y certificado, los usuarios están expuestos si no cuentan con la protección adecuada. El principio básico para ayudar a evitar ser víctima de un ataque de la cadena de suministro de software es tener un software de seguridad que no dependa de la reputación de detección. Por esa razón, asegúrese de evitar o reemplazar las soluciones de seguridad que dependen en gran medida de la inclusión en la lista blanca con una solución de inteligencia artificial moderna y de comportamiento que pueda reconocer amenazas nuevas a la velocidad de la máquina.
Las soluciones NextGen AV como SentinelOne ofrecen defensa en profundidad con un enfoque en los procesos de su red que están haciendo en lugar de lo que son o de dónde provienen. De esta manera, al igual que el cliente de SentinelOne protegido contra el ataque de la cadena de suministro de CCleaner que mencionamos anteriormente, su organización puede estar segura de que si un proceso que supuestamente es de confianza comienza a comportarse de manera maliciosa, puede bloquearlo y eliminarlo antes de que comience un ataque.