Los 10 principales ataques a la cadena de suministro que sacudieron al mundo

El aumento de ataques a la cadena de suministro No es hipotético; estadísticas alarmantes respaldan esta nueva cantidad de ataques. Confiar en componentes de código abierto y software de terceros, si bien es crucial para reducir los tiempos de desarrollo y la agilidad operativa, conlleva riesgos significativos.

Debido a esta dependencia de código externo, de diferentes aplicaciones y de múltiples organizaciones, un ataque a una biblioteca base puede escalar rápidamente a miles de pilas de software vulnerables. 

Los ataques a la cadena de suministro pueden considerarse una forma sofisticada de amenaza cibernéticaSe dirigen a la intrincada red de relaciones entre una organización y sus proveedores, distribuidores y prestadores de servicios externos. Debido a la interconexión de las cadenas de suministro digitales, que a menudo abarcan múltiples organizaciones, geografías y sistemas, estos ataques aprovechan las vulnerabilidades. 

Los ataques

Las técnicas de ataque se han diversificado en gran medida, con TyposquattingLa confusión de dependencias, el protestware y la inyección de código malicioso presentan nuevos desafíos y consideraciones para los especialistas en ciberseguridad. Aquí, exploraremos los últimos ataques a la cadena de suministro con consecuencias masivas. 

1. Ataque a la plataforma de bots de Discord (marzo de 2024)

   La comunidad de bots Top.gg de Discord, con más de 170,000 miembros, se ha visto afectada por un ataque a la cadena de suministro cuyo objetivo era infectar a desarrolladores con malware que roba información confidencial. A lo largo de los años, el actor de amenazas ha empleado diversas tácticas, procedimientos y técnicas, entre ellas secuestro de GitHub Cuentas, distribución de paquetes maliciosos de Python, uso de una infraestructura de Python falsa e ingeniería social. Top.gg se infectó con un malware que roba información tras descargar un clon malicioso de una herramienta conocida como Colorama.

2. Ataque a la cadena de suministro de Okta (octubre de 2023)

   Okta, proveedor de servicios de autenticación y gestión de identidad, informó en octubre de 2023 que cibercriminales podrían acceder a datos privados de consumidores obteniendo credenciales de su sistema de atención al cliente. En casos recientes de soporte, los atacantes pudieron ver archivos subidos por clientes específicos.

3. Ataque a la cadena de suministro de JetBrains (septiembre/octubre de 2023)

   En diciembre, los funcionarios del gobierno advirtieron que la Viento solar Los atacantes explotaban una vulnerabilidad crítica en los servidores JetBrains TeamCity. Esta vulnerabilidad, que permitía eludir la autenticación, generó preocupación debido a su potencial impacto y alta gravedad.

   Intrusos no autenticados con HTTP (S) Access puede explotar esta vulnerabilidad para obtener el control administrativo de los servidores afectados y ejecutar código remoto, lo que representa un vector potencial para ataques a la cadena de suministro. Este ataque fue llevado a cabo por un actor de amenazas ruso llamado Cozy Bear, vinculado al Servicio de Inteligencia Exterior de Rusia (SVR RF).

   En el ataque, los actores de amenazas obtuvieron acceso de administrador al servidor y emplearon la ejecución remota de código. No se requirió la interacción del usuario mientras muchas grandes organizaciones de software utilizaban servidores de TeamCity para sus... CI / CD, con más de 3,000 directamente expuestos.

4. Ataque a la cadena de suministro de MOVEit (junio de 2023)

   En junio, se ejecutó el ataque a la cadena de suministro MOVEit, dirigido a los usuarios de la herramienta MOVEit Transfer, propiedad de la organización estadounidense Progress Software. MOVEit está diseñado para transferir archivos confidenciales de forma segura y es popular en EE. UU. ransomware El grupo Cl0p ha sido asociado con el ataque.

   Los atacantes utilizaron EWI (Interfaces Web Expuestas) para causar daños significativos. La aplicación web MOVEit fue infectada con un shell web llamado LEMURLOOT, que posteriormente se utilizó para robar datos de las bases de datos de transferencia de MOVEit.

5. Ataque a la cadena de suministro de 3CX (marzo de 2023)

   En marzo, el ataque a 3CX afectó a las aplicaciones de escritorio de macOS y Windows, lo que generó preocupación sobre la seguridad e integridad de la cadena de suministro del software. Los ciberdelincuentes comprometieron la aplicación mediante un archivo de biblioteca infectado, que posteriormente descargó un archivo cifrado con información de comando y control. Esto permitió a los atacantes ejecutar actividades maliciosas en el entorno de la víctima.

6. Ataque a la cadena de suministro de Microsoft (febrero de 2023)

   En febrero 2023, un ataque a la cadena de suministro de software También afectó a Microsoft. El ataque aprovechó una vulnerabilidad en Jfrog Artifactory, un gestor de repositorios binarios que Microsoft utiliza para distribuir y almacenar sus componentes de software.

   Los atacantes accedieron a Jfrog Artifactory e inyectaron código malicioso en algunos de los componentes de software de Microsoft, lo que les permitió acceder a la red de Microsoft mientras robaban el código fuente y otra información confidencial.

7. Ataque a la cadena de suministro de Norton (mayo de 2023)

   El software más destacado de Norton es su antivirus, ampliamente utilizado. También sufrieron un ataque en mayo de 2023. El ataque aprovechó una vulnerabilidad de día cero en MOVEit Transfer, un software de transferencia de archivos gestionados (MFT) que la empresa matriz de Norton utiliza para transferir archivos entre usuarios y oficinas. Los atacantes accedieron a la red de Norton y robaron información personal y datos específicos de los empleados. Además, amenazaron con liberar los datos robados si Norton no pagaba un rescate.

8. Ataque a la cadena de suministro de Airbus (enero de 2023)

   Airbus también fue atacada en enero de 2023 por un actor de amenazas conocido como USDoD. La organización confirmó que el ataque se llevó a cabo a través de una cuenta comprometida de un empleado de Turkish Airlines, uno de los clientes de Airbus. El actor de amenazas pudo acceder a la cuenta del empleado y a los sistemas de Airbus.

   Los datos filtrados incluían información personal de más de 3000 proveedores de Airbus, como Rockwell Collins y el Grupo Thales. La filtración de datos incluía nombres, números de teléfono y direcciones de correo electrónico.

9. SolarWinds (finales de 2020)

   A finales de 2020, SolarWinds proporcionó software que contenía malware, el cual estaba destinado a contener información confidencial dondequiera que se instalara. Los clientes tenían plena confianza en el software firmado que recibieron y creían que estaba libre de código malicioso y virus, ya que no había sido modificado desde que SolarWinds lo firmó, desarrolló y entregó.

   Sin embargo, los atacantes introdujeron el malware Sunspot en el sistema de monitorización y gestión informática Orion, utilizado por SolarWinds. SolarWinds firmó digitalmente el archivo resultante, que posteriormente se utilizó para infiltrarse en más de 18 000 clientes comerciales privados y en el gobierno.

   El malware recopiló información de las redes infectadas y envió datos a un servidor remoto. Cozy Bear fue nuevamente responsable de este ataque, vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).

10. ShadowHammer/ASUS (2019)

    En 2019, fabricantes de computadoras taiwaneses fueron víctimas de atacantes que encontraron claves de firma de código críticas en su servidor de actualizaciones web. Los intrusos añadieron malware a actualizaciones legítimas de ASUS, firmadas con las claves de firma de código de ASUS, infectando un millón de computadoras ASUS.

    Los ataques ShadowHammer ocurrieron durante un período de 6 meses. Afectaron a los usuarios de portátiles ASUS que activaron la función Live Update, una utilidad que busca e instala automáticamente nuevas actualizaciones de firmware y software de ASUS.

Tendencias recientes en ataques de firma de código 

Firma de código Los ataques a la cadena de suministro han experimentado recientemente tendencias notables, ya que los atacantes evolucionan continuamente sus tácticas. Comprender estas tendencias permite a las organizaciones mantenerse alertas e implementar medidas de seguridad eficaces.

• Envenenamiento de la cadena de suministro

  Los ciberdelincuentes han atacado cada vez más la cadena de suministro de software inyectando códigos maliciosos en paquetes legítimos durante la distribución o compilación. Esta técnica de envenenamiento les permite eludir los cursos de seguridad convencionales y distribuir software comprometido a los usuarios.

• Abuso y falsificación de certificados

  Los atacantes han explotado vulnerabilidades en el certificado Infraestructura para falsificar y abusar certificados de firma de códigoRoban certificados legítimos de los desarrolladores o son responsables de crear certificados fraudulentos que parecen auténticos. Estas tácticas les permiten firmar software malicioso y engañar a los usuarios haciéndoles creer que proviene de una fuente auténtica.

• Ataques dirigidos a software de alto valor

  Los ciberdelincuentes han centrado su atención en objetivos de software de alto valor, como sistemas operativos de uso generalizado, software de infraestructura crítica o aplicaciones empresariales. Comprometer el procedimiento de firma de código de dicho software puede tener consecuencias, permitiendo a los intrusos infiltrarse en numerosas organizaciones y causar daños significativos.

Implicaciones financieras y de recuperación en los tiempos de los ataques a la cadena de suministro 

Si bien es difícil determinar con precisión los costos totales de estas filtraciones de datos, sabemos con certeza que son costosas. Estos ataques a la cadena de suministro y las correspondientes filtraciones de datos cuestan... 4.45 millones de dólares. Sin embargo, hemos visto recientes infracciones con costos estimados, que pueden inclinar esa balanza en el futuro. 

Los costos directos de las violaciones de datos incluyen esfuerzos de remediación e investigaciones, multas regulatorias, litigios, auditorías forenses, demandas de reembolso bancario, acuerdos legales, costos de servicio al cliente y medidas de control de daños. 

Los largos tiempos de recuperación también afectan el coste total de una filtración de datos. Un importante proveedor de servicios de salud puede sufrir este impacto a medida que se prolonga el tiempo de recuperación de la filtración. El coste de la recuperación seguiría aumentando tras la filtración. Por eso es crucial permitir únicamente la ejecución de código aprobado en toda la organización. 

¿Cómo se puede aprovechar la firma de código para proteger a las organizaciones de estas amenazas? 

1. Verificación de origen

   La verificación del origen en el diseño de código puede considerarse una medida de seguridad que garantiza que el código provenga de una fuente auténtica antes de firmarse y distribuirse. Comprende detalles sobre el repositorio de origen y sus componentes de validación, como la información de compilación, la confirmación y la rama.

   Este procedimiento ayuda a reducir el riesgo de acceso no autorizado a códigos maliciosos o modificaciones de código. Esto proporciona una capa adicional de seguridad y confianza en el proceso de distribución y desarrollo de software.

   Esta función está diseñada para usarse en entornos que requieren alta seguridad y necesitan mantener estándares de cumplimiento, garantizando la seguridad tanto de los usuarios finales como de los desarrolladores.

2. Construcción reproducible

   Las compilaciones reproducibles, un concepto fundamental en el desarrollo de software moderno, garantizan la seguridad, consistencia y fiabilidad de las compilaciones de aplicaciones. Con compilaciones reproducibles, cualquier intento de modificar el código de la aplicación se detecta fácilmente, lo que proporciona una protección robusta contra ataques maliciosos y garantiza la integridad de la solución de desarrollo de aplicaciones.

3. Verificación de compilación

   Las pruebas de verificación de compilación (BVT) se ejecutan en cada nueva compilación para comprobar su estabilidad y su preparación para futuras pruebas. Consisten en casos de prueba que validan las características principales de la compilación de software. Cualquier compilación que no supere la BVT se rechaza y se devuelve a los desarrolladores para su resolución.

   BVT permite mitigar los riesgos asociados al comportamiento del sistema. Identifica riesgos potenciales, como pérdida de datos, vulnerabilidades de seguridad o funcionalidad incorrecta, abordando y validando el comportamiento esperado antes de que el sistema entre en producción.

¿Por qué confiar en CodeSign Secure para evitar estos ataques? 

Hay varias razones por las que deberías optar por CodeSign seguro para realizar sus operaciones de diseño de código:

• CodeSign Secure ayuda a los consumidores a mantenerse a la vanguardia al brindarles una solución de diseño de código segura con almacenamiento de claves a prueba de manipulaciones, control total y visibilidad de las actividades de diseño de código.
• Las claves privadas del certificado de diseño de código se pueden almacenar en un HSM, eliminando el riesgo de claves corruptas, mal utilizadas o robadas. 
• El hashing del lado del cliente garantiza el rendimiento de la compilación y al mismo tiempo evita el movimiento innecesario de archivos, lo que proporciona una mayor seguridad. 
• También proporciona una autenticación perfecta a través de hash del lado del cliente, autenticación de dispositivos, autenticación multifactor, flujos de trabajo de aprobación de múltiples niveles y más. 
• Soporte para políticas de InfoSec para mejorar la adopción de soluciones y al mismo tiempo permitir que diferentes equipos de negocios tengan su propio flujo de trabajo para el diseño conjunto. 
• También incorpora un mecanismo de firma hash de vanguardia del lado del cliente, lo que reduce la cantidad de datos que circulan por la red. Esto lo convierte en un sistema de diseño de código altamente eficiente para las complejas operaciones criptográficas que ocurren en el HSM. 

Conclusión 

Tras analizar los diez ataques más impactantes a la cadena de suministro que repercutieron en todo el mundo, es evidente que la escala y la sofisticación de estas ciberamenazas están aumentando. Los incidentes mencionados en el blog ponen de relieve las vulnerabilidades que las organizaciones pueden enfrentar al proteger sus activos, desde la inyección de códigos maliciosos hasta la explotación de infraestructuras de certificados.

La respuesta a esta creciente amenaza radica en practicar prácticas de diseño de código más seguras y fomentar una comprensión más profunda de los riesgos asociados con el desarrollo y la distribución de software. CodeSign seguro trabaja para usted al mejorar su postura de seguridad de diseño de códigos mientras mantiene la confianza, la integridad y la seguridad en este panorama digital en evolución.