Topp 10 attacker mot leveranskedjor som skakade världen

Strömmen in attacker i leveranskedjan är inte hypotetiskt; alarmerande statistik stöder denna nya mängd attacker. Att förlita sig på komponenter med öppen källkod och programvara från tredje part, även om det är avgörande för minskade utvecklingstider och operativ flexibilitet, medför betydande risker.

På grund av detta beroende av extern kod, olika applikationer och av flera organisationer kan en attack mot ett basbibliotek snabbt eskalera till tusentals sårbara programvarustackar. 

Attacker i leveranskedjan kan betraktas som en sofistikerad form av cyberhotDe riktar sig mot det invecklade nätverket av relationer mellan en organisation och dess leverantörer, underleverantörer och tredjepartsleverantörer av tjänster. På grund av de sammankopplade digitala leveranskedjorna, som ofta sträcker sig över flera organisationer, geografiska områden och system, utnyttjar dessa attacker kryphål. 

Attackerna

Attackteknikerna har i hög grad diversifierats, med typskattning, beroendeförvirring, protestprogram och injicering av skadlig kod, vilket introducerar nya utmaningar och överväganden för cybersäkerhetsspecialister. Här kommer vi att utforska de senaste attackerna i leveranskedjan som haft omfattande konsekvenser. 

1. Discord Bot Plattformattack (mars 2024)

   Botcommunityn Top.gg på Discord, med över 170 000 medlemmar, har drabbats av en attack i leveranskedjan som syftar till att infektera utvecklare med skadlig kod som stjäl känslig information. Under årens lopp har hotbildaren använt flera taktiker, procedurer och tekniker, inklusive kapning av GitHub konton, distribution av skadliga Python-paket, användning av en falsk Python-infrastruktur och social manipulation. Top.gg infekterades av en informationsstöldande skadlig kod efter att ha laddat ner en skadlig klon av ett verktyg som kallas Colorama.

2. Okta Supply Chain Attack (oktober 2023)

   Okta, en leverantör av autentiserings- och identitetshanteringstjänster, rapporterade i oktober 2023 att hotande aktörer kunde få åtkomst till privata konsumentdata genom att hämta inloggningsuppgifter till deras kundsupportsystem. I senare supportfall kunde angriparna se filer som laddats upp av specifika kunder.

3. JetBrains leveranskedjeattack (september/oktober 2023)

   I december varnade regeringstjänstemän för att Solvind Angripare utnyttjade en kritisk sårbarhet i JetBrains TeamCity-servrar. Den kritiska sårbarheten för autentiseringsförbikoppling väckte uppmärksamhet på grund av dess potentiella påverkan och höga allvarlighetsgrad.

   Oautentiserade inkräktare med HTTP (S) Access kan utnyttja denna brist för att få administrativ kontroll över berörda servrar och exekvera fjärrkod, vilket utgör en potentiell vektor för attacker i leveranskedjan. Attacken utfördes av en rysk hotbildsaktör vid namn Cozy Bear, som är kopplad till den ryska utländska underrättelsetjänsten (SVR RF).

   I attacken fick hotande aktörer administratörsåtkomst till servern och använde fjärrkodkörning. Ingen användarinteraktion behövdes medan många stora mjukvaruorganisationer använde TeamCity-servrar för sina CI / CD, med över 3 000 direkt exponerade.

4. MOVEit-leveranskedjans attack (juni 2023)

   I juni genomfördes leveranskedjeattacken MOVEit, som riktade sig mot användare av verktyget MOVEit Transfer, som ägs av den amerikanska organisationen Progress Software. MOVEit är utformat för att överföra känsliga filer på ett säkert sätt och är populärt i USA. Ransomware Gruppen Cl0p har kopplats till attacken.

   Angriparna använde EWI:er (Exposed Web Interfaces) för att orsaka betydande skada. Den webbvända MOVEit-appen infekterades med ett webbskal som heter LEMURLOOT, som sedan användes för att stjäla data från MOVEits överföringsdatabaser.

5. 3CX-attacken mot leveranskedjan (mars 2023)

   I mars riktade 3CX-attacken sig mot macOS- och Windows-skrivbordsprogram, vilket väckte oro kring säkerheten och integriteten i programvarans leveranskedja. Cyberbrottslingarna komprometterade programmet med hjälp av en infekterad biblioteksfil, som sedan laddade ner en krypterad fil som innehöll kommando- och kontrollinformation. Detta gjorde det möjligt för angriparna att utföra skadliga aktiviteter i offrets miljö.

6. Microsofts leveranskedjeattack (februari 2023)

   I februari 2023, a attack för programvarans leveranskedja drabbade även Microsoft. Attacken utnyttjade en sårbarhet i Jfrog Artifactory, en binär databashanterare som Microsoft använder för att distribuera och lagra sina programvarukomponenter.

   Angriparna fick åtkomst till Jfrog Artifactory och injicerade skadlig kod i några av Microsofts programvarukomponenter, vilket gjorde det möjligt för dem att komma åt Microsofts nätverk samtidigt som de stal källkod och annan konfidentiell information.

7. Norton Supply Chain Attack (maj 2023)

   Nortons mest anmärkningsvärda programvara är deras antivirusprogram, som används flitigt. De attackerades också i maj 2023. Attacken använde en nolldagarssårbarhet i MOVEit Transfer, en MFT-programvara (Managed File Transfer) som Nortons moderbolag använder för att överföra filer mellan konsumenter och kontor. Angriparna fick åtkomst till Nortons nätverk och stal anställdas personliga information och specifika detaljer. Angriparna hotade också att släppa den stulna informationen om Norton inte betalade en lösensumma.

8. Airbus leveranskedjeattack (januari 2023)

   Airbus attackerades också i januari 2023 av en hotaktör känd som USDoD. Organisationen bekräftade att attacken hade utförts via ett komprometterat anställdskonto hos Turkish Airlines, en av Airbus konsumenter. Hotaktören kunde komma åt den anställdes konto och få tillgång till Airbus system.

   Dataintrånget inkluderade personuppgifter kopplade till över 3000 Airbus-leverantörer, såsom Rockwell Collins och Thales Group. Datadumpen innehöll namn, telefonnummer och e-postadresser.

9. SolarWinds (Sent 2020)

   I slutet av 2020 levererade SolarWinds programvara som innehöll skadlig kod, vilken var avsedd att användas tillsammans med känslig information varhelst den installerades. Kunderna hade fullt förtroende för den signerade programvaran de fick, och de trodde att den var fri från skadlig kod och virus eftersom den inte hade modifierats sedan SolarWinds signerade, byggde och levererade den till dem.

   Angriparna placerade dock Sunspot-skadlig programvara i Orions IT-övervakningssystem och hanteringsprogramvara som används av SolarWinds. SolarWinds signerade resultatet digitalt, vilket sedan användes för att infiltrera över 18 000 privata kommersiella konsumenter och myndigheter.

   Skadlig kod samlade in information från de infekterade nätverken och skickade data till en fjärrserver. Cozy Bear var återigen ansvarig för denna attack, som är kopplad till den ryska utländska underrättelsetjänsten (SVR).

10. ShadowHammer/ASUS (2019)

    År 2019 blev taiwanesiska datortillverkare offer för angripare som hittade kritiska kodsigneringsnycklar på deras webbuppdateringsserver. Inkräktarna lade till skadlig programvara i legitima ASUS-uppdateringar, signerade med ASUS kodsigneringsnycklar, vilket infekterade 1 miljon ASUS-datorer.

    ShadowHammer-attackerna skedde under en period av 6 månader. De drabbade ASUS bärbara datorkunder som aktiverade funktionen Live Update, ett verktyg som automatiskt söker efter och installerar nya firmware- och programuppdateringar från ASUS.

Senaste trenderna inom kodsigneringsattacker 

Kodsignering eller attacker i leveranskedjor har nyligen sett anmärkningsvärda trender i takt med att angripare ständigt utvecklar sina taktiker. Att förstå dessa trender kan göra det möjligt för organisationer att vara vaksamma och implementera effektiva säkerhetsåtgärder.

• Förgiftning av leveranskedjan

  Cyberbrottslingar har i allt högre grad riktat in sig på programvaruleveranskedjan genom att injicera skadlig kod i legitima programvarupaket under distribution eller byggprocess. Denna förgiftningsteknik gör det möjligt för dem att kringgå konventionella säkerhetskurser och distribuera komprometterad programvara till användare.

• Missbruk och förfalskning av certifikat

  Angripare har utnyttjat sårbarheter i certifikat infrastruktur att skapa och missbruka kodsigneringscertifikatDe stjäl antingen legitima certifikat från utvecklare eller är ansvariga för att skapa bedrägliga certifikat som verkar autentiska. Dessa taktiker gör det möjligt för dem att signera skadlig programvara och lura användare att tro att den kommer från en autentisk källa.

• Riktade attacker mot värdefull programvara

  Cyberbrottslingar har skiftat sitt fokus mot värdefulla programvarumål, såsom allmänt använda operativsystem, kritisk infrastrukturprogramvara eller företagsapplikationer. Att kompromettera kodsigneringsproceduren för sådan programvara kan få konsekvenser, vilket gör det möjligt för inkräktare att infiltrera många organisationer och orsaka betydande skada.

Finansiella och återhämtningstidsmässiga konsekvenser av attacker i leveranskedjan 

Även om de totala kostnaderna för dessa dataintrång är svåra att fastställa, vet vi att dataintrång är kostsamma. Dessa attacker i leveranskedjan och motsvarande dataintrång kostar 4.45 miljoner USDVi har dock sett den senaste tiden överträdelser med uppskattade kostnader, vilket kan komma att ändra den skalan i framtiden. 

De direkta kostnaderna för dataintrång inkluderar åtgärdsinsatser och utredningar, böter, rättstvister, kriminaltekniska revisioner, krav på återbetalning från banker, rättsliga förlikningar, kundservicekostnader och skadekontrollåtgärder. 

Långa återställningstider påverkar också den totala kostnaden för ett dataintrång. En större vårdgivare kan säkerligen känna av denna smärta eftersom återställningstiden för deras dataintrång dröjer sig kvar. Kostnaden för att komma ikapp kommer att fortsätta att växa i efterdyningarna av dataintrånget. Det är anledningen till att det är avgörande att endast tillåta exekvering av godkänd kod i hela organisationen. 

Hur kan kodsignering utnyttjas för att skydda organisationer från dessa hot? 

1. Ursprungsverifiering

   Ursprungsverifiering vid samdesign kan betraktas som en säkerhetsåtgärd som säkerställer att koden kommer från en autentisk källa innan den signeras och distribueras. Den omfattar detaljer om källkodsförrådet och dess valideringskomponenter, såsom bygginformation, commit och branch.

   Denna procedur hjälper till att minska riskerna för obehörig åtkomst till skadlig kod eller kodmodifieringar. Detta ansvarar för att erbjuda ett extra lager av säkerhet och förtroende i programvarudistribution och utvecklingsprocessen.

   Den här funktionen är utformad för att användas i miljöer som kräver hög säkerhet och behöver upprätthålla efterlevnadsstandarder, vilket garanterar säkerheten för både slutanvändare och utvecklare.

2. Reproducerbar byggnad

   Reproducerbara byggen, ett grundläggande koncept inom modern mjukvaruutveckling, säkerställer säkerhet, konsekvens och tillförlitlighet för applikationsbyggen. Med reproducerbara byggen kan alla försök att modifiera applikationens kod enkelt upptäckas, vilket ger ett robust skydd mot skadliga attacker samtidigt som integriteten hos apputvecklingslösningen säkerställs.

3. Byggverifiering

   Byggverifieringstester (BVT) körs på varje ny version för att kontrollera dess stabilitet och beredskap för vidare testning. Det består av testfall som validerar programvaruversionens kärnfunktioner. Alla versioner som inte klarar BVT avvisas och returneras till utvecklarna för lösning.

   BVT möjliggör minskning av risker i samband med systemets beteende. Den identifierar potentiella risker som dataförlust, säkerhetsbrister eller felaktig funktionalitet genom att åtgärda och validera det förväntade beteendet innan systemet driftsätts till produktion.

Varför lita på CodeSign Secure för att undvika dessa attacker? 

Det finns flera anledningar till varför du bör välja CodeSign Secure för att utföra dina samdesignåtgärder:

• CodeSign Secure hjälper konsumenter att ligga steget före genom att tillhandahålla en säker samdesignlösning med manipulationssäker nyckelförvaring, fullständig kontroll och insyn i samdesignaktiviteter.
• De privata nycklarna till samdesigncertifikatet kan lagras i en HSM, vilket eliminerar risken för skadade, felaktigt använda eller stulna nycklar. 
• Klientsidans hashing säkerställer byggprestanda samtidigt som onödig filflytt undviks, vilket ger större säkerhet. 
• Den erbjuder även sömlös autentisering via klientsidans hashning, enhetsautentisering, flerfaktorsautentisering, arbetsflöden för godkännare på flera nivåer och mer. 
• Stöd för InfoSec-policyer för att förbättra lösningsimplementeringen samtidigt som olika affärsteam kan ha sina egna arbetsflöden för samdesign. 
• Den är också inbäddad med en toppmodern hash-signeringsmekanism på klientsidan, vilket resulterar i att mindre data överförs över nätverket. Detta gör det till ett mycket effektivt samdesignsystem för de komplexa kryptografiska operationer som sker i HSM. 

Slutsats 

När vi har utforskat de tio mest påverkande attackerna mot leveranskedjor som fått eko världen över, är det ganska tydligt att omfattningen och sofistikeringen av dessa cyberhot eskalerar. Dessa incidenter som nämns i bloggen understryker de sårbarheter som organisationer kan möta när det gäller att säkra sina tillgångar, allt från att injicera skadlig kod till att utnyttja certifikatinfrastrukturer.

Svaret på detta växande hot ligger i att tillämpa säkrare samdesignmetoder och främja en djupare förståelse för riskerna i samband med programvaruutveckling och distribution. CodeSign Secure fungerar för dig genom att förbättra din säkerhetsställning i samdesignen samtidigt som du upprätthåller förtroende, integritet och säkerhet i detta föränderliga digitala landskap.