Хакерская лексика: что такое атака на цепочку поставок?

Трюизмы кибербезопасности уже давно описываются простыми понятиями доверия: Следите за вложениями в сообщения электронной почты из неизвестных источников и нет передать учетные данные на мошеннический веб-сайт. Однако опытные хакеры все больше подрывают это базовое чувство доверия и поднимают вопрос о паранойе: что, если бы источник был атакован законным оборудованием и программным обеспечением, составляющим вашу сеть?

Эта коварная и все более распространенная форма взлома известна как «атака цепочки поставок», метод, при котором злоумышленник вставляет вредоносный код или даже вредоносный компонент в надежное программное обеспечение или оборудование. Скомпрометировав одного поставщика, шпионы или саботажники могут захватить его системы распространения и превратить любое продаваемое ими приложение, любое загружаемое ими обновление программного обеспечения, даже физическое оборудование, которое они поставляют клиентам, в троянского коня. С помощью одного удачно размещенного вторжения они могут создать трамплин для сетей клиентов поставщика — иногда сотни или даже тысячи жертв.

«Атаки на цепочки поставок страшны, потому что с ними действительно сложно бороться и потому, что вы, очевидно, доверяете всей экологии», — сказал Ник Уивер, исследователь безопасности в Международном институте компьютерных наук Калифорнийского университета в Беркли. «Вы доверяете любому торговому посреднику, чей код находится на вашем компьютере, а также Вы доверяете продавцам каждого поставщика. «

Серьезность угрозы цепочки поставок была массово продемонстрирована в декабре прошлого года, когда стало ясно, что российские хакеры, позже идентифицированные как работающие на службу внешней разведки страны, известную как СВР, взломал программное обеспечение SolarWinds и внедрил вредоносный код в его инструмент управления информационными технологиями Orionпозволяя получить доступ к 18 000 сетей, которые использовали приложение по всему миру. SVR использовало эту поддержку, чтобы глубоко проникнуть в сети как минимум девяти федеральных агентств США, включая НАСА, Государственный департамент, Министерство обороны и Министерство юстиции.

Но настолько шокирующая была операция по шпионажу, что SolarWinds не была уникальной. Серьезные атаки на цепочку поставок наносили ущерб компаниям по всему миру в течение многих лет, до и после смелой российской кампании. Буквально в прошлом месяце выяснилось, что хакеры взломали инструмент разработки программного обеспечения, продаваемый CodeCov что дало хакерам доступ к сотням сетей жертв. А ТАКЖЕ Китайская хакерская группа, известная как Barium, осуществила как минимум шесть атак на цепочку поставок. последние пять лет скрывая вредоносный код в программном обеспечении Asus и v CCleaner для очистки жесткого диска. В 2017 г. Русские хакеры, известные как Sandworm, которая является частью военной разведки ГРУ в стране, захватила обновления программного обеспечения украинского бухгалтерского программного обеспечения MEDoc и использовала его для саморасширяющийся деструктивный код, известный как NotPetyaчто в конечном итоге нанесло глобальный ущерб в размере 10 миллиардов долларов — самая дорогостоящая кибератака в истории.

Фактически, атаки на цепочку поставок были впервые продемонстрированы около четырех десятилетий назад, когда Кен Томпсон, один из создателей операционной системы Unix, захотел посмотреть, сможет ли он скрыть черный ход в функции входа в систему Unix. Томпсон не только внедрил вредоносный код, который позволял ему войти в любую систему. Он построил компилятор — инструмент для преобразования читаемого исходного кода в машиночитаемую исполняемую программу, — который тайно запускал бэкдоры при компиляции. Затем он пошел еще дальше и повредил компилятор. составлен компилятор, так что даже исходный код компилятора пользователя не имеет явных признаков подделки. «Нравственность очевидна», — сказал Томпсон. он написал в лекции, объясняющей его демонстрацию в 1984 году. «Вы не можете доверять коду, который вы создали не сами. (Особенно код от компаний, в которых работают такие люди, как я.) «

Этот теоретический трюк — своего рода двойная атака на цепочку поставок, которая наносит ущерб не только широко используемому программному обеспечению, но и инструментам, используемым для его создания, с тех пор также стал реальностью. В 2015 году хакеры распространял поддельную версию XCode, инструмент, используемый для создания приложений iOS, которые тайно внедрили вредоносный код в десятки китайских приложений для iPhone. И технологии снова появились в 2019 году, когда Китайские хакеры Barium испортили версию компилятора Microsoft Visual Studio Таким образом, это позволило им скрыть вредоносное ПО в нескольких видеоиграх.

Увеличение числа атак на цепочки поставок, утверждает Уивер из Беркли, может быть частично связано с улучшением защиты от элементарных атак. Хакерам приходилось искать менее защищенные сайты вторжений. А атаки на цепочки поставок также дают экономию на масштабе; взломайте одного поставщика программного обеспечения, чтобы получить доступ к сотням сетей. «Отчасти вы хотите получить деньги, а отчасти просто хотите, чтобы атаки на цепочки поставок были косвенными. Ваши настоящие цели — это не те, кого вы атакуете », — говорит Уивер. «Если ваши настоящие цели непросты, это может быть самым слабым местом для их достижения».

Предотвратить будущие атаки на цепочку поставок будет непросто; У компаний нет простого способа гарантировать, что программное и аппаратное обеспечение, которое они покупают, не повреждено. Особенно сложно обнаружить атаки на цепочку поставок оборудования, при которых противник физически накладывает вредоносный код или компоненты на часть оборудования. Пока Сенсационный отчет Bloomberg за 2018 год: о том, что крошечные шпионские чипы были спрятаны внутри материнских плат SuperMicro, используемых на серверах в центрах обработки данных Amazon и Apple, все участвующие компании категорически отрицают эту историю — как и АНБ. Но секретные утечки Эдварда Сноудена показали, что Само АНБ похитило поставки маршрутизаторов Cisco а также прикрывал их для своих шпионских целей.

По словам Бо Вудса, главного советника Агентства по кибербезопасности и безопасности инфраструктуры, борьба с атаками на цепочки поставок — как на программное обеспечение, так и на оборудование — может быть не столь технологичной, сколько организационной. Компании и государственные учреждения должны знать, кто их поставщики программного и аппаратного обеспечения, проверять их и соблюдать определенные стандарты. Он сравнивает этот сдвиг с тем, как такие компании, как Toyota, пытаются контролировать и ограничивать свои цепочки поставок для обеспечения надежности. То же самое нужно сделать сейчас и для кибербезопасности. «Он пытается оптимизировать цепочку поставок: меньше поставщиков и лучше запчасти от этих поставщиков», — говорит Вудс. «Разработка программного обеспечения и ИТ-операции в некотором отношении ослабляют эти принципы цепочки поставок».

Белый дом Байдена исполнительный приказ кибербезопасности , выпущенные ранее в этом месяце, могут помочь. Он устанавливает новые минимальные стандарты безопасности для любой компании, которая хочет продавать программное обеспечение федеральным агентствам. Однако такая же тщательная проверка по-прежнему необходима во всем частном секторе. По словам Вудса, частным компаниям, а также федеральным агентствам не следует ожидать, что эпидемия компромиссов в цепочке поставок скоро закончится.

Кен Томпсон, возможно, был прав в 1984 году, когда написал, что нельзя полностью доверять никакому коду, написанному не вами. Но проверенный код от поставщиков, которым вы доверяете — и которые протестировали — может быть следующим лучшим вариантом.

Эта история впервые появилась на wired.com.

[

https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/among-us-hack-generator-working-creator-jRfE.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/army-of-the-dead-bigs-04bS.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/boogie-ONLINE-bigs-ud18.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/coin-master-free-spins-monster-fPvg.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/coin-master-free-spins-x6sg.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/fast-and-furious-9-FREE-bigs-4yp7.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/fortnite-account-generator-ps-xbox-windows-npA8.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/fortnite-free-skisn-generator-news-4tQn.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/fortnite-skins-generator-uy7c.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-coin-master-spins-6JzV.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-fort-nite-skins-v1-izVK.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-fortnite-skin-generator-model-modded-skins-M3py.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-fortnite-vbucks-generator-vbucks-for-fortnite-SKf0.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-psn-code-new-master-KQQB.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-psn-codes-generator-psn-gift-card-generator-master-S3V6.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-ro-bux-2021-new-luGd.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-ro-bux-generator-new-codes-working-updat-QFlK.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-ro-bux-generator-officialdsf-vjCz.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-ro-bux-generator-QrAj.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-ro-bux-generator-updatedfdffgwtt-PR60.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-ro-bux-generator-winn-CaLn.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-ro-bux-generators-SV1w.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-rob-lox-free-ro-bux-generator-oms3.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-rob-lox-ro-bux-generator-iKdv.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-rob-lox-ro-bux-generator-win-2021-busO.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-roblox-robux-generator-eEIQ.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-robux-generator—no-human-verificationc-YIPY-Mnlw.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-robux-generator-for-roblox-no-humanverificationc-news-IBIw.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-robux-generator-glitchs-G5Is.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-robux-generator-new-codes-0rPO.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-robux-generator-no-surveyy-choice-rSh6.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-robux-generator-roblox-hack-new-robuxcodes_gmPY-BYQ8.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-v-bucks-for-battle-royale-70mL.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-v-bucks-generator-fort-bucks-hxrw.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-v-bucks-generator-ps4-xbox-pc-ios-G0P3.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-vbucks-generator-fortnite-bucks-mmuv.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/free-xbox-gift-cardgenerator-master-GoS2.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/garena-free-fire-hack-diamonds-generator-brBq.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/godzilla-vs-kong-free-bigs-qvjt.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/greenland-online-free-bigs-2Ggc.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/gta-5-money-hack-gec6.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/netflix-account-generator-working-master-EbJQ.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/onlyfans-hack-tool-azSC.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/ro-bux-generator-free-rbx-u4nq.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/rob-lox-free-generator-working-updated-and-new-QqoI.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/v-bucks-generator-checkers-MJl3.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/watch-endangered-species-online-free-bigs-josc.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/watch-f9-fast-and-furious-9-online-free—bigs-mvDx.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/watch-final-account-free-online-bigs-ywYQ.pdf
https://fewsus.utk.edu/wp-content/uploads/sites/177/formidable/11/pdfs/watch-godzilla-vs-kong-online-free-bigs-olku.pdf

]

Add a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *