O que é um hack da cadeia de suprimentos e como você pode se manter seguro?

Quando você pensa em um ataque de segurança cibernética, a imagem de um hacker investigando uma rede em busca de vulnerabilidades vem à mente. Ou um ataque de phishing que rouba as credenciais de login de um funcionário ou malware instalado em um computador.

Todos esses são métodos de ataque válidos e comuns. Mas e se houvesse outra maneira de se infiltrar em uma rede que não envolvesse o ataque direto ao alvo?

Um ataque à cadeia de suprimentos faz exatamente isso, explorando organizações ligadas ao alvo e atacando a cadeia de suprimentos dos alvos. Então, o que são ataques à cadeia de suprimentos e como eles funcionam?

O que é um corte na cadeia de suprimentos?

Um ataque à cadeia de suprimentos visa danificar ou se infiltrar em uma organização, identificando partes vulneráveis ​​de sua rede de suprimentos. O ataque a uma cadeia de suprimentos apresenta várias oportunidades de infiltração bem-sucedida – ainda mais quando se ataca uma organização com uma rede de cadeia de suprimentos complicada ou intrincada.

Em quase todos os ataques à cadeia de suprimentos, a vítima inicial não é o único alvo do invasor. Em vez disso, o elemento da cadeia de abastecimento é um trampolim para um peixe maior. O invasor explora vulnerabilidades no alvo mais fácil e aproveita isso para chegar ao objetivo final.

Embora os ataques à cadeia de suprimentos pareçam raros, um estudo de junho de 2020 da Opinion Matters for BlueVoyant [PDF, inscrição obrigatória] descobriu que 80 por cento das organizações "sofreram uma violação relacionada a terceiros nos últimos 12 meses". Além disso, 77 por cento dos entrevistados têm "visibilidade limitada em torno de seus fornecedores terceirizados".

Com números como esse, você vê por que os ataques à cadeia de suprimentos não são apenas populares, mas também como eles conseguem passar do alvo inicial para a organização principal.

É extremamente difícil para uma empresa detectar um ataque à cadeia de suprimentos de software de terceiros. A própria natureza do ataque significa que os arquivos maliciosos estão ocultos não apenas do alvo principal, mas do link vulnerável na cadeia de abastecimento. O computador nem precisa estar online para que o ataque funcione .

A organização-alvo só pode perceber que há um problema quando seus dados começam a aparecer para venda em outro lugar ou algo semelhante dispara um alarme. Com esse acesso profundo à rede interna, é possível mover-se livremente dentro da organização, até mesmo excluindo os sinais reveladores de um intruso.

Tipos de ataque à cadeia de suprimentos

Os ataques à cadeia de suprimentos não são de tamanho único. A cadeia de suprimentos de uma grande organização pode incluir várias partes móveis diferentes. Um invasor deve pensar sobre que tipo de ataque à cadeia de suprimentos usar contra um alvo.

Aqui estão três ataques notáveis ​​à cadeia de suprimentos para você considerar.

1. Alvo

Em 2013, o varejista americano Target foi alvo de um grande ataque que resultou na perda de informações sobre 110 milhões de cartões de crédito e débito usados ​​em suas lojas. A quantidade total de dados roubados foi de apenas 11 GB, mas o tipo de dados roubados foi particularmente valioso.

Os invasores identificaram vários fornecedores terceirizados na rede corporativa da Target. Embora o número final de tentativas de exploração seja desconhecido, o negócio vulnerável era a Fazio Mechanical, uma empresa de refrigeração.

Depois que o contratado foi comprometido, os invasores esperaram dentro da rede da empresa até que fosse possível escalar para um sistema de destino usando credenciais roubadas. Eventualmente, os invasores obtiveram acesso aos servidores da Target, procurando outros sistemas vulneráveis ​​dentro da rede da empresa.

A partir daqui, os invasores exploraram o sistema de ponto de venda (POS) da Target, retirando informações do cartão de milhões de clientes.

2. SolarWinds

Um exemplo principal de ataque à cadeia de suprimentos de software de terceiros é o SolarWinds , cujo software de gerenciamento remoto Orion foi comprometido em 2020. Os invasores inseriram um backdoor malicioso no processo de atualização de software.

Quando a atualização foi enviada para centenas de milhares de clientes da SolarWinds, o malware do invasor foi com ela. Como a atualização foi assinada digitalmente normalmente, tudo apareceu normalmente.

Relacionado: O que é malware assinado por código?

Depois de ativar o software como parte do processo normal de atualização, os invasores obtiveram acesso a um grande número de alvos críticos, incluindo o Tesouro dos EUA, os Departamentos de Segurança Interna, Comércio, Estado, Defesa e Energia e a Administração Nacional de Segurança Nuclear .

O ataque da SolarWinds é um dos maiores e mais bem-sucedidos ataques à cadeia de suprimentos já realizados.

3. Stuxnet

Você sabia que um dos hacks mais infames de todos os tempos foi um ataque à cadeia de suprimentos?

O Stuxnet é um worm de computador com um alvo extremamente específico: sistemas que executam um determinado tipo de software, de um fabricante específico, encontrado em usinas nucleares iranianas. O malware Stuxnet faz com que as centrífugas aumentem drasticamente de velocidade, destruindo o material na centrífuga e a própria infraestrutura no processo.

Relacionado: Um ataque cibernético pode causar danos físicos?

Acredita-se que o worm altamente direcionado e incrivelmente sofisticado seja o trabalho dos governos dos EUA e de Israel, trabalhando juntos para eliminar uma aparente ameaça nuclear iraniana.

O Stuxnet foi introduzido na cadeia de suprimentos da usina nuclear iraniana usando uma unidade flash USB infectada. Depois de instalado em um computador, o Stuxnet movia-se lateralmente pela rede, procurando o sistema de controle correto antes de funcionar.

Como o Stuxnet tem um alvo preciso, ele não chama atenção para si mesmo, ativando-se apenas quando atinge um computador que atende às especificações.

Como se manter seguro na era do ataque à cadeia de suprimentos

Cadeias de suprimentos são difíceis de gerenciar nos melhores momentos. Muitas empresas usam soluções de software de terceiros para gerenciar aspectos de seus negócios. Isso inclui ferramentas de gerenciamento remoto ou software de contabilidade, ou mesmo plataformas como o Microsoft Office 365.

As empresas simplesmente não podem reunir todos os aspectos de seus negócios sob o mesmo teto. Nem deveriam precisar. Confiar em um desenvolvedor de software ou provedor de serviços em nuvem não deve aumentar drasticamente as chances de você ou sua empresa ser vítima de um ataque.

O aumento da segurança para empresas e consumidores também gera ataques à cadeia de suprimentos. Se os invasores não conseguirem encontrar um caminho para entrar na organização, atacar o próximo nível abaixo é a maneira mais econômica e pragmática de obter acesso. Também é menos provável que seja detectado por sistemas de segurança corporativa.

Em muitos casos, os ataques à cadeia de suprimentos são operações extensas, bem pesquisadas e bem financiadas.

Por exemplo, SolarWinds é o trabalho de uma equipe de hackers de estado-nação que teve meses para trabalhar e entregar o hack da cadeia de suprimentos. Da mesma forma, o Stuxnet combinou vários ataques de dia zero em um único pacote para atingir as usinas nucleares iranianas, e o hack da cadeia de suprimentos da Target demorou para ser executado.

Não estamos falando aqui de amadores de script aleatórios, que encontraram uma vulnerabilidade. São equipes de hackers trabalhando juntas para atacar um alvo específico. Acontece que a cadeia de suprimentos é o caminho de menor resistência.