Che cos'è l'attacco alla supply chain?

tball

Supply Chain Attack è un tipo di attacco informatico che prende di mira elementi meno sicuri nella supply chain di un'organizzazione piuttosto che attaccare direttamente l'organizzazione. 

Attacco alla supply chain

Negli ultimi anni, gli attacchi alla supply chain hanno provocato danni in tutto il mondo. Si tratta di un tipo di attacco informatico che sfrutta i rapporti di fiducia tra le organizzazioni, utilizzando un partner compromesso come punto d’ingresso per infiltrarsi in altre realtà. L'obiettivo è infiltrarsi nella rete o nei sistemi di un'organizzazione compromettendo un fornitore, un partner o un fornitore terzo che ha accesso ai suoi dati, software o infrastruttura di rete. 

La caratteristica principale è che permette di penetrare indirettamente nei sistemi, compromettendo prima le parti meno protette della supply chain, come i fornitori esterni. Poiché questi soggetti fanno parte delle attività quotidiane, spesso l’attacco passa inosservato fino a quando i danni non sono già significativi.

Caratteristiche chiave degli attacchi alla supply chain  

Approccio indiretto

Invece di attaccare direttamente l'organizzazione bersaglio, gli aggressori compromettono una terza parte fidata, come un fornitore di software, hardware o servizi. Questa terza parte diventa quindi un canale per consegnare il payload malevolo al target finale. 

Complessità e scalabilità

Gli attacchi alla supply chain possono essere complessi, coinvolgendo più fasi e interessando un gran numero di organizzazioni. Gli aggressori possono inserire codici o hardware malevoli in diverse fasi della supply chain, rendendo difficile il rilevamento. 

Sfruttamento della fiducia

Questi attacchi sfruttano le relazioni di fiducia tra un'organizzazione e i suoi fornitori. Poiché i fornitori di terze parti hanno spesso un accesso privilegiato ai sistemi o ai dati sensibili di un'organizzazione, diventano un obiettivo attraente per gli aggressori. 

Impatto diffuso

L'impatto di un attacco alla supply chain può essere significativo, interessando non solo l'obiettivo primario, ma potenzialmente migliaia di altre organizzazioni che si affidano alla terza parte compromessa. 

Tipi di attacchi alla supply chain

Gli attacchi alla supply chain si suddividono in tre categorie in base al punto di origine:

Attacchi alla supply chain del software

Questi attacchi compromettono i processi di sviluppo o distribuzione del software per inserire codice dannoso all’interno delle applicazioni o dei programmi di aggiornamento. Gli aggressori possono così infiltrarsi attraverso software apparentemente legittimi.

I vettori di attacco comuni comprendono codice open source, strumenti di amministrazione e applicazioni diffuse. Di solito, i criminali iniziano compromettendo un fornitore fidato che sviluppa o distribuisce il software, per poi usare i server di aggiornamento o i canali di distribuzione e diffondere versioni compromesse.

Se il software è molto utilizzato, l’impatto può essere su larga scala e coinvolgere molte organizzazioni contemporaneamente.

Attacchi alla supply chain del software

Attacchi alla supply chain dei servizi

Questi attacchi prendono di mira i fornitori di servizi, come i Managed Service Provider (MSP), e sfruttano i loro accessi per diffondere malware in più ambienti.

Un esempio noto è l’attacco ransomware del 2021 che ha colpito Kaseya VSA, una soluzione di gestione IT da remoto. Gli aggressori hanno compromesso MSP che utilizzavano Kaseya VSA, diffondendo ransomware ai loro clienti. Poiché gli MSP gestiscono le reti dei clienti, diventano punti di distribuzione per malware come i ransomware.

Si stima che fino a 1.500 aziende siano state coinvolte.

Attacchi alla supply chain dei servizi

Attacchi alla supply chain commerciale

Questi attacchi prendono di mira l’ecosistema più ampio di partner, fornitori e operatori logistici, per infiltrarsi nell’organizzazione principale.

La tecnica è ormai talmente diffusa da essere considerata una strategia standard.

Trend Micro osserva costantemente gruppi come Earth Hundun (BlackTech) e Earth Tengshe (collegato ad APT10), che prima compromettono le filiali estere e poi usano quell’accesso per infiltrarsi nelle sedi principali.

Attacchi alla supply chain commerciale

Categorie di attacchi alla supply chain  

  • Aggiornamenti software compromessi: Gli aggressori inseriscono codici malevoli negli aggiornamenti software distribuiti a un gran numero di utenti.
  • Librerie software di terze parti compromesse: Inserimento di codice dannoso in applicazioni di terze parti o dipendenze integrate in prodotti software legittimi.
  • Hardware o firmware compromesso: Inserimento di componenti hardware o firmware malevoli nei prodotti durante il processo di produzione o distribuzione.
  • Dirottamento degli strumenti per sviluppatori: Compromissione degli strumenti utilizzati dagli sviluppatori, come gli ambienti di sviluppo integrati (IDE) o le pipeline di integrazione continua/distribuzione continua (CI/CD).
  • Dipendenze software compromesse: Iniezione di codici malevoli in dipendenze software legittime ampiamente utilizzate.
  • Esfiltrazione dei dati tramite protocolli sfruttati: Sfruttare le vulnerabilità in protocolli come SMB, TLS, SSH o mirare direttamente ai database attraverso metodi come SQL injection per esfiltrare i dati.
  • Mirare a progetti open source: Attacco di progetti open source ampiamente utilizzati, inserimento di codici malevoli che possono influire su molti progetti a valle.

Esempi di attacchi alla supply chain  

Attacco SolarWinds (2020)

Gli aggressori si sono infiltrati nel meccanismo di aggiornamento del software Orion di SolarWinds, fornendo aggiornamenti malevoli a oltre 18.000 clienti, tra cui agenzie governative e grandi aziende. 

Risorsa: Avviso CISA su SolarWinds

RockYou2024 (2024)

La perdita di password "RockYou2024", in cui quasi 10 miliardi di credenziali precedentemente compromesse sono state compilate e pubblicate su un forum di hacking, evidenzia il significativo rischio della catena di fornitura rappresentato dall'aggregazione, dal riutilizzo e dall'esposizione pubblica di credenziali violate su più piattaforme e servizi. 

Risorsa: Quasi 10 miliardi di password tralasciate nella più grande raccolta di tutti i tempi

Modelli in grandi lingue (LLM) e chatbot pubblici (2024)

I chatbot pubblici basati su LLM possono inavvertitamente esporre informazioni interne sensibili condivise durante le interazioni, sfruttando la fiducia che le aziende ripongono in questi servizi IA, il che sottolinea i rischi di affidarsi a piattaforme IA esterne che potrebbero involontariamente far trapelare dati riservati attraverso i loro processi di apprendimento e interazione. 

Risorsa: I chatbot personalizzati di OpenAI svelano i loro segreti

Compromissione del server PHP Git (2021)

Gli aggressori hanno compromesso il server Git di PHP, tentando di inserire una backdoor nel codice sorgente del popolare linguaggio di web scripting. 

Risorsa: ZDNet su PHP Git Server Hack

Compromissioni IoT e OT

Il movimento laterale da un vettore di attacco iniziale, come lo spear phishing, a dispositivi IoT o OT come fotocamere e stampanti, può anche essere visto come un salto nelle isole. 

Risorsa: Krebs on Security Report

Dati pubblici nazionali degli Stati Uniti (2024)

La violazione è stata resa possibile dalle vulnerabilità di una proprietà gemella, RecordsCheck, che ha consentito agli aggressori di sfruttare le relazioni di fiducia tra i servizi correlati per accedere ai dati sensibili. 

Risorsa: Violazione nazionale dei dati pubblici: Solo 134 milioni di email esclusive tralasciate e l'azienda riconosce l'incidente

Trend Vision One Platform

Il blocco più rapido degli avversari e il mantenimento del controllo dei rischi informatici partono da una piattaforma singola. Gestisci la sicurezza in modo olistico con funzionalità complete di prevenzione, rilevamento e risposta alimentate dall'intelligenza artificiale, dalla ricerca sulle minacce e dall'intelligence.

Trend Vision One supporta ambienti IT ibridi diversi, automatizza e orchestra i workflow e fornisce servizi di cybersecurity esperti, in modo da semplificare e far convergere le operazioni di sicurezza.