Supply Chain Attack è un tipo di attacco informatico che prende di mira elementi meno sicuri nella supply chain di un'organizzazione piuttosto che attaccare direttamente l'organizzazione.
Indice
Attacco alla supply chain
Negli ultimi anni, gli attacchi alla supply chain hanno provocato danni in tutto il mondo. Si tratta di un tipo di attacco informatico che sfrutta i rapporti di fiducia tra le organizzazioni, utilizzando un partner compromesso come punto d’ingresso per infiltrarsi in altre realtà. L'obiettivo è infiltrarsi nella rete o nei sistemi di un'organizzazione compromettendo un fornitore, un partner o un fornitore terzo che ha accesso ai suoi dati, software o infrastruttura di rete.
La caratteristica principale è che permette di penetrare indirettamente nei sistemi, compromettendo prima le parti meno protette della supply chain, come i fornitori esterni. Poiché questi soggetti fanno parte delle attività quotidiane, spesso l’attacco passa inosservato fino a quando i danni non sono già significativi.
Caratteristiche chiave degli attacchi alla supply chain
Approccio indiretto
Invece di attaccare direttamente l'organizzazione bersaglio, gli aggressori compromettono una terza parte fidata, come un fornitore di software, hardware o servizi. Questa terza parte diventa quindi un canale per consegnare il payload malevolo al target finale.
Complessità e scalabilità
Gli attacchi alla supply chain possono essere complessi, coinvolgendo più fasi e interessando un gran numero di organizzazioni. Gli aggressori possono inserire codici o hardware malevoli in diverse fasi della supply chain, rendendo difficile il rilevamento.
Sfruttamento della fiducia
Questi attacchi sfruttano le relazioni di fiducia tra un'organizzazione e i suoi fornitori. Poiché i fornitori di terze parti hanno spesso un accesso privilegiato ai sistemi o ai dati sensibili di un'organizzazione, diventano un obiettivo attraente per gli aggressori.
Impatto diffuso
L'impatto di un attacco alla supply chain può essere significativo, interessando non solo l'obiettivo primario, ma potenzialmente migliaia di altre organizzazioni che si affidano alla terza parte compromessa.
Tipi di attacchi alla supply chain
Gli attacchi alla supply chain si suddividono in tre categorie in base al punto di origine:
Attacchi alla supply chain del software
Questi attacchi compromettono i processi di sviluppo o distribuzione del software per inserire codice dannoso all’interno delle applicazioni o dei programmi di aggiornamento. Gli aggressori possono così infiltrarsi attraverso software apparentemente legittimi.
I vettori di attacco comuni comprendono codice open source, strumenti di amministrazione e applicazioni diffuse. Di solito, i criminali iniziano compromettendo un fornitore fidato che sviluppa o distribuisce il software, per poi usare i server di aggiornamento o i canali di distribuzione e diffondere versioni compromesse.
Se il software è molto utilizzato, l’impatto può essere su larga scala e coinvolgere molte organizzazioni contemporaneamente.
Attacchi alla supply chain dei servizi
Questi attacchi prendono di mira i fornitori di servizi, come i Managed Service Provider (MSP), e sfruttano i loro accessi per diffondere malware in più ambienti.
Un esempio noto è l’attacco ransomware del 2021 che ha colpito Kaseya VSA, una soluzione di gestione IT da remoto. Gli aggressori hanno compromesso MSP che utilizzavano Kaseya VSA, diffondendo ransomware ai loro clienti. Poiché gli MSP gestiscono le reti dei clienti, diventano punti di distribuzione per malware come i ransomware.
Si stima che fino a 1.500 aziende siano state coinvolte.
Attacchi alla supply chain commerciale
Questi attacchi prendono di mira l’ecosistema più ampio di partner, fornitori e operatori logistici, per infiltrarsi nell’organizzazione principale.
La tecnica è ormai talmente diffusa da essere considerata una strategia standard.
Trend Micro osserva costantemente gruppi come Earth Hundun (BlackTech) e Earth Tengshe (collegato ad APT10), che prima compromettono le filiali estere e poi usano quell’accesso per infiltrarsi nelle sedi principali.
Categorie di attacchi alla supply chain
- Aggiornamenti software compromessi: Gli aggressori inseriscono codici malevoli negli aggiornamenti software distribuiti a un gran numero di utenti.
- Librerie software di terze parti compromesse: Inserimento di codice dannoso in applicazioni di terze parti o dipendenze integrate in prodotti software legittimi.
- Hardware o firmware compromesso: Inserimento di componenti hardware o firmware malevoli nei prodotti durante il processo di produzione o distribuzione.
- Dirottamento degli strumenti per sviluppatori: Compromissione degli strumenti utilizzati dagli sviluppatori, come gli ambienti di sviluppo integrati (IDE) o le pipeline di integrazione continua/distribuzione continua (CI/CD).
- Dipendenze software compromesse: Iniezione di codici malevoli in dipendenze software legittime ampiamente utilizzate.
- Esfiltrazione dei dati tramite protocolli sfruttati: Sfruttare le vulnerabilità in protocolli come SMB, TLS, SSH o mirare direttamente ai database attraverso metodi come SQL injection per esfiltrare i dati.
- Mirare a progetti open source: Attacco di progetti open source ampiamente utilizzati, inserimento di codici malevoli che possono influire su molti progetti a valle.
Esempi di attacchi alla supply chain
Attacco SolarWinds (2020)
Gli aggressori si sono infiltrati nel meccanismo di aggiornamento del software Orion di SolarWinds, fornendo aggiornamenti malevoli a oltre 18.000 clienti, tra cui agenzie governative e grandi aziende.
Risorsa: Avviso CISA su SolarWinds
RockYou2024 (2024)
La perdita di password "RockYou2024", in cui quasi 10 miliardi di credenziali precedentemente compromesse sono state compilate e pubblicate su un forum di hacking, evidenzia il significativo rischio della catena di fornitura rappresentato dall'aggregazione, dal riutilizzo e dall'esposizione pubblica di credenziali violate su più piattaforme e servizi.
Risorsa: Quasi 10 miliardi di password tralasciate nella più grande raccolta di tutti i tempi
Modelli in grandi lingue (LLM) e chatbot pubblici (2024)
I chatbot pubblici basati su LLM possono inavvertitamente esporre informazioni interne sensibili condivise durante le interazioni, sfruttando la fiducia che le aziende ripongono in questi servizi IA, il che sottolinea i rischi di affidarsi a piattaforme IA esterne che potrebbero involontariamente far trapelare dati riservati attraverso i loro processi di apprendimento e interazione.
Risorsa: I chatbot personalizzati di OpenAI svelano i loro segreti
Compromissione del server PHP Git (2021)
Gli aggressori hanno compromesso il server Git di PHP, tentando di inserire una backdoor nel codice sorgente del popolare linguaggio di web scripting.
Risorsa: ZDNet su PHP Git Server Hack
Compromissioni IoT e OT
Il movimento laterale da un vettore di attacco iniziale, come lo spear phishing, a dispositivi IoT o OT come fotocamere e stampanti, può anche essere visto come un salto nelle isole.
Risorsa: Krebs on Security Report
Dati pubblici nazionali degli Stati Uniti (2024)
La violazione è stata resa possibile dalle vulnerabilità di una proprietà gemella, RecordsCheck, che ha consentito agli aggressori di sfruttare le relazioni di fiducia tra i servizi correlati per accedere ai dati sensibili.
Trend Vision One Platform
Il blocco più rapido degli avversari e il mantenimento del controllo dei rischi informatici partono da una piattaforma singola. Gestisci la sicurezza in modo olistico con funzionalità complete di prevenzione, rilevamento e risposta alimentate dall'intelligenza artificiale, dalla ricerca sulle minacce e dall'intelligence.
Trend Vision One supporta ambienti IT ibridi diversi, automatizza e orchestra i workflow e fornisce servizi di cybersecurity esperti, in modo da semplificare e far convergere le operazioni di sicurezza.