Медийната корпорация BBC, авиопревозвачът British Airways и множество други организации, сред които и няколко университета, са хакнати чрез атака по веригата на доставки (SCA – supply chain attack). Пробивът е дело на рансъмуер групата Clop. Докато схватката с хакерите е на ход, експертите по киберсигурност препоръчват три важни стъпки за намаляване на риска от подобен вид атака.
В анонс, публикуван в тъмната мрежа, рансъмуер групата Clop предупреди засегнатите организации да се свържат с хакерската банда до 14 юни, за да се договорят за откупа – в противен случай откраднатите данни на хиляди потребители ще станат обществено достояние. Смята се, че застрашените данни съдържат големи обеми лична информация, включително имена, банкови данни, адреси и социалноосигурителни номера.
Сред засегнатите от този инцидент със сигурността са британският доставчик на услуги за управление на заплати Zellis, Университетът в Манчестър, както и някои организации на територията на Северна Америка като Университетът на Рочестър и правителството на Нова Скотия в Канада.
Zellis е навярно най-обещаващата жертва на хакерската атака. Сред клиентите на Zellis са компании като Jaguar Land Rover, Harrods и Dyson. От пострадалата фирма увериха своите клиенти, че пробивът не засяга други критични компоненти на тяхната ИТ екосистема.
„Можем да потвърдим, че малък брой от нашите клиенти са били засегнати от този глобален проблем и работим активно, за да ги подкрепим. Целият софтуер, притежаван от Zellis, не е засегнат и няма свързани инциденти или компромиси с която и да е друга част от нашите ИТ“, отбеляза Zellis в изявление.
„Бяхме информирани, че сме една от компаниите, засегнати от инцидента с киберсигурността на Zellis, който се случи чрез един от техните доставчици – трети страни, наречен MOVEit“, каза British Airways пред медиите.
Успешна SCA
Clop се възползва от уязвимост, свързана с SQL инжектиране, в популярния бизнес-софтуер MOVEit, което на практика ѝ е осигурило достъп до неговите сървъри. Софтуерът MOVEit е предназначен за сигурно придвижване на чувствителни файлове. Той е популярен по целия свят, като повечето от клиентите му са в САЩ и Европа.
Миналата седмица Агенцията за киберсигурност и инфраструктурна сигурност в САЩ предупреди, че хакери са открили уязвимост в инструмента MOVEit Transfer, и призова потребителите по целия свят да търсят начини да защитят своята чувствителна информация срещу възможна атака по веригата на доставки.
Кои са Clop
За групата Clop се твърди, че е руска и че е автор на много пробиви, насочени към водещи бизнес-структури по света. През февруари 2023 г. бандата пое отговорност за атака по веригата за доставки, която засегна повече от 130 организации по света.
Групата имаше пръст и в пробива на Accellion File Transfer Appliance през 2020 г., който засегна около 100 организации, включително Shell, Kroger и Австралийската комисия по ценни книжа и инвестиции. В друга голяма атака групата пое отговорност за публикуването на чувствителни медицински досиета на пациенти на британската здравна система NHS в тъмната мрежа, след като NHS отказа да се поддаде на искането за откуп от 3 милиона лири.
Ръст на SCA
През последните години атаките във веригата на доставки се превърнаха в нарастващ проблем в света на киберсигурността. SCA са особено привлекателни за киберпрестъпниците, тъй като предлагат възможност за нанасяне на множество щети с един-единствен пробив.
В скорошен доклад по проблема Statista отбелязва, че в глобален мащаб броят на софтуерните пакети, засегнати от SCA, е нараснал значително между 2019 г. и 2022 г., увеличавайки се от 702 до 185 572. Освен това от януари до март 2023 г. кибератаките по веригата за доставки са засегнали около 17 150 софтуерни пакета.
Като се има предвид нарастващият процент на SCA, експертите по киберсигурност съветват организациите да възприемат най-добрите практики, за да останат в безопасност.
Три полезни стъпки за превенция
Методите за предпазване от SCA са многобройни и сложни, но ето три съвета, които специалистите най-често дават.
- Архитектура с „нулево доверие“
Архитектурата с „нулево доверие“ работи въз основа на предположението, че всички мрежови дейности са потенциално злонамерени. Подходът означава, че всяка заявка за връзка трябва да отговаря на набор от строги политики, преди да се осигури достъп до който и да е от организационните ресурси.
- Медени капани
Медените капани служат като механизми за откриване, които уведомяват организациите за подозрителни действия в тяхната мрежа. Тези ресурси имитират ценни данни, като подмамват нападателите да повярват, че имат достъп до ценни активи.
Медените капани могат да бъдат под формата на фалшиви данни, имейл адреси и изпълними файлове. Когато нападателите взаимодействат с тези ресурси – които по същество са примамка – се задейства предупреждение, уведомяващо организацията за опита за пробив.
- Редовни оценки на риска у трети страни
Понякога доставчиците на софтуер, които представляват трети страни, не приемат киберсигурността достатъчно сериозно. Това може да бъде опасност и тя трябва да бъде вземана предвид.
Добра идея е всяка организация да се уверява, че нейните партньори използват софтуер от доставчици, които са проверени. Този род проверка е добре да залегне в цялостните планове за киберсигурност и да са част от схемите за гарантиране на сигурността и съответствието.