Security Week 17: атаки по цепи поставок

В начале апреля мы обсуждали атаку ^[1] ShadowHammer на ноутбуки Asus как пример вредоносной кампании с использованием цепочки поставщиков. Атаки на supply chain представляют особый интерес для исследователей и особую опасность для бизнеса именно потому, что компрометируют доверенные каналы связи. Покупка компьютера, который каким-то образом уже заражен, взлом субподрядчика, имеющего доступ к корпоративным ресурсам клиента, распространение зараженной версии ПО с сайта официального разработчика — это типичные примеры атаки на цепочку поставщиков.

Еще серьезнее может быть проблема, когда жертвой оказывается компания, предоставляющая вам услуги удаленного обслуживания инфраструктуры IT или оказывающая услуги по разработке ПО и внедрению IT-систем. Аутсорсинг подобных задач сторонним организациям является распространенной практикой. На прошлой неделе стало известно об атаке на индийскую компанию Wipro, крупного поставщика IT-услуг. Сначала о компрометации корпоративной сети Wipro написал независимый журналист Брайан Кребс, а потом информацию подтвердили в самой компании (новость ^[2], статья ^[3] Брайана).

Wipro — это очень крупный поставщик IT-сервисов с оборотом в 8 миллиардов долларов в год и десятками тысяч клиентов по всему миру, включая солидные компании и государственные органы. Количество сотрудников компании превышает 170 тысяч. Примеры проектов, упоминаемые в СМИ: внедрение ERP-системы, обновление инфраструктуры для обработки страховых медицинских полисов, внедрение систем клиентской поддержки. Сложные проекты такого уровня предполагают широкий доступ представителей компании к корпоративной сети клиентов.

Что достоверно произошло в компании в марте 2019 года, неизвестно: журналист Брайан Кребс основывается на анонимных источниках на стороне клиентов Wipro, а сама компания в своих заявлениях деталей не раскрывает. Кроме одной: первоначальным методом проникновения в корпоративную сеть компании стал фишинг. Предположительно злоумышленникам удалось получить доступ к компьютеру одного из сотрудников компании, который затем использовался для атаки на других работников. Для удаленного управления конечными устройствами использовалось легитимное ПО ScreenConnect — его, по данным источника, принимавшего участие в расследовании, нашли на сотне компьютеров, имевших доступ как к внутренней сети Wipro, так и к инфраструктуре клиентов компании. Использовалась также утилита Mimikatz — свободно распространяемая программа для извлечения паролей на компьютерах под управлением Windows.

Но это по данным «анонимных» источников. Официально, в комментарии ^[4] изданию India Times, представители Wipro лишь признали факт успешной фишинговой атаки и сообщили о найме независимых экспертов для проведения расследования. Позднее, во время переговоров с инвесторами (по данным ^[5] Кребса), представитель компании квалифицировал произошедшее как «атаку нулевого дня».

Источники Кребса намекают, что ничего сложного в этой атаке не было. Достаточно быстро (за несколько недель) ее удалось отследить благодаря тому, что злоумышленники начали использовать вновь полученный доступ к инфраструктуре компании для мошенничества с подарочными картами розничных сетей. Люди с серьезными намерениями, не разменивающиеся на подобные мелочи, могли оставаться необнаруженными гораздо дольше.

Как минимум в публичном поле реакция Wipro на инцидент была, мягко говоря, не идеальной: проблему долго не признавали, подробностей атаки не представили, делали противоположные заявления (то фишинг, то зиро-дей). Максимально возможная прозрачность при раскрытии информации о киберинцидентах становится не только этической нормой для бизнеса, но и постепенно превращается в законодательное требование во многих странах. Так или иначе, как минимум один клиент компании предпочел заблокировать доступ в собственные IT-системы всем сотрудникам Wipro до завершения расследования. Сама же индийская организация работает над внедрением более защищенной корпоративной электронной почты.

В отношении атак типа supply chain подробное описание атаки и трезвая оценка нанесенного ущерба особенно важны. Не для того, чтобы об этом написали СМИ, — клиентам пострадавшей компании важно понимать, что произошло и какие шаги следует предпринимать, чтобы защититься самим. Свежее исследование показывает ^[6], что примерно в половине случаев атакующие пытаются использовать взломанную инфраструктуру одной компании для атаки на другие организации.

Для защиты от подобных атак стоит заново оценить степень доверия сторонним компаниям, предоставляющим услуги. Показательный пример — произошедший на прошлой неделе инцидент с почтовыми сервисами компании Microsoft (новость ^[7]). Компания превентивно рассылала рекомендации сменить пароль части пользователей почтовых сервисов Outloook, Hotmail и MSN. Как выяснилось, злоумышленники взломали учетную запись одного из контрагентов, оказывающих услуги технической поддержки пользователей. Такие контрагенты не имеют доступ к паролям почтовых ящиков, но могут просматривать часть содержимого — темы сообщений, адреса респондентов, списки почтовых папок. В некоторых случаях, по данным сайта Motherboard, злоумышленники могли получить доступ и к содержимому писем. Хотя доступ атакующих был заблокирован, невозможно оценить, какой объем данных оказался в их руках и как он будет использоваться в дальнейшем.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.

Автор: Kaspersky_Lab

Источник ^[8]