A cibersegurança é tão importante quanto o “elo mais fraco”, e em uma cadeia de suprimento isso pode ser percebido em praticamente qualquer lugar. As grandes questões podem ser: "qual é e onde está o elo mais fraco?" e "é algo sobre o qual se pode ter controle e abordar"?

Uma cadeia de suprimento consiste em tudo que está entre a matéria-prima e o produto final, abrangendo o fornecedor da matéria, os processos de fabricação, a distribuição e o consumidor. Se pensarmos em uma garrafa de água mineral, qualquer contaminação introduzida de forma criminosa no caminho até o consumidor compromete toda a cadeia de abastecimento.

O produto contaminado

Na cibersegurança não é diferente - um chipset (conjunto de chips) adulterado colocado em um dispositivo, como um roteador, pode contaminar o produto final, criando um problema para o consumidor. Na indústria do software, também podemos nos deparar com um "cenário de componentes contaminados", como o que ocorreu com o fornecedor de segurança FireEye quando foram atacados recentemente. Quando a empresa descobriu que tinha sido vítima de um ataque virtual, uma investigação mais profunda descobriu que o atacante tinha colocado uma atualização maliciosa em um produto de gerenciamento de rede chamado Orion, fabricado por um dos fornecedores de software da empresa, a SolarWinds.

O backdoor - que a FireEye chamou de SUNBURST e que é detectada pela ESET como MSIL/SunBurst.A - foi implantado no Orion antes do código ser fornecido à FireEye, criando assim um produto final contaminado para o consumidor. Neste caso, "o consumidor" se refere a cerca de 18 mil órgãos comerciais e governamentais que instalaram a atualização contaminada através do mecanismo de atualização do Orion, se tornando assim as vítimas finais do ataque. Pelo menos 100 delas foram atacadas com a intenção de realizar outras ações criminosas, e os cibercriminosos inserindo payloads adicionais e entrando mais profundamente nas redes das empresas.

E aí reside o enorme potencial de danos dos ataques à cadeia de suprimento - ao invadir apenas um fornecedor, os criminosos podem eventualmente ser capazes de obter acesso irrestrito e difícil de detectar a grandes faixas de sua base de clientes.

A escrita está na parede

O incidente com a SolarWinds trouxe ecos de ataques anteriores, incluindo os comprometimentos do CCleaner em 2017 e 2018 e os ataques envolvendo o NotPetya (também conhecido como Diskcoder.C) disfarçado de ransomware, que se propagou através de uma atualização de um pacote de contabilidade fiscal legítimo chamado M.E.Doc. E, em 2013, a Target foi vítima de uma violação que teve relação com o roubo de credenciais de login de um fornecedor terceirizado da HVAC; e que de fato, foi este ataque que começou a trazer à tona os ataques à cadeia de suprimentos.

Voltando à atualidade, a equipe de pesquisa da ESET descobriu vários exemplos destes tipos de ataques nos últimos meses - desde o grupo Lazarus através do comprometimento do software WIZVERA VeraPort, passando pela Operação Stealthy Trident na qual atacaram um software de chat para empresas de uso regional, até a Operação SignSight, na qual comprometeram o site de uma autoridade de certificação, até a Operação NightScout, um ataque a cadeia de suprimento no qual comprometeram um mecanismo de atualização de um software emulador de Android para PC.

Embora os ataques tenham usado metodologias e padrões de ataque diferentes, eles eram muito específicos de acordo com o grupo demográfico alvo e, além disso, foram realizados de acordo com o perfil de cada vítima.

Os problemas na cadeia de suprimento podem arruinar sua vida

As cadeias de suprimento são a "fita adesiva" digital que une nossa vida eletrônica. Elas contêm os robôs que montam e programam os bilhões de dispositivos com os quais agora contamos. Você já saiu de casa sem seu smartphone e dirigiu quilômetros de volta para pegá-lo? Sim, isso é dependência. Você usa dispositivos médicos? Como é possível saber se eles não foram atacados? Provavelmente você e a maioria dos usuários responderiam: “não sei!”.

A automação faz sentido: os robôs são melhores nisso do que você ou eu. Mas o que acontece quando os robôs se tornam desonestos? Uma manifestação pelas ruas de Tóquio é uma forma de manifestação cultural popular, mas também pode ser ao colocar backdoors silenciosos no software de controle de edifícios. Também é menos provável ser pego.

Antigamente havia linhas bem divididas entre hardware e software; agora é um borrão. Os fabricantes de chips e sistemas “combinam” um monte de lógica e a introduzem em um chip que é soldado em uma placa. Grande parte do trabalho pesado no código padrão já foi feito e é de código aberto, ou pelo menos amplamente disponível. Os engenheiros apenas fazem o download e escrevem o código que amarra tudo junto e enviam um produto acabado. Funciona muito bem. Ao menos que o código esteja corrompido em algum lugar ao longo do caminho. Com as cadeias de ferramentas rudimentares que ainda usam o acesso variante de protocolos em série antigos e outros protocolos totalmente inseguros, os shenanigans digitais estão maduros para a colheita.

E ultimamente, alguém os tem colhido com crescente frequência e ferocidade.

Desde chips falsos para espionagem do tráfego de rede até o código corrompido sistema em chip (SoC), é difícil ter certeza de que todos os elos em qualquer cadeia de suprimento estão livres de adulteração. A implantação de backdoors acessíveis pela Internet para uso futuro está no topo da agenda dos aspirantes a atacantes, e eles estão dispostos a fazer grandes esforços para conseguir isso.

Tornou-se uma corrida global, com um mercado que a acompanha. Descubra uma falha séria em um software e receba uma camiseta e uma recompensa; venda-a a um criminoso que ameaça o Estado e você poderá comprar sua própria ilha. Neste contexto, é difícil imaginar que um ataque à cadeia de suprimento esteja acima de qualquer suspeita. Na verdade, está acontecendo o oposto.

Mantendo o poço limpo

É praticamente impossível que  qualquer empresa tenha o pleno controle de sua cadeia de suprimento e garanta que nenhum componente bruto incorporado a seus próprios produtos ou serviços possa ser contaminado ou explorado no caminho até o consumidor final. Minimizar o risco de um ataque à cadeia de suprimento envolve um loop interminável de gerenciamento de risco e conformidade; no ataque ocorrido na SolarWinds, a análise profunda do produto do fornecedor terceirizado após o ataque identificou o exploit enterrado no código.

Aqui estão 10 recomendações para reduzir os riscos derivados de cadeias de suprimento que contam com software vulneráveis: 

  • Conheça seu software - mantenha um inventário de todas as ferramentas de open-source usadas por sua organização;
  • Fique atento às vulnerabilidades conhecidas e aplique os patches; de fato, ataques envolvendo atualizações corrompidas não devem de forma alguma desencorajar ninguém de atualizar seu software;
  • Fique alerta para violações que afetem os fornecedores de software de terceiros;
  • Sistemas, serviços e protocolos redundantes ou desatualizados;
  • Avalie o risco de seus fornecedores, desenvolvendo uma compreensão de seus próprios processos de segurança;
  • Defina os requisitos de segurança para seus fornecedores de software;
  • Solicite auditorias regulares de código e perguntar sobre verificações de segurança e procedimentos de controle de mudanças para componentes de código;
  • Informa-se sobre testes de penetração para identificar perigos potenciais;
  • Solicite controles de acesso e autenticação de dois fatores (2FA) para garantir a proteção dos processos de desenvolvimento de software;
  • Execute software de segurança com múltiplas camadas de proteção.

Uma organização precisa ter visibilidade sobre todos os seus fornecedores e os componentes que fornecem, o que inclui as políticas e procedimentos que a empresa tem em vigor. Não basta ter contratos legais que atribuem a culpa ou tornam o fornecedor responsável quando a reputação de sua própria empresa está em jogo; no final das contas, a responsabilidade recai firmemente sobre a empresa à qual o consumidor comprou o produto ou serviço.