Elettronica Plus

Gli attacchi alla supply chain mettono il business a rischioERT

Proofpoint

Di Ferdinando Mancini, Director, Southern Europe Sales Engineering, Proofpoint

I criminali informatici sono sempre più audaci e sofisticati nei loro metodi e si servono di spoofing o dell’appropriazione di account legittimi per violare la sicurezza aziendale e causare il massimo danno.

Attraverso la compromissione degli account dei fornitori, l’invio di malware e gli attacchi BEC (Business Email Compromise), i malintenzionati si impossessano delle credenziali degli utenti aziendali, trasformando supply chain ed ecosistema dei partner nel più recente vettore di attacco.

Secondo l’FBI Internet Crime Report 2023, gli attacchi BEC sono stati una delle principali preoccupazioni dello scorso anno, con un costo di oltre 2,9 miliardi di dollari.

Come proteggere quindi il personale dagli attacchi alla catena di approvvigionamento? Analizziamo le ultime tendenze nel panorama delle minacce e facciamo luce su queste tecniche.

Capire la compromissione degli account

Le minacce alla supply chain sono tra le forme più comuni e costose di attacco BEC. Non solo quattro aziende su cinque le subiscono ogni mese, ma è anche il fattore scatenante di circa un quinto degli incidenti ransomware.

Se in alcuni casi compromettere gli account dei fornitori può essere complesso, in altri richiede pochissime abilità. Uno dei metodi più semplici è lo spoofing dei domini di fornitori legittimi, non richiede credenziali o accesso all’account, ma è molto più facile da contrastare con semplici controlli e procedure, come l’implementazione del protocollo DMARC e la verifica dell’età del dominio.

Inoltre, i criminali informatici possono facilmente compromettere gli account legittimi e inserirsi nei flussi di email senza essere notati. Una volta entrati in comunicazione, sfruttano l’autenticità percepita per trasmettere payload pericolosi, effettuare richieste di pagamento fraudolente o raccogliere informazioni per compromettere altri account o aumentare i propri privilegi.

Le diverse tattiche e il livello di accesso richiesto per sferrare un attacco alla catena di approvvigionamento fanno sì che un singolo strumento o controllo non sia sufficiente a tenerli a bada. Le aziende necessitano invece di un approccio alla sicurezza basato sulla difesa in profondità, per proteggere l’intera catena di attacco e individuare le minacce ovunque abbiano origine.

La realtà di un attacco alla supply chain

Più si comprendono gli attacchi alla supply chain, meglio si è preparati a rilevarli e prevenirli prima che creino dei danni e non c’è modo migliore che esaminare esempi reali – purtroppo, numerosi.

Nel 2022, uno dei principali produttori di semiconduttori al mondo ha subìto un attacco ransomware a causa di un fornitore compromesso che si ritiene avesse subìto a sua volta un attacco ransomware nei mesi precedenti, probabilmente attribuibile a una campagna globale contro server VMware ESXi vulnerabili e privi di patch.

Qualunque sia stata la fonte, le conseguenze sono state significative, con l’interruzione dell’elaborazione di ordini e spedizioni e un costo per l’azienda di 250 milioni di dollari.

Il potenziale carico di un attacco alla supply chain, che si tratti di ritorni finanziari o interruzione estesa, è tale da aver attirato l’attenzione degli attori di minacce nation-state.

In quello che si ritiene essere il primo caso, un provider VoIP ha recentemente subìto un attacco alla catena di fornitura che ha distribuito malware a migliaia di suoi clienti. Ciò che lo differenzia è che un dipendente ha installato un pacchetto software che conteneva del malware distribuito attraverso una precedente compromissione della catena di fornitura iniziata presso un altro vendor.

Gli autori, che si ritiene siano membri del gruppo Kimsuky sostenuto dalla Corea del Nord, hanno effettivamente utilizzato un attacco alla catena di fornitura per portarne a termine un secondo, molto più vasto: una reazione da supply chain a supply chain.

Infine, un esempio sfortunato dell’ampiezza della portata di questi attacchi viene da Progress, che ha subìto un exploit di massa di una vulnerabilità zero-day nel suo software di file-transfer MOVEit.

Poiché MOVEit è utilizzato da migliaia di aziende in tutto il mondo, tra cui le principali compagnie aeree, petrolifere e agenzie governative, si stima l’esposizione di dati di almeno 62 milioni di persone. Anche se le conseguenze non saranno note prima di qualche anno, le perdite stimate si aggirano già intorno ai 10 miliardi di dollari.

L’anatomia di un attacco alla supply chain

Gli attacchi alla catena di approvvigionamento tradizionali prevedono tre fasi distinte:

Una volta accertato che la loro esca possa apparire convincente, gli attori passano alla fase finale della catena di attacco.

Se un’azienda non riesce a implementare processi e controlli adeguati, questa fase dell’attacco è sorprendentemente semplice e si basa su legittimità, urgenza e ingegneria sociale, invece che sulla tecnologia.

Se anche un solo dipendente abbocca all’esca, l’attacco avrà successo e sarà improbabile che sia rilevato una volta che i fondi sono finiti nelle mani sbagliate.

Proteggere la supply chain 

Per interrompere efficacemente la catena di attacco e bloccare questi attacchi, è necessario predisporre controlli e difese in ogni fase, dalla compromissione iniziale alla consegna.

Si parte dalla fase di compromissione iniziale della supply chain, il pre-takeover, con misure di base: password forti, autenticazione a più fattori e sofisticati controlli della posta elettronica per bloccare gli attacchi mirati. Anche la formazione in materia di sicurezza è fondamentale.

Il personale deve sapere come individuare un’esca di phishing o un payload dannoso e come reagire, mentre le aziende hanno bisogno di avere visibilità completa sugli account dei propri fornitori: chi è compromesso, come è avvenuto e chi ha rapporti con loro.

Naturalmente, nessuno di questi controlli rappresenta una soluzione assoluta. Tuttavia, quanto più si riescono a implementare rilevamento e prevenzione prima della consegna e ostacolare l’attore delle minacce nelle fasi iniziali, tanto più è probabile che si riesca a sventare un attacco.

Durante la fase di takeover è necessaria una difesa più profonda. Ciò significa sfruttare intelligence completa sulle minacce e analisi comportamentale basata su intelligenza artificiale per individuare ed evidenziare le attività sospette. In questa fase, è anche importante capire come l’account sia stato compromesso per bloccare e porre rimedio all’attacco in corso.

La velocità è fondamentale in questo caso. Più a lungo un avversario può agire all’interno del sistema di difesa, più ampia è la portata dei danni che può infliggere.

Questo porta alla fase post-takeover della catena di attacco. Anche in questo caso, non esiste un’unica soluzione per la bonifica. Bisogna invece impiegare numerose tattiche per allontanare il malintenzionato dalla rete che vanno dall’analisi delle minacce post-consegna, alla bonifica automatica delle e-mail dannose, alla modifica delle password e la revoca delle sessioni, fino all’indagine e al ripristino di qualsiasi alterazione apportata alle regole delle caselle di posta.

Non esiste una soluzione assoluta per fermare gli attacchi che hanno origine nella catena di fornitura, per controllarli è necessaria una serie di misure pragmatiche e preventive, che combinino semplici best practice, rilevamento avanzato, prevenzione e risposta rapida. Più protezioni si mettono in atto, più possibilità si avranno di ottenere risultati positivi.