“Un attacco alla Supply Chain è un attacco informatico che cerca di danneggiare un’organizzazione prendendo di mira gli elementi meno sicuri nella catena di approvvigionamento”, è la definizione fornita, nel corso della sessione dedicata agli attacchi cyber alle supply chian nel corso dell’ultimo Security Summit, da Denis Valter Cassinerio, Regional Sales Director SEUR di Bitdefender.
L’attacco vede una molteplicità di soggetti e la messa in atto di tecniche, tattiche e procedure da parte degli attaccanti, che Cassinerio definisce parassiti in quanto non puntano ad eliminare le vittime ma a sfruttarle, restando nascosti il più a lungo possibile per coinvolgere il maggior numero di soggetti. I cyber criminali identificano i soggetti più deboli della catena con l’obiettivo di ridurre i costi dell’attacco e ottenere il risultato con il minore sforzo possibile.
Alcune strategie suggerite alle potenziali vittime sono: ottimizzare il processo di difesa per rendere costoso l’attacco, compatibilmente con il valore di quanto di vuole difendere, tutelare le informazioni, scoprire tempestivamente i segnali di attacco.
I sistemi utilizzati per colpire la supply chain
Uno dei metodi più utilizzati per attaccare una supply chain consiste nel modificare pezzi di software legittimo, facendo leva sulla fiducia nel fornitore, da parte delle potenziali vittime, e sulla difficoltà di indentificare il percorso di alterazione, come accaduto nell’attacco alle catene di approvvigionamento energetico messo in atto dal gruppo Dragonfly.
Un’altra tecnica prevede la compromissione di siti web legittimi per rubare le credenziali bancarie, come nel caso del trojan bancario Shylock, rilevato anche in Italia, con alterazioni in grado di sfuggire alle analisi.
Un’ulteriore modalità di attacco si rivolge ai data stores di terze parti per ridirigere le informazioni su un sito controllato dagli attaccanti. “Spesso l’interesse primario non sono tanto le informazioni stesse mala possibilità di risalire al comportamento delle persone per individuare ulteriori target”, spiega Cassinerio. Negli ‘waterhole’ si sfrutta il rapporto di fiducia fra clienti e fornitori di un servizio usato da più clienti dove è lo stesso utente, inconsapevole, a far partire l’attacco attraverso un malware RAT (Remote Access Trojan), che consente agli hacker di monitorare e controllare il computer o la rete con la possibilità di realizzare frodi su larga scala.
Un esempio di attacco all’anello debole è il caso Bonfiglioli che ha subito una violazione ransomware senza impatti su dati sensibili ma solo rallentamenti nei vari stabilimenti e il fermo di un giorno della sede del gruppo a Forlì. “Non escludiamo – ha dichiarato Sonia Bonfiglioli, presidente dell’omonima azienda – che il fine dell’attacco sia stato anche usare noi come cavallo di Troia verso qualche cliente internazionale o qualche altra organizzazione”.
Per combattere le violazioni è particolarmente importante condividere l’esperienza maturata da chi ha subìto attacchi, in modo da individuare tempestivamente i segnali premonitori, visto che gli attacchi alla supply chain hanno molti punti in comune.
Come viene realizzato un attacco sfruttando la supply chain del software
Una delle forme di attacco, più frequenti e potenzialmente molto dannose, è quella che utilizza la tipica supply chain del software che parte dal fornitore del pacchetto per arrivare all’utilizzatore, generalmente un’organizzazione, che rappresenta l’effettiva vittima, come illustrato da Massimo Lucarelli, EMEA Sales Engineering Manager di Bitdefender. Compromettendo il fornitore del pacchetto software, l’attaccante altera il software stesso, per arrivare a colpire i target finali. È frequente inoltre che il pacchetto software sia inserito in altri pacchetti, da altri sviluppatori o da integratori, in un ciclo che può anche essere molto lungo. “Il fornitore rappresenta solo un tramite dell’attacco e non ha grande importanza come la vittima finale che, se ha un rapporto di fiducia con il fornitore, si aspetta che il pacchetto sia sicuro”, sottolinea Lucarelli.
Gli attaccanti devono prendere diversi accorgimenti per compromettere il fornitore, infettare il prodotto e distribuirlo, tenendo conto di come avviene lo sviluppo, per evitare che l’alterazione venga rilevata a livello di versioning, di compilazione, di firma del software.
Un caso di successo per gli attaccanti e fra i più gravi negli ultimi mesi è la violazione a SolarWinds che fornisce prodotti e servizi software a oltre 300mila clienti nel mondo fra cui molte agenzie governative Usa che rappresentavano probabilmente il vero obiettivo. Il breach è stato annunciato a dicembre del 2020 e ad oggi non si è stati in grado di arrivare a un’attribuzione certa (l’ipotesi più accreditata indica un’origine russa) né a capire le modalità dell’attacco. Alcune ipotesi hanno indicato una vulnerabilità VMWare, altre hanno individuato password deboli, come ha ammesso lo stesso CEO dell’azienda, Sudhakar Ramakrishna.
A marzo del 2021, si è verificato un altro clamoroso caso di compromissione del software, quello di Microsoft Exchange Server, che ha visto come probabile attore e il gruppo cinese Hafnium e di cui si è discusso in occasione della tavola rotonda di chiusura del Security Summit.
Prevenire gli attacchi alla supply chain non è facile, ma si deve tentare, seguendo una serie di passi: l’assessment del rischio, la presa di controllo e la verifica del fornitore, in un processo che incoraggi il fornitore al miglioramento continuo della sicurezza e preveda una responsabilità condivisa della sicurezza lungo tutta la supply chain.
