Hackattacker i leveranskedjan oroar utredarna

Kredit:Securelist

Vad vet du om attacker i leveranskedjan? I januari, en artikel i CSO sa att det är när en svag länk i ditt företags säkerhet kan ligga hos partners och leverantörer. Det är när någon infiltrerar ditt system genom en extern partner eller leverantör med tillgång till dina system och data.

Under de senaste åren, sa Maria Korolov in CSO , fler leverantörer och tjänsteleverantörer rörde känslig information än någonsin tidigare.

Tyvärr, supply-chain attacken på senare tid är mycket mer än en park-and-save definition; det är en top-of mind-rubrikskapare, som en hackergrupp blandar sig med programuppdateringar genom skadlig programvara. Trådbunden på fredagen kallade det en supply chain kapring spree.

I det här fallet, Microsofts webbplats bar en definition som träffar hem med den nuvarande spree.

"Attacker i försörjningskedjan är en ny typ av hot som riktar sig mot mjukvaruutvecklare och leverantörer. Målet är att komma åt källkoder, bygga processer, eller uppdatera mekanismer genom att infektera legitima appar för att distribuera skadlig kod. Angripare jagar osäkra nätverksprotokoll, oskyddade serverinfrastrukturer, och osäkra kodningsmetoder. De bryter sig in, ändra källkoder, och dölj skadlig programvara i bygg- och uppdateringsprocesser."

Apparna och uppdateringarna är signerade och certifierade; leverantörer är sannolikt omedvetna om att deras appar eller uppdateringar är infekterade med skadlig kod när de släpps. Den skadliga koden körs med samma förtroende och behörigheter som appen.

Paul Lilly in PC-spelare beskrev hårstrået av det hela – en hackergrupp som "aktivt smutsar ner med pålitliga nedladdningar, och ingen kan tyckas ta reda på gruppens exakta identitet." Observera ordet betrodd - inga nedladdningar är säkra.

Även om identiteten återstår att upptäcka, namn ges till den, inklusive ShadowHammer och Wicked Panda.

Det fanns indikationer på att (1) gruppen är inställd på att spionera, och (2) dess inriktning tyder på att det inte är en vinstfokuserad cyberkriminell verksamhet. "Ändå av allt att döma, gruppen kastar sitt stora nät för att spionera på bara en liten bråkdel av de datorer den kompromissar. "

Den obehagliga aspekten av allt detta kan vara handlingssätt, som att undvika programuppdateringar men ändå ignorera uppdateringar verkar också vara riskabelt.

När det gäller Kaspersky Lab, de hade detta att säga:mjukvaruleverantörer borde introducera "en annan rad i sin mjukvarubyggande transportör som dessutom kontrollerar deras programvara för potentiella malware-injektioner även efter att koden är digitalt signerad."

Fahmida Rashid in IEEE -spektrum sa att operationen var särskilt lömsk eftersom den hade saboterat utvecklarverktyg, "ett tillvägagångssätt som kan sprida skadlig programvara mycket snabbare och mer diskret än konventionella metoder."

Verkligen, Andy Greenberg in Trådbunden tog upp konsekvenserna. Genom att bryta sig in i en utvecklares nätverk och dölja skadlig kod i appar och betrodda programuppdateringar, kapare kan smuggla skadlig programvara till "hundratusentals – eller miljontals – datorer i en enda operation, utan det minsta tecken på felspel."

När tekniska nyhetssajter gav detaljer om attacken i leveranskedjan, en ofta citerad informationskälla var Kaspersky Lab – av goda skäl. Kaspersky har tittat på detta ett tag. Det var de som gav det namnet, ShadowHammer.

"I slutet av januari 2019, Kaspersky Labs forskare upptäckte vad som verkade vara en ny attack mot en stor tillverkare i Asien... Några av de körbara filerna, som laddades ner från den officiella domänen hos en välrenommerad och pålitlig stor tillverkare, innehöll uppenbara skadliga funktioner. Noggrann analys bekräftade att binären hade manipulerats av illvilliga angripare...Vi insåg snabbt att vi hade att göra med ett fall av en komprometterad digital signatur."

Kaspersky-artikeln diskuterade digitala signaturer.

"Många datorsäkerhetsprogram som används idag är beroende av integritetskontroll av betrodda körbara filer. Digital signaturverifiering är en sådan metod. I denna attack, angriparna lyckades få sin kod signerad med ett certifikat från en stor leverantör. Hur var det möjligt? Vi har inga definitiva svar."

De märkte att alla ASUS-binärfiler med bakdörr var signerade med två olika certifikat. "Samma två certifikat har använts tidigare för att signera minst 3000 legitima ASUS-filer (dvs ASUS GPU Tweak, ASUS PC Link och andra), vilket gör det mycket svårt att återkalla dessa certifikat."

Lika viktigt, det ser ut som att Asus inte slösat bort tid på att ta itu med attacken.

"Vi uppskattar ett snabbt svar från våra ASUS-kollegor bara dagar innan en av de största helgdagarna i Asien (månnyåret). Detta hjälpte oss att bekräfta att attacken var i ett avaktiverat skede och att det inte fanns någon omedelbar risk för nya infektioner och gav oss mer tid att samla in ytterligare artefakter. alla komprometterade ASUS -binärer måste flaggas korrekt som innehållande skadlig kod och tas bort från Kaspersky Lab -användares datorer. "

Skadlig programvara ses på andra ställen. "I vårt sökande efter liknande skadlig programvara, vi stötte på andra digitalt signerade binärer från tre andra leverantörer i Asien." En bildtext i Trådbunden sa att en "enda grupp hackare verkar ansvariga för hacklackeringar av CCleaner, Som oss, och mer, planterar bakdörrar på miljontals maskiner."

Ryskt plan i dödlig brand hittade få kunder över hela världen

Smart tech det nya verktyget för afrikanska bönder

Elektronik

Kulturkompetenta robotar – framtiden inom äldreomsorgen

Stort steg mot att producera kolneutralt stål med grönt väte

Varför polisen bör använda maskininlärning — mycket försiktigt

Vetenskap

Den kommande störningen av OLED-teknik

Kovalent modifieringskaskad efter montering av självmonterade supramolekylära strukturer

Experiment visar att Neolithic Thames -visparen kan användas för att döda en person