AssociatiA cura di Sofia Scozzari
Gli attacchi alla catena di approvvigionamento rappresentano una minaccia crescente e sempre più sofisticata.
Prendendo di mira la complessa rete di relazioni tra le organizzazioni e i loro fornitori e clienti, questa tipologia di attacchi negli ultimi anni ha dimostrato con quale facilità gli aggressori possono aumentare drasticamente l’impatto di un singolo incidente avvantaggiandosi della compromissione di un’unica vittima per violare anche tutte le entità correlate.
Comprendere i rischi e le implicazioni della Supply Chain Security è quindi cruciale per mantenere ed aumentare la sicurezza e la resilienza dell’intera catena di business.
I principali rischi della Supply Chain
Gli attacchi alla Supply Chain sfruttano le relazioni di trust di un’organizzazione, che includono i partner esterni e i software di terze parti.
I principali rischi di questo ambito riguardano:
- Data leak: ovvero fughe di informazioni che avvengono sia a causa di attacchi esterni che interni. I cyber criminali possono utilizzare diverse tecniche, come ad esempio phishing, social engineering o lo sfruttamento di vulnerabilità pre-esistenti, per raccogliere informazioni utili a violare successivamente i sistemi. D’altra parte, anche dipendenti o manager possono divulgare informazioni sensibili, inconsapevolmente o meno, apportando un grave danno all’azienda. È importante ricordare che l’eventuale sottrazione di dati da parte di cyber criminali può implicare anche informazioni e documentazione relativa o di proprietà di clienti e fornitori.
- Data breach: ovvero violazioni che si verificano quando un cyber criminale o un utente malintenzionato si infiltra in un sistema informatico a cui non dovrebbe avere accesso senza autorizzazione. L’obiettivo è spesso quello di causare danni ai sistemi, attraverso l’eliminazione, la duplicazione e la corruzione dei dati, oppure di ottenere qualche tipo di vantaggio, la sottrazione di dati o la possibilità di installare del malware utile a future operazioni criminali.
- Malware: ovvero codice malevolo in grado di apportare danni ai sistemi informatici di un’azienda. Negli ultimi anni vengono particolarmente sfruttati i ransomware, che consentono ai cyber criminali di chiedere un riscatto per ripristinare il funzionamento dei sistemi infettati. Ma esistono ulteriori tipologie che possono mettere a rischio l’azienda, come trojan o backdoor, spyware, wiper, etc. I malware, inoltre, possono anche essere pre-installati su componenti hardware, rendendone più complicata la rilevazione.
- Codice vulnerabile: lo sviluppo di web application e apps si basa comunemente su numerose librerie di terze parti, e non sempre gli sviluppatori hanno una visibilità completa sul codice che finiscono per includere nelle loro applicazioni. Se una libreria di terze parti contiene vulnerabilità sfruttabili o backdoor, un cyber criminale può sfruttare questa problematica per danneggiare l’organizzazione e i suoi clienti e fornitori. Le vulnerabilità zero-day, inoltre, hanno l’aggravante di non essere ancora note ai produttori; quindi, non esistono patch o aggiornamenti in grado di mitigarle. Fino a quando i produttori non sono in grado di rilasciare appositi aggiornamenti per risolvere la situazione, i software risultano esposti alla problematica e questo può causare danni ingenti.
- Denial of service: se gli attaccanti lanciano un attacco DDoS (Distributed Denial of Service) contro i sistemi di un’organizzazione, questo può avere ripercussioni gravi, come l’incapacità di accedere a servizi critici, ma può anche interrompere le operazioni di clienti e fornitori.
- Partner compromessi: spesso le organizzazioni consentono a terze parti di accedere alle loro reti e sistemi. Se il partner in questione è stato in qualche modo compromesso, questa relazione di fiducia può essere sfruttata da un cyber criminale per ottenere un accesso fraudolento ai sistemi dell’organizzazione. Inoltre, l’organizzazione può essere messa a rischio anche nel caso in cui i fornitori utilizzino pratiche di sicurezza delle informazioni scadenti o non adeguate.
Gli incidenti più famosi
Giugno 2023 – MOVEit
Questo attacco alla Supply Chain ha preso di mira gli utenti di MOVEit, un Managed File Transfer (MFT) software di proprietà dell’azienda statunitense Progress Software. MOVEit è stato progettato per trasferire file sensibili in modo sicuro ed è particolarmente popolare negli Stati Uniti.
Gli attaccanti sono riusciti a compromettere più di 620 organizzazioni, e tra queste se ne annoverano alcune molto note come BBC, British Airways, Ernst & Young, Boots e Aer Lingus.
I dati personali identificabili (PII) che sono stati divulgati a seguito dell’attacco includono documenti di identità, indirizzi, date di nascita e numeri di assicurazione nazionale.
Da allora è stato rilasciato un aggiornamento e l’Agenzia per la Sicurezza e l’Infrastruttura Cibernetica degli Stati Uniti (CISA) ha emesso un avviso, raccomandando urgentemente agli utenti di installare l’aggiornamento per prevenire ulteriori violazioni.
Il gruppo ransomware Cl0p è stato collegato all’attacco e ha sfruttato le interfacce web esposte (EWI) di MOVEit per causare danni significativi.
Le EWI possono rappresentare un’importante minaccia per la sicurezza, in quanto, se lasciate incustodite, queste interfacce possono essere manipolate da potenziali aggressori per estrarre dati sensibili o infiltrare malware nei sistemi.
Questo incidente ha mostrato quanto rapidamente si possa fare escalation di un attacco alla Supply Chain e come anche piccoli fornitori possano avere un impatto rilevante su grandi aziende e multinazionali.
Dicembre 2021 – Log4j
Alla fine del 2021, Log4j, una logging utility basata su Java, è stata vittima di una vulnerabilità zero-day, chiamata Log4Shell, che ha messo a rischio milioni di dispositivi in tutto il mondo.
Creato dalla Apache Software Foundation, Log4j è un software open-source che registra informazioni diagnostiche sui sistemi e le comunica agli utenti e agli amministratori.
Tuttavia, nel dicembre 2021, la vulnerabilità zero-day Log4Shell ha permesso ai cyber criminali di penetrare nei sistemi, rubare dati, collezionare credenziali di accesso e installare ulteriori malware.
Poiché Log4j è utilizzato da un vasto numero di individui e organizzazioni, questo incidente ha esposto un numero straordinario di utenti e aziende al rischio di attacchi.
Tra le vittime anche il Ministero della Difesa del Belgio, che ha rivelato un attacco ai suoi sistemi a metà dicembre, e la piattaforma crypto vietnamita Onus, che utilizzava una versione vulnerabile di Log4j.
Luglio 2021 – Kaseya
Avvenuto a luglio 2021, questo attacco è stato attribuito a REvil (o Sodinokibi), un gruppo di cybercriminali con base in Russia.
REvil è un noto gruppo ransomware-as-a-service (RaaS) responsabile di numerosi attacchi di alto profilo a varie organizzazioni in tutto il mondo.
Kaseya è invece un’azienda leader nella gestione IT per MSP (Managed Service Providers) e PMI con sedi in 10 paesi. Tra le funzionalità che offre, VSA (Virtual System Administrator), uno strumento unificato di monitoraggio e gestione remota per l’amministrazione di reti ed endpoint.
Nel corso dell’incidente, REvil ha sfruttato una vulnerabilità zero-day proprio di VSA, per distribuire ransomware a numerose aziende di servizi gestiti ed ai loro clienti, causando gravi interruzioni di servizio e perdite finanziarie notevoli per le organizzazioni colpite.
Si stima che l’impatto di questo incidente abbia colpito tra le 800 e le 1.500 aziende di piccole e medie dimensioni, che potrebbero aver subito una compromissione tramite il proprio MSP.
Dicembre 2020 – SolarWinds
SolarWinds è una nota software house americana che distribuisce una soluzione per supportare le aziende nella gestione delle proprie reti, dei sistemi e delle infrastrutture informatiche.
Avvenuto a fine 2020, l’attacco a SolarWinds è stato attribuito a un gruppo di cyber criminali di alto profilo sponsorizzati dalla Russia noto come APT29 o Cozy Bear.
Si ritiene che questo gruppo sia collegato al Servizio di intelligence estera della Federazione Russa (SVR).
L’incidente ha coinvolto la compromissione del software Orion di SolarWinds, che è stato successivamente utilizzato per distribuire una backdoor maligna (SUNBURST) a numerose organizzazioni.
Tra le vittime di SolarWinds, numerose agenzie governative degli Stati Uniti e un numero ingente di aziende private.
Gli attaccanti si sono avvantaggiati di questa backdoor per accedere a dati sensibili, condurre attività di spionaggio e mantenere una presenza persistente nelle reti attaccate.
Quali soluzioni?
Come abbiamo visto, gli attacchi alla Supply Chain rappresentano una significativa minaccia per le aziende di tutte le dimensioni e settori che può avere impatti drammatici.
Comprendere la natura di questa minaccia, oltre che un approccio proattivo nella gestione dei rischi, è prioritario.
Inoltre, una serie di misure preventive e best practice è utile nel ridimensionamento degli impatti:
- Meno è meglio: il principio del minimo privilegio stabilisce che gli utenti, le applicazioni ed i sistemi, dovrebbero essere gestiti con gli accessi e le autorizzazioni strettamente necessarie per il loro ruolo. Ridurre l’accesso di default limita i danni che un’applicazione o un fornitore compromesso possono causare all’organizzazione. L’accesso privilegiato, soprattutto quando si ha a che fare con sistemi sensibili, dovrebbe sempre essere ridotto al minimo per limitare i rischi di compromissione. Se non è possibile evitarlo, è fondamentale che l’accesso concesso ai fornitori o ad altre parti della catena di approvvigionamento a questi sistemi, sia strettamente monitorato e controllato.
- Implementazione di un framework di “zero trust”: questo approccio assume che ogni richiesta di accesso non sia autorizzata fino a quando le credenziali non vengano approvate. Il framework “zero trust” combina diverse tecniche per ridurre i danni di eventuali compromissioni alla catena di approvvigionamento. Con questo approccio, anche se un cyber criminale riuscisse a superare le misure di sicurezza lungo la Supply Chain, i danni che potrebbe causare sarebbero circoscritti in quanto godrebbe di autorizzazioni limitate.
- Segmentazione della rete: è utile per la suddivisione di una rete in più segmenti in base allo scopo e al livello di trust degli utenti che autorizzati all’accesso. La segmentazione della rete rende più difficile per un attaccante muoversi all’interno della rete aziendale senza essere rilevato.
- DevSecOps: questo approccio promuove l’integrazione della sicurezza nel ciclo di sviluppo. Tenendo in considerazione le minacce della sicurezza informatica fin dalla definizione del processo di sviluppo del codice, è possibile identificare potenzialmente e rimediare alle vulnerabilità della catena di approvvigionamento prima che le applicazioni raggiungano la produzione.
- Analisi della composizione del software (SCA): questa attività identifica automaticamente le dipendenze all’interno di un’applicazione. Eseguire l’SCA consente di mantenere una buona visibilità sull’utilizzo del codice da parte di terze parti e di monitorarlo per identificare eventuali vulnerabilità o backdoor.
- Identificazione delle minacce: principio che prevede la ricerca proattiva di minacce e vulnerabilità nei sistemi dell’azienda. Questa attività può contribuire non solo ad identificare e risolvere tempestivamente nuove vulnerabilità che impattano i sistemi, ma anche a riconoscere eventuali violazioni della catena di approvvigionamento.
- Non dimenticare le minacce interne: molte problematiche legate alla sicurezza informatica sono causate da errori umani o da una mancata consapevolezza su rischi e minacce. Spesso non si tratta di azioni di natura maliziosa ma frutto di errori o disattenzioni. Ciononostante, possono avere gravi conseguenze, sia per l’azienda che per tutta la sua catena di approvvigionamento. A questo proposito è utile associare una formazione specifica di consapevolezza sulle minacce informatiche per tutto il personale con le apposite soluzioni tecnologiche per la rilevazione delle problematiche e degli accessi fraudolenti anche all’interno dell’organizzazione, non dando per scontato che i rischi possano arrivare solo dall’esterno.
- Aspettarsi il peggio: è buona norma supporre che il peggio possa accadere (ed essere preparati!), piuttosto che dare per scontato che attacchi del genere avvengano solo ad altri. Presumendo che una violazione possa avvenire, è necessario mettere in atto strategie di difesa efficaci e più propense a rimanere aggiornate nei confronti di una minaccia reale.