Rok 2017 byl jednoznačně rokem, kdy se software supply chain útoky asi nejvíce zapsaly do paměti (nejen) bezpečnostních analytiků z celého světa. Ať už to byly červnové NotPetya útoky šířené přes napadený aktualizační server finančního softwaru MEDoc, které vyústily v pravděpodobně nejdražší kyberbezpečnostní incident v historii nebo zneužití populárního softwaru na čištění počítače CCleaner na šíření malwaru Floxif, které zasáhlo pro změnu skoro 2,3 milionu jeho uživatelů.

Rok 2018 byl o dost klidnější. Ne že by supply chain útoky najednou přestaly, ale oproti roku 2017 měly řádově menší dopad a publicitu, viz například zneužitý balíček event-stream v JavaScript package manageru NPM nebo balíček colourama v package manageru PyPI pro Python.

Poslední březnové pondělí roku 2019 však přineslo probuzení v podobě článku na portálu Motherboard o napadení a následném zneužití aktualizačních serverů společnosti ASUS na šíření malwaru nazvaného ShadowHammer.

Jednalo se o aktualizační servery softwaru Live Update, což je nástroj, který slouží k aktualizaci různých ovladačů, aplikaci nebo BIOSu na počítačích od ASUSu, kde navíc bývá předinstalován. Odhady výzkumníků uvádějí 0,5 – 1 milion nakažených koncových zařízení vyrobených společností ASUS. Cílem útočníků však nebylo nakazit co největší počet zařízení.

Podle společnosti Kaspersky, která útok v lednu 2019 objevila a analyzovala, bylo finálním cílem útoků asi 600 zařízení identifikovaných přímo v kódu malwaru jejich MAC adresami. Tato cílenost byla i jedním z důvodů, proč objevení útoku přišlo až po více než 6 měsících od jeho počátku (06/2018) – jestliže malware netrefil správnou MAC adresu, nevykonával žádné činnosti.

Už jen tento fakt sám o sobě ukazuje na to, že šlo o pokročilé, pravděpodobně státem sponzorované útočníky. Společnost Kaspersky s odvoláním na své analýzy a paralely s již výše zmíněným útokem na CCleaner a další útoky s podobným „modus operandi“ jako nejpravděpodobnějšího útočníka jmenuje čínskou APT skupinu BARIUM.

Zda byla vaše MAC adresa v seznamu cílů si můžete ověřit například na stránce https://shadowhammer.kaspersky.com/. Stejně tak by už i váš antivirový software měl daný malware detekovat a odstranit. Jak se však dá systémově bránit proti takovým útokům? Bylo by dobré asi začít tím, v čem daný útok vlastně spočívá.

Co znamená pojem software supply chain attack?

Jednoduše by se dalo říci, že se jedná o útoky, při kterých dojde k vložení malwaru do běžně dostupného legitimního softwaru, který je distribuován standardním způsobem. Tak jako v případě CCleaner či ASUS Live Update, útočníci napadnou infrastrukturu výrobce softwaru a tam nepozorovaně upraví kód daného programu, který je následně distribuován přes standardní aktualizační servery a webové stránky výrobce.

Známe několik druhů software supply chain útoků, které se liší zejména způsobem zneužití infrastruktury výrobce softwaru. Může to být např. napadení infrastruktury používané přímo na vývoj daného softwaru (případ CCleaner) či napadení a zneužití certifikátů používaných jako zaručení původu legitimního softwaru (případ ASUS LiveUpdate).

Za specifické druhy software supply chain útoku můžeme považovat i zneužívání různých knihoven a balíčků (případ NPM a PyPI) nebo předinstalovaný malware na zařízeních jako jsou smartphony, kamery nebo různé IoT zařízení.

Z hlediska bezpečnosti vývoje softwaru jde o standardní útok a obrana je poměrně jasná – zabezpečení infrastruktury používané na vývoj softwaru. Z hlediska uživatelů daného softwaru však jde o mnohem závažnější problém, v jehož jádru se nachází fundamentální narušení důvěry vůči oficiálním zdrojům legitimního softwaru a tranzitivně tak dochází k převrácení aktualizací z běžně doporučovaného řešení problému na problém.

Obrana proti software supply chain útokům

Je třeba hned na začátku říci, že se pro útočníky jedná o jeden z nejnáročnějších typů útoků vůbec. Útoky s velkým dopadem tak vidíme zejména od různých APT skupin. To však neznamená, že pokud nejsme potenciálním cílem APT, nic se nám nemůže stát. O tom svědčí to, že v případě ASUSu bylo kvůli 600 zařízením napadených stovky tisíc zařízení, v případě CCleaner se jednalo dokonce pouze o 40 cílů při napadení 2,3 milionu zařízení.

Dalším důvodem, proč neusnout na vavřínech, jsou útoky na méně rozšířený software, které sice nemusí být globální ani pokročilé, ale jsou stejně náročné na prevenci a detekci. Situaci navíc komplikuje to, že zpravidla takový útok není detekovatelný antivirem, jelikož se jedná o legitimní software včetně digitálního podpisu.

Při prevenci a detekci je nejlépe využít kombinaci různých přístupů:

a) redukce počtu instalovaných aplikaci a application whitelisting – cílem je omezit počet instalovaných aplikaci, které se mohou stát cílem útoku

b) zabezpečení koncových zařízení – zaměřujeme se již na rychlou detekci a reakci na nekorektní chování softwaru zejména využitím viditelnosti do činností probíhajících na koncovém zařízení. Je možné využití EDR řešení nebo pokročilého logování (např. Sysmon) a následné analýzy těchto dat v SIEM

c) analýza síťového provozu – pomocí tohoto přístupu dokážeme využít různé NBA nebo IDS řešení pro detekci anomální komunikace napadeného koncového zařízení

d) segmentace sítě a kontrola přístupu – cílem je spíše zmenšování dopadu útoku omezením přístupu koncových zařízení nebo potenciálně napadených uživatelských účtů k business critical systémům a datům

Ochránit se proti software supply chain útokům je velmi náročné a zcela eliminovat tuto hrozbu prakticky není možné, ale s nárůstem těchto útoků je třeba se o to alespoň snažit pomocí dostupných nástrojů. Každopádně, zásada „Důvěřuj ale prověřuj“ stále platí.

Dávid Kosť, Lead Security Analyst, Axenta a.s.