В 2024 году кибератаки на цепочки поставок становятся одной из главных угроз для глобальной кибербезопасности, с увеличением числа нарушений на 68% по сравнению с 2023 годом. Злоумышленники используют доверительные отношения между компаниями для проникновения в системы, что приводит к крупным операционным и финансовым последствиям. Основными тенденциями стали атаки на широко используемые библиотеки программного обеспечения, уязвимости облачных и гибридных систем, а также риски, связанные с критической инфраструктурой и сторонними поставщиками. Взломы, такие как атака на Polyfill.io и инцидент со Snowflake, подчеркивают важность защиты цепочек поставок и облачных интеграций. В 2024 году также наблюдается рост атак на критическую инфраструктуру, включая кампанию Volt Typhoon, что демонстрирует серьезность и многогранность современных киберугроз.
В 2024 году частота и последствия кибератак на цепочки поставок будут расти, и они станут одной из самых серьезных угроз для глобальной кибербезопасности. Эти атаки используют взаимосвязанную природу современных цифровых экосистем, используя доверительные отношения между продавцами, поставщиками и их клиентами для проникновения в системы нижестоящих компаний. Согласно последним статистическим данным, число нарушений в цепочках поставок увеличилось на 68% по сравнению с 2023 годом. Этот всплеск отражает растущую изощренность злоумышленников и их способность использовать системные уязвимости в программном обеспечении, облачных средах и операционных технологиях.
В отличие от традиционных атак, угрозы, связанные с цепочками поставок, опираются на эффект «пульсации» доверительных отношений, позволяя злоумышленникам расширять сферу своего влияния и нарушать работу нескольких организаций одним взломом. Операционные и финансовые последствия оказываются значительными, а время восстановления для некоторых пострадавших организаций может растянуться на месяцы. В этом разделе мы рассмотрим три ключевые тенденции, которые определят кибератаки на цепочки поставок в 2024 году, и проанализируем основные инциденты, чтобы подчеркнуть эти развивающиеся угрозы.
Ожидается, что глобальные затраты от атак на цепочки поставок программного обеспечения вырастут с 46 миллиардов долларов в 2023 году до 138 миллиардов долларов к 2031 году.
Тренд: Ориентация на широко используемые библиотеки программного обеспечения
Эксплуатация широко распространенных библиотек программного обеспечения оставалась доминирующей тактикой злоумышленников в 2024 году. Эти библиотеки часто служат критически важными строительными блоками для приложений, что делает их ценными целями для злоумышленников, стремящихся скомпрометировать широкую базу пользователей.
Взлом Polyfill.io
В 2024 году злоумышленники взломали популярную JavaScript‑библиотеку Polyfill.io, внедрив вредоносный код в ее обновления. Polyfill.io используется разработчиками для обеспечения совместимости браузеров. В результате взлома пострадали более 380 000 узлов по всему миру, включая такие крупные корпорации, как Hulu, Mercedes‑Benz и Warner Bros. Вредоносный код создавал бэкдоры в клиентских системах, позволяя злоумышленникам повышать привилегии и выводить конфиденциальную информацию. Атака нарушила работу многих отраслей, поскольку организации в спешном порядке пытались устранить уязвимости и оценить масштабы ущерба.
Взлом Polyfill показал, насколько опасно полагаться на программное обеспечение сторонних разработчиков без тщательной проверки безопасности. Злоумышленники все чаще выбирают конвейер разработки, внедряя вредоносное ПО в библиотеки с открытым исходным кодом, которые разработчики и предприятия считают надежными. Эта тактика демонстрирует, как злоумышленники используют цепочку поставок программного обеспечения для достижения масштабного воздействия при минимальных усилиях.
Тренд: Использование облачных систем и гибридных сред
Растущая зависимость от облачных сервисов привела к появлению новых уязвимостей, особенно в гибридных средах, где локальные системы подключаются к облачной инфраструктуре. Неправильная конфигурация и слабая интеграция стали основными точками входа для злоумышленников, позволяя им проникать в чувствительные системы.
Взлом Snowflake, совершенный UNC5537
UNC5537, изощренный агент угроз, совершил целевую атаку на Snowflake в 2024 году, используя неверно настроенные параметры облачной интеграции. Группа получила несанкционированный доступ к конфиденциальным данным клиентов, что привело к краже данных и вымогательству. Злоумышленники использовали продвинутое вредоносное ПО для сбора учетных данных, чтобы взломать множество корпоративных учетных записей, таких как Ticketmaster и AT&T, и успешно вымогали у пострадавших организаций более 2,7 миллиона долларов.
Инцидент со Snowflake подчеркивает острую необходимость защиты облачных интеграций. Гибридные среды, обеспечивая гибкость, создают новые поверхности для атак, которые сложно контролировать и защищать. Эта тенденция отражает изменение приоритетов злоумышленников, которые сосредоточились на уязвимостях, позволяющих осуществлять латеральное перемещение по взаимосвязанным системам.
Обзор: UNC5537
UNC5537 — это сложная и финансово мотивированная группа киберугроз, известная тем, что атакует дорогостоящие организации. Действуя по меньшей мере с апреля 2024 года, группа демонстрирует передовые методы и упорство, часто используя уязвимости нулевого дня и используя скомпрометированные учетные данные для проникновения в системы. Их операции в основном направлены на шпионаж, кражу данных и вымогательство. Используя учетные записи, в которых отсутствуют строгие меры аутентификации, UNC5537 получает несанкционированный доступ к конфиденциальной информации, которую использует для вымогательства, часто угрожая продать или публично обнародовать украденные данные.
Тренд: Риски сторонних поставщиков в критической инфраструктуре
Сектора критической инфраструктуры, включая энергетику, транспорт и коммунальное хозяйство, стали основными мишенями для атак на цепочки поставок из‑за зависимости от сторонних поставщиков в управлении системами операционных технологий (OT). Такая зависимость создает уязвимости, которыми быстро воспользуются противники, поскольку многие поставщики не имеют достаточных ресурсов и опыта для внедрения надежных мер кибербезопасности, что делает их привлекательными точками входа для злоумышленников.
Кампания Volt Typhoon в цепи поставок
Как уже говорилось в связи с увеличением числа атак в период выборов, в 2024 году спонсируемая китайским государством группа Volt Typhoon начала кампанию, направленную против критической инфраструктуры США, используя цепочку поставок в качестве точки входа для проникновения в коммунальные, производственные и транспортные секторы. Группа использовала техники «жизни на земле» (living‑off‑the‑land), применяя доверенные инструменты в сетях сторонних поставщиков, чтобы влиться в нормальную работу и избежать обнаружения. Их деятельность была направлена на установление постоянного доступа к критически важным системам, чтобы нарушить коммуникации и инфраструктуру во время потенциальных конфликтов в Тайваньском проливе.
Важным аспектом этой кампании было использование Volt Typhoon уязвимостей в цепочках поставок для компрометации OT‑среды. Нацелившись на сторонних поставщиков, управляющих ОТ‑системами, группа нарушила работу ключевых коммуникационных сетей и выявила уязвимости в энергосетях.
Резкое увеличение числа атак на цепочки поставок в 2024 году отражает эволюцию тактики противников и растущую зависимость цифровых экосистем. Эти атаки используют доверие, присущее поставщикам и клиентам, и направлены на библиотеки программного обеспечения, облачные среды и критически важные сектора инфраструктуры. Заметной тенденцией этого года стало то, что при меньшем количестве нарушений цепочки поставок программного обеспечения пострадало больше клиентов, что свидетельствует о несоразмерном охвате и эффективности этих атак. Организации должны адаптироваться к этим проблемам, защищая свои цепочки поставок и устраняя уязвимости как в технических, так и в операционных процессах.
Продолжение: CyberProof — Отчет об анализе глобальных угроз за 2025 год — Часть 3 — Прогнозы и рекомендации
ссылка на оригинал статьи https://habr.com/ru/articles/897706/
Добавить комментарий