Qu’est-ce qu’un piratage de la chaîne d’approvisionnement et comment rester en sécurité?
Lorsque vous pensez à une attaque de cybersécurité, l'image d'un pirate informatique sondant un réseau à la recherche de vulnérabilités vient à l'esprit. Ou une attaque de phishing qui vole les informations de connexion d'un employé ou un logiciel malveillant installé sur un ordinateur.
Ce sont toutes des méthodes d'attaque valides et courantes. Mais que se passerait-il s'il y avait une autre façon d'infiltrer un réseau qui n'impliquait pas d'attaquer directement la cible?
Une attaque de la chaîne d'approvisionnement fait exactement cela, exploitant les organisations liées à la cible et attaquant la chaîne d'approvisionnement de la cible. Alors, que sont les attaques de la chaîne d'approvisionnement et comment fonctionnent-elles?
Qu'est-ce qu'un piratage de la chaîne d'approvisionnement?
Une attaque de la chaîne d'approvisionnement cherche à endommager ou à infiltrer une organisation en identifiant les parties vulnérables de son réseau d'approvisionnement. Attaquer une chaîne d'approvisionnement présente de multiples opportunités d'infiltration réussie, encore plus lorsque vous attaquez une organisation avec un réseau de chaîne d'approvisionnement compliqué ou complexe.
Dans presque toutes les attaques de la chaîne d'approvisionnement, la victime initiale n'est pas la seule cible de l'attaquant. L'élément de la chaîne d'approvisionnement est plutôt un tremplin vers un poisson plus gros. L'attaquant exploite les vulnérabilités de la cible la plus facile et en tire parti pour atteindre l'objectif ultime.
Bien que les attaques de la chaîne d'approvisionnement semblent rares, une étude de juin 2020 d' Opinion Matters pour BlueVoyant [PDF, inscription requise] a révélé que 80% des organisations «ont subi une violation liée à des tiers au cours des 12 derniers mois». En outre, 77% des répondants ont «une visibilité limitée sur leurs fournisseurs tiers».
Avec des chiffres comme celui-ci, vous voyez pourquoi les attaques de la chaîne d'approvisionnement sont non seulement populaires, mais aussi comment elles réussissent à passer de la cible initiale à l'organisation principale.
Essayer de comprendre ce qui est digne de confiance après une attaque de la chaîne d'approvisionnement pic.twitter.com/QSXPxOHLjm
– SwiftOnSecurity (@SwiftOnSecurity) 17 décembre 2020
Il est extrêmement difficile pour une entreprise de détecter une attaque de chaîne d'approvisionnement de logiciels tiers. La nature même de l'attaque signifie que les fichiers malveillants sont cachés non seulement de la cible principale, mais aussi du maillon vulnérable de la chaîne d'approvisionnement. L'ordinateur n'a même pas besoin d'être en ligne pour que l'attaque fonctionne .
L'organisation cible peut seulement réaliser qu'il y a un problème lorsque ses données commencent à apparaître pour la vente ailleurs ou lorsque quelque chose de similaire déclenche une alarme. Avec un accès aussi approfondi au réseau interne, il est possible de se déplacer librement au sein de l'organisation, même en supprimant les signes révélateurs d'un intrus.
Types d'attaques de la chaîne d'approvisionnement
Les attaques de la chaîne d'approvisionnement ne sont pas de taille unique. La chaîne d'approvisionnement d'une grande organisation peut comprendre plusieurs pièces mobiles différentes. Un attaquant doit réfléchir au type d'attaque de la chaîne d'approvisionnement à utiliser contre une cible.
Voici trois attaques notables de la chaîne d'approvisionnement à prendre en compte.
1. Cible
En 2013, le détaillant américain Target a fait l'objet d'une attaque majeure qui a entraîné la perte d'informations sur 110 millions de cartes de crédit et de débit utilisées dans ses magasins. La quantité totale de données volées n'était que de 11 Go, mais le type de données volées était particulièrement précieux.
Les attaquants ont identifié un certain nombre de fournisseurs tiers dans le réseau d'entreprise de Target. Bien que le nombre final de tentatives d'exploits soit inconnu, l'entreprise vulnérable était Fazio Mechanical, un entrepreneur en réfrigération.
Une fois l'entrepreneur compromis, les attaquants ont attendu à l'intérieur du réseau de l'entreprise jusqu'à ce qu'il soit possible de passer à un système cible en utilisant des informations d'identification volées. Finalement, les attaquants ont eu accès aux serveurs de Target, recherchant d'autres systèmes vulnérables à l'intérieur du réseau de l'entreprise.
De là, les attaquants ont exploité le système de point de vente (POS) de Target, supprimant les informations de carte de millions de clients.
2. SolarWinds
Un exemple principal d' attaque de la chaîne d'approvisionnement de logiciels tiers est SolarWinds , dont le logiciel de gestion à distance Orion a été compromis en 2020. Les attaquants ont inséré une porte dérobée malveillante dans le processus de mise à jour logicielle.
Lorsque la mise à jour a été envoyée aux centaines de milliers de clients de SolarWinds, le malware de l'attaquant l'a accompagnée. Comme la mise à jour a été signée numériquement comme d'habitude, tout est apparu comme d'habitude.
Après avoir activé le logiciel dans le cadre du processus de mise à jour normal, les attaquants ont eu accès à un grand nombre de cibles critiques, notamment le Trésor américain, les départements de la sécurité intérieure, du commerce, de l'État, de la défense et de l'énergie et la National Nuclear Security Administration. .
L'attaque SolarWinds est l'une des attaques de chaîne d'approvisionnement les plus importantes et les plus réussies jamais menées.
3. Stuxnet
Saviez-vous que l'un des hacks les plus infâmes de tous les temps était une attaque de la chaîne d'approvisionnement?
Stuxnet est un ver informatique avec une cible extrêmement spécifique: des systèmes exécutant un type de logiciel particulier, d'un fabricant spécifique, que l'on trouve dans les centrales nucléaires iraniennes. Le logiciel malveillant Stuxnet entraîne une augmentation drastique de la vitesse des centrifugeuses, détruisant ainsi le matériel de la centrifugeuse et l'infrastructure elle-même.
On pense que le ver hautement ciblé et incroyablement sophistiqué est l'œuvre des gouvernements américain et israélien, travaillant ensemble pour éliminer une menace nucléaire iranienne apparente.
Stuxnet a été introduit dans la chaîne d'approvisionnement des centrales nucléaires iraniennes à l'aide d'une clé USB infectée. Une fois installé sur un ordinateur, Stuxnet s'est déplacé latéralement à travers le réseau, à la recherche du système de contrôle approprié avant de fonctionner.
Parce que Stuxnet a une cible précise, il n'attire pas l'attention sur lui-même, ne s'activant que lorsqu'il frappe un ordinateur correspondant aux spécifications.
Comment rester en sécurité à l'ère des attaques de la chaîne d'approvisionnement
Les chaînes d'approvisionnement sont difficiles à gérer dans le meilleur des cas. De nombreuses entreprises utilisent des solutions logicielles tierces pour gérer certains aspects de leur activité. Il s'agit notamment des outils de gestion à distance ou des logiciels de comptabilité, ou même des plates-formes comme Microsoft Office 365.
Les entreprises ne peuvent tout simplement pas rassembler tous les aspects de leurs activités sous un même toit. Ils ne devraient pas non plus avoir à le faire. Faire confiance à un développeur de logiciels ou à un fournisseur de services cloud ne devrait pas augmenter considérablement les chances que vous ou votre entreprise soyez victime d'une attaque.
Ah … les attaques de la chaîne d'approvisionnement. Les gens ont-ils simplement oublié des incidents tels que RSA ou l'attaque MeDoc NotPetya?
– Hoff (@Beaker) 15 décembre 2020
Une sécurité accrue pour les entreprises et les consommateurs entraîne également les attaques de la chaîne d'approvisionnement. Si les attaquants ne parviennent pas à trouver un moyen d'entrer dans l'organisation, attaquer le niveau suivant est le moyen le plus économique et le plus pragmatique d'accéder. Il est également moins susceptible d'être détecté par les systèmes de sécurité d'entreprise.
Dans de nombreux cas, les attaques de la chaîne d'approvisionnement sont des opérations étendues, bien documentées et bien financées.
Par exemple, SolarWinds est le travail d'une équipe de piratage d'un État-nation qui a eu des mois pour travailler et livrer le piratage de la chaîne d'approvisionnement. De même, Stuxnet a combiné plusieurs attaques zero-day en un seul paquet pour frapper les centrales nucléaires iraniennes, et le piratage de la chaîne d'approvisionnement Target a mis du temps à se réaliser.
Ce ne sont pas des amateurs de scripts aléatoires dont nous parlons ici, qui sont tombés sur une vulnérabilité. Ce sont des équipes de pirates qui travaillent ensemble pour attaquer une cible spécifique. La chaîne d'approvisionnement se trouve être le chemin de moindre résistance.