Обикновено специалистите по кибер сигурност съветват да не се кликва върху линкове или прикачени файлове от източник, който не е доверен. „Инсталирайте само приложения от надежден източник или от надежден магазин за приложения“ е често срещан съвет. И той е абсолютно правилен. Или поне беше доскоро. Злонамерени хакери сега атакуват самата веригата за доставки на софтуер, като зловреден софтуер се промъква с изтеглянията дори от надеждни доставчици, много преди потребителят да кликне за да инсталира.
В понеделник поделението за кибер сигурност Talos на Cisco разкри, че хакерите са саботирали ултра популярния безплатен инструмент за почистване на компютри CCleaner. Най-малко от месец е внедрен зловреден код в актуализациите на приложението, което е изтеглено в милиони персонални компютри. Тази атака подкопава доверието на потребителите в разработчика на CCleaner – Avast и в софтуерните фирми в по-широк смисъл. Легален софтуер да идва от самия му създател със злонамерен код, и то компания за сигурност, съвсем не е малък проблем.
Това обаче се случва все по-често напоследък, пише wired. Три пъти през последните три месеца хакери са използвали дигиталната верига за доставки, за да внедрят зловреден код, скрит в собствените инсталации и актуализации на софтуерните компании. Оттам нататък той се разпространява по тези надеждни канали.
Според Avast заразената версия на CCleaner е била инсталирана 2.27 милиона пъти от момента, когато софтуерът за първи път е бил саботиран през август до миналата седмица, когато бета версия на инструмента за мрежов мониторинг на Cisco открива измамно приложение, което действа подозрително в мрежата на клиент. Между другото израелската фирма за сигурност Morphisec е предупредила Avast за проблема още по-рано, в средата на август.
Avast криптира инсталациите и актуализациите на CCleaner, така че никой не може да проникне в изтеглянията, без да притежава непробиваемия криптографски ключ. Но хакерите очевидно са проникнали в процеса на разработка или разпространение на софтуера на Avast, преди да се стигне до криптирането, така че антивирусната фирма по същество е дала криптографsкия си подпис на злонамерен софтуер и го е доставила на потребителите.
Тази атака идва два месеца, след като хакерите използваха подобна уязвимост на веригата за доставки, за огромно разпространение на разрушителен софтуер, известен като NotPetya. Атаките бяха насочени към Украйна, но и към други европейски държави и САЩ. Този софтуер се представя като ransomware, но се смята, че в действителност се разпространил при актуализиране на една неизвестна, но популярна в Украйна част от счетоводния софтуер MeDoc. Актуализирането станало точка на заразяване, а след това било разпространнено чрез корпоративни мрежи. Така NotPetya парализира операциите на стотици компании, от украински банки и електроцентрали, до датския морски конгломерат Maersk и американския фармацевтичен гигант Merck.
Един месец по-късно изследователи от руската охранителна фирма Kaspersky откриха нова атака срещу веригата за доставки, наречена „ShadowPad“. При нея злонамерен софтуер е можел да бъде изтеглен в стотици банки, енергийни компании и фармацевтични компании, заедно със софтуер на Netsarang, която продава инструменти за управление на предприятието и мрежата.
„ShadowPad е пример за това колко опасна и широкомащабна е успешна атака на веригата за доставки, " пише анализаторът на Kaspersky Игор Суменков по онова време. „Предвид възможностите за достигане и събиране на данни, които дава на атакуващите, най-вероятно ще се случва отново и отново с някой друг широко използван софтуерен компонент. "
Kaspersky сега има друг собствен проблем с доверието. Министерството на вътрешната сигурност забрани използването му в американските правителствени агенции, а търговският гигант Best Buy изтегли софтуера, заради подозренията, че и той може да пострада зарада подозираното сътрудничество на Kaspersky с руското правителство.
Атаките на веригата за доставки се появяват периодично в продължение на години. Но повтарящите се инциденти през лятото сочат ръст, казва Джейк Уилямс, изследовател и консултант на фирмата за сигурност Rendition Infosec. „Ние се доверяваме на софтуер с отворен код или широко разпространен софтуер, но самите пунктове за разпространение са уязвими“, казва Уилямс. Това се превръща в нова опасност, казва експертът.
Уилямс твърди, че атаките по веригата на доставки може да се дължи отчасти на подобрената сигурност за потребителите, а компаниите спират други лесни начини за инфекция. Защитните стени са почти универсални, намирането на уязвими места в приложения като Microsoft Office или PDF не е толкова лесно, колкото преди, а компаниите все по-често, макар и не винаги, инсталират обновленията за сигурност навреме. „Хората стават по-добри по отношение на общата сигурност“, казва Уилямс. „Но тези атаки на софтуерната верига разбиват всички модели. Те преминават антивирусни и основни проверки за сигурност“
Тези атаки не оставят на потребителите каквато и да е възможност да се защитят. В най-добрия случай можете да опитате да прегледате практиките за вътрешна сигурност на компаниите, чийто софтуер използвате или да проверите различните приложения дали са създадени с нужните мерки сигурност, които биха попречили на атаките.
Но за средния потребител тази информация е трудно достъпна или неразбираема. В крайна сметка отговорността за защитата на тези потребители ще трябва да се поеме от компаниите, чиито собствени уязвимости са предали доверието на техните клиенти.