Cybersecurity della supply chain senza rallentare la digitalizzazione di servizi e processi

pittogramma Zerouno

Prospettive

Cybersecurity della supply chain senza rallentare la digitalizzazione di servizi e processi

Una delle decine di sessioni svoltesi in occasione del Security Summit è stata dedicata agli attacchi alla supply chain, un fenomeno in aumento come casi recenti evidenziano. Le relazioni hanno, in particolare, analizzato il ruolo svolto dai “portatori sani”, focalizzandosi sulla compromissione della supply chain del software nella realizzazione e distribuzione dei pacchetti.

Pubblicato il 06 Ago 2021

di Elisabetta Bevilacqua

“Un attacco alla Supply Chain è un attacco informatico che cerca di danneggiare un’organizzazione prendendo di mira gli elementi meno sicuri nella catena di approvvigionamento”, è la definizione fornita, nel corso della sessione dedicata agli attacchi cyber alle supply chian nel corso dell’ultimo Security Summit, da Denis Valter Cassinerio, Regional Sales Director SEUR di Bitdefender.

L’attacco vede una molteplicità di soggetti e la messa in atto di tecniche, tattiche e procedure da parte degli attaccanti, che Cassinerio definisce parassiti in quanto non puntano ad eliminare le vittime ma a sfruttarle, restando nascosti il più a lungo possibile per coinvolgere il maggior numero di soggetti. I cyber criminali identificano i soggetti più deboli della catena con l’obiettivo di ridurre i costi dell’attacco e ottenere il risultato con il minore sforzo possibile.

Alcune strategie suggerite alle potenziali vittime sono: ottimizzare il processo di difesa per rendere costoso l’attacco, compatibilmente con il valore di quanto di vuole difendere, tutelare le informazioni, scoprire tempestivamente i segnali di attacco.

I sistemi utilizzati per colpire la supply chain

Uno dei metodi più utilizzati per attaccare una supply chain consiste nel modificare pezzi di software legittimo, facendo leva sulla fiducia nel fornitore, da parte delle potenziali vittime, e sulla difficoltà di indentificare il percorso di alterazione, come accaduto nell’attacco alle catene di approvvigionamento energetico messo in atto dal gruppo Dragonfly.

WHITEPAPER
[White Paper] Ottimizza la tua supply chain e gestisci il magazzino con l'analisi dei dati
Supply Chain Management
Smart logistic

Un’altra tecnica prevede la compromissione di siti web legittimi per rubare le credenziali bancarie, come nel caso del trojan bancario Shylock, rilevato anche in Italia, con alterazioni in grado di sfuggire alle analisi.

Un’ulteriore modalità di attacco si rivolge ai data stores di terze parti per ridirigere le informazioni su un sito controllato dagli attaccanti. “Spesso l’interesse primario non sono tanto le informazioni stesse mala possibilità di risalire al comportamento delle persone per individuare ulteriori target”, spiega Cassinerio. Negli ‘waterhole’ si sfrutta il rapporto di fiducia fra clienti e fornitori di un servizio usato da più clienti dove è lo stesso utente, inconsapevole, a far partire l’attacco attraverso un malware RAT (Remote Access Trojan), che consente agli hacker di monitorare e controllare il computer o la rete con la possibilità di realizzare frodi su larga scala.

Un esempio di attacco all’anello debole è il caso Bonfiglioli che ha subito una violazione ransomware senza impatti su dati sensibili ma solo rallentamenti nei vari stabilimenti e il fermo di un giorno della sede del gruppo a Forlì. “Non escludiamo – ha dichiarato Sonia Bonfiglioli, presidente dell’omonima azienda – che il fine dell’attacco sia stato anche usare noi come cavallo di Troia verso qualche cliente internazionale o qualche altra organizzazione”.

Per combattere le violazioni è particolarmente importante condividere l’esperienza maturata da chi ha subìto attacchi, in modo da individuare tempestivamente i segnali premonitori, visto che gli attacchi alla supply chain hanno molti punti in comune.

Le sette fasi dell’attacco alla supply chain. Fonte: presentazione Bitdefender, Security Summit 2021

Come viene realizzato un attacco sfruttando la supply chain del software

Una delle forme di attacco, più frequenti e potenzialmente molto dannose, è quella che utilizza la tipica supply chain del software che parte dal fornitore del pacchetto per arrivare all’utilizzatore, generalmente un’organizzazione, che rappresenta l’effettiva vittima, come illustrato da Massimo Lucarelli, EMEA Sales Engineering Manager di Bitdefender. Compromettendo il fornitore del pacchetto software, l’attaccante altera il software stesso, per arrivare a colpire i target finali. È frequente inoltre che il pacchetto software sia inserito in altri pacchetti, da altri sviluppatori o da integratori, in un ciclo che può anche essere molto lungo. “Il fornitore rappresenta solo un tramite dell’attacco e non ha grande importanza come la vittima finale che, se ha un rapporto di fiducia con il fornitore, si aspetta che il pacchetto sia sicuro”, sottolinea Lucarelli.

Le fasi di un attacco alla supply chain del software. Fonte: presentazione Bitdefender, Security Summit 2021

Gli attaccanti devono prendere diversi accorgimenti per compromettere il fornitore, infettare il prodotto e distribuirlo, tenendo conto di come avviene lo sviluppo, per evitare che l’alterazione venga rilevata a livello di versioning, di compilazione, di firma del software.

Un caso di successo per gli attaccanti e fra i più gravi negli ultimi mesi è la violazione a SolarWinds che fornisce prodotti e servizi software a oltre 300mila clienti nel mondo fra cui molte agenzie governative Usa che rappresentavano probabilmente il vero obiettivo. Il breach è stato annunciato a dicembre del 2020 e ad oggi non si è stati in grado di arrivare a un’attribuzione certa (l’ipotesi più accreditata indica un’origine russa) né a capire le modalità dell’attacco. Alcune ipotesi hanno indicato una vulnerabilità VMWare, altre hanno individuato password deboli, come ha ammesso lo stesso CEO dell’azienda, Sudhakar Ramakrishna.

A marzo del 2021, si è verificato un altro clamoroso caso di compromissione del software, quello di Microsoft Exchange Server, che ha visto come probabile attore e il gruppo cinese Hafnium e di cui si è discusso in occasione della tavola rotonda di chiusura del Security Summit.

Prevenire gli attacchi alla supply chain non è facile, ma si deve tentare, seguendo una serie di passi: l’assessment del rischio, la presa di controllo e la verifica del fornitore, in un processo che incoraggi il fornitore al miglioramento continuo della sicurezza e preveda una responsabilità condivisa della sicurezza lungo tutta la supply chain.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Elisabetta Bevilacqua

Sono attiva dal 1989 nel giornalismo hi-tech, dopo esperienze in uffici studi di grandi gruppi e di formazione nel settore dell’informatica e, più recentemente, di supporto alle startup. Collaboro dal 1995 con ZeroUno e attualmente mi occupo soprattutto di trasformazione digitale e Industry 4.0, open innovation e collaborazione fra imprese e startup, smart city, sicurezza informatica, nuove competenze.

Argomenti trattati

Approfondimenti

C
Crm
H
hacker
R
Ransomware
Cybersecurity della supply chain senza rallentare la digitalizzazione di servizi e processi

Il tuo indirizzo email non sarà pubblicato.

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 2