Miten supply chain attack eroaa tavallisesta hakkerointihyökkäyksestä?

Tavallisessa hyökkäyksessä kohde yritetään murtaa suoraan. Supply chain attackissa hyökkääjä kohdistuu sen sijaan johonkin, johon kohde luottaa – kuten ohjelmistotoimittajaan tai avoimen lähdekoodin kirjastoon – ja pääsee sisään epäsuorasti. Tämä tekee siitä erityisen vaikean havaita, sillä haitallinen koodi tulee näennäisesti laillisesta lähteestä.

Voiko VPN suojata supply chain attackilta?

VPN ei suojaa supply chain attackilta, jos hyökkäys kohdistuu itse VPN-ohjelmistoon tai muihin laitteellesi asennettuihin ohjelmistoihin. VPN suojaa verkkoliikennettäsi, mutta ei estä vaarantuneen ohjelmiston suorittamista laitteellasi. Tämän vuoksi on tärkeää valita VPN-palveluntarjoaja, joka suorittaa säännöllisiä tietoturva-auditointeja ja käyttää koodin allekirjoitusvarmennuksia.

Miten voin suojautua supply chain attackeilta?

Lataa ohjelmistot aina virallisista lähteistä, tarkista koodin allekirjoitusvarmennukset ja seuraa tietoturvauutisia. Suosi ohjelmistoja, joiden toimittajat julkaisevat säännöllisiä tietoturva-auditointeja tai toistettavia buildeja. Vältä tarpeettomien selainlaajennusten ja kolmansien osapuolien ohjelmistojen asentamista, ja pidä kaikki ohjelmistosi ajan tasalla.

Mikä oli SolarWinds-hyökkäys ja miksi se oli niin merkittävä?

SolarWinds-hyökkäys vuonna 2020 oli yksi historian laajimmista supply chain attackeista. Hakkerit ujuttivat haitallista koodia SolarWindsin Orion-ohjelmiston päivitykseen, joka jaeltiin noin 18 000 organisaatiolle, mukaan lukien useille Yhdysvaltain liittovaltion virastoille. Hyökkäys jäi havaitsematta kuukausiksi ja osoitti, kuinka tuhoisa supply chain attack voi olla, kun kohteena on laajasti käytetty ohjelmisto.

Supply Chain Attack

Supply Chain Attack: Kun uhka tulee ohjelmiston sisältä

Asennat ohjelmiston luotettavalta toimittajalta. Noudatat parhaita käytäntöjä. Pidät kaiken ajan tasalla. Ja silti järjestelmäsi vaarantuu. Tämä on supply chain attackin järkyttävä todellisuus – uhka ei tule suoran tietomurron kautta, vaan jotain sellaista hyödyntäen, johon olit jo valmiiksi luottanut.

Mistä on kyse

Supply chain attack tapahtuu, kun kyberrikollinen tunkeutuu kohteeseen epäsuorasti vaarantamalla toimittajan, ohjelmistokirjaston, päivitysmekanismin tai laitteistokomponentin, johon kohde nojaa. Sen sijaan että hyökkäisi hyvin suojattua yritystä vastaan suoraan, hyökkääjä etsii heikomman lenkin jostain yrityksen käyttämien riippuvuuksien ketjusta – ja myrkyttää sen alkulähteellä.

Tuloksena on, että haitallinen koodi, takaportit tai vakoiluohjelmat toimitetaan automaattisesti tuhansille tai jopa miljoonille käyttäjille – usein juuri niiden päivitysmekanismien kautta, jotka on suunniteltu pitämään ohjelmisto turvallisena.

Miten se toimii

Suurin osa nykyaikaisesta ohjelmistosta rakentuu riippuvuuksien kerroksille: kolmansien osapuolien kirjastoille, avoimen lähdekoodin paketeille, pilvipalveluille ja toimittajien tarjoamille komponenteille. Tämä monimutkaisuus luo hyökkäyspinta-alan, jota yksikään organisaatio ei pysty täysin valvomaan.

Tyypillinen tapahtumakulku on seuraava:

Kohteen tunnistaminen – Hyökkääjät tunnistavat laajasti käytetyn ohjelmistotoimittajan tai avoimen lähdekoodin paketin, jonka tietoturvakäytännöt ovat heikommat kuin sen asiakkaiden.
Murtautuminen – Hyökkääjä tunkeutuu toimittajan build-järjestelmään, koodivarastoon tai päivityspalvelimelle. Tämä voi tapahtua tietojenkalastelun, varastettujen tunnistetietojen tai toimittajan oman infrastruktuurin haavoittuvuuden hyödyntämisen kautta.
Koodin injektointi – Haitallinen koodi lisätään huomaamattomasti lailliseen ohjelmistopäivitykseen tai kirjastoversioon.
Jakelu – Myrkytetty päivitys allekirjoitetaan laillisilla varmenteilla ja työnnetään kaikille käyttäjille. Koska se tulee luotetusta lähteestä, tietoturvatyökalut eivät usein merkitse sitä epäilyttäväksi.
Suoritus – Haittaohjelma toimii hiljaa uhrin koneella ja saattaa kerätä tunnistetietoja, luoda takaportit tai suodattaa dataa ulos.

Vuoden 2020 SolarWinds-hyökkäys on tunnetuin esimerkki. Hakkerit ujuttivat haittaohjelman rutiininomaiseen ohjelmistopäivitykseen, joka jaeltiin sen jälkeen noin 18 000 organisaatiolle, mukaan lukien Yhdysvaltain viranomaisille. Tietomurto jäi havaitsematta kuukausiksi.

Toinen tunnettu tapaus liittyi NPM-pakettiekosysteemiin, jossa hyökkääjät julkaisivat haitallisia paketteja, joiden nimet olivat lähes identtisiä suosittujen kirjastojen kanssa – tekniikka, jota kutsutaan typosquattingiksi – toivoen, että kehittäjät asentaisivat ne vahingossa.

Miksi tällä on merkitystä VPN-käyttäjille

VPN-ohjelmisto ei ole immuuni tällaisille hyökkäyksille. Kun asennat VPN-asiakassovelluksen, luotat siihen, että sovellus – ja jokainen kirjasto, johon se nojaa – on puhdas. Supply chain attack, joka kohdistuu VPN-palveluntarjoajan ohjelmistonjakeluun, voisi teoriassa toimittaa vaarannetun asiakassovelluksen, joka vuotaa oikean IP-osoitteesi, poistaa käytöstä kill switchisi tai kirjaa liikenteesi tietämättäsi.

Tämän vuoksi on äärimmäisen tärkeää:

Ladata VPN-ohjelmisto ainoastaan virallisista lähteistä – ei koskaan kolmansien osapuolien sovelluskaupoista tai peilisivustoilta.
Etsiä palveluntarjoajia, jotka julkaisevat toistettavia buildeja tai joita auditoidaan säännöllisesti kolmansien osapuolien toimesta, jotta käännetty ohjelmisto voidaan itsenäisesti varmentaa.
Tarkistaa koodin allekirjoitusvarmennukset, jotka vahvistavat, ettei ohjelmistoa ole muutettu sen jälkeen, kun se lähti kehittäjältä.
Pitää ohjelmisto päivitettynä, mutta seurata myös tietoturvauutisia – jos toimittaja ilmoittaa supply chain -tapauksesta, toimi nopeasti.

VPN-ohjelmiston lisäksi supply chain attackit vaikuttavat laajempiin yksityisyyden suojaamiseen käyttämiisi työkaluihin: selaimiin, selainlaajennuksiin, salasananhallintaohjelmiin ja käyttöjärjestelmiin. Vaarantunut selainlaajennus voi esimerkiksi mitätöidä kaiken sen, mitä VPN tekee yksityisyytesi suojaamiseksi.

Laajempi kuva

Supply chain attackit ovat erityisen vaarallisia, koska ne hyödyntävät luottamusta. Perinteinen kyberturvallisuusohje sanoo "lataa vain luotetuista lähteistä" – mutta supply chain attack muuttaa luotetut lähteet itse uhaksi. Tämän vuoksi käsitteet kuten zero trust -arkkitehtuuri, ohjelmiston ainesosaluettelo (SBOM) ja ohjelmistopakettien kryptografinen varmennus ovat saaneet vakavaa jalansijaa tietoturvayhteisössä.

Tavalliselle käyttäjälle viesti on yksinkertainen mutta tärkeä: ohjelmisto, johon luotat, on vain niin turvallinen kuin koko sen taustalla oleva ekosysteemi. Ajan tasalla pysyminen, läpinäkyvät tietoturvakäytännöt omaavien toimittajien valitseminen ja VPN-auditointien kaltaisten työkalujen käyttäminen palveluntarjoajien väitteiden varmentamiseksi ovat kaikki osa aidosti kestävän yksityisyysasetelman rakentamista.

Supply Chain AttackEdistynyt

Supply Chain Attack: Kun uhka tulee ohjelmiston sisältä

Mistä on kyse

Miten se toimii

Miksi tällä on merkitystä VPN-käyttäjille

Laajempi kuva

// FAQ