Supply Chain Attack: Amikor a fenyegetés a szoftver belsejéből érkezik

Megbízható gyártótól telepítesz szoftvert. Követed a bevált biztonsági gyakorlatokat. Mindent naprakészen tartasz. És mégis, valahogyan, kompromittálnak. Ez a supply chain attack nyugtalanító valósága – ahol a fenyegetés nem közvetlen behatolásból ered, hanem valamiből, amiben már megbíztál.

Mi is ez pontosan?

A supply chain attack akkor következik be, amikor egy kiberbűnöző közvetett úton hatol be egy célponthoz: egy olyan szállítót, szoftverkönyvtárat, frissítési mechanizmust vagy hardverelemet kompromittál, amelytől a célpont függ. Ahelyett, hogy egy jól védett vállalatot frontálisan támadna meg, a támadó megkeresi a gyengébb láncszemet a vállalat által használt függőségi láncban – és ott mérgezi meg a forrást.

Ennek eredményeként rosszindulatú kód, hátsó ajtók vagy kémszoftverek jutnak el automatikusan több ezer, sőt akár több millió felhasználóhoz – gyakran éppen azokon a frissítési mechanizmusokon keresztül, amelyeket a szoftver biztonságának megőrzésére terveztek.

Hogyan működik?

A legtöbb modern szoftver függőségek rétegeire épül: harmadik feles könyvtárakra, nyílt forráskódú csomagokra, felhőszolgáltatásokra és szállítók által biztosított komponensekre. Ez az összetettség olyan támadási felületet teremt, amelyet egyetlen szervezet sem képes teljes mértékben felügyelni.

Egy tipikus forgatókönyv:

  1. Célpont azonosítása – A támadók azonosítanak egy széles körben használt szoftverszállítót vagy nyílt forráskódú csomagot, amelynek biztonsági gyakorlata gyengébb az ügyfeleiénél.
  2. Kompromittálás – A támadó behatol a szállító build-rendszerébe, kódtárházába vagy frissítési szerverébe. Ez megtörténhet adathalászat, ellopott hitelesítő adatok vagy a szállító saját infrastruktúrájában lévő sérülékenység kihasználása révén.
  3. Kódbeszúrás – Rosszindulatú kódot szúrnak be csendben egy legitim szoftverfrissítésbe vagy könyvtárverzioba.
  4. Terjesztés – A megmérgezett frissítést legitim tanúsítványokkal írják alá, és eljuttatják az összes felhasználóhoz. Mivel megbízható forrásból érkezik, a biztonsági eszközök jellemzően nem jelzik gyanúsként.
  5. Végrehajtás – A kártevő csendesen fut az áldozat gépén, hitelesítő adatokat gyűjthet, hátsó ajtókat nyithat, vagy adatokat szivárogtathat ki.

A 2020-as SolarWinds-támadás a legismertebb példa erre. A hackerek egy rutinszerű szoftverfrissítésbe szúrtak be kártevőt, amelyet aztán körülbelül 18 000 szervezetnek juttattak el, köztük amerikai kormányzati szerveknek. A behatolás hónapokig észrevétlen maradt.

Egy másik ismert eset az NPM csomagökoszisztémát érintette, ahol a támadók rosszindulatú csomagokat tettek közzé, amelyek neve szinte azonos volt népszerű könyvtárakéval – ezt a technikát typosquattingnak nevezik –, abban bízva, hogy a fejlesztők véletlenül telepítik majd azokat.

Miért fontos ez a VPN-felhasználók számára?

Maga a VPN-szoftver sem immunis erre. Amikor telepítesz egy VPN-klienst, megbízol abban, hogy az alkalmazás – és minden könyvtár, amelytől függ – tiszta. Egy, a VPN-szolgáltató szoftverterjesztését célzó supply chain attack elméletileg olyan kompromittált klienst juttathatna el hozzád, amely kiszivárogtatja a valódi IP-címedet, letiltja a kill switch-et, vagy tudtod nélkül naplózza a forgalmadat.

Ezért rendkívül fontos:

  • VPN-szoftvert kizárólag hivatalos forrásokból tölts le, soha ne harmadik feles alkalmazásáruházakból vagy tükörwebhelyekről.
  • Keress olyan szolgáltatókat, amelyek reprodukálható build-eket tesznek közzé, vagy rendszeres külső auditoknak vetik alá magukat, hogy a lefordított szoftver független módon ellenőrizhető legyen.
  • Ellenőrizd a kódaláíró tanúsítványokat, amelyek megerősítik, hogy a szoftvert nem módosították azóta, hogy elhagyta a fejlesztőt.
  • Tartsd naprakészen a szoftvereket, de figyelj a biztonsági hírekre is – ha egy szállító supply chain incidenst jelent be, cselekedj gyorsan.

A VPN-szoftvereken túl a supply chain attack-ok érintik a többi adatvédelmi eszközt is, amelyeket használsz: böngészőket, böngészőbővítményeket, jelszókezelőket és operációs rendszereket. Egy kompromittált böngészőbővítmény például alááshatja mindazt, amit a VPN a magánszférád védelméért tesz.

A nagy összefüggés

A supply chain attack-ok azért különösen veszélyesek, mert a bizalmat használják ki. A hagyományos kiberbiztonsági tanácsok azt mondják: „csak megbízható forrásból tölts le" – a supply chain attack azonban éppen a megbízható forrásokat változtatja fenyegetéssé. Éppen ezért nyernek egyre komolyabb teret a biztonsági közösségben az olyan koncepciók, mint a zero trust architektúra, a szoftver-anyagjegyzék (SBOM) és a szoftvercsomagok kriptográfiai ellenőrzése.

A mindennapi felhasználók számára a tanulság egyszerű, mégis fontos: az általad használt szoftver csak annyira biztonságos, amennyire az egész mögötte álló ökoszisztéma az. A tájékozottság megőrzése, az átlátható biztonsági gyakorlatokat folytató szolgáltatók választása, valamint az olyan eszközök – például VPN-auditokon alapuló – használata, amelyekkel ellenőrizhetők a szolgáltatói állítások, mind hozzájárulnak egy valóban ellenálló adatvédelmi rendszer kialakításához.