No início de abril, discutimos
o ataque do ShadowHammer nos laptops da Asus como um exemplo de uma campanha de malware usando uma cadeia de suprimentos. Os ataques à cadeia de suprimentos são de particular interesse para os pesquisadores e um perigo particular para os negócios, precisamente porque comprometem os canais de comunicação confiáveis. Comprar um computador que já está infectado de alguma forma, invadir um subcontratado com acesso aos recursos corporativos do cliente, distribuir uma versão infectada do software no site de um desenvolvedor oficial são exemplos típicos de ataques a uma cadeia de fornecedores.
O problema pode ser ainda mais sério quando a vítima é uma empresa que fornece serviços remotos de infraestrutura de TI ou fornece serviços para desenvolvimento de software e implementação de sistemas de TI. Terceirizar essas tarefas para terceiros é uma prática comum. Na semana passada, ficou conhecido o ataque à empresa indiana Wipro, uma importante provedora de serviços de TI. Primeiro, o jornalista independente Brian Krebs escreveu sobre o comprometimento da rede corporativa da Wipro e, em seguida, as informações foram confirmadas na própria empresa (
notícias ,
artigo de Brian).
A Wipro é uma provedora muito grande de serviços de TI, com um faturamento de US $ 8 bilhões por ano e dezenas de milhares de clientes em todo o mundo, incluindo empresas conceituadas e agências governamentais. O número de funcionários excede 170 mil. Exemplos de projetos mencionados na mídia: implementação de um sistema ERP, atualização da infraestrutura para o processamento de apólices de seguro médico, implementação de sistemas de suporte ao cliente. Projetos complexos desse nível exigem amplo acesso dos representantes da empresa à rede corporativa de clientes.
O que aconteceu de maneira confiável na empresa em março de 2019 é desconhecido: o jornalista Brian Krebs é baseado em fontes anônimas do lado dos clientes da Wipro e a própria empresa não divulga detalhes em suas declarações. Exceto por um: o phishing se tornou o método inicial de penetração na rede corporativa da empresa. Alegadamente, os atacantes conseguiram obter acesso ao computador de um dos funcionários da empresa, que foi usado para atacar outros funcionários. O software legítimo ScreenConnect foi usado para controle remoto de dispositivos finais - de acordo com uma fonte que participou da investigação, foi encontrado em centenas de computadores que tinham acesso tanto à rede interna Wipro quanto à infraestrutura dos clientes da empresa. O utilitário Mimikatz, um programa gratuito para extrair senhas em computadores executando o Windows, também foi usado.
Mas isso é de acordo com fontes "anônimas". Oficialmente, em um
comentário ao India Times, os representantes da Wipro apenas reconheceram o sucesso do ataque de phishing e anunciaram a contratação de especialistas independentes para conduzir a investigação. Mais tarde, durante as negociações com investidores (segundo Krebs), um representante da empresa descreveu o incidente como um "ataque de dia zero".
Fontes de Krebs sugerem que não havia nada complicado nesse ataque. Rapidamente (em várias semanas), ele foi rastreado devido ao fato de que os atacantes começaram a usar o acesso recém-obtido à infraestrutura da empresa por fraude com cartões-presente das redes de varejo. Pessoas com intenções sérias, que não trocam essas insignificâncias, podem permanecer despercebidas por muito mais tempo.
Pelo menos em um campo público, a reação da Wipro ao incidente foi, para dizer o mínimo, não ideal: eles não reconheceram o problema por um longo tempo, não forneceram detalhes do ataque, fizeram declarações opostas (phishing e depois ziro-dei). A máxima transparência possível na divulgação de informações sobre incidentes cibernéticos se torna não apenas a norma ética para os negócios, mas também se transforma gradualmente em um requisito legislativo em muitos países. De uma forma ou de outra, pelo menos um cliente da empresa optou por bloquear o acesso aos seus próprios sistemas de TI a todos os funcionários da Wipro até a conclusão da investigação. A própria organização indiana está trabalhando na introdução de emails corporativos mais seguros.
Para ataques à cadeia de suprimentos, uma descrição detalhada do ataque e uma avaliação sóbria dos danos causados são especialmente importantes. Não é para a mídia escrever sobre isso - é importante que os clientes da empresa afetada entendam o que aconteceu e que medidas devem ser tomadas para se proteger. Um estudo recente
mostra que em cerca da metade dos casos, os atacantes tentam usar a infraestrutura invadida de uma empresa para atacar outras organizações.
Para se proteger contra esses ataques, vale a pena reavaliar o grau de confiança em empresas de serviços de terceiros. Um caso em questão é o incidente com os serviços de e-mail da Microsoft na semana passada (
notícias ). A empresa enviou proativamente recomendações para alterar a senha de alguns usuários dos serviços de email Outloook, Hotmail e MSN. Como se viu, os atacantes invadiram a conta de uma das contrapartes que fornecem serviços de suporte técnico ao usuário. Essas contrapartes não têm acesso às senhas da caixa de correio, mas podem exibir parte do conteúdo - tópicos de mensagens, endereços de respondentes, listas de pastas de correio. Em alguns casos, segundo o site da placa-mãe, os invasores podem obter acesso ao conteúdo das cartas. Embora o acesso dos invasores tenha sido bloqueado, é impossível avaliar quantos dados estavam em suas mãos e como serão usados no futuro.
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.