4月初,我们讨论
了对Asus笔记本电脑
的 ShadowHammer
攻击 ,以使用供应链的恶意软件
攻击为例。 研究人员特别关注对供应链的攻击,而这恰恰是因为它们损害了可信任的通信渠道,因此对业务也构成了特殊的危险。 购买已经被某种方式感染的计算机,黑客入侵可以访问客户公司资源的分包商,从官方开发人员的站点分发受感染版本的软件是对供应链的典型攻击示例。
当受害者是一家为您提供远程IT基础结构服务或为软件开发和IT系统实施提供服务的公司时,问题可能会更加严重。 将这些任务外包给第三方是一种常见的做法。 上周,有关印度公司主要服务提供商Wipro遭受攻击的消息广为人知。 首先,独立记者Brian Krebs撰写了有关Wipro公司网络受损的文章,然后在公司本身中确认了这些信息(
新闻 ,Brian的
文章 )。
Wipro是一家非常庞大的IT服务提供商,每年的营业额达80亿美元,在世界各地有成千上万的客户,其中包括著名的公司和政府机构。 员工人数超过17万。 媒体中提到的项目示例:实施ERP系统,更新处理医疗保险单的基础设施,实施客户支持系统。 此级别的复杂项目需要公司代表广泛访问客户的公司网络。
该公司在2019年3月发生的可靠事件尚不清楚:记者Brian Krebs基于Wipro客户方面的匿名消息来源,该公司本身并未在声明中透露细节。 除了一个:网络钓鱼已成为渗透公司企业网络的最初方法。 据称,攻击者设法访问了该公司一名员工的计算机,然后将其用于攻击其他员工。 参与调查的消息人士称,合法软件ScreenConnect被用于远程控制终端设备-据发现,该软件在可同时访问Wipro内部网络和公司客户基础设施的数百台计算机上被发现。 还使用了Mimikatz实用程序,这是一个用于在运行Windows的计算机上提取密码的免费程序。
但这是根据“匿名”消息来源。 正式地,在对《印度时报》的
评论中,Wipro代表仅承认网络钓鱼攻击的成功,并宣布他们已聘请独立专家进行调查。 后来,在与投资者的谈判中(根据克雷布斯的说法),公司代表将该事件描述为“零日攻击”。
克雷布斯消息人士暗示,这次袭击没有什么复杂的事情。 由于攻击者开始使用新获得的对公司基础结构的访问权,通过零售连锁店的礼品卡进行欺诈,因此迅速(在几周内)被跟踪。 怀有认真意愿而不交换这些琐事的人可能会更长久地未被发现。
至少在公开场合,Wipro对这一事件的反应是,温和地说,这并不理想:他们很长一段时间没有意识到问题,他们没有提供攻击的详细信息,做出了相反的说法(网络钓鱼,然后是ziro-dei)。 在披露有关网络事件的信息时,最大可能的透明度不仅成为企业的道德准则,而且在许多国家中逐渐成为立法要求。 一种或另一种方式是,公司的至少一个客户选择阻止所有Wipro员工访问他们自己的IT系统,直到调查完成。 印度组织本身正在努力引入更安全的公司电子邮件。
对于供应链攻击,对攻击的详细描述和对所造成损害的清醒评估尤其重要。 并非让媒体对此进行报道-对于受影响公司的客户而言,重要的是要了解发生了什么以及应采取哪些步骤来保护自己。 最近的一项研究
表明 ,在大约一半的情况下,攻击者试图使用一个公司的被黑基础设施攻击其他组织。
为了避免受到此类攻击,值得重新评估对第三方服务公司的信任程度。 一个典型的例子是微软上周的电子邮件服务事件。 该公司主动发出建议,以更改某些Outloook,Hotmail和MSN电子邮件服务用户的密码。 事实证明,攻击者入侵了提供用户技术支持服务的交易对手之一的帐户。 这样的交易对手无权访问邮箱密码,但是他们可以查看某些内容-邮件主题,响应者地址,邮件文件夹列表。 根据主板网站,在某些情况下,攻击者可以访问信件的内容。 尽管攻击者的访问被阻止,但无法评估他们手中有多少数据以及将来如何使用它们。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。