Кибератака с открытым кодом
Эксперты компании Checkmarx выявили серию атак на цепочки поставок программного обеспечения, направленных против банковского сектора. В некоторых случаях для совершения таких атак применялось открытое ПО. Подобное наблюдалось впервые.
Под цепочками поставок ПО принято понимать совокупность компонентов, библиотек, инструментов и техпроцессов, используемых для разработки, сборки и публикации программных продуктов.
По данным экспертов, злоумышленники использовали весьма продвинутые методы. В частности, они специально работали по конкретным компонентам веб-активов, добавляя к ним вредоносную функциональность. Для этого использовались специализированные пакеты NPM (Node Package Manager, это диспетчер пакетов для среды выполнения JavaScript Node.js). Злоумышленники также формировали специализированные командные серверы под каждый объект атаки и с их помощью эксплуатировали легитимные сервисы для незаконных действий.
Вредоносные компоненты NPM к настоящему времени удалены, их названия не раскрываются.
В ходе первой отмеченной атаки автор вредоноса загрузил в реестр NPM два вредоносных компонента, представляясь сотрудником целевого банка. Модули содержали скрипт предустановки, активировавший последовательность инфекции. Чтобы дополнительно замаскировать атаку, ее оператор создал весьма убедительный профиль в соцсети LinkedIn.
После запуска скрипт определяет операционную систему жертвы и скачивает соответствующий компонент вредоноса второй стадии с удаленного сервера. Тот обозначен субдоменом в облаке Azure с названием атакованного банка.
В Checkmarx отметили, что это крайне умная тактика, поскольку она позволяет обходить традиционные методы блокировки доступа с сомнительных доменов: Azure в большей части случаев рассматривается как доверенный ресурс.
Вредоносом второй стадии оказывается Havoc, опенсорсный фреймворк для удаленного управления, который используется как средство вторжения и создания контрольного сервера. Опять же, это позволяет обойти традиционные механизмы обнаружения угроз, которые реагируют на использование более популярных у хакеров средств — Cobalt Strike, Sliver и Brute Ratel.
В феврале 2023 г. отмечена еще одна атака со стороны уже других злоумышленников, в ходе которой в репозиторий NPM был загружен пакет, «тщательно подготовленный для скрытного внедрения в веб-сайт целевого банка; он должен был оставаться в спящем состоянии до сигнала со стороны атакующих», — указывается в публикации Checkmarx.
Говоря конкретнее, этот компонент должен был перехватывать логины и выводить информацию в инфраструктуру злоумышленников.
«Безопасность цепочек поставок вращается вокруг защиты всего процесса разработки ПО и распространения, с начальных стадий и до внедрения в системы конечного пользователя, — указывается в материале Checkmarx. — Как только вредоносный опенсорсный пакет интегрируется в цепочку процессов, это уже состоявшийся взлом, против которого любые последующие контрмеры оказываются неэффективными. Иными словами, ущерб уже нанесен».
Передаем вредоносы по цепочке
Атаки на цепочки поставок корпоративного ПО набирают популярность, причем это не зависит от того, используется ли опенсорсное ПО или нет.
Атаки на цепочки поставок, в частности, практикует русскоязычная хакерская группировка RedCurl, деятельность которой отслеживает компания F.A.C.C.T. RedCurl в основном используют собственный инструментарий, нередко обновляя его.
В ноябре 2022 г. эта группировка взломала неназванный российский банк, а в мае 2023 г. — австралийский. В обоих случаях речь шла о краже корпоративных секретов и информации о работниках.
По данным F.A.C.C.T., за последние четыре с половиной года злоумышленники совершили как минимум 34 атаки на организации в России, Великобритании, Германии, Канады, Норвегии, Украины и Австралии, причем 20 из них были нацелены как раз на российские организации.
Жертвами стали не только банки, но и строительные, консалтинговые, страховые, юридические организации, финансовые учреждения и банки.
«Любопытно, что в данном случае злоумышленников интересуют не деньги (что более всего ожидаемо в случае атак на банки), а информация. F.A.C.C.T. прямо указывает, что деятельность этой группировки сводится к корпоративному шпионажу и краже документов, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Русскоязычные кибергруппировки, как правило, воздерживаются от атак на российские организации, но не в данном случае. Все указывает, что это кибернаемники, работающие на тех, кто больше заплатит».