Di ImmuniWeb, Web Application Scanning Solutions – 11 Giugno 2019

 

 

Quando i tuoi partner sono il tuo punto debole, di chi ti fidi?

The Age of the Supply Chain Attack

 

L’era del Supply Chain Attack è ormai alle porte, come dimostrato recentemente da Google. Il colosso della ricerca è stato costretto ad ammettere che gli aggressori erano riusciti a preinstallare malware nella backdoor del framework Android, il che ha fatto sì che il malware fosse ritenuto ufficialmente affidabile da Google.

La tua WebApp è sicura? scoprilo gratuitamente ora!

“Nel contesto dell’app Google Play, l’installazione significava che [il malware] non doveva attivare l’installazione da fonti sconosciute e tutte le installazioni di app sembravano provenire da Google Play” , ha spiegato Lukasz Siewierski, del team di sicurezza e privacy di Android , in un post sul blog . “Le app sono state scaricate dal server C&C e le comunicazioni con C&C sono state crittografate attraverso la stessa routine di crittografia personalizzata utilizzando doppio XOR e zip. Le app scaricate e installate utilizzavano i nomi dei pacchetti di app disponibili su Google Play. Non avevano alcuna relazione con le app su Google Play a parte lo stesso nome del pacchetto.”

Il malware in questione era Triada, che era preinstallato su dispositivi Android economici nel 2017 tramite la compromissione della Supply Chain. Lo scopo principale di Triada era installare app di spam su un dispositivo che visualizza annunci pubblicitari, di cui Triada ha raccolto le entrate.

Siewierski ha spiegato che le infezioni sono state causate dal fatto che gli OEM vogliono includere funzionalità che non fanno parte del Progetto Open Source Android, come ad esempio lo sblocco tramite riconoscimento facciale. L’OEM potrebbe collaborare con una terza parte in grado di sviluppare la funzionalità desiderata e inviare l’intera immagine del sistema a quel fornitore per lo sviluppo. “In base all’analisi, riteniamo che un fornitore che utilizza il nome Yehuo o Blazefire abbia infettato l’immagine di sistema restituita con Triada”, ha scritto.

Google ha concluso raccomandando che gli OEM dovrebbero garantire che tutto il codice di terze parti sia rivisto e possa essere rintracciato alla sua fonte e che qualsiasi funzionalità aggiunta all’immagine di sistema dovrebbe supportare solo le funzionalità richieste. Infine, il ricercatore di Google ha promosso il seguire le buone pratiche di sicurezza sotto forma di una revisione della sicurezza di un’immagine di sistema dopo aver aggiunto un codice di terze parti.

La storia darà scarso conforto per le aziende che si fidano dei grandi produttori di telefonia mobile per mantenere la sicurezza, ovviamente. In effetti, il problema degli attacchi attraverso la catena di approvvigionamento è diventato in qualche modo una tendenza negli ultimi tempi, con la società Carbon Black di AV che ha notato che almeno la metà degli attacchi che hanno seguito nell’ultimo trimestre hanno sfruttato il “salto tra isole”, in cui gli attaccanti non stanno solo tentando di compromettere una singola rete, ma anche le catene di approvvigionamento ad essa connesse.

Secondo l’ultimo rapporto trimestrale sulla minaccia di risposta agli incidenti globali dell’azienda, i settori più colpiti dal salto delle isole sono finanziari (47%), manifatturiero (42%) e vendita al dettaglio (32%). Il motivo principale per cui le organizzazioni sono vulnerabili al passaggio da un’isola all’altra è la mancanza di visibilità, che il 44% degli intervistati ha definito la barriera principale all’Incident Response (IR), rispetto al 10% del trimestre precedente.

Questa tendenza della catena di approvvigionamento sta emergendo in modo particolarmente forte nel 2019 e non mostra segni di indebolimento nel corso dell’anno. Ciò è in parte dovuto all’ovvia economia degli sforzi per gli aggressori, ma anche alla natura sempre più connessa degli affari. Anche se il termine “attacco alla catena di approvvigionamento” sembra dedurre che solo le grandi società dipendenti dalla catena di approvvigionamento come le società manifatturiere tradizionali e i fornitori di servizi logistici sarebbero a rischio, non è più così. La maggior parte delle aziende digitali si affida a fornitori di terze parti per fornire parte del codice del proprio sito Web, dalla pubblicazione di annunci ai social, dall’elaborazione dei pagamenti e dalla fornitura alle reti CDN, l’impresa moderna è altamente connessa a un’ampia catena di fornitura digitale.

Un altro esempio recente è il riemergere degli specialisti di attacchi della catena di approvvigionamento Magecart, che Trend Micro ha avvertito a gennaio 2019 stava offrendo attacchi alle imprese attraverso una catena di approvvigionamento pubblicitaria compromessa. A quel punto, Trend Micro aveva identificato circa 300 siti Web di e-commerce che forniscono servizi di biglietteria, touring e prenotazione di voli che erano stati infettati da malware Magecart. Da allora gli aggressori hanno ampliato le operazioni per includere siti Web multimediali e di intrattenimento ad alto volume che lavorano con fornitori di pubblicità di terze parti.

In breve, l’era della fiducia delle imprese di fatto sembra essere fortemente minacciata ed è probabile che rimanga tale. Adottare un approccio di best practice alla sicurezza aziendale potrebbe non risolvere immediatamente il problema più ampio, ma dovrebbe migliorare la fiducia a lungo termine. Quando hai effettuato l’ultimo test di sicurezza sul tuo sito aziendale?

Unisciti a 40 milioni di altri e provalo gratuitamente oggi!