De maneira alarmante, neste ano, dois bancos foram alvos de ataques por meio da cadeia de suprimentos de software de código aberto, marcando um precedente na indústria e emitindo um alerta claro a outros setores: estão na mira dos ciberatacantes.

Ambos os ataques, perpetrados por grupos de ameaças diferentes, envolveram técnicas avançadas que visaram ativos da web específicos dos bancos. Foram usadas táticas enganosas, engenharia social e o repositório de código NPM, um caminho cada vez mais comum para os atacantes da cadeia de suprimentos. Tzachi Zornstein, Aviad Gerson e Yehuda Gelb, pesquisadores da Checkmarx, detalharam esses ataques em um relatório recente.

Também alertam para a contínua expansão dos ataques à cadeia de suprimentos para várias indústrias e a necessidade de incorporar medidas de segurança desde as primeiras etapas do ciclo de vida do desenvolvimento de software (SDLC, em inglês).

“Tradicionalmente, as organizações focavam principalmente na detecção de vulnerabilidades na fase de construção, uma prática que não é mais adequada diante das ameaças cibernéticas avançadas de hoje”, afirmam. “Uma vez que um pacote malicioso de código aberto entra no fluxo de trabalho, ocorre uma brecha instantânea, tornando qualquer contramedida subsequente ineficaz. Em outras palavras, o dano está feito”.

O Risco na Cadeia de Suprimentos de Software

Os ataques à cadeia de suprimentos, que dão aos cibercriminosos um amplo alcance a partir de uma única brecha, têm aumentado nos últimos anos, especialmente após ataques de alto perfil como SUNBURST, Kaseya e Log4j. Os repositórios de código, como NPM, GitHub e PyPI, também se tornaram alvos populares. Os atacantes podem infectar uma atualização de software ou código e propagar a infecção à medida que mais organizações implementam o software.

De acordo com a Gartner, até 2025, 45% das organizações em todo o mundo terão sofrido ataques às suas cadeias de suprimentos de software.

À medida que mais pacotes de código aberto são utilizados no desenvolvimento de software, a natureza do software de código aberto – com muitas pessoas envolvidas em seu desenvolvimento e sem uma maneira fácil de saber o que acontece na cadeia de suprimentos – torna-se um alvo atrativo para atores maliciosos, colocando pressão sobre os desenvolvedores para garantir que os pacotes que estão usando sejam seguros.

No ano passado, a Sonatype descobriu que 96% dos downloads de Java de código aberto com vulnerabilidades de segurança conhecidas poderiam ter sido evitados usando uma versão melhor e disponível.

“A segurança da cadeia de suprimentos envolve proteger todo o processo de criação e distribuição de software, desde as primeiras etapas do desenvolvimento até a entrega ao usuário final”, explicam os pesquisadores da Checkmarx.

Bancos Sob Ataque

No primeiro ataque detalhado pela Checkmarx, durante dois dias em abril, um ator malicioso enviou um par de pacotes para a plataforma NPM contendo um script de pré-instalação para executar código malicioso assim que instalado. A pessoa por trás dos pacotes criou um perfil falso no LinkedIn e se passou por um funcionário do banco-alvo.

O script de pré-instalação verificou o sistema operacional infectado para determinar se era Linux, Windows ou macOS e, em seguida, descriptografou arquivos criptografados no pacote NPM correspondente. Os arquivos baixaram código malicioso no sistema. Os pesquisadores observaram que o serviço VirusTotal não identificou o arquivo específico do Linux como malicioso, o que permitiu ao atacante “manter uma presença oculta em sistemas Linux, minimizando o risco de detecção e aumentando a probabilidade de sucesso”.

O atacante também usou subdomínios da rede de distribuição de conteúdo da Azure para distribuir a carga maliciosa. Como a Azure é um serviço legítimo, o uso dela permitiu que a carga útil evitasse as técnicas regulares de lista de negação. Além disso, o criminoso escolheu um subdomínio com o nome do banco vítima, ajudando-os a passar despercebidos e aumentar a credibilidade.

Na segunda etapa do ataque, eles também usaram o framework Havoc, um framework de pós-exploração para gerenciamento de ataques que pode ajudar atores maliciosos a evitar defesas. Esse framework está substituindo ferramentas legítimas como o Cobalt Strike como a preferida dos atacantes.

Em um ataque não relacionado em fevereiro, atores de ameaças enviaram um pacote malicioso para a NPM que incluía código que se integrou ao site do banco-alvo, permanecendo lá até ser ativado.

“A carga revelou que o atacante havia identificado um ID de elemento exclusivo no HTML da página de login e projetado seu código para se ligar a um elemento específico do formulário de login, interceptando furtivamente os dados de login e os transmitindo para um local remoto”, escreveram os pesquisadores.

Conclusões

Os recentes ataques à cadeia de suprimentos de software que afetaram bancos são um alerta para todos os setores. A necessidade de adotar medidas de segurança desde as primeiras etapas do desenvolvimento de software é crucial para evitar ataques devastadores. A constante expansão dos ataques pela cadeia de suprimentos exige uma resposta unificada da indústria e um foco na colaboração e vigilância constantes. Somente assim poderemos proteger nossos sistemas e dados em um cenário de cibersegurança cada vez mais complexo e desafiador.

Antecipamos uma Escalada Constante em Ataques Dirigidos, Incluindo Bancos.

Nossa principal intenção com este artigo é iluminar as Táticas, Técnicas e Procedimentos (TTP) que observamos e promover a compreensão coletiva e a conscientização sobre essas ameaças emergentes. Nesse sentido, nos dirigimos especialmente ao setor financeiro. A necessidade do momento é permanecer vigilante, evoluir continuamente nossas defesas e estar um passo à frente dos atores de ameaças.

A equipe de pesquisa da cadeia de suprimentos da Checkmarx está monitorando esses ataques e manterá atualizados sobre quaisquer desenvolvimentos adicionais.

Continuemos trabalhando juntos para manter o ecossistema seguro!

Amplie seu Conhecimento sobre a Cadeia de Suprimentos de Software com a Checkmarx.

Este post foi escrito por Ana Lucia Amaral e publicado originalmente no site da Checkmarx.