Site icon Martin Haller, Blog o ochraně a správě firemního IT

Jak hackeři napadají firmy skrze jejich IT dodavatele

Hackerské útoky skrze dodavatele

Hackerské útoky skrze dodavatele

IT outsourcingové firmy, dodavatelé informačních systémů, poskytovatelé cloudových služeb či externí konzultanti běžně mívají vzdálený a neomezený přístup ke všem svým zákazníkům. Každý takový dodavatel má často desítky až tisíce zákazníků. Pokud jej hackeři prolomí, dostanou se skrze něj ke všem jeho zákazníkům. Proto jsou útoky skrze dodavatele pro hackery výhodné.

Hackeři jsou chytří a tohle všechno dávno vědí. Je pro ně snazší hacknout jednoho dodavatel a tím se dostat ke stovkám jeho zákazníků, než hackovat každého zákazníka zvlášť. Hacknutí dodavatele nebývá zpravidla stokrát těžší než hacknout běžnou firmu. Občas je to paradoxně lehčí, protože u některých dodavatelů platí rčení „kovářova kobyla chodí bosa“.

Útoky skrze dodavatele nejsou novinkou (obecně se jim říká „útoky v rámci/na dodavatelské řetězce“), avšak za poslední rok nabraly na popularitě. Nejspíše za to může zvětšující se „byznys“ s ransomware a větší zkušenost „kyberkriminálníků“.

Útoky skrze dodavatele končívají nasazením ransomware do sítí jejich zákazníků. Avšak proti běžnému ransomware útoku, který zasáhne běžnou firmu, mají zajímavá a nemilá specifika:

Koho všeho se týkají útoky v rámci dodavatelského řetězce?

Jednoduše všech, protože každá firma má nějakého svého IT dodavatele. Nejtypičtějším příkladem firmy, která má přístup k jiným firmám, jsou dodavatelé IT služeb. To je například i naše firma PATRON-IT. My máme téměř neomezený přístup k více jak stovce našich zákazníků. Nicméně je i řada dalších dodavatelů, kteří mají vliv na bezpečnost odběratelů, např.:

Pokud někdo z nich bude na bezpečnost kašlat, je jedno, že vy jste za své zabezpečení utratili statisíce/milióny. Otázka proto zní: „Jak dobře znáte své dodavatele?“

Jak dobře znáte své dodavatele?

IT není vázaná živnost. Tudíž IT (správu sítě, programování, webhosting, bezpečnostní konzultace, penetrační testování…) může dělat každý, kdo si to zvládne napsat na vizitku. 🤔 A jako v jiných oborech, i v IT často platí, že „kovářova kobyla chodí bosa“. Řada firem radí svým zákazníkům X a prodává produkty Y, aniž by to samé používala u sebe.

Jako odběratelé bychom si měli dát alespoň trochu práce s poznáním svých dodavatelů, zejména při jejich výběru. Ano. Vím, že v současné době máme všichni práce nad hlavu. Často ani nemáme dostatečné znalosti k tomu, abychom mohli dodavatele posoudit. Nicméně alespoň u těch, kterým povolujeme neomezený vzdálený přístup do sítě, je to potřeba.

Jak poznat, že dodavatel bezpečnost nefláká?

Občas na mě padne dotaz, jak může laik posoudit, že IT dodavatel dělá svou práci pořádně. Napadlo mě následující:

Myslím, že jako zákazníci máte nárok na odpovědi. Jste to vy, kdo svěřuje svá data do péče někoho jiného a budete vůči svému dodavateli „zranitelní“. Třeba u nás bychom systémy rádi ukázali, protože jsme hrdí na to, jak to děláme. Bohužel se nás za téměř 9 let nikdo nezeptal.😢

Vím, že výčet výše není dokonalý a vztahuje se hlavně k IT outsourcingovým firmám (nebo MSP) – přeci jenom je to můj obor a mám v něm přehled. Pokud vás napadne další dobrý způsob, budu rád, když se podělíte.

Jak probíhají útoky skrze dodavatele

Prvně potřebují hackeři kompromitovat nějakého dodavatele. Toho si buď dopředu vytipují a hacknou. Nebo při hacknutí náhodné firmy zjistí, že daná firma má přístup i k jiným firmám. Většinou to poznají podle nainstalovaného SW, uložených hesel, nebo názvu domény.

Síť hacknutého dodavatele nejprve „prošmejdí“ a udělají si přehled o tom, jaké systémy používá a kdo jsou jeho zákazníci. Primárně se koukají po centrálních systémech, skrze které by mohli jednoduše rozšířit ransomware na všechny zákazníky. Zpravidla to bývá centrální konzole antiviru, systém pro automatizaci, monitorovací systém, patch management, webový server, správce hesel/spojení. Bohužel platí, že systém, který dodavatelům nejvíce usnadňuje práci, ji nejvíce usnadní i hackerům.

Když nenajdou cestu, jak ransomware nasadit centrálně na všechny zákazníky, postupují ručně. K zákazníkům se budou připojovat stejně jako to dělá daný dodavatel. Totéž platí v případě, pokud zjistí, že někteří zákazníci dodavatele jsou cíle zasluhující více pozornosti.

Nicméně cílem bývá nasadit ransomware do sítí všech zákazníků a nakonec i do sítě samotného dodavatele. Cílem je dodavatele i zákazníky paralyzovat a dotlačit k zaplacení výkupného. O tom, jak se dokáží hackeři v síti pohybovat a čeho všeho jsou schopni jsem psal v článku „Co dokáží hackeři s ransomware ve vaší firemní síti“.

Konkrétní případy hackerských útoků skrze dodavatele

Vybral jsem vám několik případů z roku 2019, kdy hackeři napadli firmy právě skrze dodavatele – paradoxně toho, kdo je měl před ransomware bránit. Jedná se o zahraniční společnosti.

Útoky skrze dodavatele v ČR?

Český příklad zatím k dispozici nemám (podle mě je to otázka času). V prosinci k tomu byla blízko společnost HAVIT s.r.o., která vyvíjí aplikace na zakázku. O napadení ransomware psali na svém blogu „Dvě návštěvy ransomware (cryptoviru) v HAVITu, jak se to k nám dostalo a ponaučení z toho všeho“. Útočníci tehdy nevyužili skutečnosti, že prolomili síť IT dodavatele. S největší pravděpodobností si toho nevšimli. A takových případů bude většina. Nicméně do budoucna, jak se hackeři zlepšují, začne dodavatele „štěstí“ opouštět.

Z minulosti stojí za zmínku útok ransomware NotPetya. Kdy útočníci napadli servery společnosti M.E. Doc a nahráli na ně infikovanou aktualizaci stejně jmenného účetního systému. Infekce se pak skrze automatické aktualizace účetního systému rozšířila na všechny jejich zákazníky. Podobný problém měl i Avast se svým programem Ccleaner (viz „Avast jako kovářova kobyla: V aplikaci CCleaner od výrobce antiviru byl škodlivý software“).

Závěr

Všichni máme jednoho či více dodavatelů služeb, kteří používají vzdálený přístup k naším datům nebo zařízením. Měli bychom se snažit, alespoň na začátku vztahu, poznat je a ověřit si, že svou práci dělají, jak slibují. Vím, že ne vždy máme dostatek času a prostoru. Nicméně často se jedná o spolupráci, která potrvá roky. Co je proti tomu pár hodin či den času věnovaný poznání svého dodavatele – když jeho pochybení nás může stát celé podnikání.

Pokud si chcete o ransomware přečíst více, na blogu jsem již psal:

Nechť jsou vaše sítě bezpečné.

Martin

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Exit mobile version