Pontos de vista

Cadeia de fornecimento = cadeia alimentar dos cibercriminosos (Parte 1)

Kevin Townsend, 25 Junho 2019

Será que você é o elo mais fraco da corrente para os cibercriminosos? Como atuam os grupos de elite dos cibercriminosos.

Em dezembro de 2018, os chineses Zhu Hua e Zhang Shilong foram indiciados pelo Departamento de Justiça dos EUA pelo envolvimento com o grupo de cibercriminosos APT10. A abreviação APT significa Advanced Persistent Threat (Ameaça persistente avançada). Ela é usada para especificar um grupo de cibercriminosos de elite, geralmente aquele que é empregado por um governo ou opera com o seu aval. Não se trata de cibercriminosos comuns.

Eles comprometeram grandes fornecedores de serviços terceirizados (ou Managed Service Providers em inglês), mas os MSPs não eram os principais alvos: eles queriam invadir os consumidores finais. Os MSPs sofreram ataques de phishing, as credenciais de seus clientes foram roubadas e o grupo APT10 teve acesso irrestrito aos alvos reais através do acesso autorizado que possuíam os MSPs.

Esse tipo de ataque é conhecido como “ataque à cadeia de fornecimento”. O alvo real não é atacado diretamente. Em vez disso, o primeiro alvo é sua cadeia de fornecimento, que geralmente tem defesa mais fraca, neste caso, os MSPs.

Você pode pensar: o que cibercriminosos governamentais e a espionagem internacional têm a ver comigo? Possivelmente, nada. Mas não necessariamente. É importante entender o conceito de ataques à cadeia de fornecimento e como eles podem nos afetar. Todos nós precisamos saber nosso lugar na cadeia alimentar dos cibercriminosos.

O que é uma cadeia de fornecimento?

Uma cadeia de fornecimento é uma cadeia de dependências de bens ou serviços. Se eu fizer compras no Wal-Mart, o Wal-Mart faz parte da minha cadeia de fornecimento. Essa cadeia liga os atacadistas que fornecem mercadoria para Wal-Mart e, mais adiante, os agricultores que abastecem os atacadistas.

No mundo da tecnologia, meu fornecedor de computadores faz parte da minha cadeia de fornecimento e os fabricantes que desenvolvem as peças montadas pelo meu fornecedor são partes de sua cadeia de fornecimento. Isso mesmo se aplica ao software: o desenvolvedor faz parte da minha cadeia e os produtores das rotinas de código aberto usados pelo desenvolvedor fazem parte da sua cadeia de fornecimento.

Por outro lado, eu faço parte da cadeia de fornecimento da empresa que me emprega. E ela está na cadeia de fornecimento de outras empresas para quais ela fornece bens e serviços. Se eu trabalho com vendas, eu sou a cadeia de fornecimento de meus clientes.

E assim por diante. A sociedade é uma interação complexa de cadeias de fornecimento complexas. O problema é que, no mundo conectado de hoje, os fornecedores geralmente têm acesso aos clientes online.

Em geral, quanto maior a empresa, mais ela atrai os cibercriminosos e, ao mesmo tempo, melhor será sua defesa. Isso não acontece com as empresas menores que fazem parte de cadeia de fornecimento. Elas não são tão bem defendidas e os computadores domésticos têm as defesas mais fracas de todos.

Sem perceber, eu poderia fazer parte de uma cadeia de fornecimento que me liga ao meu empregador e que liga ele a algumas das maiores, ou mesmo mais importantes, organizações do país.

Um exemplo de ataque de cadeia de fornecimento

Uma ação que chamou a atenção mundial nos ataques da cadeia de fornecimento foi contra a Target Corporation em 2013. Em 27 de dezembro, a Target alertou que até 40 milhões de cartões bancários de clientes poderiam ter sido comprometidos. Duas semanas depois, avisou que outros 70 milhões de clientes poderiam ter informações pessoais roubadas.

Mas, mesmo que a Target tenha sido o alvo primário, os criminosos conseguiram acessar, por meio de sua cadeia de fornecimento, seu fornecedor de ar-condicionado, a Fazio Mechanical Services (FMS). Como a FMS forneceu serviços à Target, a empresa manteve um registro de credenciais de acesso à rede para os sistemas internos da Target. Embora a segurança da Target fosse forte demais para sofrer um ataque direto, a FMS não implementou tais medidas eficazes. Depois que os cibercriminosos conseguiram violar o fornecedor de ar-condicionado, eles conseguiram usar essas credenciais para contornar a segurança da Target.

Desde então, houve centenas de ataques diferentes e bem sucedidos na cadeia de fornecimento. Por exemplo, até o ataque de ransomware destrutivo, o NotPetya (também conhecido como Petna) de 2017 (às vezes descrito como o incidente cibernético mais caro do mundo) pode estar ligado à cadeia de fornecimento. Os atacantes primeiro comprometeram uma empresa de contabilidade ucraniana (M.E.Doc) e envenenaram o software que ela fornecia a muitas empresas ucranianas importantes. Essas empresas baixaram o software contendo o NotPetya e depois ele se espalhou pelo mundo.

Usuários domésticos e a cadeia de fornecimento online

Todos nós temos nossas próprias cadeias de fornecimento e nossas próprias fraquezas. Por exemplo, em julho de 2018, os criminosos comprometeram um processo de instalação de um editor de PDF de maneira que os usuários que instalaram o aplicativo, também instalaram um minerador de criptomoedas. O aplicativo em si não foi comprometido, mas sua cadeia de fornecimento foi. Ainda que os antivírus impediram que ele se espalhasse, esse é um bom exemplo de uma cadeia de fornecimento infectada. O instalador com malware foi distribuído com um aplicativo para editar arquivos PDF. O aplicativo em si não foi comprometido, mas um serviço dentro do editor foi. Isso mostra que a cadeia de fornecimento pode se estender bem longe: de um serviço, até um componente de software, até um processo de instalação e, finalmente, até... nós.

Na próxima sexta-feira, veremos alguns exemplos e métodos usados com frequência para contaminar as nossas próprias cadeias de fornecimento, a fim de nos comprometer, ou de comprometer outros através de nós:

  • Blogs que usam o WordPress contaminam usuários
  • Russos atacam centrais elétricas americanas
  • Produtos da Amazon e da Apple foram ou não comprometidos por minúsculos microchips chineses?
  • Infiltração de aplicativos com adwares e spywares na Google Play Store
  • CDs da Sony contaminados infectam computadores
  • Polícia italiana monitora cidadãos infectando Androids e iPhones

Kevin Townsend é um blogueiro convidado do Blog da Avast, onde você pode acompanhar todas as notícias de segurança mais recentes. A Avast é líder global em segurança cibernética e protege centenas de milhões de usuários em todo o mundo com antivírus gratuito premiado e mantém suas atividades online privadas com VPN e outros produtos de privacidade. Participe da conversa com a Avast no Facebook e Twitter.