Разбор двух атак supply chain и советы по митигации подобных угроз
Демонстрируем изощренность подобных кампаний на примере двух инцидентов. В конце советуем, как снизить вероятность реализации подобных угроз и минимизировать ущерб от них.
DDoS через рекламного партнера
Сайт организации подвергся DDoS-атаке — количество посещений в сотни раз превышало стандартные значения. Тысячи клиентов не могли получить доступ к сервису, все это время компания несла убытки.
Наши специалисты обнаружили, что все мусорные запросы в адрес пострадавшего сайта снабжены заголовком (HTML-тегом ’referer’), который отсылает к стриминговым сервисам. При этом пользователи, пришедшие со стримингов, посещали только главную страницу и непрерывно пытались ее обновить. В то же время IP-адреса, задействованные в атаке, не выглядели скомпрометированными.
Исследователи заметили подозрительную активность на одном из стриминговых сервисов. Оказалось, что размещенный на нем скрипт втайне от посетителей отправлял запросы на сайт компании-жертвы. Пока пользователи смотрели видео, от их имени шли многократные обращения к целевой площадке. Чтобы оставаться незамеченным, вредоносный скрипт маскировался под рекламный сервис.
Выяснилось, что все стриминги, атаковавшие сайт, закупали рекламу у одного провайдера. Он и внедрил скрипт, отправлявший запросы. Поскольку запросы не выглядели подозрительными, средства киберзащиты на стороне атакуемой компании их пропускали.
Мы связались с провайдером рекламы и рассказали, в чем дело. Представители компании сначала отрицали, что виноваты в произошедшем, но после предоставленных доказательств нашли вредоносный скрипт и отключили его. Затем нашелся и сотрудник, устроивший саботаж. На нейтрализацию инцидента ушло несколько часов.
Схема DDoS-атаки через стриминговые сервисы
Дефейс через инструмент сайтовой аналитики
На сайте организации появилась нерелевантная информация вместо легитимного контента. Клиенты не могли воспользоваться сервисом, а компания несла репутационные издержки.
Первоначальная версия — несанкционированный доступ к панели управления сайтом — отпала достаточно скоро: наши эксперты выяснили, что нелегитимный контент загружается через Google Tag Manager (GTM). Это система управления тегами, предназначенная для внутрисайтовой аналитики.
В панели администрирования GTM исследователи обнаружили тег, созданный незадолго до атаки, а внутри него — сильно обфусцированный код.
Помимо заказчика, правами администратора внутри GTM располагали сотрудники агентства, которое вело маркетинговые активности пострадавшей компании. Исследователи определили учетную запись, использованную для публикации нерелевантного контента, и время, когда это происходило. По этим сведениям в агентстве быстро вычислили злоумышленника из числа сотрудников. Всего на поиски преступника ушло 2 часа.
Наши специалисты отключили GTM на пострадавшем сайте, чтобы убрать нерелевантный контент. Затем они нашли зараженный тег и, удалив его, переподключили систему. На будущее наши исследователи ограничили права сторонних исполнителей в панели администрирования GTM. Клиент обратился к юристам, чтобы те выяснили, возможно ли выставить агентству неустойку.
Схема дефейса через Google Tag Manager
Как быть с атаками на цепочку поставок
Инциденты, описанные выше, невозможно предугадать. В этих условиях логичнее минимизировать неизбежный ущерб и делать упор на меры реагирования.
Следуйте нашим советам, чтобы упростить поиск потенциальных проблем с защищенностью и распланировать действия.
- Нет ли ошибок в описании сценариев реагирования?
- Понятен ли текст всем сотрудникам, нет ли в нем сложных пунктов, написанных бюрократическим языком?
- Предусмотрены ли в документации проблемы, которые возникали при работе с предыдущими инцидентами?
Если в вашей компании еще нет регламентов реагирования на кибератаки, создайте их. Учтите сложности, которые возникали при нейтрализации прошлых инцидентов.
В экстренной ситуации не будет времени изучать планы — порядок действий важно отработать заранее.
- Проведите тренинг по кибербезопасности, чтобы узнать, готовы ли сотрудники к инцидентам.
- Возьмите за правило отрабатывать сценарии реагирования в рамках корпоративных киберучений.
- Подберите тренинги и вебинары, которые поднимут уровень киберграмотности персонала.
Наш проектный опыт показывает: компании часто пренебрегают разборами полетов и завершают процесс реагирования сразу как восстановят деятельность. Если вы все же стали жертвой кибератаки, проанализируйте ее. Тщательные расследования подсвечивают проблемы с безопасностью, а грамотная работа над уязвимостями может натолкнуть на пересмотр мер по управлению инцидентами в целом.
Не у каждой компании есть ресурсы на локализацию и анализ проблемы. Даже если в организации работают специалисты по реагированию, им зачастую не хватает компетенций в таких областях, как реверс-инжиниринг вредоносного ПО, криптография и хостовая форензика. Закладывайте в бюджет служб кибербезопасности обращение за помощью к сторонним экспертам.
В конечном итоге надежность вашей цепочки поставок определяется надежностью самого слабого звена в ней. Поэтому мы рекомендуем распространить эти советы среди контрагентов.