{"id":16114,"date":"2020-10-15T15:23:55","date_gmt":"2020-10-15T18:23:55","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?post_type=emagazine&#038;p=16114"},"modified":"2023-01-26T08:44:22","modified_gmt":"2023-01-26T11:44:22","slug":"supply-chain-attack-evolution","status":"publish","type":"emagazine","link":"https:\/\/www.kaspersky.com.br\/blog\/secure-futures-magazine\/supply-chain-attack-evolution\/16114\/","title":{"rendered":"A evolu\u00e7\u00e3o dos ciberataques \u00e0 cadeia de produ\u00e7\u00e3o"},"content":{"rendered":"<p>Ataques \u00e0 cadeia de produ\u00e7\u00e3o das empresas representam uma mudan\u00e7a entre os hackers. Esse tipo de ataque n\u00e3o \u00e9 novo, mas est\u00e1 se tornando cada vez mais comum e vem evoluindo o suficiente para n\u00e3o ser detectado por m\u00e9todos de seguran\u00e7a mais b\u00e1sicos.<\/p>\n<p>Esses ataques envolvem a implanta\u00e7\u00e3o de uma parte do malware que executa o ataque (chamada de payload) dentro de softwares, firmwares e hardwares. Esse payload escondido pelo hacker acaba fazendo parte do produto final e as empresas, donas desses produtos, se tornam distribuidores dos malwares involuntariamente. Esses invasores se escondem nos computadores e redes dos consumidores at\u00e9 que algum gatilho dispare seu processo malicioso.<\/p>\n<p>O foco deste artigo s\u00e3o os ataques \u00e0 cadeia de suprimentos de softwares, mas tamb\u00e9m ser\u00e3o abordados outros dois tipos de ataque para que seja poss\u00edvel entender a escala e o escopo das vulnerabilidades das cadeias de suprimentos.<\/p>\n<h2>Ataques a hardwares<\/h2>\n<p>Invas\u00f5es \u00e0 supply chain de hardwares s\u00e3o, em sua maioria, amadoras e baratas. Um exemplo s\u00e3o drives USB com keyloggers instalados, programas capazes de gravar mais de 8 mil p\u00e1ginas de toques de teclado. Outro caso, s\u00e3o os microfones instalados nos conectores de rede Ethernet (plugs RJ45), que ajudam a roubar senhas e outros dados sens\u00edveis.<\/p>\n<h2>Ataques a firmwares<\/h2>\n<p>Hackers tamb\u00e9m adulteram o firmware de diferentes equipamentos ao aplicar c\u00f3digos maliciosos que invadem os aparelhos dos usu\u00e1rios. O foco mais comum \u00e9 o firmware de inicializa\u00e7\u00e3o. Ao adulterar esse processo, o usu\u00e1rio executa o malware involuntariamente ao ligar seu aparelho.<\/p>\n<h2>Ataques a softwares<\/h2>\n<p>Hackers preferem atacar a cadeia de produ\u00e7\u00e3o de softwares, pois dessa forma s\u00f3 precisam alterar um link dentro de toda a cadeia para inserir malware em todos os produtos. Eles podem aplicar um c\u00f3digo malicioso durante diversas etapas do desenvolvimento do software, desde a cria\u00e7\u00e3o, at\u00e9 a complica\u00e7\u00e3o, distribui\u00e7\u00e3o e atualiza\u00e7\u00f5es. O aumento da sofistica\u00e7\u00e3o dos softwares empresariais tamb\u00e9m ajudou a aumentar o n\u00famero de op\u00e7\u00f5es para os hackers.<\/p>\n<p>Ataques podem mirar o c\u00f3digo-fonte de um software, inserindo c\u00f3digos maliciosos na cria\u00e7\u00e3o de aplicativos supostamente confi\u00e1veis, por exemplo. \u00c0s vezes, o c\u00f3digo \u00e9 aplicado em um arquivo execut\u00e1vel por meio de um compilador (programa que traduz c\u00f3digos de uma linguagem para outra) ou um linker (programa que combina dados que o compilador gera em arquivos execut\u00e1veis) infectado. Outro alvo frequente s\u00e3o os mecanismos de atualiza\u00e7\u00e3o dos softwares.<\/p>\n<p>Enquanto desenvolvedores de software confi\u00e1veis costumam \u201cassinar\u201d seus arquivos execut\u00e1veis e scripts com certificados digitais para confirmar que os c\u00f3digos daqueles arquivos n\u00e3o foram adulterados, os ataques a esse tipo de softwares costumam incluir certificados roubados e que se passam por genu\u00ednos.<\/p>\n<p>Geralmente, empresas menores e outros desenvolvedores de softwares que dependem de c\u00f3digo aberto acabam sendo os agentes mais vulner\u00e1veis desse tipo de ataque.<\/p>\n<h2>Os principais ataques<\/h2>\n<h3>Um ataque para definir os pr\u00f3ximos<\/h3>\n<p>Algumas invas\u00f5es de hackers \u00e0 cadeias de produ\u00e7\u00e3o de softwares contam com um planejamento pr\u00e9vio extremamente sofisticado, que serve para identificar os melhores alvos para ataques futuros.<\/p>\n<p>Um dos <a href=\"https:\/\/www.darkreading.com\/pharmaceuticals-not-energy-may-have-been-true-target-of-dragonfly-energetic-bear\/d\/d-id\/1316869\" target=\"_blank\" rel=\"noopener nofollow\">principais ataques \u00e0 infraestrutura <\/a>de um empresa aconteceu na Energetic Bear, onde os hackers usaram uma campanha de <a href=\"https:\/\/www.kaspersky.com\/resource-center\/definitions\/spear-phishing\" target=\"_blank\" rel=\"noopener nofollow\">spear-phishing<\/a> (e-mails maliciosos) para definir uma lista de fornecedores para atacar.<\/p>\n<h3>O Fantasma da Ferramenta de Cria\u00e7\u00e3o<\/h3>\n<p>At\u00e9 a <a href=\"https:\/\/www.wired.com\/2015\/09\/hack-brief-malware-sneaks-chinese-ios-app-store\/\" target=\"_blank\" rel=\"noopener nofollow\">Apple, famosa por sua resist\u00eancia contra v\u00edrus , foi v\u00edtima de um ataque \u00e0 sua cadeia de produ\u00e7\u00e3o<\/a>. Hackers usaram o Xcode, uma ferramenta para criar aplicativos para iOS e OS X, para inserir c\u00f3digos maliciosos dentro de diversos aplicativos. E a Apple hospedou e disponibilizou esses apps na App Store.<\/p>\n<p>A maioria dos desenvolvedores geralmente baixa o Xcode de maneira segura, diretamente da Apple. Mas o programa tamb\u00e9m est\u00e1 dispon\u00edvel para download em diversos f\u00f3runs de desenvolvedores. Hackers ent\u00e3o inserem c\u00f3digos maliciosos nas vers\u00f5es disponibilizadas nessas fontes alternativas. Pesquisadores do gigante e-commerce Alibaba, chamaram essas varia\u00e7\u00f5es adulteradas do programa de \u201cXcodeGhost\u201d. As vers\u00f5es continham somente algumas linhas extras de c\u00f3digo, dif\u00edceis de detectar, mas suficientes para penetrar e propagar.<\/p>\n<h3>Entrando pelo backdoor de um gerenciador de servidores popular<\/h3>\n<p>O incidente do ShadowPad \u00e9 um dos mais conhecidos e mais sofisticados ataques \u00e0 cadeia de produ\u00e7\u00e3o j\u00e1 vistos. Em 2017, <a href=\"https:\/\/securelist.com\/shadowpad-in-corporate-networks\/81432\/\" target=\"_blank\" rel=\"noopener\">pesquisadores da Kaspersky descobriram um backdoor, chamado ShadowPad,<\/a> implantado em um software de gerenciamento de servidores usado por centenas de grandes empresas no mundo todo. Quando ativado, ou melhor, aberto, esse backdoor permite que hackers instalem outros m\u00f3dulos maliciosos e roubem dados do sistema.<\/p>\n<p>Neste caso, os hackers verificaram o c\u00f3digo malicioso com um certificado leg\u00edtimo. Tudo que levava \u00e0 fun\u00e7\u00e3o infectada foi escondido e se tornou invis\u00edvel para os usu\u00e1rios. Os invasores haviam ganhado n\u00e3o s\u00f3 acesso aos certificados, mas tamb\u00e9m ao c\u00f3digo-fonte e ao sistema de cria\u00e7\u00e3o do software.<\/p>\n<p>Pesquisadores da Equipe de An\u00e1lise e Pesquisas Global da Kaspersky, o GReAT, notificaram imediatamente a fornecedora <a href=\"https:\/\/www.netsarang.com\/en\/\" target=\"_blank\" rel=\"noopener nofollow\">NetSarang<\/a>, que rapidamente tirou do ar o software infectado e o substituiu com uma vers\u00e3o anterior limpa. Neste caso, a NetSarang mostrou que uma resposta r\u00e1pida a ciberataques como esse faz a diferen\u00e7a e, junto com a Kaspersky, encontraram somente um payload infectado, o que \u00e9 um resultado excelente, considerando a alta popularidade do produto.<\/p>\n<h2>Ataque ao limpador vai direto ao topo<\/h2>\n<p>O CCleaner \u00e9 um programa muito popular de limpeza de arquivos, com mais de 2 bilh\u00f5es de downloads. Mas, depois de um ataque \u00e0 sua cadeia de produ\u00e7\u00e3o em setembro de 2017, uma vers\u00e3o infectada do software foi baixada mais de 2 milh\u00f5es de vezes.<\/p>\n<p>O ataque foi feito atrav\u00e9s de uma pequena brecha, mas os hackers criptografaram todos os c\u00f3digos, tornando-os muito mais dif\u00edceis de serem detectados. Assim como no caso do ShadowPad, os invasores assinaram os c\u00f3digos maliciosos com certificados digitais leg\u00edtimos.<\/p>\n<p>Os hackers deste ataque miravam o patamar mais alto. Eles inclu\u00edram no malware uma fun\u00e7\u00e3o para detectar se o usu\u00e1rio tinha credenciais de administrador. O ataque somente seguiria em frente se aquele usu\u00e1rio tivesse acesso \u00e0s fun\u00e7\u00f5es de comando e controle da empresa.<\/p>\n<p>Como o ataque era extremamente seletivo, a vers\u00e3o completa do malware s\u00f3 foi baixada em 40 computadores. Mas as v\u00edtimas do ataque ao CCleaner incluem alguns dos maiores nomes da ind\u00fastria da tecnologia, como Samsung, Fujitsu, Intel, Sony e Asus, e isso fez com que o ataque fosse um dos mais destruidores e eficientes j\u00e1 descobertos.<\/p>\n<h2>Infiltrando-se em fun\u00e7\u00f5es de atualiza\u00e7\u00e3o autom\u00e1ticas<\/h2>\n<p><img decoding=\"async\" class=\"alignnone size-full wp-image-16116\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2020\/10\/02144707\/058_evolution_of_supply_chain_attacks_ghost1-1024x724-1.jpg\" alt=\"\" width=\"1024\" height=\"724\"><br>\nPesquisadores da Kaspersky descobriram o malware <a href=\"https:\/\/securelist.com\/operation-shadowhammer\/89992\/\" target=\"_blank\" rel=\"noopener\">Operation ShadowHammer<\/a> em janeiro de 2019. Eles encontraram um arquivo suspeito com um certificado leg\u00edtimo da Asus. O arquivo era distribu\u00eddo pelo servidor oficial da Asus, mas continha um backdoor.<\/p>\n<p>Ataques \u00e0 cadeia de produ\u00e7\u00e3o muitas vezes miram atualiza\u00e7\u00f5es autom\u00e1ticas de sistema. Para come\u00e7ar, os hackers plantaram o c\u00f3digo Operation ShadowHammer na ferramenta de atualiza\u00e7\u00f5es em tempo real da Asus. Mas a complexidade do ataque foi evoluindo.<\/p>\n<p>O Operation ShadowHammer foi disparado para mais de 400 computadores, infectando 230.<\/p>\n<p>Mas a Asus n\u00e3o foi o \u00fanico alvo. Desde a primeira descoberta, nossa equipe identificou diversos outros casos, incluindo 3 outras empresas de softwares, todas com arquivos digitalmente certificados. Os hackers verificaram a portas de acesso com diferentes certificados para cada ataque.<\/p>\n<h2>Detectar \u00e9 melhor do que curar<\/h2>\n<p>Detectar ataques \u00e0 cadeia de produ\u00e7\u00e3o \u00e9 um trabalho de muitas nuances.<\/p>\n<p>Muitas vezes esses ataques n\u00e3o manipulam diretamente o c\u00f3digo original, mas sim atualiza\u00e7\u00f5es baixadas e que s\u00e3o executadas somente pela mem\u00f3ria do computador.<\/p>\n<p>Jogos est\u00e3o entre os alvos mais atraentes para ataques \u00e0 supply chain, porque neles \u00e9 mais dif\u00edcil saber se os malware s\u00e3o parte ou n\u00e3o das funcionalidades originais daquele software. Ferramentas contra trapa\u00e7as ou para a prote\u00e7\u00e3o do IP s\u00e3o alguns exemplos que podem confundir o sistema e disparar processos de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/behavioral-analysis\/\" target=\"_blank\" rel=\"noopener\">an\u00e1lise de comportamento<\/a>.<\/p>\n<p>C\u00f3digos maliciosos de ataques \u00e0 cadeia de produ\u00e7\u00e3o s\u00e3o s\u00f3 uma parte min\u00fascula dentro do c\u00f3digo de um arquivo execut\u00e1vel. Tentar encontr\u00e1-los \u00e9 como procurar agulha em um palheiro. E isso fica ainda mais dif\u00edcil quando esses malware est\u00e3o verificados com o mesmo tipo de certificado que os arquivos originais.<\/p>\n<h2>Como as empresas podem se defender contra ataques \u00e0 sua cadeia de produ\u00e7\u00e3o?<\/h2>\n<p>Fornecedores s\u00e3o alvos menos resistentes que fabricantes de produtos, principalmente porque produtos finalizados s\u00e3o mais extensos e complexos.<\/p>\n<blockquote><p>\u201cA partir de uma \u00fanica e pequena brecha escondida em um fornecedor, os criminosos podem danificar alvos muitos maiores\u201d.<\/p><\/blockquote>\n<p>Mas o que as empresas podem fazer sobre isso?<\/p>\n<h3 style=\"text-align: left\">1.\u00a0 \u00a0 \u00a0Usar as melhores solu\u00e7\u00f5es de ciberseguran\u00e7a<\/h3>\n<p>Solu\u00e7\u00f5es de seguran\u00e7a b\u00e1sicas priorizam velocidade ao inv\u00e9s de rigor, abrindo espa\u00e7o para que seus sistemas sejam enganados por certificados supostamente leg\u00edtimos ou confundindo arquivos suspeitos por falsos positivos.<\/p>\n<p>Solu\u00e7\u00f5es completas e dedicadas somente \u00e0 seguran\u00e7a digital fazem um trabalho melhor. Uma solu\u00e7\u00e3o de n\u00edvel corporativo com boa reputa\u00e7\u00e3o \u00e9 essencial para detectar e capturar invasores avan\u00e7ados. Esse tipo de solu\u00e7\u00e3o analisa todo tipo de anomalias e fornece \u00e0s equipes de ciberseguran\u00e7a das empresas uma completa visibilidade de sua rede, com resposta autom\u00e1tica.<\/p>\n<h3 style=\"text-align: left\">2.\u00a0 \u00a0 \u00a0Contrate a equipe certa. E tamb\u00e9m um red team.<\/h3>\n<p>Empresas devem contratar funcion\u00e1rios de seguran\u00e7a de T.I. altamente capacitados, incluindo especialistas de seguran\u00e7a, analistas de<a href=\"https:\/\/www.kaspersky.com\/blog\/secure-futures-magazine\/security-operations-center-sme\/28070\/\" target=\"_blank\" rel=\"noopener nofollow\"> SOC (Centros de Opera\u00e7\u00e3o de Seguran\u00e7a)<\/a> e um red team. <a href=\"https:\/\/en.wikipedia.org\/wiki\/Red_team\" target=\"_blank\" rel=\"noopener nofollow\">\u00a0<\/a><\/p>\n<blockquote><p>O red team faz a fun\u00e7\u00e3o de \u201cadvogado do Diabo\u201d. Eles atuam para for\u00e7ar as empresas a repensarem suas estrat\u00e9gias, analisando tamb\u00e9m o trabalho da pr\u00f3pria empresa e dando um ponto de vista cr\u00edtico e diferente sobre seus processos.<\/p><\/blockquote>\n<h3 style=\"text-align: left\">3.\u00a0 \u00a0 \u00a0Use modelos de amea\u00e7as na hora de desenvolver um software<\/h3>\n<p>Durante o desenvolvimento de um software, o ideal \u00e9 que as empresas criem um modelo de amea\u00e7a em sua estrutura de cria\u00e7\u00e3o para simular poss\u00edveis problemas e assim identificar e eliminar poss\u00edveis riscos futuros. Al\u00e9m disso, o modelo de acesso escolhido deve aplicar o <a href=\"https:\/\/kb.iu.edu\/d\/amsv\" target=\"_blank\" rel=\"noopener nofollow\">Princ\u00edpio do Menor Privil\u00e9gio, PoLP na sigla em ingl\u00eas (Principle of Least Privilege),<\/a> para restringir o risco de acessos indesejados.<\/p>\n<h3 style=\"text-align: left\">4.\u00a0 \u00a0 \u00a0Mantenha uma boa rela\u00e7\u00e3o com seus fornecedores<\/h3>\n<p>Crie uma rela\u00e7\u00e3o de confian\u00e7a com seus parceiros que seja mais forte do que o normal.<\/p>\n<h3 style=\"text-align: left\">5.\u00a0 \u00a0 \u00a0Invista em resposta<\/h3>\n<p>Como poss\u00edvel notar no caso da NetSarang e sua r\u00e1pida resposta aos ataques no ShadowPad, \u00e9 importante que as empresas invistam em gerenciamento de riscos tanto quanto em seguran\u00e7a. Se sua empresa n\u00e3o tem capacidade interna para lidar com isso, envolva uma <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/incident-response\" target=\"_blank\" rel=\"noopener nofollow\">equipe externa de resposta a incidentes<\/a> para investigar poss\u00edveis ataques ou quaisquer atividades suspeitas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ataques \u00e0 cadeia de produ\u00e7\u00e3o das empresas t\u00eam se tornado populares entre hackers, sofisticados e dif\u00edceis de detectar. Mas, mesmo com diversas companhias sendo v\u00edtimas desse tipo de golpe, qualquer empresa pode atuar previamente para se proteger.<\/p>\n","protected":false},"author":2541,"featured_media":16117,"template":"","coauthors":[2447,2453],"class_list":{"0":"post-16114","1":"emagazine","2":"type-emagazine","3":"status-publish","4":"has-post-thumbnail","6":"emagazine-category-enterprise-cybersecurity","7":"emagazine-category-it-infrastructure","8":"emagazine-category-negocios-mais-seguros","9":"emagazine-tag-ataques-a-cadeia-de-abastecimento","10":"emagazine-tag-malware","11":"emagazine-tag-pesquisa"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/secure-futures-magazine\/supply-chain-attack-evolution\/16114\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/secure-futures-magazine\/supply-chain-attack-evolution\/21791\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/secure-futures-magazine\/supply-chain-attack-evolution\/20303\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/secure-futures-magazine\/supply-chain-attack-evolution\/32165\/"}],"acf":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/emagazine\/16114","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/emagazine"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/emagazine"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2541"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/16117"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=16114"}],"wp:term":[{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/coauthors?post=16114"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}