Хакер пришел с партнером

Хакер пришел с партнером

Уход с российского рынка иностранных вендоров привел к резкому росту атак через разработчиков ПО, интеграторов и прочих подрядчиков в сфере ИТ и информационной безопасности (ИБ). Действующее законодательство не содержит каких-либо требований к уровню киберзащищенности этих игроков, заказчики же крайне редко проводят проверки тех, кого пускают во внутреннюю инфраструктуру. Компании с госучастием от небезопасных партнеров защитит закон, остальным же придется самостоятельно следить за ИБ-благонадежностью контрагентов.

Подрядчики под ударом
В 2023 г. киберпреступники сменили тактику, предпочитая атаковать свои жертвы не напрямую, а через контрагентов, в первую очередь через ИТ- подрядчиков организаций. Об этом на прошедшей недавно крупнейшей конференции по информационной безопасности SOC Forum 2023 говорил со сцены буквально каждый второй выступающий. Проводимые исследования подтверждают: атаки через подрядчиков стали главной проблемой 2023 г. Так, за первые три квартала этого года количество инцидентов, вызванных атаками типа supply chain (через цепочку поставок) и trusted relationship (через доверительные отношения), выросло в 2 раза по сравнению с общим количеством атак такого типа за весь 2022 год, следует из отчета Positive Technologies. Увеличилась и доля атак через подрядчиков в общем количестве киберинцидентов: если в 2022 г. она была около 20%, то в 2023 г. – уже 30%, добавляют в Angara Security. На популярность подобных атак в 2023 г. указывают и эксперты компаний «Инфосистемы джет» и «Солар».

«Российские и иностранные киберпреступники понимают, что крупные компании, выстроившие за много лет ИБ-оборону, атаковать сложнее, дольше, а значит, дороже, поэтому они идут по цепочке поставок продуктов и сервисов в дочерние компании, подрядчики и субподрядчики компаний», – поясняет руководитель отдела реагирования и цифровой криминалистики Angara Security Никита Леокумович. «Хакеры, ломая одну компанию – ИТ-подрядчика, распространяются сразу – условно – на сто ее клиентов», – рассказал руководитель отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies Денис Гойденко.

Небезопасные интеграторы
Эксперты отметили, что атакованы были в первую очередь разработчики ПО. «Рост количества атак через ИБ- и ИТ-подрядчиков напрямую связан с уходом западных вендоров. Российские разработчики, среди которых компании разного размера и уровня зрелости ИБ, пытаются максимально быстро заполнить «дыры», не всегда должным образом уделяя внимание безопасности», – указывает директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Александр Матвеев. Гойденко отметил, что часто среди атакуемых подрядчиков было немало компаний, «продукты которых представляют собой что-то самописное, доработку открытого кода». В некоторых случаях подрядчиками выступают небольшие молодые компании – стартапы, которые тем более не задумываются о своей информационной безопасности, добавляет Леокумович.

Впрочем, атака может идти и через подрядчиков, которые просто знают слабые места в защите других игроков. Так, Гойденко рассказал, что в 2023 г. также были кейсы, когда злоумышленникам удалось проникнуть в инфраструктуру компании благодаря атакам на пинтестеров («белых» хакеров) и аудиторов ИБ. «Например, был случай, когда для проведения тестов на проникновение была привлечена небольшая малоизвестная компания, и практически сразу после завершения работ заказчик был атакован с помощью шифровальщика», – отметил эксперт.

В 2023 г. в качестве атакуемых подрядчиков были также различные ИТ-интеграторы, т. е. компании, имеющие доступ к ИТ-инфраструктуре других игроков, уточняет руководитель Bi.Zone Threat Intelligence Олег Скулкин.

Тактика и результат
У злоумышленников могут быть две стратегии проведения атаки, указал Гойденко. Первая – когда выбирается конечная жертва, крупный игрок, и атакуются все ее контрагенты с надеждой пробить хоть кого-то. Вторая стратегия – злоумышленники стремятся пробить ИТ- или ИБ-интегратора, чтобы после посмотреть, до кого из его контрагентов они смогут дотянуться. «Одна успешная атака на подрядчика ставит под угрозу всех его клиентов, это крайне удачное соотношение эффективность/результат для злоумышленника», – указывает Матвеев.

Большинство атак на разработчиков развивалось по следующему сценарию: во время атаки злоумышленники ищут уязвимости на серверах и в инфраструктуре разработчиков ПО, после проникновения внутрь инфраструктуры внедряют вредоносный код в программные продукты, которые распространяются разработчиком как доверенные, проверенные. Клиенты также воспринимают это ПО как легитимное и не проверяют. При атаках на интеграторов проблема обычно с удаленным доступом, указывает управляющий RTM Group, член МРО "Деловая Россия" Евгений Царев. Например, подрядчик поставил оборудование или ПО, оказывает услуги техподдержки. Для этого ему предоставляется доступ во внутреннюю сеть для мониторинга извне, и для входа порой используются небезопасные каналы (вплоть до бесплатного канала в кофейне).

Говоря о способах атак, Леокумович рассказал, что может быть и многоходовая схема: хакеры выбирают небольшого подрядчика и через него стремятся скомпрометировать данные по всей цепочке – от субподрядчика до головной компании, для чего достаточно взломать от двух до пяти учетных записей. Таким образом, через абсолютно легитимные учетные записи злоумышленники из сети подрядчика попадают в сеть компании, пояснил Скулкин.

При этом атаки зачастую носят характер выявления уязвимостей, с тем чтобы в нужный момент эти уязвимости реализовать, поэтому нередко ИT-компании даже не предполагают, что их взломали, поясняет Леокумович. «В том числе уязвимости позволяют атаковать вебсайты подрядчиков. Каждый сайт управляется CMS (система управления контентом) – обычно это Wordpress и Bitrix. Они очень похожи, и обычно у них общие уязвимости. Разработчики их регулярно устраняют, но часто компании не обновляют приложения ИT-инфраструктуры. В своей практике мы в том числе сталкиваемся с уязвимостями, датированными 2018 или 2019 г.», – рассказывает он.

Далеко не всегда целью атаки является получение финансовой выгоды. Так, по словам экспертов, в 2023 г. многие атаки через подрядчиков совершали политически мотивированные хакеры – хактивисты. Эти злоумышленники «преследуют цель не столько получить финансовую выгоду, сколько разрушить инфраструктуру», указывает Матвеев. Впрочем, добавляет Гойденко, политические мотивы не исключают желания заработать на атаке и злоумышленники могут запросить выкуп, если удалось успешно внедрить вирус-шифровальщик.

Проверяй подрядчика сам
Ситуация с подобными атаками особенно серьезна в отношении организаций, относящихся к субъектам критической инфраструктуры и госкомпаниям. Леокумович отметил, что на сегодняшний день информбезопасность ИТ-подрядчиков даже критически важных объектов и их доступ к критической инфраструктуре ничем не регулируются – они в большинстве случаев не подпадают под требования ГосСОПКА и ФСТЭК. Однако в скором времени ситуация изменится. Замдиректора ФСТЭК Виталий Лютиков на пленарной сессии SOC Forum 2023 рассказал, что ведомство разрабатывает законопроект, согласно которому к подрядчикам госкомпаний, оказывающим услуги ИT-разработки, будут предъявляться требования по обеспечению информационной безопасности информсистем.

Для всех остальных участников рынка действует старое правило про спасение утопающих – если компания хочет защититься от атак, то ей необходимо самостоятельно продумать, как она будет проверять его защищенность в плане ИБ. По словам Царева, пока случаи проверки информационной безопасности подрядчиков крайне редки. «Есть несколько крупных организаций со своими внутренними стандартами по ИБ, и максимум, что они делают, – прописывают их в госконтрактах, – поясняет эксперт. – То есть подрядчик должен пообещать соблюдение этих стандартов, однако в действительности в большинстве случаев это не соблюдается». Причин такого подхода несколько: отсутствие критической массы серьезных инцидентов, стоимость подобной проверки, необходимость менять закупочную процедуру, внедряя в нее внешний аудит по ИБ. Хотя есть и позитивные примеры. Царев рассказал о крупной промышленной группе, которая проводит аудит по ИБ всех, кого пускает в свою внутреннюю сеть. Есть запрос на проверку со стороны разработчиков ПО, рассказывает Царев, но не на аудит, а на соответствие продуктов требованиям безопасности (если намечается сделка с крупным покупателем). «Мы проверяем ПО, даем заключение, и они с этим заключением идут к клиенту», – указал эксперт.

Технический директор SafeTech Павел Мельниченко отметил, что разработчики софта часто проводят пентесты своих продуктов. Кроме того, еще один способ доказать надежность решения – выставить его на конкурс для «белых» хакеров, целью которых является поиск уязвимостей в реальных программных продуктах. Например, Bug Bounty (проводит Bi.Zone) или Standoff (проводит Positive Technologies). «Для разработчика выгодны оба сценария – если взломали и если не взломали, – поясняет Мельниченко. – Когда в обстановке, приближенной к реальности, опытнейшие команды ломают твой продукт, это дает возможность найти уязвимости, которые упустил разработчик, хотя куда приятнее узнать, что пробить защиту так и не удалось». По словам Царева, успешное прохождение софтом киберполигона на Bug Bounty или Standoff тоже, по сути, является одним из признаков надежности, на который в том числе смотрят заказчики.