supply chain attack

  • Когато защитата атакува: пробивът в ЕК и новата реалност в киберсигурността

    Пробивът в cloud инфраструктурата на Европейската комисия от края на март 2026 г. вече има по-ясен контекст – и той променя правилата на играта. Първоначалната новина очерта инцидент в инфраструктурата. Новите разкрития показват нещо по-съществено: атаката влиза през инструмент, създаден да защитава. Supply chain атака, която превръща доверието в уязвимост.

    Как започва всичко: компрометиран инструмент

    Разследванията свързват инцидента с Trivy – широко използван security scanner, интегриран в CI/CD процеси. Атаката таргетира GitHub Actions pipeline-и, което позволява компрометиране още на етап build.

    Този модел променя класическата представа за пробив:

    • атака се насочва към доверен инструмент
    • инструментът се използва масово в автоматизирани процеси
    • зловредният код се разпространява чрез легитимни pipeline-и

    Резултатът е пробив, който изглежда като нормална дейност.

    Повтарящ се модел: от ЕК до Cisco

    Случаят с Европейската комисия се вписва в по-широка тенденция. Конкретно само атаката срещу Trivy вече засегна доказано и публично признато:

    • LiteLLM – чрез сходен supply chain сценарий
    • Cisco – с изтичане на сорс код от компрометирана среда

    Тези примери показват ясно: пробивът вече се случва и през веригата на доставки, а не директно срещу периметъра.

    Домино ефектът в модерната киберсигурност

    Supply chain атаките рядко спират до една организация. Един компрометиран компонент може да се разпространи в десетки среди за минути.

    Как се разгръща ефектът

    • един инструмент или библиотека се компрометира
    • интеграцията в CI/CD разпространява промяната автоматично
    • засегнати стават множество системи и организации
    • детекцията се усложнява заради легитимния произход

    Този модел създава ефект на верижна реакция, който изисква различен подход към управлението на риска.

    Скоростта в ерата на AI

    Развитието на AI ускорява както разработката, така и атаките. Времето между компрометиране и масово разпространение се измерва в часове.

    Съвременната киберсигурност изисква баланс между скорост и контрол – бързи реакции, подкрепени от внимателна преценка.

    Контекстът показва, че автоматизацията работи в две посоки – същите процеси, които ускоряват development-а, ускоряват и атаките.

    Балансът между ъпдейти и контрол

    Съвременните среди изискват навременни ъпдейти, за да се адресират zero-day уязвимости. В същото време автоматичното внедряване на всяка нова версия носи нов риск.

    Случаите с Trivy и Axios показват двата края на спектъра:

    • забавен ъпдейт увеличава риска от експлоатация
    • неконтролиран ъпдейт увеличава риска от supply chain атака

    Този баланс се превръща в ключова тема за всяка организация, която разчита на модерни DevOps практики.

    Какво означава това за България

    Българските компании все по-често използват CI/CD, cloud услуги и външни зависимости. Това поставя локалния бизнес в същата рискова категория като глобалните организации.

    Екипи, които работят с:

    • автоматизирани deployment-и
    • open-source библиотеки
    • външни security инструменти

    се намират в директна зависимост от сигурността на глобалната supply chain.

    Темата вече има пряко значение за българската ИТ екосистема и начина, по който се управляват зависимости и процеси.

    Пробивът в Европейската комисия очертава (позната) нова реалност в киберсигурността, в която доверието към инструментите изисква същото внимание, както и самата защита.

    • Навременните ъпдейти остават критични за защита от нови уязвимости
    • Контролираното внедряване добавя слой сигурност срещу supply chain атаки
    • Разбирането на зависимостите се превръща в стратегическо предимство

    Разговорът за киберсигурност днес включва повече от защита на периметъра. Организациите, които изграждат процеси около доверие, контрол и видимост, създават устойчива основа за развитие в среда с ускоряващи се рискове.

  • Внимание: Рансъмуер атака срещу Kaseya VSA засяга MSP и техни клиенти по целия свят

    Рансъмуер атака срещу международната ИТ компания Kaseya изглежда е засегнала стотици нейни клиенти по веригата за доставки (supply chain attack).

    Kaseya призовава всички потребителите на продукта на компанията VSA да го изключат веднага, за да елиминират евентуален хакерски достъп.

    Kaseya предлага софтуерни продукти на доставчици на управлявани услуги (MSP) – компании, предоставящи отдалечено ИТ обслужване на по-малки фирми, които не разполагат с вътрешни ресурси. MSP използват облачната платформа на Kaseya VSA за да управляват и изпращат актуализации на софтуера на своите клиенти.

    Смята се, че рансъмерът е проникнал във VSA чрез злонамерена актуализация и впоследствие е засегнал не само MSP, които използват платформата, но и техни клиенти. Смята се, че зад атаката стои небезизвестната групировка REvil / Sodinikibi.

  • Как се прокарва уязвимост в PHP: или неуспешен (засега) опит за supply chain атака

    Опит за директно инжектиране на зловреден код в сорса на PHP е бил засечен и неутрализиран навреме от разработчици.

    Тактиката е интересна: хакерите са се опитали да прокарат промени в сорса в официалното Git репо на PHP – git.php.net под формата на мними корекции на тайпота. Те са били пушнати в хранилището php-src така, че да изглеждат подписани от  двамата основни създатели и разработчици на PHP – Попов и Лердорф.

    Целта: зловредните кодове са използвани за backdoor – задна вратичка в приложенията, написани на езика, която позволява отдалечен достъп.

    PHP е един от основните езици, които все още се използват масово в интернет. На него е написана WordPress – най-големият онлайн CMS, използван в около 30% от сайтовете онлайн. Езикът е с отворен код, което означава, че всеки може да допринесе за неговото развитие. Подобно на WordPress, той има голяма потребителска база, което означава, че успешното му компрометиране би засегнало широк кръг системи (supply chain атака).

    Инцидентът е дал повод на екипа по поддръжката на PHP да го премести за постоянно в GitHub, за да повиши сигурността на проекта.

    Разработчиците, които досега са имали достъп до хранилищата, трябва да се присъединят към групата PHP на GitHub.

  • Нов малуер е открит при разследването на атаката на SolarWinds

    Последен ъпдейт на 16 януари 2021 в 15:53 ч.

    Експлоатирането на уязвимости срещу платформата на SolarWinds – Orion, използванo в компрометирането на американското правителство, продължава да разширява мащаба си. Поредното развитие по казуса е открито от компанията за киберсигурност CrowdStrike – става въпрос за уязвимост, озаглавена Sunspot.

    Благодарение на нея, хакерите могат да инжектират backdoor в платформата Orion на SolarWinds. Този зловреден код наблюдава изпълняваните системни процеси и замества един от изходните файлове със друг зловреден софтуер – SUNBURST. Част от функционалността на Sunspot е включването на защити, които да попречат присъствието му да бъде разкрито и да гарантират успеха на „мисията“ му.

    Към момента общият брой на известните жертви на уязвимостите в Orion вече е над 18 хил. Сред тях са редица американски правителствени агенции.

    “Щамът” на Sunspot не е непознат на разследващите supply chain атаката. До момента той е наричан по-различен начин от различните киберизследователи – StellarParticle (от CrowdStrike), UNC2452 (от FireEye) и Dark Halo (от Volexity).

    Sunspot е поредният злонамерен софтуер, свързан с най-големия киберпробив от години. До момента станаха известни:

    • Sunburst, инсталирал троянски кон в платформата Орион по време на автоматична актуализация
    • Teardrop, използван за инсталиране на софтуерно устройство за навигация (Cobalt Strike beacon)
    • SuperNova, внедрен като DLL файл, който позволява на атакуващите да изпращат, компилират и изпълняват C# код от разстояние
    Източник: SolarWinds
    Източник: SolarWinds

    Самоличността на хакерите на SolarWinds все още не е разкрита. Въпреки това Kaspersky направи връзка с известна по-рано група за кибершпионаж. Установи, че задната врата на Sunburst има припокривания на функции с Kazuar.NET backdoor, обвързан условно с руската хакерска група Turla.

    Разбира се, възможно е нападателите да са били „вдъхновени“ от кода на Kazuar или и двете групи да са получили своя зловреден софтуер от един и същ източник или пък кодът да е използван в атаката специално, за да обвини Turla и да замеси Москва…

    Междувременно, ФБР също разследва предполагаема руска следа в атаката срещу американското правителство.

  • Разкрита е поредната таргетирана supply-chain атака с общодържавен обхват

    През декември 2020 г. ESET разкри нова supply chain атака, насочена към правителствения орган на Виетнам, който издава цифрови сертификати за електронно подписване на официални документи (Vietnam Government Certification Authority – VGCA). Тази атака е компрометирала държавния инструментариум за цифров подпис, инсталирайки по този начин задна врата (backdoor) в системите на всички, които го използват.

    Всеки виетнамски гражданин, частна компания или държавна организация, която иска да обменя файлове с виетнамското правителство, трябва да ги подпише с VGCA-съвместим цифров сертификат.

    VGCA не само издава тези цифрови сертификати, но също така предоставя готови и лесни за ползване „клиентски приложения“, които да бъдат инсталирани локално и да автоматизират процеса по подписване на документите.

    Детайлният доклад на ESET, наречен „Operation SignSight„, гласи, че злонамерени лица са пробили уебсайта на правителствения орган (ca.gov.vn) и са инсталирали малуер в две от клиентските приложения, налични за сваляне. Те са пригодени за 32-битови (gca01-client-v2-x32-8.3.msi) и 64-битови (gca01-client-v2-x64-8.3.msi ) Windows ОС.

    „Компрометирането на уебсайта на сертифициращия орган е добра възможност за APT групите, тъй като посетителите вероятно имат високо ниво на доверие в държавната организация, отговорна за цифровите подписи“, споделя Матиу Фау от ESET.

    Screenshot от компрометирания сайт ca.gov.vn
    Screenshot от компрометирания сайт ca.gov.vn

    Телеметрията на ESET показва, че в периода 23 юли – 5 август 2020 г. двата файла, отбелязани по-горе, са били заразени с троянски кон наречен PhantomNet, по-известен като Smanager.

    Злонамереният софтуер не е сложен, но служи като основа за надграждане с по-мощни плъгини. Например такива, които включват в себе си функционалност за извличане на прокси настройки за заобикаляне на  корпоративните защитни стени и възможност за изтегляне и стартиране на други (злонамерени) приложения.

    Опростена схема на supply chain атака
    Опростена схема на supply chain атака

    Според специалистите от ESET, този backdoor е използван за разузнаване на конкретни мишени, с цел осъществяване на последваща по-сложна атака.

    В деня, в който ESET публикува своя доклад, VGCA също официално призна за пробив в сигурността и публикува учебен материал за това как потребителите могат да премахнат зловредния софтуер от своите системи.

    Жертви на PHANTOMNET са открити и във Филипините

    Жертви, заразени с PhantomNet, са засечени и във Филипините, но при тях по-вероятно е използван друг механизъм за инсталация на зловредният софтуер.

    ESETне приписва официално атаката на никоя конкретна група, но предишни доклади свързват зловредния софтуер PhatomNet (Smanager) с държавно спонсориран кибершпионаж от страна на Китай.

    Инцидентът с VGCA бележи петата голяма supply-chain атака през 2020 година след:

    • SolarWinds – Руски хакери компрометираха механизма за актуализация на приложението SolarWinds Orion и заразиха вътрешните мрежи на хиляди компании по цял свят със злонамерен софтуер Sunburst
    • Able Desktop – Китайски хакери компрометираха механизма за актуализация на чат приложението , използвано от стотици монголски правителствени агенции
    • GoldenSpy – Китайска банка принуждаваше чуждестранни компании, опериращи в Китай, да инсталират инструментариум за данъчен софтуер с налична задна врата (backdoor)
    • Wizvera VeraPort – Севернокорейски хакери компрометираха системата Wizvera VeraPort, за да доставят злонамерен софтуер на южнокорейските потребители

    С този материал искаме да насочим вниманието ви към потенциалния обхват на една supply chain атака, тъй като тя не е ограничена териториално.

    Доста отговорни правителства създават т.нар  bounty-програми, в които етични хакери помагат за подобряване на защитата на държавно ниво – препоръчваме и на българското правителство да го направи.

Back to top button