Attacchi di supply chain, cosa sono e come funzionano

Gli attacchi di supply chain sono una delle tendenze più forti nel panorama del crimine informatico: non solo cresce il loro numero, ma aumenta il grado complessità e sofisticazione di queste minacce. La European Union Agency for Cybersecurity (Enisa) stima che quest’anno gli attacchi che prendono di mira la catena di approvvigionamento di una tecnologia hardware o software saranno quattro volte tanto il numero del 2020. In molti casi, i burattinai che tirano i fili sono criminali informatici esperti e si può assimilare l’attacco a una Apt, una Advanced Persistence Threat, che agisce con il supporto di notevoli risorse finanziarie o tecniche e che mira a colpire specifici bersagli.

Un’analisi fatta da Enisa e riassunta nel report “Threat Landscape for Supply Chain Attacks” evidenzia che, su 24 casi analizzati, ben 11 erano opera di gruppi Apt ben conosciuti nell’ambiente degli addetti ai lavori. Circa il 42% degli attacchi, invece, non potevano essere attribuiti a un particolare gruppo cybercriminale.

Che cosa sono gli attacchi di supply chain

Negli attacchi di supply chain, tipicamente, in un modo o nell’altro viene sfruttata una vulnerabilità, un punto debole, oppure le tecnologie vengono manipolate per inserire malware, backdoor o altre infezioni all’interno del prodotto o software con cui l’utente finale interagisce. Nell’ambito della sicurezza informatica la catena di fornitura include un ampio insieme di tecnologie (hardware, software, risorse e servizi di storage), meccanismi di distribuzione (applicazioni web, siti di e-commerce), software di gestione.

In un attacco di supply chain sono coinvolti numerosi fattori: fornitori di primo o secondo livello, tecnologie, piattaforme di distribuzione, clienti e asset da colpire. Gli autori della malefatta possono mirare a colpire direttamente le persone oppure a compromettere tecnologie hardware e software, o ancora a sottrarre dati, documenti o denaro. Inoltre un attacco di supply chain, spiega Enisa, è la combinazione di almeno due attacchi: il primo teso ad avere accesso al fornitore e il secondo a compromettere i suoi asset. Dunque sia il fornitore di tecnologia sia gli utenti finali sono un obiettivo da colpire.

I risultati dell’analisi di Enisa

Sui casi analizzati da Enisa, il 62% ha colpito proprio gli utenti finali avvantaggiandosi della fiducia che essi ripongono nel fornitore della tecnologia “infetta” (la quale naturalmente viene ritenuta sicura). Per quanto riguarda la tecnica di attacco, la casistica include malware (usati nel 62% degli episodi), attacchi brute-force, social engineering, sfruttamento di vulnerabilità del software o delle configurazioni e ancora Open-Source Intelligence.

La maggior parte degli episodi (58%) è stata motivata da tentativi di accesso a dati (dati personali di clienti di un’azienda o proprietà intellettuale) mentre nel 16% dei casi i criminali hanno cercato di avere accesso a persone fisiche. “Le organizzazioni”, scrive Enisa, “hanno bisogno di aggiornare le proprie metodologie di cybersicurezza tenendo a mente gli attacchi di supply chain, e devono incorporare tutti i propri fornitori nelle verifiche di sicurezza e protezione”. Rientra nella casistica degli attacchi di supply chain anche la recente operazione ransomware ai danni di Kaseya.