Amikor az ellátási lánc a gyenge pont. Supermicro más megközelítésben.

Október elején az egész biztonsági világ rácsodálkozott a neves Bloomberg Businessweek tényfeltáró cikkére, mely hardverszintű beépített kémkedésről szólt. Az érintett felek azonnal és határozottan cáfolták a történetet. Az eset azonban egy dologra felhívta a világ figyelmét: az ellátási láncon keresztül is támadható a vállalat. 

Október elején publikált egy cikket a Bloomberg Businessweek, melynek röviden összefoglalt lényege, hogy a kínai hadsereg sikeres támadást hajtott végre a Supermicro nevű cég által gyártott szerverek ellen. Ezekbe a szerverekbe rizsszemnyi nagyságú kémkedő chipeket ültettek be, majd a szerverekből az egész amerikai IT világ jól bevásárolt, legyen az Apple vagy Amazon, a Bloomberg szerint legalább 30 amerikai vállalat érintett. A riporterek névtelen forrásokra hivatkoznak a cikkben, de annyit jeleztek, hogy 17 különböző forrással beszéltek, akik megerősítették a történetet.

A cikkben nevesített cégek azonban cáfolták, hogy manipulált szervereket találtak volna. A cáfolatok határozottságát olvasva sokakban felmerült a kérdés, hogy a Bloomberg veterán és tapasztalt oknyomozó újságírói nem tévedtek talán? Pár nappal később azonban a Bloomberg újabb anyagot publikált, melyben arról írtak, hogy egy amerikai távközlési cég idén augusztusban távolított el egy fertőzött szervert rendszerükből. És ami még fontosabb, ebben az anyagban forrásukat is megnevezik.

Hogy kinek van igaza, azt nem tudjuk ilyen messziről eldönteni. A cikkek azonban felhívják a figyelmet egy olyan támadási formára, mely türelmet és kitartást igényel, de igen sikeres és hatékony lehet: az ellátási lánc támadása.

A leggyengébb pont

Ellátási lánc támadásról akkor beszélhetünk, amikor a támadónak egy külső partneren keresztül sikerül bejutnia a kiszemelt vállalathoz, vagy külső partnertől szerzi meg a nagy cégre vonatkozó információkat, adatokat. Míg a nagy vállalatok tipikusan óriási energiát és pénzt fektetnek biztonságuk fenntartására, addig a kisebb beszállítóknál már nem jut ennyi figyelem erre a kérdésre. Ám egy vállalat annyira biztonságos, amennyire a leggyengébb láncszem engedi.

Egy mobiltelefont például rengeteg beszállító termékéből állítanak össze. Az Apple idén februárban publikálta beszállítóinak listáját, ez a lista 200 partnert tartalmaz, ők szállítják az almás termékekben megtalálható alkatrészek 98 százalékát. A Venturebeat 2013-ban kiszámolta, hogy az almás cég beszállítóinak 88 százaléka ázsiai (44 százaléka kínai), 11 százaléka amerikai. Egy vállalat nagyban függ külső partnereitől, nem dolgozhat elszigetelten, a gazdaság egyre inkább az egymás közötti adatmegosztásról, információcseréről (is) szól.

A G Data blogján korábban már adtunk példát hasonló támadásokra, adatszivárgásokra. A legfrissebb esetben az autógyártókkal együttműködő Level One Robotics nevű cég adatmentései nem voltak biztonságban, és csak a hibát felfedező jóindulatán múlt, hogy a Tesla, Fiat vagy VW adatai nem kerültek idegen kezekbe. Tavaly októberben írtunk az Equifax adatszivárgásról, amikor 143 millió amerikai pénzügyi és személyi adatait lopták el. Mint később kiderült, a támadás alapját képező hiba egy külső gyártó szoftverében volt. A Taiwan Semiconductor Manufacturing Company (TSMC) gyártja az Apple A12-es chipjeit. A Wannacry zsarolóvírus egy külső vállalkozó rendszerein keresztül került be a gyárba.

A Bloomberg

A Bloomberg hírügynökséget 1990-ban alapították, tőzsdei és üzleti hírekre szakosodnak. 2009-ben vásárolták fel a Businessweek nevű lapot, melyet Bloomberg Businessweek néven vittek tovább. A Bloomberg egyike a legnagyobb amerikai hírügynökségnek, a Reuters és a Dow Jones ügynökségek mellett tartják számon, saját tévéadással rendelkeznek, többszáz újságíróval dolgoznak együtt.

https://www.bloomberg.com

Forrás: http://virusirto.hu