Хакер пришел с партнером

Незащищенность ИТ и подрядчиков в сфере информационной безопасности привела к двукратному росту атак
Freepik
Freepik

Уход с российского рынка иностранных вендоров привел к резкому росту атак через разработчиков ПО, интеграторов и прочих подрядчиков в сфере ИТ и информационной безопасности (ИБ). Действующее законодательство не содержит каких-либо требований к уровню киберзащищенности этих игроков, заказчики же крайне редко проводят проверки тех, кого пускают во внутреннюю инфраструктуру. Компании с госучастием от небезопасных партнеров защитит закон, остальным же придется самостоятельно следить за ИБ-благонадежностью контрагентов.

Подрядчики под ударом

В 2023 г. киберпреступники сменили тактику, предпочитая атаковать свои жертвы не напрямую, а через контрагентов, в первую очередь через ИТ- подрядчиков организаций. Об этом на прошедшей недавно крупнейшей конференции по информационной безопасности SOC Forum 2023 говорил со сцены буквально каждый второй выступающий. Проводимые исследования подтверждают: атаки через подрядчиков стали главной проблемой 2023 г. Так, за первые три квартала этого года количество инцидентов, вызванных атаками типа supply chain (через цепочку поставок) и trusted relationship (через доверительные отношения), выросло в 2 раза по сравнению с общим количеством атак такого типа за весь 2022 год, следует из отчета Positive Technologies. Увеличилась и доля атак через подрядчиков в общем количестве киберинцидентов: если в 2022 г. она была около 20%, то в 2023 г. – уже 30%, добавляют в Angara Security. На популярность подобных атак в 2023 г. указывают и эксперты компаний «Инфосистемы джет» и «Солар».

«Российские и иностранные киберпреступники понимают, что крупные компании, выстроившие за много лет ИБ-оборону, атаковать сложнее, дольше, а значит, дороже, поэтому они идут по цепочке поставок продуктов и сервисов в дочерние компании, подрядчики и субподрядчики компаний», – поясняет руководитель отдела реагирования и цифровой криминалистики Angara Security Никита Леокумович. «Хакеры, ломая одну компанию – ИТ-подрядчика, распространяются сразу – условно – на сто ее клиентов», – рассказал руководитель отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies Денис Гойденко.

Небезопасные интеграторы

Эксперты отметили, что атакованы были в первую очередь разработчики ПО. «Рост количества атак через ИБ- и ИТ-подрядчиков напрямую связан с уходом западных вендоров. Российские разработчики, среди которых компании разного размера и уровня зрелости ИБ, пытаются максимально быстро заполнить «дыры», не всегда должным образом уделяя внимание безопасности», – указывает директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Александр Матвеев. Гойденко отметил, что часто среди атакуемых подрядчиков было немало компаний, «продукты которых представляют собой что-то самописное, доработку открытого кода». В некоторых случаях подрядчиками выступают небольшие молодые компании – стартапы, которые тем более не задумываются о своей информационной безопасности, добавляет Леокумович.

Впрочем, атака может идти и через подрядчиков, которые просто знают слабые места в защите других игроков. Так, Гойденко рассказал, что в 2023 г. также были кейсы, когда злоумышленникам удалось проникнуть в инфраструктуру компании благодаря атакам на пинтестеров («белых» хакеров) и аудиторов ИБ. «Например, был случай, когда для проведения тестов на проникновение была привлечена небольшая малоизвестная компания, и практически сразу после завершения работ заказчик был атакован с помощью шифровальщика», – отметил эксперт.

В 2023 г. в качестве атакуемых подрядчиков были также различные ИТ-интеграторы, т. е. компании, имеющие доступ к ИТ-инфраструктуре других игроков, уточняет руководитель Bi.Zone Threat Intelligence Олег Скулкин.

Тактика и результат

У злоумышленников могут быть две стратегии проведения атаки, указал Гойденко. Первая – когда выбирается конечная жертва, крупный игрок, и атакуются все ее контрагенты с надеждой пробить хоть кого-то. Вторая стратегия – злоумышленники стремятся пробить ИТ- или ИБ-интегратора, чтобы после посмотреть, до кого из его контрагентов они смогут дотянуться. «Одна успешная атака на подрядчика ставит под угрозу всех его клиентов, это крайне удачное соотношение эффективность/результат для злоумышленника», – указывает Матвеев.

Большинство атак на разработчиков развивалось по следующему сценарию: во время атаки злоумышленники ищут уязвимости на серверах и в инфраструктуре разработчиков ПО, после проникновения внутрь инфраструктуры внедряют вредоносный код в программные продукты, которые распространяются разработчиком как доверенные, проверенные. Клиенты также воспринимают это ПО как легитимное и не проверяют. При атаках на интеграторов проблема обычно с удаленным доступом, указывает управляющий RTM Group Евгений Царев. Например, подрядчик поставил оборудование или ПО, оказывает услуги техподдержки. Для этого ему предоставляется доступ во внутреннюю сеть для мониторинга извне, и для входа порой используются небезопасные каналы (вплоть до бесплатного канала в кофейне).

Говоря о способах атак, Леокумович рассказал, что может быть и многоходовая схема: хакеры выбирают небольшого подрядчика и через него стремятся скомпрометировать данные по всей цепочке – от субподрядчика до головной компании, для чего достаточно взломать от двух до пяти учетных записей. Таким образом, через абсолютно легитимные учетные записи злоумышленники из сети подрядчика попадают в сеть компании, пояснил Скулкин.

При этом атаки зачастую носят характер выявления уязвимостей, с тем чтобы в нужный момент эти уязвимости реализовать, поэтому нередко ИT-компании даже не предполагают, что их взломали, поясняет Леокумович. «В том числе уязвимости позволяют атаковать вебсайты подрядчиков. Каждый сайт управляется CMS (система управления контентом) – обычно это Wordpress и Bitrix. Они очень похожи, и обычно у них общие уязвимости. Разработчики их регулярно устраняют, но часто компании не обновляют приложения ИT-инфраструктуры. В своей практике мы в том числе сталкиваемся с уязвимостями, датированными 2018 или 2019 г.», – рассказывает он.

Далеко не всегда целью атаки является получение финансовой выгоды. Так, по словам экспертов, в 2023 г. многие атаки через подрядчиков совершали политически мотивированные хакеры – хактивисты. Эти злоумышленники «преследуют цель не столько получить финансовую выгоду, сколько разрушить инфраструктуру», указывает Матвеев. Впрочем, добавляет Гойденко, политические мотивы не исключают желания заработать на атаке и злоумышленники могут запросить выкуп, если удалось успешно внедрить вирус-шифровальщик.

Проверяй подрядчика сам

Ситуация с подобными атаками особенно серьезна в отношении организаций, относящихся к субъектам критической инфраструктуры и госкомпаниям. Леокумович отметил, что на сегодняшний день информбезопасность ИТ-подрядчиков даже критически важных объектов и их доступ к критической инфраструктуре ничем не регулируются – они в большинстве случаев не подпадают под требования ГосСОПКА и ФСТЭК. Однако в скором времени ситуация изменится. Замдиректора ФСТЭК Виталий Лютиков на пленарной сессии SOC Forum 2023 рассказал, что ведомство разрабатывает законопроект, согласно которому к подрядчикам госкомпаний, оказывающим услуги ИT-разработки, будут предъявляться требования по обеспечению информационной безопасности информсистем.

Для всех остальных участников рынка действует старое правило про спасение утопающих – если компания хочет защититься от атак, то ей необходимо самостоятельно продумать, как она будет проверять его защищенность в плане ИБ. По словам Царева, пока случаи проверки информационной безопасности подрядчиков крайне редки. «Есть несколько крупных организаций со своими внутренними стандартами по ИБ, и максимум, что они делают, – прописывают их в госконтрактах, – поясняет эксперт. – То есть подрядчик должен пообещать соблюдение этих стандартов, однако в действительности в большинстве случаев это не соблюдается». Причин такого подхода несколько: отсутствие критической массы серьезных инцидентов, стоимость подобной проверки, необходимость менять закупочную процедуру, внедряя в нее внешний аудит по ИБ. Хотя есть и позитивные примеры. Царев рассказал о крупной промышленной группе, которая проводит аудит по ИБ всех, кого пускает в свою внутреннюю сеть. Есть запрос на проверку со стороны разработчиков ПО, рассказывает Царев, но не на аудит, а на соответствие продуктов требованиям безопасности (если намечается сделка с крупным покупателем). «Мы проверяем ПО, даем заключение, и они с этим заключением идут к клиенту», – указал эксперт.

Технический директор SafeTech Павел Мельниченко отметил, что разработчики софта часто проводят пентесты своих продуктов. Кроме того, еще один способ доказать надежность решения – выставить его на конкурс для «белых» хакеров, целью которых является поиск уязвимостей в реальных программных продуктах. Например, Bug Bounty (проводит Bi.Zone) или Standoff (проводит Positive Technologies). «Для разработчика выгодны оба сценария – если взломали и если не взломали, – поясняет Мельниченко. – Когда в обстановке, приближенной к реальности, опытнейшие команды ломают твой продукт, это дает возможность найти уязвимости, которые упустил разработчик, хотя куда приятнее узнать, что пробить защиту так и не удалось». По словам Царева, успешное прохождение софтом киберполигона на Bug Bounty или Standoff тоже, по сути, является одним из признаков надежности, на который в том числе смотрят заказчики.