La Sicurezza della Supply Chain

L’importanza della protezione della catena di approvvigionamento

Gli attacchi alla supply chain possono essere definiti come quegli attacchi in cui sono coinvolte almeno due entità collegate tra loro, dove sia il fornitore che il cliente sono bersagli.

Per supply chain si intende l’ecosistema di processi, persone, organizzazioni e distributori coinvolti nella creazione e consegna di una soluzione o di un prodotto finale. Si tratta, pertanto, di un procedimento complesso che coinvolge più figure professionali, attivando numerosi processi dell’ecosistema-impresa; dal flusso di materie prime legato alla produzione, fino alla logistica distributiva che provvede a far arrivare il bene acquistato al cliente finale.

I threat actor hanno ben compreso che gli attacchi diretti verso organizzazioni ben protette e strutturate comportano costi e difficoltà più elevati. Risulta quindi essere più conveniente volgere le proprie attenzioni verso la catena di approvvigionamento, in quanto, offrendo un numero maggiore di possibili target, moltiplica le probabilità di successo dell’intrusione tramite un così detto “anello debole”. Questo consente un attacco significativamente più esteso, non solo rivolto all’obiettivo principale ma anche ad un’ampia platea di possibili vittime.

I primi a mettere in atto sul piano informatico queste tattiche di attacco a scopo di spionaggio sono stati i gruppi di hacker state-sponsored. Infatti, oltre il 50% degli attacchi alla supply chain sono stati attribuiti a noti gruppi di criminalità informatica come: APT29 (o Cozy Bear affiliato alla Russia), APT41 (o BARIUM affiliato alla Cina) e APT38 (o Lazarus affiliato alla Corea del Nord).

Nel tardo 2020, SolarWinds, una società con sede in Texas che fornisce software per la gestione dei sistemi IT, è stata oggetto di un significativo attacco informatico. Gli aggressori sono riusciti a compromettere la piattaforma software Orion di SolarWinds e l’hanno utilizzata per distribuire un aggiornamento contenente malware ai clienti dell’azienda. Questo malware era effettivamente firmato con un certificato digitale valido, il che ha contribuito a eludere il rilevamento.

L’attacco si è potuto così confondere come se fosse a tutti gli effetti un’attività legittima di SolarWinds, senza essere rilevato nemmeno dai software antivirus. Di fatto, la versione di Orion (prodotto dell’azienda più diffuso) rilasciata tra marzo e giugno 2020, è stata “trojanizzata”, permettendo in questo modo una persistenza prolungata e una diffusione consistente. SolarWinds è stata il mezzo di attacco per colpire aziende ed organizzazioni, di fatto il software compromesso è stato scaricato ed eseguito direttamente dai clienti.

La successiva ampia indagine eseguita dalla National Security Agency (NSA) statunitense ha mostrato che una volta avvenuta la compromissione, gli aggressori hanno potuto raccogliere numerose informazioni per un lungo periodo di tempo. Al termine delle analisi, l’attacco è stato attribuito al gruppo affiliato allo Stato russo, APT29.

Anche i gruppi di hacker finalizzati al profitto hanno ben compreso l’utilità di questo genere di attacchi, che permettono di raggiungere il primo obiettivo, cioè l’azienda target presa di mira, ma anche di raccogliere informazioni per futuri attacchi, moltiplicando la disponibilità di dati utili. Come l’attacco che ha provocato l’interruzione della catena di approvvigionamento di numerosi servizi pubblici alla statunitense Kaseya.

Di fatto, l’attacco a Kaseya si è rivelato effettivamente devastante, perché assumendo il comportamento di un “worm”, l’infezione si è diffusa in modo automatico raggiungendo i rivenditori dei servizi e, tramite essi, gli utenti finali, senza che sia stato necessario l’intervento umano né da parte degli attaccanti né delle vittime.

Le indagini sembrano aver confermato che dietro l’attacco a Kaseya ci sia stato il gruppo di lingua russa, conosciuto come REvil. Il caso Kaseya segna il passaggio fondamentale in cui anche quei gruppi non strettamente state-sponsored, prendendo di mira la catena di approvvigionamento, possono moltiplicare il numero delle proprie vittime e conseguentemente l’obiettivo finale dei threat actor, il profitto.

Ad oggi, le aziende fanno sempre più affidamento su una vasta gamma di fornitori e di beni e servizi necessari per raggiungere i loro obiettivi aziendali. Da un punto di vista della sicurezza, non è più sufficiente pertanto mitigare i rischi cyber all’interno del proprio perimetro, ma è necessario concentrarsi anche sulla protezione dei sistemi e dei processi delle terze parti. Gli attacchi rivolti alla supply chain si verificano ogni volta che un attore riesce a violare i sistemi di un fornitore, di un partner o di un cliente di un’azienda per ottenere a cascata l’accesso ai dati della stessa.

Secondo i dati forniti dall’ENISA, circa nel 66% degli attacchi perpetrati attraverso la supply chain, i fornitori non conoscevano (o non volevano far conoscere) le modalità di attacco e quali funzionalità dei propri sistemi fossero state compromesse, e meno del 9% dei clienti conseguentemente colpiti non sapevano come fossero avvenuti gli attacchi. Ciò evidenzia una scarsa endemica maturità nella segnalazione degli incidenti di sicurezza informatica tra fornitori e aziende che si ripercuote sugli utenti finali.

La situazione ci impone di ripensare l’approccio alla supply chain e di rivedere le relazioni lungo tutta la filiera, riformulando le stime del rischio cyber.