Kể từ khi phát minh ra mạng máy tính, tin tặc đã luôn cố gắng xâm nhập trái phép vào các hệ thống và giành quyền kiểm soát các tài sản khác nhau trên Web. Thông thường họ sẽ làm điều này bằng cách cố gắng thu hút người dùng tải xuống phần mềm bị nhiễm để cung cấp cho họ quyền truy cập vào máy của nạn nhân.

Nhưng điều gì xảy ra nếu họ không cần phải làm gì? Điều gì sẽ xảy ra nếu họ phân phối vi-rút của họ thông qua các kênh hợp pháp khác bằng cách chiếm đoạt bản cập nhật phần mềm? Đây là những gì đã xảy ra khi tin tặc tiếp quản phân phối bản cập nhật 5.33 của CCleaner vào tháng 9 năm 2017 và Cisco đã phát hiện ra cuộc tấn công vào cuối tháng này.

Một từ về chuỗi tấn công chuỗi cung ứng

Loại sự cố mà người dùng của CCleaner chỉ chịu đựng được gọi là tấn công chuỗi cung ứng. Tin tặc đã khai thác tính bảo mật của nhà phát triển (Avast, không kém), đưa phần mềm độc hại của họ vào CCleaner, và thông suốt việc phát hành bản cập nhật 5.33 lên 700 nghìn máy tính. Phần mềm độc hại bên trong không chỉ đặt tất cả các máy tính này vào botnet mà còn nhắm mục tiêu đến hai mươi công ty công nghệ lớn khác nhau (bao gồm Cisco), cố gắng lấy thông tin về hệ thống và hoạt động của họ.

Đây là một dạng gián điệp rất tinh vi mà chúng ta thường thấy từ các tổ chức chính phủ và các thực thể tham nhũng khác có thể thuê một nhóm lập trình viên có kỹ năng.

Các cuộc tấn công chuỗi cung ứng đặc biệt nguy hiểm vì phần mềm bị hỏng đi qua các kênh hợp pháp tới máy tính của bạn. Tin tặc sẽ có được quyền truy cập trái phép vào các máy chủ này bằng cách sử dụng cùng phương pháp để đăng nhập vào bất kỳ máy chủ nào khác, thường là khai thác lỗ hổng trong phần mềm mà họ chạy hoặc sử dụng các hình thức lừa đảo tinh vi.

Bạn có thể làm gì để ngăn chặn những cuộc tấn công này?

S, chúng tôi đã thiết lập rằng trong một chuỗi cung ứng tấn công phần mềm độc hại đến từ các kênh hợp pháp. Điều này có nghĩa rằng ngay cả khi bạn làm tất cả mọi thứ có thể để ngăn chặn bị nhiễm (chẳng hạn như chỉ tải xuống phần mềm từ các nguồn đáng tin cậy), bạn vẫn có thể trở thành nạn nhân của loại tấn công này mà không hề biết. Có lẽ khía cạnh đáng lo ngại nhất của các loại tấn công này là thực tế rằng những gì có thể được thực hiện để ngăn chặn điều này hoàn toàn nằm trong sự kiểm soát của thực thể phân phối phần mềm. Bạn theo nghĩa đen không có quyền kiểm soát phòng ngừa.

Bạn có thể, tuy nhiên, giảm thiểu thiệt hại mà một cuộc tấn công như vậy bằng cách liên tục cập nhật về phần mềm của bạn. Tôi biết nó nghe có vẻ phản tác dụng vì bạn vẫn dựa vào nhà phân phối đã cung cấp cho bạn phần mềm ngay từ đầu. Nhưng bởi vì họ là những người bị tấn công bởi các tin tặc, họ cũng sẽ phát hành bản cập nhật “tiếp theo” cho phần mềm của họ.

Tuy nhiên, hãy cảnh giác với phần mềm chưa được cập nhật trong một thời gian (vài tháng đến một năm). Có thể nhà phát triển đã từ bỏ dự án. Nhưng nếu phần mềm đó tự động cập nhật, tin tặc có thể tận dụng điều này và cung cấp cho bạn một bản sao bị nhiễm.

Vì nhà phát triển đã từ bỏ dự án, có khả năng họ sẽ không phát hành bản sửa lỗi. Mặc dù bạn mong đợi cho các dự án phần mềm bị bỏ rơi để tắt máy chủ cập nhật của họ, điều này không phải lúc nào cũng xảy ra. Đôi khi nhà phát triển cũng đặt các dự án khác trên cùng một máy chủ có thể hoạt động.

Đây là kicker, mặc dù: Ngay cả khi máy chủ không còn lên, URL sẽ hết hạn tại một số điểm. Sau đó, tất cả mọi người cần làm để phân phối phần mềm độc hại thông qua các kênh hợp pháp là mua DNS và chỉ cần đẩy phiên bản "mới" của họ qua. Điều duy nhất bạn có thể làm để ngăn chặn điều này là tắt bất kỳ cập nhật tự động nào trên phần mềm bị bỏ rơi.

Những thứ như thế này hiếm khi xảy ra, nhưng nếu một cái gì đó như CCleaner có thể bị tấn công theo cách như vậy, không chắc rằng các cuộc tấn công chuỗi cung ứng có xu hướng giảm. Ngược lại, chúng ta có thể mong đợi để xem một sự kiện như thế này truyền cảm hứng cho tin tặc để lại dấu ấn riêng của họ.

Bạn có lời khuyên nào khác hữu ích trong kịch bản này không? Hãy nói về điều này trong một bình luận!