Koronavírus-járvány és az ellátási láncokon keresztül végrehajtott támadások kéz a kézben járnak, derült aki a Proofpoint kiberbiztonsági vállalat februárban lefuttatott kutatásából. Háromezer vállalatot figyeltek egy héten keresztül: 98 százalékuknál észleltek olyan jeleket, melyek az ellátási láncokon keresztül vezetett támadásokra utalnak. A támadásokban többek között a vállatoknál lévő beszállítói fiókok kompromittálására tesznek kísérletet, de gyakoriak a megszemélyesítéses támadások is – utóbbi az ősrégi social engineering módszer (valaki másnak adja ki magát, mint aki valójában) továbbfejlesztett, a pandémiás helyzetben jól alkalmazható változata. Arra, hogy az ellátási láncon keresztül milyen veszélyek leselkednek ránk, jó példa a SolarWinds-ügy. Csak a szervezetek egy része fertőződött meg a SolarWinds-frissítések telepítésével. Harmaduk viszont nagy valószínűséggel a beszállítóin, partnerein keresztül, hiszen semmiféle közvetlen kapcsolata nem volt a SolarWinds termékeivel.

Sokféle módszert egyesítenek

A támadók első lépésben jellemzően a beszállítói domaineket kompromittálják, majd azokat felhasználva hajtanak végre például számlázási csalást, telepítenek rosszindulatú programokat, de próbálkoznak hitelesítő adatok gyűjtésével (adathalászat), valamint üzleti emailek kompromittálásával is (a business e-mail compromise, azaz BEC-típusú támadások a járványhelyzet előtt is komoly problémát okoztak).

Ami érdekes, hogy a támadások közel háromnegyede (74 százalék) az adathalászatra vagy a BEC-jellegű támadásokra koncentrált. Mindössze a támadások 30 százalékában telepítettek (vagy kíséreltek meg telepíteni) a kiberbűnözők rosszindulatú programokat. A kutatás szerint a globális járvány és a távmunka általánossá válása miatt felerősödött az a trend, hogy a támadók nem a szervezet IT-infrastruktúrájának a gyengeségeit keresik meg fáradtságos és nagy szakértelmet igénylő módszerekkel, hanem a kollégáiktól fizikailag elszigetelten dolgozó, ezért könnyebben megtéveszthető alkalmazottaktól csalnak ki olyan fiókadatokat, melyekkel további támadásokat hajthatnak végre.

A kutatás szerint az is aggasztó trend, hogy egyre több támadást indítanak a nagy és elterjedten használt felhős platformokról (Microsoft 365, Google G-Suite, Dropbox).

Nagy halakra mennek sok pénzért

A BEC és az EAC (email account compromise) jellegű támadások összességében a szállítási láncon keresztüli támadások töredékét, mindössze a 3 százalékát teszik ki. Csakhogy ezek a legcélzottabb támadások, jellemzően a felső vezetők ellen irányulnak. Mivel azokat támadják, akik közvetlenül hozzáférnek a cég kasszájához – pénzügyi vezetőket, operatív vezetőket, első számú vezetőt –, a legtöbb ilyen sikeres támadás jelentős veszteségeket okoz a megtámadott vállalatnak. Az FBI az utóbbi években rendre évente több milliárd dollárra becsülte az így okozott globális kárt, amely 2020-ban a hatóság szerint elérte az 1,9 milliárd dollárt.

A támadások áthelyeződése a szállítási láncra teljesen érthető. A nagyvállalatoknál, melyek sok beszállítóval dolgoznak, különösen nagy ennek a támadási vektornak a kockázata, vélik a Proofpoint kutatói. A biztonsági cég adatai szerint a Fortune ezres listáján szereplő vállalatok kétszer annyi beszállítótól kapnak emailt, mint a globális átlag. Ez azonban nem duplázza, hanem négyszerezi az elhárítandó fenyegetések számát.

A kutatás szerint a pénzügyi szolgáltatókat, a közüzemi és a kommunikációs szolgáltatókat, a feldolgozóipari, a szállítmányozási és a nagykereskedelmi vállalatokat, valamint az építőipari cégeket érintik legerősebben az ellátási láncok felől érkező támadások.