Охранные фирмы сталкиваются с целенаправленными атаками на цепочки поставок

За последние шесть недель индустрия кибербезопасности столкнулась с беспрецедентной серией скоординированных атак, при этом атаки на цепочки поставок были нацелены на некоторые из наиболее надежных фирм, занимающихся безопасностью в отрасли. Checkmarx, известная охранная компания, известная своими решениями для сканирования кода и обнаружения уязвимостей, стала центром этой тревожной тенденции, быстро испытывая многочисленные инциденты взлома. Эта тревожная картина атак демонстрирует, как злоумышленники все чаще нацеливаются на поставщиков систем безопасности, чтобы скомпрометировать своих клиентов в большом масштабе, создавая каскадный эффект во всех корпоративных сетях по всему миру.

Кризис начался 19 марта, когда злоумышленники успешно взломали Trivy, широко используемый сканер уязвимостей с открытым исходным кодом, на который полагаются тысячи команд разработчиков и специалистов по безопасности. Злоумышленники тщательно взломали репозиторий Trivy GitHub, получив несанкционированный доступ к учетным данным и разрешениям учетной записи. Оказавшись внутри, злоумышленники воспользовались этим доступом для внедрения вредоносного кода в законные выпуски Trivy, фактически превратив надежный инструмент безопасности в механизм доставки вредоносного ПО. Компрометация была особенно коварной, поскольку она использовала неявное доверие, которое разработчики оказывают средствам безопасности, а это означает, что организации, использующие Trivy, по незнанию загружали и запускали зараженные версии в своих средах.

Вредоносное ПО, распространяемое через скомпрометированные версии Trivy, было специально разработано для сбора конфиденциальных учетных данных из зараженных систем. Вредоносная полезная нагрузка систематически сканировала скомпрометированные машины на предмет токенов репозитория, ключей SSH, учетных данных API и других материалов аутентификации, которые могли бы предоставить злоумышленникам доступ к репозиториям исходного кода и внутренним системам. Одной из организаций, ставших жертвой этой первоначальной атаки на цепочку поставок, была сама Checkmarx, которая по иронии судьбы использует Trivy как часть своей собственной инфраструктуры безопасности. Это создало особенно тревожный сценарий, когда поставщик средств безопасности заразился с помощью тех самых инструментов, предназначенных для защиты систем от таких угроз.