Охоронні фірми стикаються з цілеспрямованими атаками на ланцюги поставок

Індустрія кібербезпеки зіткнулася з безпрецедентною серією скоординованих атак протягом останніх шести тижнів, причому атаки на ланцюг постачання були спрямовані на деякі з найбільш надійних фірм безпеки в галузі. Checkmarx, відома охоронна компанія, відома своїми рішеннями для сканування коду та виявлення вразливостей, стала центром цієї тривожної тенденції, переживаючи численні інциденти зламів, які стрімко поспіль. Ця тривожна модель атак демонструє, як зловмисники все частіше націлюються на постачальників систем безпеки як засіб скомпрометувати своїх клієнтів у масштабі, створюючи каскадний ефект у корпоративних мережах по всьому світу.

Криза почалася 19 березня, коли зловмисники успішно скомпрометували Trivy, широко поширений сканер уразливостей із відкритим кодом, на який покладаються тисячі команд розробників і спеціалістів із безпеки. Зловмисники ретельно зламали репозиторій Trivy GitHub, отримавши несанкціонований доступ до облікових даних і дозволів облікового запису. Опинившись усередині, зловмисники скористалися цим доступом для введення шкідливого коду в законні випуски Trivy, фактично перетворивши надійний інструмент безпеки на механізм доставки для зловмисного програмного забезпечення. Компроміс був особливо підступним, оскільки використовував неявну довіру розробників до інструментів безпеки, тобто організації, які використовують Trivy, несвідомо завантажували та запускали заражені версії у своїх середовищах.

Зловмисне програмне забезпечення, що поширюється через скомпрометовані версії Trivy, було спеціально розроблено для отримання конфіденційних облікових даних із заражених систем. Шкідливе навантаження систематично сканувало скомпрометовані машини на предмет маркерів сховища, ключів SSH, облікових даних API та інших матеріалів автентифікації, які могли надати зловмисникам доступ до сховищ вихідного коду та внутрішніх систем. Однією з організацій, що стала жертвою цієї початкової атаки на ланцюг поставок, була сама Checkmarx, яка за іронією долі використовує Trivy як частину власної інфраструктури безпеки. Це створило особливо тривожний сценарій, коли постачальник засобів безпеки заразився через інструменти, призначені для захисту систем від таких загроз.