История года: глобальные перебои в работе IT-инфраструктур и атаки на цепочки поставок

Неисправное обновление, выпущенное ИБ-компанией CrowdStrike, стало причиной одного из крупнейших IT-сбоев в истории, затронувшего около 8,5 миллиона систем по всему миру. Этот инцидент стал серьезным напоминанием о рисках глобальных IT-сбоев и слабых местах в цепочках поставок. Столь масштабные кризисы в сфере безопасности остаются одной из главных мировых угроз, поэтому важно выносить уроки из прошлых случаев, оценивать новые риски и разрабатывать стратегии для предотвращения будущих инцидентов.

Именно эти актуальные проблемы стали «Историей года» в нашем отчете Kaspersky Security Bulletin 2024. Сначала мы разберем крупные инциденты в цепочках поставок, произошедшие в 2024 году, а затем обсудим возможные более разрушительные сценарии и способы подготовки к ним.

Что ж, приступим!

Обзор перебоев в цепочках поставок в 2024 году

Сбои в работе Linux из-за ПО CrowdStrike

Что произошло? Всего за несколько недель до инцидента с Windows у CrowdStrike возникли проблемы с Linux. Апрельское обновление ПО вызвало проблемы в нескольких дистрибутивах, таких как Red Hat, Debian и Rocky.

Почему это важно? Операционная система Linux используется на многих важных объектах инфраструктуры и обеспечения безопасности. Наличие другого неудачного обновления уже тогда свидетельствовало о более серьезных проблемах с защитным ПО CrowdStrike, но первый инцидент не получил столь широкой огласки.

Бэкдор XZ для обхода SSH-аутентификации

Что произошло? В марте проект Openwall (oss-security) сообщил о бэкдоре в XZ — утилите сжатия и популярной библиотеке, широко используемой в дистрибутивах Linux. В отличие от прошлых атак на цепочки поставок Node.js, PyPI, FDroid и ядра Linux, которые использовали небольшие вредоносные инъекции или поддельные пакеты, распространяемые за счет злоупотребления особенностями цепочки поставок, эта атака была многоэтапной и потенциально скомпрометировала если не миллионы, то сотни тысяч SSH-серверов по всему миру. Злоумышленники применяли тактики социальной инженерии и даже создавали поддельных членов сообщества, чтобы завоевать доверие мейнтейнера XZ Utils. Специалисты «Лаборатории Касперского» представили подробный технический анализ этого случая в трех частях. Отметим, что продукты «Лаборатории Касперского» детектируют вредоносные объекты, связанные с этой атакой.

Почему это важно? С помощью этих тактик злоумышленники тайно внедрили бэкдор. Этот случай показывает, насколько уязвимы проекты с открытым исходным кодом к социальной инженерии и атакам на цепочки поставок. Инцидент подчеркивает важность внедрения более строгих мер безопасности, внимательного подхода к управлению проектами и тщательного контроля за их участниками.

Атака через пейджеры на Ближнем Востоке

Что произошло? Недавние инциденты с пейджерами на Ближнем Востоке подчеркнули риски, связанные с атаками на цепочки поставок оборудования. Целевая атака через пейджеры «Хезболлы» привела к человеческим жертвам и всеобщему хаосу. По данным СМИ, внутри устройств была спрятана взрывчатка.

Почему это важно? Этот инцидент доказывает возможность организации атаки с целью нанесения физического ущерба путем вмешательства в электронные или полностью цифровые компоненты. Печально известная атака Stuxnet служит ярким напоминанием о потенциале таких инцидентов. Червь Stuxnet, нацеленный на промышленные системы управления, показал, как кибероружие может причинить ущерб в реальном мире, и подчеркнул необходимость подготовки к подобным угрозам как в аппаратных, так и в программных системах.

Компрометация веб-сайтов крупных корпораций в результате зависимости от JavaScript

Что произошло? Около 385 000 веб-сайтов, обращающихся к удаленному сервису Polyfill.io за фрагментами программного кода, пострадали от масштабной атаки на цепочку поставок. После смены собственника домена Polyfill.io размещенный там скрипт был изменен, чтобы перенаправлять пользователей на вредоносные и мошеннические сайты. Сервис Polyfill.io добавляет поддержку функций, отсутствующих в старых версиях веб-браузеров. Это позволяет разработчикам использовать современные инструменты, даже если их не поддерживает конкретная версия браузера. По состоянию на июль 2024 года среди затронутых хостов в том числе были веб-сайты крупных платформ, таких как Warner Bros, Hulu и Mercedes-Benz.

Почему это важно? По данным Cloudflare, Polyfill.io использовался десятками миллионов веб-сайтов — около 4% всех сайтов в интернете. Это подчеркивает серьезность инцидента, полные последствия которого еще до сих пор не установлены.

Утечка данных в цепочке поставок Cisco Duo

Что произошло? Ни одна корпорация не застрахована от возможности атаки на цепочки поставок. Злоумышленникам удалось украсть пользовательские данные с платформы Cisco Duo, обеспечивающей многофакторную аутентификацию (MFA) и доступ через единый вход (SSO), в результате фишинговой атаки на сотрудника стороннего поставщика услуг связи. Эта утечка данных позволила злоумышленнику загрузить журналы SMS-сообщений.

Почему это важно? Этот инцидент подчеркнул риски атак, в которых точкой входа являются сторонние поставщики услуг. Учитывая преимущества IT-аутсорсинга, такие как экономия времени и ресурсов, его популярность неуклонно растет. Однако делегирование задач также приводит к новым проблемам в информационной безопасности. В 2023 году кибератаки через подрядчиков вошли в тройку самых распространенных векторов, и в 2024 году эта тенденция продолжит расти.

Уязвимость regreSSHion в OpenSSH

Что произошло? Ранее в этом году в OpenSSH была обнаружена критическая уязвимость, получившая название regreSSHion. OpenSSH используется в различных ситуациях, требующих организации безопасных сетевых коммуникаций. Это важный инструмент в таких областях, как системное администрирование, разработка и кибербезопасность. Злоумышленники могли нацелиться на компании разных отраслей, использующие протокол SSH, чтобы выполнить вредоносный код и получить root-права.

Почему это важно? Массовая эксплуатация этой уязвимости маловероятна из-за высоких требований к вычислительной мощности. Поскольку она зависит от состояния гонки, злоумышленникам придется совершить множество попыток аутентификации на целевом сервере. По данным Qualys, для успешной эксплуатации требуется около 10 000 попыток, что может занять от нескольких часов до нескольких дней в зависимости от конфигурации целевого сервера OpenSSH. Однако целевые атаки остаются реальной угрозой. Эта проблема напоминает о потенциальных рисках, связанных с широко используемым программным обеспечением.

Уязвимости Fortinet

Что произошло? В октябре 2024 года сообщалось об активной эксплуатации критических уязвимостей в четырех продуктах Fortinet. По данным исследователей, более 87 000 IP-адресов Fortinet, вероятно, были подвержены одной из обнаруженных уязвимостей. Как только эта информация стала общедоступной, уязвимые устройства стали крупной мишенью для атак злоумышленников, особенно учитывая, что продукты Fortinet часто используются в правительственных, медицинских и других критически важных секторах.

Почему это важно? Продукты Fortinet являются неотъемлемой частью сетевой безопасности многих организаций. Эксплуатация критических уязвимостей в широко распространенных продуктах дает злоумышленникам возможность нарушить безопасность нескольких организаций через программное обеспечение или устройства одного поставщика.

Также можно выделить следующие атаки на цепочки поставок, произошедшие в 2024 году.

• Хакеры внедрили зловред в исходный код крупнейшей бот-платформы Discord.
• Злоумышленники пытались загрузить в репозиторий PyPI сотни вредоносных пакетов с именами, напоминающими легитимные проекты.
• В репозитории PyPI обнаружен еще один набор вредоносных пакетов. Пакеты распространялись под видом библиотек для LLM, но на самом деле они загружали на компьютер жертвы вредоносное ПО JarkaStealer.
• Злоумышленник получил контроль над криптомиксером Tornado Cash.

Повышение ставок: анализ более опасных сценариев атак на цепочки поставок

Описанные инциденты поднимают важный вопрос: какие сценарии могут привести к еще более разрушительным последствиям? В следующем разделе мы рассмотрим потенциальные инциденты с глобальными последствиями.

Сбой в работе крупного поставщика ИИ

Искусственный интеллект стал Историей 2023 года, так как внедрение генеративных инструментов уже тогда затронуло почти все аспекты нашей жизни. В этом году эта тенденция продолжает развиваться: искусственный интеллект официально интегрируется в сервисы с многомиллионными аудиториями. Возьмем, к примеру, компанию OpenAI и ее технологии, которые используются в различных ассистентах: от Apple и GitHub Copilot до проприетарных инструментов Morgan Stanley. Другие же компании полагаются на модели Meta* (Llama), Anthropic (Claude) и Google (Gemini). С одной стороны, эта трансформация улучшает повседневный пользовательский опыт, но с другой — увеличивает риски, связанные с зависимостью от нескольких ключевых поставщиков. Эта тенденция создает концентрированные точки отказа: если в одной из крупнейших компаний, работающих с искусственным интеллектом, произойдет сбой, это может сильно повлиять на десятки, сотни или даже тысячи зависимых сервисов. В худшем случае такой сбой в работе ИИ приведет к массовому отказу сервисов во всех отраслях.

Еще одной серьезной угрозой в этом контексте является утечка данных. Инцидент безопасности у любого крупного поставщика ИИ может привести к одной из самых масштабных утечек, так как системы на базе ИИ часто собирают и хранят большие объемы конфиденциальной информации. В то время как учетные записи чат-ботов с ИИ, добытые с помощью зловредов, нацеленных на отдельных пользователей, уже продаются в даркнете, взлом хранилища поставщика ИИ, обслуживающего корпоративных клиентов, может привести к утечке большего объема конфиденциальных данных.

Компаниям, внедряющим ИИ, следует диверсифицировать поставщиков и уделять особое внимание устойчивости инфраструктуры. Также важно тщательно настроить ограничения доступа для интегрированных компонентов ИИ и внимательно следить за персоналом, работающим с конфиденциальными данными. Помимо угрозы внешних атак не следует исключать утечки по вине неосторожных или недобросовестных инсайдеров, которые могут использовать ИИ для кражи данных.

Эксплуатация встроенных в устройство инструментов ИИ

Интеграция искусственного интеллекта быстро развивается как в потребительских, так и в бизнес-ориентированных гаджетах и инструментах. Например, недавно вышла бета-версия Apple Intelligence для пользователей последних версий систем Apple. Эта функциональность в основном обеспечивается нейронными ядрами — движком Neural Engine. Этот движок и встроенный в устройство ИИ дает возможность использовать большие языковые модели в повседневных задачах.

Но такая мощь в руках пользователя идет рука об руку с новыми рисками. По мере распространения ИИ вероятность того, что он станет вектором атаки, также возрастает. В ходе кампании «Триангуляция», обнаруженной экспертами «Лаборатории Касперского» в прошлом году, злоумышленники использовали уязвимости нулевого дня, чтобы нарушить целостность системного программного и аппаратного обеспечения и загрузить шпионское ПО. Если в нейронных процессорах существуют программные или аппаратные уязвимости, они могут представлять собой еще более опасный вектор атаки. В таком случае злоумышленники не только получат доступ к данным на устройстве, но и смогут извлекать контекстную информацию из ИИ-инструментов, создавая подробные профили жертв и увеличивая потенциальный ущерб.

В ходе нашего исследования «Операции Триангуляции» эксперты «Лаборатории Касперского» также выявили и описали первый в своем роде случай — злоупотребление встроенными в устройство функциями машинного обучения для извлечения данных. Таким образом функции, созданные для улучшения пользовательского опыта, могут стать оружием в руках злоумышленников.

Эти риски подчеркивают важность принятия поставщиками превентивных мер, таких как исследования в области безопасности и тщательное тестирование, для обеспечения надежной защиты от новых угроз.

Кибератаки на спутниковый интернет

Спутники играют важную роль в повседневной жизни, обеспечивая работу таких функций, как навигация, вещание СМИ, реагирование на чрезвычайные ситуации и коммуникации, хотя большинство людей не замечает их присутствие. С увеличением нашей зависимости от спутниковых технологий, эти системы становятся привлекательной целью для злоумышленников. Например, в 2024 году одна APT-группа вела целенаправленную атаку на космическую отрасль с помощью бэкдоров. В другом случае действия злоумышленников, как сообщается, привели к перебоям в работе спутника финской энергоснабжающей компании Fortum.

Хотя эти инциденты не вызвали серьезных глобальных сбоев, они подчеркивают увеличивающиеся риски для спутниковой инфраструктуры. Более серьезная угроза может быть связана с цепочкой поставок спутникового интернета. Например, Starlink и Viasat предлагают высокоскоростной спутниковый интернет по всему миру, особенно в удаленных районах. Традиционные интернет-провайдеры часто заключают соглашения со спутниковыми компаниями, чтобы расширить охват, что может создать угрозу для безопасности.

Спутниковый интернет является важным компонентом глобальной сети связи. Он может обеспечивать временные каналы связи, когда другие системы не работают. Авиакомпании, корабли и другие движущиеся платформы используют его для организации связи на борту и не только. С этим и связаны киберриски: целевая атака или неисправное обновление от главного поставщика спутниковой связи могут вызвать перебои в работе интернета и сбои в коммуникациях, что затронет отдельных лиц, бизнес и важную инфраструктуру.

Физические угрозы для интернета

Продолжая тему связи, отметим, что интернет также уязвим для физических угроз. Хотя спутники активно развиваются как средство связи, 95% международных данных передается через подводные кабели. В мире эксплуатируется около 600 таких кабелей, различающихся по качеству и пропускной способности. Вдобавок к этим кабелям, интернет также зависит от почти 1500 точек обмена трафиком (IXP) — физических мест, чаще всего расположенных в дата-центрах, где сети обмениваются данными.

Перебои в работе всего нескольких критических компонентов, таких как подводные кабели или точки обмена трафиком, могут перегрузить остальную инфраструктуру и привести к серьезным сбоям в глобальной связи. Мир уже сталкивался с такими сбоями. Например, недавно были повреждены два подводных кабеля в Балтийском море, что подчеркивает растущую важность физической защиты оборудования и элементов инфраструктуры в ближайшие годы.

Эксплойт ядра в Windows и Linux

Две основные операционные системы управляют множеством важных объектов по всему миру, включая серверы, производственное оборудование, логистические системы и устройства интернета вещей. Уязвимость в ядре любой из них может открыть доступ для атак на множество устройств и сетей по всему миру. Например, в 2024 году были выявлены несколько брешей, включая уязвимость повышения привилегий в ядре Linux. Что касается Windows, в 2024 году Microsoft сообщила об уязвимости CVE-2024-21338, которая позволяла повысить привилегии новой учетной записи «администратора до уровня ядра» и уже использовалась в реальных атаках.

Такие уязвимости создают высокий риск масштабных сбоев в глобальных цепочках поставок. Они подчеркивают важность надлежащих практик кибербезопасности, своевременного выпуска исправлений и безопасных конфигураций для обеспечения стабильности цепочки поставок.

И последнее, но не менее важное: снижение рисков, связанных с цепочками поставок

Описанные сценарии могут вызвать тревогу, однако осведомленность — первый шаг к предотвращению атак и снижению их последствий. Несмотря на разнообразие рисков в цепочке поставок, их можно уменьшить с помощью нескольких общих стратегий. Такие стратегии требуют комплексного подхода, включающего технологические, организационные и корпоративные меры.

С точки зрения безопасности, обновления должны тщательно тестироваться перед установкой, а поставщики должны придерживаться принципа точечных обновлений, чтобы минимизировать возможные проблемы. Обнаружение аномалий с помощью ИИ может улучшить ручной анализ, снизив усталость от постоянных оповещений. Пользователям нужно понимать, что управление исправлениями и своевременная их установка крайне важны для поддержания безопасности.

Диверсификация поставщиков способствует устойчивости, помогая сократить количество точек отказа и повысить надежность системы. Важно развивать культуру ответственности и добросовестности среди сотрудников, поскольку человеческая бдительность — ключ к безопасности и стабильности.

В совокупности эти меры образуют надежную основу для повышения устойчивости цепочки поставок, защиты от сбоев и обеспечения более безопасного будущего для глобальных систем и экономик.

*Корпорация Meta признана в России экстремистской организацией.