Küberohu tegija, tuntud kui TA569 ehk SocGholish, on rikkunud JavaScripti koodi, mida meediasisu pakkuja kasutab, et levitada FakeUpdates pahavara suurematele meediaväljaannetele üle kogu USA.
Vastavalt tweetside seeria kolmapäeva hilisõhtul postitatud Proofpoint Threat Research Teami andmetel on ründajad rikkunud rakenduse koodibaasi, mida nimetu ettevõte kasutab videote ja reklaamide edastamiseks riiklikele ja piirkondlikele ajalehtede veebisaitidele. The tarneahela rünnak kasutatakse TA569 kohandatud pahavara levitamiseks, mida tavaliselt kasutatakse esialgse juurdepääsuvõrgu loomiseks jätkurünnakute ja lunavara kohaletoimetamise jaoks.
Uurijad hoiatasid, et tuvastamine võib olla keeruline: "TA569 eemaldas ja taastas need pahatahtlikud JS-i süstid vahelduvalt," öeldakse ühes säutsudes. "Seetõttu võib kasuliku koormuse ja pahatahtliku sisu olemasolu tundide lõikes erineda ja seda ei tohiks pidada valepositiivseks."
Proofpointi andmetel on pahatahtlikule JavaScriptile juurde pääsenud enam kui 250 piirkondlikku ja üleriigilist ajalehesaiti, kusjuures mõjutatud meediaorganisatsioonid teenindavad selliseid linnu nagu Boston, Chicago, Cincinnati, Miami, New York, Palm Beach ja Washington DC. Kuid ainult mõjutatud meediasisu ettevõte teab rünnaku kogu ulatust ja selle mõju sidusettevõtetele, ütlesid teadlased.
Säutsudes viidati Proofpointi ohtude tuvastamise analüütikule Tolmune Miller, turvalisuse vanemteadur Kyle Eatonja ohuteadlane Andrew Northern rünnaku avastamise ja uurimise eest.
Ajaloolised lingid ettevõttele Evil Corp
FakeUpdates on esmase juurdepääsuga pahavara ja ründeraamistik, mida kasutatakse vähemalt 2020. aastast (kuid potentsiaalselt varem), mis on minevikus kasutanud levitamiseks tarkvaravärskendustena maskeeritud allalaadimisi. Varem on seda seostatud kahtlustatava Venemaa küberkuritegude rühmituse Evil Corp tegevusega, mille USA valitsus on ametlikult sanktsioneerinud.
Tavaliselt hostivad operaatorid pahatahtlikku veebisaiti, mis käivitab allalaadimismehhanismi (nt JavaScripti koodi sisestamine või URL-i ümbersuunamine), mis omakorda käivitab pahavara sisaldava arhiivifaili allalaadimise.
Symanteci teadlased jälgisid varem Evil Corp kasutades pahavara allalaaditava ründejärjestuse osana WastedLocker, seejärel uus lunavara tüvi sihtvõrkudes 2020. aasta juulis.
Autoga allalaadimise rünnakute sagenemine mis kasutas selle aasta lõpus järgitud raamistikku, kusjuures ründajad hostisid pahatahtlikke allalaadimisi, võimendades iFrame'i, et teenindada ohustatud veebisaite seadusliku saidi kaudu.
Hiljuti leidsid teadlased viigi ohukampaania FakeUpdate'i levitamine Raspberry Robin USB-põhise ussi olemasolevate nakkuste kaudu. See samm tähistas seost Venemaa küberkurjategijate rühmituse ja ussi vahel, mis toimib muu pahavara laadijana.
Kuidas läheneda tarneahela ohule
Proofpointi avastatud kampaania on järjekordne näide ründajatest, kes kasutavad tarkvara tarneahelat mitme platvormi vahel jagatud koodi nakatamiseks, et laiendada pahatahtliku ründe mõju ilma rohkem pingutamata.
Tõepoolest, on juba olnud palju näiteid nende rünnakute lainetusefektist, mis on nüüd kurikuulsa. SolarWinds ja Log4J stsenaariumid on ühed silmapaistvamad.
Esimene sai alguse 2020. aasta detsembri lõpus rikkumine SolarWinds Orion tarkvaras ja levis sügavale järgmisesse aastasse, millel on mitu rünnakut erinevates organisatsioonides. Viimane saaga avanes 2021. aasta detsembri alguses, kui avastati viga Log4Shell in laialdaselt kasutatav Java logimise tööriist. See õhutas mitut ärakasutamist ja muutis miljonid rakendused rünnakute suhtes haavatavaks, millest paljud jäävad lapimata täna.
Tarneahela rünnakud on muutunud nii levinud, et turbeadministraatorid otsivad juhiseid, kuidas neid ennetada ja leevendada, mida nii avalikkus kui ka erasektor on hea meelega pakkunud.
Järel täitevkorraldus Eelmisel aastal andis välja president Biden, mis suunab valitsusasutusi parandama tarkvara tarneahela turvalisust ja terviklikkust, riikliku standardi- ja tehnoloogiainstituut (NIST) selle aasta alguses uuendas oma küberturvalisuse juhiseid tarkvara tarneahela riski vähendamiseks. The avaldamine sisaldab erinevatele sidusrühmadele, nagu küberjulgeoleku spetsialistid, riskijuhid, süsteemiinsenerid ja hankeametnikud, kohandatud soovitatud turbekontrollide komplekte.
Turvaspetsialistidel on ka pakkus organisatsioonidele nõu selle kohta, kuidas tarneahelat paremini turvata, soovitades neil kasutada turvalisuse suhtes null-usalduspõhist lähenemist, jälgida kolmandatest osapooltest partnereid rohkem kui ükski teine keskkonna üksus ja valida tarkvaravajaduste jaoks üks tarnija, kes pakub sagedasi koodivärskendusi.
