Огрехи из-за прорехи: как и почему растут кибератаки на цепочки поставок

Ворвались в топ

В 2024 году в список наиболее распространенных векторов впервые попали атаки через подрядчиков, продемонстрировавшие резкий рост по сравнению с 2023 годом — общее количество таких инцидентов увеличилось в три раза, свидетельствуют данные аналитиков RED Security SOC, с которыми ознакомился Forbes. Большинство успешных первичных проникновений злоумышленников в IT-инфраструктуру компаний было реализовано с помощью фишинга, эксплуатации известных уязвимостей периметра, а также подбора паролей к учетным записям, в том числе на основе данных из различных утечек. «Аналогичная картина наблюдалась и годом ранее. Однако в прошлом году атаки через подрядчиков впервые вошли в топ угроз», — утверждают в RED Security.

Основной причиной возникновения этого тренда аналитики называют значительное повышение уровня информбезопасности крупных компаний за последние несколько лет. Попытки взлома наиболее значимых для российской экономики организаций перестают приносить нужный результат. В то же время защищенность подрядчиков, имеющих легитимный доступ в их инфраструктуру, обычно гораздо ниже и слабо контролируется заказчиками. Выявлять такие инциденты непросто: злоумышленники тщательно маскируют свою активность под легитимные действия IT-подрядчика, и детектировать ее можно только с помощью обнаружения аномалий, говорит руководитель направления сервисов центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security Михаил Климов.

Количество инцидентов такого типа будет увеличиваться: в 2025 году примерно каждый третий крупный взлом будет реализован через IT-подрядчиков компаний, прогнозируют аналитики. «Кроме того, если ранее компрометация подрядчика обычно была частью целевой атаки на конкретную организацию, то за последний год эта тенденции изменилась: взлом подрядчика стал инструментом массовых атак на любых его клиентов, с которыми удается обнаружить сетевую связанность», — пишут эксперты.

«Ломать» компании, которые оказывают услуги целевым жертвам, намного проще и дешевле, подчеркивает Михаил Климов. IT-подрядчики — это чаще всего сравнительно небольшие компании, у которых нет выделенного ИБ-подразделения, да и в целом кибербезопасность — не первый их приоритет, говорит он: «Поэтому такие компании хуже защищены, с ними вполне может сработать рядовая техника или эксплоит 2000 года. А в качестве награды можно получить доступ не к одной компании, которая была целью изначально, а сразу ко многим организациям, в том числе очень крупным и известным, с многомиллиардным оборотом».

Трудности коммуникации

Примечательно, что взломанные подрядчики крайне редко способны оперативно детектировать компрометацию и принять меры по реагированию, а также не всегда уведомляют о факте взлома своих клиентов и НКЦКИ (Национальный координационный центр по компьютерным инцидентам, создан Федеральной службой безопасности), указывают в RED Security. «Это дает киберпреступникам дополнительное время на то, чтобы через взломанную подрядную организацию атаковать как можно больше ее заказчиков. При этом ущерб от таких сложных для детектирования атак может исчисляться десятками миллионов рублей, так как киберпреступники сразу получают привилегированный доступ к критичным системам организации», — обращают внимание эксперты.

Источник в индустрии кибербезопасности подтверждает такую проблему. По его словам, если сотрудники SOC (Security Operations Center, структурное подразделение, отвечающее за оперативный мониторинг IT-среды и реагирование на киберинциденты) видят, что из-под учетной записи интегратора в IT-инфраструктуре заказчика действует хакер, аналитики SOC, конечно, сообщают в эту компанию: «Ребята, вас взломали». «Но те или не могут нормально вычистить хакеров из своей инфраструктуры, или просто забивают. Конечно, никто не говорит заказчикам о проблеме — они же сразу уйдут, это потеря выручки. Даже закрытые уведомления НКЦКИ не особо помогают: они не наказывают за несоблюдение мер кибербезопасности, их роль — только уведомить субъектов ГосСОПКА (Государственной системы предупреждения, обнаружения и ликвидации последствий компьютерных атак ФСБ. — Forbes) об атаках и дать информацию для их своевременного обнаружения, — продолжает собеседник Forbes. — Интегратор покивает, пообещает разобраться, а в SOC потом видят, что из-под их учеток все еще хакеры действуют».

Непонятно, что делать в этой ситуации, сетует он. «Допустим, один заказчик уйдет от такой компании, другой, но сколько остаются, потому что не в курсе проблемы? Это похоже на то, как человек узнает, что у него ЗППП, но не рассказывает тем, кого он мог заразить», — резюмирует эксперт.

«Требует комплексного решения»

Нападения через подрядчиков включают в число основных киберугроз текущего года и другие специалисты по ИБ. Так, согласно исследованию компании F6 (бывшей F.A.C.C.T.) «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25», в 2025 году ожидается рост числа атак на цепочки поставок (supply chain attack) и атак типа Trusted Relationship. В ходе последних хакеры могут получить и использовать легитимные учетные записи для входа в корпоративные сети клиентов поставщиков. В роли поставщиков могут выступать IT-интеграторы, разработчики ПО и другие компании.

Тренд атак на крупные компании через их подрядчиков активно растет с 2019 года, рассуждает директор центра противодействия кибератакам Solar JSOC ГК «Солар» Владимир Дрюков: «Каждый год мы видели увеличение количества таких инцидентов в два-три раза, но доля их тем не менее была невелика. Однако в 2024-м их объем стал уже ощутим: 6% успешных целевых кибератак, в расследовании которых принимали участие эксперты Solar 4RAYS, началось именно со взлома подрядчиков». Проблема в том, что крупные компании, которые заботятся о своей безопасности, не могут никак повлиять на своих подрядчиков и их защищенность, подтверждает Дрюков. В большинстве случаев, по его словам, подрядчики действительно обладают более низким уровнем ИБ-защиты, чем их непосредственные клиенты.

На еще один спорный момент, который обсуждают в отрасли, указывает сотрудник крупной компании на ИБ-рынке. Как известно, в конце ноября 2024 года Госдума приняла законы, усиливающие ответственность за утечки персональных данных и их незаконное использование и передачу, введя уголовную ответственность и оборотные штрафы (до 3% совокупной выручки). Однако, размышляет этот собеседник Forbes, в законе ответственность подрядчика за утечку не прописана, «а значит, будет много спорных ситуаций». «Если оператор персональных данных не виноват (защищал свою инфраструктуру как мог) и утечка по вине подрядчика (но он не оператор персональных данных), то непонятно, кто будет отвечать и будет ли», — говорит он.

Очевидно, киберпреступники и дальше будут все активнее эксплуатировать этот вектор проникновения в инфраструктуру, поэтому проблема требует комплексного решения, считает Дрюков. «Возможно, необходимо прописывать требования к уровню ИБ у поставщика услуг на этапе организации закупочных процедур. Компаниям же стоит внимательнее следить за доступами в свою инфраструктуру, которые они предоставляют сторонним организациям, а после завершения контракта незамедлительно удалять их учетные записи», — заключает он.