Supply-chain Attack
Введение
Supply-chain Attack (атака на цепочку поставок) – метод кибератаки, направленный не непосредственно на цель, а на её поставщиков, разработчиков ПО или провайдеров услуг. Злоумышленник внедряет вредоносный код в продукт ещё на этапе разработки, сборки или обновления, после чего заражённые версии автоматически распространяются через легитимные каналы к тысячам организаций-клиентов.
Атаки на цепочку поставок особенно опасны: жертва получает вредоносное ПО из доверенного источника, который она сама же установила и которому доверяет подписанные обновления.
История и контекст
Концептуально атаки на цепочку поставок существуют давно, но их масштаб резко вырос в 2017–2020 годах. NotPetya (2017) использовал обновление украинского бухгалтерского ПО M.E.Doc для распространения деструктивного вайпера по корпоративным сетям. SolarWinds Orion (2020) – внедрение бэкдора SUNBURST в обновления платформы мониторинга SolarWinds; 18 000 организаций скачали заражённую версию. Kaseya VSA (2021) – ransomware через платформу управления ИТ. XZ Utils (2024) – социальная инженерия для внедрения бэкдора в популярную Linux-библиотеку.
Как работает Supply-chain Attack
Основные векторы:
- Компрометация сборочного конвейера (CI/CD) – внедрение вредоносного кода на этапе автоматической сборки ПО.
- Захват аккаунта разработчика – публикация вредоносного обновления от имени легитимного мейнтейнера.
- Подмена зависимостей (Dependency Confusion) – публикация пакета с тем же именем в публичном репозитории (npm, PyPI) с более высоким номером версии.
- Компрометация управляемого сервиса (MSP/MSSP) – атака через RMM-инструменты провайдера для распространения на клиентов.
Где применяется (как угроза)
- Разработчики ПО – защита CI/CD и репозиториев.
- Корпоративные пользователи стороннего ПО – любая организация, использующая сторонние решения.
- МСП на обслуживании MSP – провайдеры управляемых услуг как точка входа ко множеству клиентов.
Меры защиты
Software Bill of Materials (SBOM) – реестр зависимостей; подписание артефактов сборки (Sigstore, cosign); проверка хэшей загружаемых компонентов; сегрегация сетей для критических систем; Zero Trust для подрядчиков и MSP; мониторинг активности компонентов ПО через EDR.
Связь с другими понятиями
Supply-chain Attack использует доверие как оружие – обходит традиционные средства защиты. Связан с Ransomware (как вектор доставки), Zero-day (бэкдоры как скрытые уязвимости), Threat Intelligence (обнаружение индикаторов компрометации в легитимном ПО).
