קבוצת האקרים המכונה TA569 או SocGholish, פגעו בקוד JavaScript המשמש ספק תוכן מדיה על מנת להפיץ את הנוזקה FakeUpdates לכלי מדיה גדולים ברחבי ארה"ב. על פי סדרת ציוצים של צוות המחקר Proofpoint Threat, השיגו התוקפים גישה לבסיס הקוד של אפליקציה בה משתמש ספק תוכן המדיה כדי להגיש וידאו ופרסומים לאתרי עיתונות לאומיים ואזוריים. מתקפה זו הינה מתקפת שרשרת אספקה והיא משמשת להפצת נוזקות מותאמות אישית של TA569, אשר משמשות בדרך כלל להקמת רשת גישה ראשונית להתקפות עוקבות והפעלת כופרה.
לפי Proofpoint, יותר מ- 250 אתרי עיתונים אזוריים וארציים ניגשו ל- JavaScript הזדוני, ביניהם ארגוני מדיה המשרתים ערים כמו בוסטון, שיקגו, סינסינטי, מיאמי, ניו יורק, פאלם ביץ' וושינגטון הבירה. עם זאת, רק חברת תוכן המדיה המושפעת יודעת את כל טווח ההתקפה והשפעתה על אתרי שותפים, אמרו חוקרי הסייבר והזהירו כי הנוכחות של הנוזקה במערכות המחשוב והתוכן הזדוני יכולים להשתנות משעה לשעה.
FakeUpdates מהווה מסגרת להחדרת נוזקה לצורך תקיפה ראשונית והיא בשימוש לכל הפחות מאז 2020. בעבר עשתה מסגרת זו שימוש בהורדות Drive-by המתחזות לעדכוני תוכנה, כדי להפיץ את הנוזקה. שיטה זו נקשרה בעבר לפעילות של קבוצה החשודה בפשעי סייבר ברוסיה – Evil Corp (הקבוצה אושרה רשמית על ידי ממשלת ארה"ב). המפעילים מארחים בדרך כלל אתר זדוני המפעיל מנגנון הורדה של Drive-by כגון הזרקת קוד JavaScript או הפניות URL, אשר בתורו מפעיל הורדה של קובץ המכיל נוזקות. חוקרי סימנטק צפו בעבר ב- Evil Corp משתמשים בנוזקה כחלק מרצף התקפה כדי להוריד את WastedLocker, אז זן חדש של כופרה על רשתות יעד, עוד ביולי 2020. לאחרונה, גילו חוקרי סייבר קמפיין המפיץ FakeUpdates באמצעות זיהומים קיימים של תולעת מבוססת Raspberry Robin USB, מהלך שסימן קישור בין קבוצת פושעי הסייבר הרוסית לבין התולעת, הפועלת כמטעין נוזקות אחרות.
קמפיין הסייבר שגילה Proofpoint הינו דוגמה נוספת לתוקפים המשתמשים בשרשרת האספקה של התוכנה כדי להדביק קוד המשותף על פני מספר פלטפורמות, במטרה להרחיב את ההשפעה של הנוזקה מבלי לעבוד קשה מדי. ואכן, כבר היו דוגמאות רבות להשפעת האדווה שיכולות להיות להתקפות אלו, כאשר התרחישים הידועים של SolarWinds ו-Log4J הם מהבולטים ביותר. הראשון החל בסוף דצמבר 2020 עם פריצה בתוכנת SolarWinds Orion והתפשט עמוק לתוך השנה שלאחריה, עם התקפות מרובות על פני ארגונים שונים. הסאגה האחרונה התפתחה בתחילת דצמבר 2021, עם גילויו של פגם המכונה Log4Shell בכלי רישום ג'אווה, אשר דרבן מתקפות סייבר רבות והפך מיליוני יישומים לפגיעים להתקפה (רבים מהם נותרו ללא תיקון כיום).
התקפות שרשרת אספקה הפכו נפוצות עד כדי כך שמנהלי אבטחת סייבר מחפשים הכוונה כיצד למנוע ולצמצם אותן. בעקבות צו שהוציא נשיא ארה"ב – ביידן בשנה שעברה והורה לסוכנויות ממשלתיות לשפר את האבטחה והשלמות של שרשרת אספקת תוכנה, עדכן המכון הלאומי לתקנים וטכנולוגיה (NIST) מוקדם יותר השנה את הנחיית אבטחת הסייבר שלו לטיפול בסיכון שרשרת אספקת תוכנה. הפרסום כולל סטים מותאמים של בקרות אבטחה לבעלי עניין שונים כגון מומחי אבטחת סייבר, מנהלי סיכונים, מהנדסי מערכות ופקידי רכש. מומחי אבטחת סייבר גם הציעו לארגונים כיצד לאבטח טוב יותר את שרשרת האספקה והמליצו להם לנקוט בגישת אפס אמון, לפקח על שותפי צד שלישי יותר מכל ישות אחרת בסביבה ולבחור ספק אחד לצרכי תוכנה.
קראו על שירותי הסייבר שלנו, ויחד ניצור מעטפת הגנת סייבר מקצה לקצה לארגון שלכם! צרו איתנו קשר עוד היום להבטחת בטחון המידע לעסק שלכם!