Alex Procházka 
Údajné narušení bezpečnosti AstraZeneca by nemělo být chápáno jen jako další epizoda ovlivňující velkou nadnárodní společnost. Ale abychom to pochopili, musíme se vrátit na začátek března.
Tehdy byla odhalena koordinovaná kampaň, připisovaná zločinecké skupině TeamPCP, proti zvláště citlivým částem softwarového dodavatelského řetězce. Nešlo o odpojené incidenty nebo náhodné útoky, byly ohroženy důvěryhodné nástroje používané vývojáři, technickými týmy a organizacemi všech typů.
Všechno to začalo Trivy, bezpečnostním nástrojem široce implementovaným ve vývojových prostředích. Cílem nebylo napadnout společnost, která produkt vyvíjí, ale manipulovat s legitimním softwarem zavedením škodlivého kódu. Útočníci využili důvěry ostatních společností v tento produkt, protože jim manipulovaný software umožnil přístup k citlivým informacím, které existují v systémech, kde je používán. Hesla, přístupové kódy a další důležité informace byly ukradeny, aniž by o tom oběti věděly, jednoduše proto, že používaly škodlivé verze.
Tato nuance je velmi důležitá, protože nám ukazuje, jak fungují útoky na dodavatelský řetězec. Hrozbou není narušit přímo společnost, ale kompromitovat to, na co se společnost spoléhá.
Brzy poté se pozornost přesunula na LiteLLM, software, který funguje jako spojovací vrstva mezi různými poskytovateli umělé inteligence. To znamená, že prostředí, kde je nasazen, soustřeďuje několik vysoce hodnotných klíčů a přístupů do jednoho bodu. Jeho vývojáři použili Trivy, takže se stali oběťmi prvotního útoku. S klíči ukradenými při prvním incidentu postupovali podle stejného modu operandi: manipulovali s legitimním softwarem LiteLLM. Škodlivý kód byl podobný: ukradl platná hesla, přístup do cloudových prostředí, proměnné prostředí atd. A odtud další obrovské množství obětí: tentokrát všichni ti, kteří LiteLLM důvěřovali a používali jej ve svém prostředí.
Zatím je to potvrzené. Identifikovaný aktér, digitální dodavatelský řetězec přeměněný na bránu a opakující se cíl: přístupové kódy. Tedy legitimní přístup, který mohou zločinci později využít k napadení více společností.
A když se pak o pár dní později na kriminálních fórech objeví jméno AstraZeneca, epizoda nás nutí pochybovat, zda je součástí této širší sekvence. Abychom to analyzovali, můžeme se zaměřit na dva prvky.
Na jedné straně je zde povaha materiálu, o kterém se tvrdilo, že byl získán. Podle zveřejněné publikace by únik obsahoval odkazy na cloudovou infrastrukturu, stejně jako tajemství a přístupové prvky, jako jsou soukromé klíče a další hesla.
Na druhou stranu také záleží, kdo převezme mezeru: LAPSUS $. Zlomyslný herec oznamující útok není nové jméno. Jejich historie jasně ukazuje, že preferují krádeže pověření, sociální inženýrství, zneužívání legitimního přístupu a vydírání. Je to skupina, která nám vždy připomíná, že mnohé z nejškodlivějších útoků nevznikají ze zvlášť sofistikovaných technik, ale z efektivního využívání důvěry a lidských či provozních slabostí společností.
V tomto bodě stojí za to zdůraznit zásadní nuanci. K dnešnímu dni neexistuje žádné úplné potvrzení od Astrazeneca, ani nebyly zveřejněny přesvědčivé forenzní důkazy, které přímo spojují kampaň TeamPCP s tímto útokem. Ale kromě podobných vzorů a časové shody, nedávné analýzy tvrdí, že TeamPCP bude spolupracovat s LAPSUS$ a dalšími zločineckými skupinami na napadení všech dotčených společností.
TeamPCP kompromituje důvěryhodné nástroje, závislosti a prostředí, aby získal přístup, a další zločinci tyto přístupy využívají ke kompromitaci, šifrování, vydírání a veřejnému odhalení společností. V tomto rámci se případ AstraZeneca přestává jevit jako izolovaný incident a začíná se hodit jako možný derivát stejné kampaně.
Hrozbou není přímo narušit společnost, ale kompromitovat to, na co se společnost spoléhá.
A nyní stojíme před skutečným problémem. Odhaduje se, že útok mohl zasáhnout více než 1 000 prostředí SaaS od různých společností a že se to brzy může zvýšit na 5 000 až 10 000 dalších prostředí. Tato spolupráce mezi zločineckými skupinami odráží enormní množství ukradených přístupů a potřebu zločinců útok rychle využít. Hovorově řečeno by spolupracovali, protože jim chybí ruce, aby zaútočili na tolik společností najednou, než si to uvědomí a budou moci změnit ukradená hesla a přístupy.
To, co lze nyní od společností očekávat, je snadné: zrychlená rotace klíčů, kontrola závislostí, větší dohled nad privilegovaným přístupem a větší tlak na posílení bezpečnosti všeho, co spojuje jednu organizaci s druhou. S největší pravděpodobností budeme pozorovat nové útoky odvozené z této skvělé počáteční kampaně.
Autor: Diego León, generální ředitel společnosti Flameera
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
