Por Pedro Victor
Em junho de 1982, no auge da Guerra Fria, um satélite de vigilância dos Estados Unidos detectou uma explosão de grandes proporções na Sibéria. Um breve inquérito revelou que a fonte da explosão identificada pelo satélite havia sido uma falha no gasoduto Transiberiano, gerenciado pelos soviéticos. Pouco tempo antes desse evento, a KGB — principal agência de inteligência da União Soviética — havia concluído uma sofisticada operação, que tinha como objetivo infiltrar um espião em uma empresa de desenvolvimento de software canadense a fim de roubar uma cópia de um software, o qual seria usado para gerenciar o novo gasoduto.
Os soviéticos não estavam cientes de que o software roubado tinha sido modificado pela Agência Central de Segurança dos Estados Unidos (CIA), que havia inserido algumas linhas de código adicionais no software original. Posteriormente os soviéticos instalaram o software roubado no sistema de gerenciamento do gasoduto Transiberiano e pouco tempo depois, falhas de compatibilidade entre o software e o ambiente do gasoduto levaram à explosão que foi detectada pelo satélite norte-americano.
O espião responsável por roubar o software para o novo gasoduto fazia parte de um departamento da KGB que era encarregado de roubar segredos tecnológicos dos EUA nas décadas de 1970 e 1980. As ações desse departamento foram reveladas para a CIA por um agente duplo chamado Vladimir Vetrov, mais conhecido pelo codinome Farewell. As informações fornecidas pelo agente fizeram a CIA perceber que poderia enganar os russos inserindo códigos modificados nos softwares que os russos roubavam.
O caso ocorrido no gasoduto Transiberiano é um dos mais comentados ataques contra a cadeia de suprimentos, no qual um atacante busca flanquear a rede de fornecimento das organizações com o propósito de encontrar vulnerabilidades que possam permitir acesso interno ao seu alvo.
A seguir analisaremos algumas ameaças que abusam da cadeia de suprimentos e também abordaremos algumas das consequências enfrentadas pelas organizações que foram vítimas desse tipo de ataque.
Entendendo as ameaças à cadeia de suprimentos
A cadeia de suprimentos é um sistema de atividades envolvidas no manuseio, distribuição, fabricação, armazenamento e transporte a fim de transferir recursos de um fornecedor para o consumidor final.
Supply-Chain Attack é um meio utilizado para prejudicar uma determinada organização ao manipular elementos menos seguros da sua cadeia de suprimentos. Esse tipo de ataque pode ser direcionado a qualquer instituição que possua uma cadeia de fornecedores, podendo envolver qualquer indústria, do financeiro ao governamental.
Uma investigação conduzida pela Verizon mostra que 92% dos incidentes de segurança analisados ocorreram entre pequenas empresas que fornecem serviços para instituições de maior porte.
Muhammad Ali Nasir, da universidade Nacional de Ciências Emergentes, analisou os riscos envolvidos na cadeia de suprimentos no estudo Potential cyber-attacks against global oil supply chain. Segundo Nasir “devido à globalização, descentralização e terceirização de cadeias de suprimentos, o número de pontos vulneráveis também aumentou. Um ataque cibernético contra uma cadeia de suprimentos é a forma mais eficaz para danificar muitas entidades vinculadas ao mesmo tempo”.
Na manhã do dia 27 de junho, começaram a surgir notícias sobre a disseminação em larga escala do malware NotPetya que, por sua vez, foi responsável por comprometer várias empresas de diversos países.
Uma investigação realizada pela Talos, equipe de Threat Intelligence da Cisco, revelou que o ataque tinha sido direcionado a empresas que faziam parte da cadeia de suprimentos do software M.E.Doc — principal software de contabilidade utilizado por empresas na Ucrânia — as quais tinham sido infectadas pelo malware NotPetya que estava incorporado à atualização do sistema.
A total colaboração da M.E.Doc ao ceder acesso aos sistemas internos e aos arquivos de log desse incidente, foi um fator importante para que a Talos concluísse o processo de investigação e encontrasse a origem do problema. A pesquisa revelou que os atacantes mantiveram um acesso persistente aos servidores do M.E.Doc por meio de um arquivo (medoc_online.php) que proporcionava acesso remoto aos servidores da empresa.
A pesquisa da Talos concluiu que os criminosos conseguiram acesso ao servidor de atualização do M.E.Doc, incorporaram um backdoor furtivo e sofisticado aos pacotes de atualização do sistema e por fim forçaram uma atualização maliciosa do software, a qual não necessitava da interação do usuário, conforme demonstrado na linha de tempo desenvolvida pela empresa.
O resultado dessa operação com alto nível de planejamento de execução foi o comprometimento de diversas empresas espalhadas pelo mundo.
Outros casos envolvendo ataques à cadeia de suprimentos
Ao longo da historia diversas empresas têm sido alvo de Supply-Chain Attacks. De acordo com o WhitePaper do SANS Institute de setembro de 2015 — Combatting Cyber Risks in the Sypply Chain– 80% das violações podem se originar através de ataques contra a cadeia de suprimentos. Os casos a seguir antecedem os ataques com o NotPetya.
Telebots
Em dezembro de 2016, pesquisadores da ESET identificaram ataques específicos contra grandes empresas do setor financeiro na Ucrânia.
No período de janeiro a março de 2017, o grupo Telebots conseguiu comprometer outra empresa de software Ucraniana. Por meio de conexões de VPN foi possível aos criminosos obterem acesso às redes internas de várias instituições financeiras que faziam parte da cadeia de suprimento da empresa.
· Características do Telebots:
o Utiliza o malware KillDisk para substituir ou deletar arquivos na máquina da vítima;
o É classificado como uma ameaça do tipo Wiper;
o Exibe a imagem do programa de TV Mr. Robot, com a frase: We are F Society;
o Em sua versão mais recente passou a criptografar arquivos;
o Existe uma versão da ameaça para sistemas Linux.
Os pesquisadores também acreditam que o Telebots seja o mesmo grupo responsável por realizar ataques contra a indústria de energia ucraniana em dezembro de 2015 e janeiro de 2016, conhecido como BlackEnergy.
O incidente da Target Corporation
No final de 2013 o varejista Target Corporation sofreu um ataque que resultou na exposição de mais de 40 milhões de cartões de pagamento.
Segundo o jornalista Bryan Krebs, os criminosos conseguiram acesso à rede interna da Target após roubarem as credenciais de acesso da Fazio Mechanical Services, um fornecedor de sistemas de refrigeração HVAC (Heating, Ventilation and Air Conditioning) que fazia parte da cadeia de suprimentos da Target.
A Fazio Mechanical Services emitiu uma declaração, no dia 06 de fevereiro de 2014 na qual esclarece e justifica alguns pontos quanto ao incidente envolvendo a Target, dentre eles: 1) a conexão da Fazio com a Target foi exclusivamente para cobrança eletrônica, submissão de contratos e gerenciamento de projetos, 2) a empresa não realiza o monitoramento de sistemas HVAC da Target, 3) o sistema de TI e medidas de segurança estão em total conformidade com as práticas da indústria e 4) assim como a Target, a Fazio foi vítima de um ataque cibernético sofisticado.
Análise da Ameaça
A fragmentação da cadeia de produção é uma vantagem de muitas empresas ao redor do mundo. É o resultado do progresso tecnológico, da necessidade de reduzir os custos de fabricação, da globalização da economia e de reformas no comércio e exportação em muitos países.
Sob a perspectiva da segurança da informação, as cadeias de suprimentos possuem características que tornam sua proteção um desafio, pois em muitos casos as Supply-chains estão espalhadas pelo mundo, boa parte delas são complexas, interligadas por meio de diversos links lógicos, suas rotas não são regulares e possuem diferentes camadas de terceirização.
O ex-funcionário da Casa Branca e assessor em segurança da informação, Richard A. Clarke, imaginou um cenário de colapso catastrófico caso a cadeia de suprimentos que fornece os recursos necessários para manter a infraestrutura dos sistemas dos EUA fosse danificada.
1. Refinarias e oleodutos explodiriam;
2. Falhas em sistemas informáticos impediriam a comunicação eletrônica das Forças Armadas Americanas;
3. Sistemas de controle de trânsito entrariam em colapso;
4. Sistemas de transporte de mercadorias e transporte subterrâneo deixariam de funcionar;
5. Dados dos sistemas financeiros seriam criptografados sem poderem retornar ao seu estado original;
6. A rede de energia elétrica seria danificada;
7. O controle dos satélites em órbita do planeta Terra seria perdido.
Embora o cenário hipotético descrito por Clarke possua características apocalípticas, nas quais qualquer sociedade no mundo se desintegraria, ele serve para, com moderação, refletir sobre o quanto a segurança das empresas é interdependente e que, independentemente do tamanho de uma corporação, esta pode sofrer ataques com origem em empresas dos mais variados tamanhos, porém conectadas à sua cadeia de suprimentos.
As recomendações mais comuns contra ataques de Supply Chain são, dentre outras: implantar um plano de segurança na cadeia de suprimentos, manter sistemas atualizados e implantar processos que monitorem sistemas e a conformidade dos parceiros com relação à segurança da informação. Essas orientações não esgotam todas as possibilidades e caminhos que podem ser seguidos no que se diz respeito a manter a cadeia de suprimentos segura, entretanto, são a base para sua proteção.