SANS ISC опублікував сьоме оновлення щодо масштабної кампанії атак на ланцюги поставок під назвою TeamPCP. Цей інцидент, деталі якого викладені у звіті "Коли сканер безпеки став зброєю" (версія 3.0), підкреслює зростаючу складність кібератак. Головною подією останнього оновлення є підтвердження викрадення вихідного коду компанії Cisco Systems. Зловмисники використали вразливість або нецільове використання інструменту, пов'язаного зі сканером вразливостей Trivy, для проникнення в систему та доступу до конфіденційних даних. Група аналізу загроз Google (GTIG) активно моніторить діяльність TeamPCP, ідентифікуючи її як UNC6780.
Кампанія TeamPCP є яскравим прикладом атаки на ланцюг поставок, де компрометація одного компонента або інструменту може призвести до широкомасштабних наслідків. У цьому випадку, інцидент, пов'язаний з Trivy – популярним інструментом для сканування вразливостей у контейнерах, файлових системах та репозиторіях, – став ключовим вектором атаки. Хоча точні механізми експлуатації ще уточнюються, сам факт використання інструменту безпеки як "зброї" є тривожним прецедентом. Викрадення вихідного коду Cisco становить значну загрозу, оскільки дає зловмисникам глибоке розуміння внутрішньої архітектури продуктів, потенційних вразливостей та логіки роботи, що може бути використано для майбутніх, більш цілеспрямованих атак.
Ідентифікація TeamPCP як UNC6780 з боку Google GTIG вказує на те, що ця група є добре організованою та активно відстежується провідними розвідувальними організаціями.
Ця кампанія становить загрозу для широкого кола організацій:
- Розробники програмного забезпечення: Особливо ті, хто інтегрує сторонні компоненти або використовує open-source інструменти, такі як Trivy, у своїх CI/CD пайплайнах.
- Користувачі продуктів Cisco: Хоча пряма загроза кінцевим користувачам Cisco наразі невідома, викрадення вихідного коду може призвести до виявлення нових вразливостей у майбутньому.
- Організації з великими ланцюгами поставок: Будь-яка компанія, що залежить від численних постачальників програмного забезпечення та послуг, є потенційною мішенню для подібних атак.
- Державні та критичні інфраструктури: Через потенційний вплив на безпеку широко використовуваних технологій.
- Посилення безпеки ланцюга поставок: Впроваджуйте суворі політики перевірки всіх сторонніх компонентів та інструментів, що використовуються у розробці та експлуатації.
- Регулярне сканування вразливостей: Використовуйте надійні сканери вразливостей, але також забезпечте їхню власну безпеку та моніторинг.
- Принцип найменших привілеїв: Обмежте доступ інструментів та користувачів до критично важливих ресурсів.
- Моніторинг активності: Впроваджуйте системи моніторингу для виявлення аномальної поведінки у ваших CI/CD пайплайнах та репозиторіях коду.
- Оновлення та патчі: Завжди підтримуйте програмне забезпечення, включаючи інструменти безпеки, в актуальному стані.
- Аналіз вихідного коду (SAST/DAST): Регулярно перевіряйте власний та сторонній код на наявність вразливостей.