Ataques de cadeia de suprimentos: o que são e como funcionam

Cada vez mais comuns, essas campanhas maliciosas focam em fornecedores de soluções de TI para atacar as vítimas finais; tendência reforça a importância de escolher um parceiro de confiança para o seu empreendimento.

Recentemente, o mundo vislumbrou aquele que foi considerado o ataque cibernético mais sofisticado da história. Criminosos cibernéticos — possivelmente patrocinados por alguma agência governamental — comprometeram o ambiente de compilação de um software da SolarWinds, líder mundial no fornecimento de soluções de TI. Usando técnicas avançadas para se manter escondidos, eles conseguiram embutir um trojan em tal programa.

O circo foi armado — milhares de clientes da SolarWinds baixaram a compilação maliciosa do plugin e instantaneamente ganharam um backdoor em seus ambientes. Visto que os atacantes possuíam objetivos bem claros (espionar empresas de segurança e órgãos governamentais da América do Norte), nem todos os afetados foram efetivamente “vasculhados” pelos agentes maliciosos.

De qualquer forma, até mesmo grandes nomes da indústria, como Microsoft, foram vítimas do golpe. O fato é: o incidente da SolarWinds foi só o começo de uma perigosa tendência que está sendo observada por profissionais do setor. Estamos falando dos ataques de cadeia de suprimentos — ou seja, quando o golpista mira no topo da pirâmide corporativa, comprometendo os fornecedores de tecnologia com o objetivo de atacar as vítimas finais.

Escolha bem seus parceiros!

Outro caso similar ocorrido recentemente é o da Accellion, empresa sediada em Palo Alto e focada no compartilhamento seguro de arquivos e colaboração entre times. A marca acabou comprometendo a segurança de diversos clientes importantes — incluindo a Bombardier, fabricante canadense de aeronaves comerciais — por conta de vulnerabilidades em um de seus softwares. Para piorar, ela ainda foi atingida por um ransomware de dupla extorsão.

Ataques de cadeia de suprimentos são um tanto vantajosos para os cibercriminosos. Afinal, eles só precisam focar em um único alvo para ganhar acesso irrestrito a diversas vítimas simultaneamente; e, por mais irônico que isso possa parecer, muitas vezes esses fornecedores de TI não possuem infraestruturas adequadas de segurança da informação, sendo alvos fáceis de phishing ou outros golpes de engenharia social.

Daí surge a importância de escolher bem quais serão os seus parceiros operacionais e fornecedores de tecnologia. De nada adianta investir milhões de reais para proteger o seu ambiente caso o elo mais fraco seja a outra empresa que está trabalhando junto com você. É crucial fazer uma diligência prévia para garantir que seu fornecedor também cumpra com os requisitos mínimos de segurança, especialmente se você precisa garantir conformidade com normas específicas de algum setor.

Aliás, com a chegada da LGPD, esse tipo de verificação torna-se ainda mais crítica. Afinal, se um parceiro com o qual você compartilha dados sensíveis sofre um vazamento, a responsabilidade pela proteção daquelas informações continua sendo sua.