מהי מתקפת שרשרת אספקה?

מתקפת שרשרת אספקה היא סוג של מתקפת סייבר שבה התוקף מחדיר קוד זדוני לתוך תוצר תוכנה לגיטימי, לרוב בשלב הפיתוח או ההפצה, כך שהמשתמש הקצה מקבל גרסה נגועה ממקור שנחזה כמהימן.

מה קרה בפרשת Hola?

חברת Hola הישראלית אישרה כי תוקפים החדירו קוד זדוני לכריית קריפטו לתוך גרסת הדפדפן שלה ל-Windows. החברה ציינה כי כ-0.1% מלקוחותיה נפגעו, ולאחר הגילוי בנתה מחדש את פייפליין ההפצה וחיזקה את מנגנוני הבקרה.

כיצד אפשר להתגונן ממתקפות שרשרת אספקה?

ההגנה כוללת מיפוי מלא של תלויות חיצוניות, הטמעת אימות חתימות קוד, הדקת בקרות גישה לסביבות CI/CD ומעקב רציף על שינויים בכל שכבות הפייפליין.

מדוע מתקפות שרשרת אספקה קשות לזיהוי?

מאחר שהקוד מגיע ממקור שנחזה לגיטימי ולעיתים נחתם דיגיטלית, כלי אבטחה קונבנציונליים מתקשים לאתר אותו. המשתמש מתקין מוצר שנראה תקין לכל דבר.

האם רק חברות גדולות בסיכון ממתקפות שרשרת אספקה?

לא. כל ארגון שמשתמש בכלים, ספריות או ספקי תוכנה חיצוניים חשוף לסיכון. הגודל אינו הגורם המכריע, אלא רמת הבשלות של ניהול שרשרת האספקה הדיגיטלית.

מתקפת שרשרת אספקה על Hola: קוד זדוני לכריית קריפטו הוסלק בדפדפן

מה קרה: מתקפת שרשרת אספקה על דפדפן Hola

חברת Hola הישראלית, המוכרת בעיקר בזכות שירות ה-VPN שלה, אישרה כי חוותה מתקפת שרשרת אספקה שבמסגרתה הצליחו תוקפים להחדיר קוד זדוני ישירות לתוך גרסת הדפדפן שלה למערכת Windows. הקוד הזדוני ביצע כרייה של מטבעות קריפטו על מחשבי המשתמשים, תוך שימוש במשאבי החומרה שלהם ללא ידיעתם.

לפי הדיווח שפרסם BleepingComputer, החברה אישרה את האירוע וציינה כי כ-0.1% מלקוחותיה נפגעו בפועל. לאחר גילוי ההפרה, Hola הצהירה כי בנתה מחדש לחלוטין את פייפליין ההפצה שלה, הטמיעה מנגנוני אימות חתימת קוד מתקדמים, הדקה את בקרות הגישה ועברה למעקב רציף על כלל התשתית.

מדוע מתקפות שרשרת אספקה מסוכנות במיוחד

המקרה של Hola ממחיש עיקרון שארגונים רבים עדיין מזלזלים בו: האיום לא תמיד מגיע מבחוץ דרך כניסה פרוצה, אלא דרך שותפים, ספקים ומפתחים שעל התוצרים שלהם אנחנו סומכים מראש. כאשר תוקפים פוגעים בשלב ה-build או ה-distribution, הם מקבלים גישה לפגיעות שקופה לחלוטין, שכן המשתמש מתקין מוצר שנחתם ונראה לגיטימי.

פגיעה בשלב ה-build: התוקפים מחדירים קוד לפני שהתוצר נחתם, כך שהחתימה הדיגיטלית מאמתת גרסה נגועה.
קושי באיתור: מאחר שהקוד מגיע ממקור מהימן, כלי אבטחה קונבנציונליים עלולים לפספס אותו.
סקייל הפגיעה: אפילו 0.1% מבסיס לקוחות גדול מתורגם לאלפי מכשירים נגועים.

הצעדים שנקטה Hola לאחר האירוע

Hola פרסמה כי שיפור המנגנונים שלה כולל שלושה צירים מרכזיים: בנייה מחדש מלאה של פייפליין ההפצה, אימות חתימות קוד ברמה מתקדמת, ומעקב רציף על כלל שכבות התשתית. אלו הם בדיוק הכלים שאמורים להיות בנויים לפני שמתרחש אירוע, לא בעקבותיו.

מניסיון R.A.S Systems בליווי ארגונים בתהליכי פיתוח ואינטגרציה של מערכות ליבה, אנו רואים שוב ושוב כי ארגונים שמשקיעים בניהול שרשרת האספקה הדיגיטלית שלהם, כולל בדיקת תלויות חיצוניות, ניהול גרסאות מאובטח ובקרות גישה לסביבות ה-CI/CD, חשופים פחות לאירועים מסוג זה. זו אינה שאלה של תקציב אלא של בשלות ארגונית בתחום אבטחת המידע.

מה כל ארגון צריך לבחון עכשיו

האם יש לכם מיפוי מלא של כל הכלים והספקים שמהם מגיע קוד לסביבות הייצור שלכם?
האם פייפליין ה-CI/CD שלכם מוגן עם בקרות גישה מחמירות ומעקב על שינויים?
האם אתם מפעילים אימות חתימות קוד לכל תוצר לפני פריסה?
האם יש לכם תהליך תגובה מוגדר למקרה שמתגלה קוד לא מורשה בסביבה שלכם?

מקרה Hola אינו חריג. מתקפות שרשרת אספקה הפכו לאחד הוקטורים הנפוצים ביותר בנוף האיומים הנוכחי, ואת המחיר משלמים לרוב הלקוחות הקצה שלא ידעו דבר. ארגון שמשקיע בבהירות ובשליטה על כל שכבות שרשרת הפיתוח שלו הוא ארגון שמפחית את הסיכון באופן מהותי.

מתקפת שרשרת אספקה על Hola: קוד זדוני לכריית קריפטו הוסלק בדפדפן

מה קרה: מתקפת שרשרת אספקה על דפדפן Hola

מדוע מתקפות שרשרת אספקה מסוכנות במיוחד

הצעדים שנקטה Hola לאחר האירוע

מה כל ארגון צריך לבחון עכשיו

שאלות נפוצות