El equipo de investigación de amenazas de Sysdig (TRT) descubrió esta semana que ciberataques usando binarios escrito en Go y .NET confirman instancias de ediciones locales de la plataforma de integración continua/entrega continua (CI/CD) de GitLab.
Michael Clark, director de investigación de amenazas de Sysdig, dijo que la mayoría de los ataques contra las cadenas de suministro de software emplean scripts. Los ciberdelincuentes que parecen tener su sede en Rusia están utilizando archivos binarios para lanzar campañas de robo de proxy y criptominería utilizando recursos de infraestructura utilizados para alojar instancias de GitLab.
Cryptomining es el proceso utilizado para validar transacciones de criptomonedas. El secuestro de proxy consiste en revender ancho de banda a proveedores de servicios de proxyware para permitir que alguien oculte su ubicación física.
El esfuerzo de investigación de Sysdig, denominado LABRAT, también señaló que las tácticas y técnicas utilizadas para lanzar ataques son razonablemente sofisticadas. Además de usar binarios, los ciberdelincuentes también emplean herramientas con firmas no detectadas, malware multiplataforma diseñado para evadir las plataformas de ciberseguridad, una plataforma de comando y control (C2) que pasa por alto los firewalls y rootkits basados en kernel para ocultar su presencia. Además, los atacantes abusaron de un servicio legítimo, TryCloudFlare, para ofuscar su red C2.
El atacante aún activo también actualiza continuamente sus herramientas, lo que requiere que las organizaciones que ejecutan GitLab realicen un seguimiento de las tácticas, técnicas y procedimientos (TTP) empleados por el atacante cibernético para mantener actualizadas sus listas de indicadores de compromiso (IoC).
En relación con los ingresos ilícitos que se pueden obtener con el cryptojacking y el proxyjacking, este ciberataque se destaca por su sofisticación. Lo que está menos claro es el grado en que este ataque también podría usarse para inyectar vulnerabilidades en las cadenas de suministro de software basadas en la plataforma GitLab.
Lo único cierto es que los ciberdelincuentes han desarrollado capacidades más avanzadas para comprometer las cadenas de suministro de software que probablemente se utilicen para comprometer varias plataformas DevOps.
Afortunadamente, hay mucho más enfoque en proteger las cadenas de suministro de software después de una serie de infracciones de alto perfil. El desafío es que la mayoría de los esfuerzos aún son relativamente incipientes. Como tal, no hay una calificación lo suficientemente alta sobre hasta dónde pueden llegar los ciberdelincuentes para comprometer una cadena de suministro de software. La capacidad de inyectar malware que algún día podría llegar a cualquier cantidad de aplicaciones posteriores hace que la cadena de suministro de software sea un objetivo tentador.
Se han lanzado varias iniciativas legislativas que eventualmente requerirán que las organizaciones protejan mejor las cadenas de suministro de software. Como tal, la mayoría de los equipos de DevOps harían bien en comenzar estos esfuerzos ahora. Algunos aspectos de las propuestas que se debaten hoy eventualmente se convertirán en ley. En lugar de tratar de cumplir con un requisito, un enfoque más metódico para asegurar las cadenas de suministro de software crearía menos estrés para todos los involucrados más adelante.
Mientras tanto, gracias a la adopción de las mejores prácticas de DevSecOps, la seguridad de las aplicaciones continúa mejorando constantemente. El problema es que estos avances no se están logrando tan rápido como los ciberdelincuentes están desarrollando nuevas tácticas y técnicas.
