• تماس فوری: 88885116 - 021

حمله زنجیره تامین چیست؟ معرفی انواع رایج و روش مقابله Supply Chain Attack

در این مقاله میخوانید
حمله زنجیر تامین

حملات زنجیره تأمین چیست؟

حمله زنجیره تأمین (Supply Chain Attack) نوعی حمله سایبری غیرمستقیم است که در آن هکرها به‌جای هدف قرار دادن مستقیم سازمان یا کسب‌وکار، از طریق ابزارها، نرم‌افزارها و خدمات شخص ثالث نفوذ می‌کنند؛ یعنی همان بخش‌هایی که سازمان‌ها برای افزایش کارایی سیستم‌ها و برنامه‌های خود به آن‌ها وابسته هستند. در این روش، مهاجم با آلوده‌سازی یک وابستگی نرم‌افزاری، به‌روزرسانی سیستم یا سرویس مورد اعتماد، بدافزار را به شبکه هدف منتقل می‌کند؛ به‌گونه‌ای که قربانی بدون آگاهی، کد مخرب را نصب می‌کند. حملات زنجیره تأمین به دلیل اعتماد ذاتی به تأمین‌کنندگان و گستردگی وابستگی‌ها، یکی از خطرناک‌ترین تهدیدات امنیت اطلاعات محسوب می‌شوند و می‌توانند دسترسی غیرمجاز به داده‌ها، شبکه و زیرساخت‌های حیاتی سازمان‌ها را برای مهاجمان فراهم کنند.

حمله زنجیره تأمین چگونه انجام می‌شود؟

پیش از آن‌که یک حمله زنجیره تأمین اجرا شود، مهاجمان ابتدا باید به سیستم، نرم‌افزار یا ابزار شخص ثالثی که قصد سوءاستفاده از آن را دارند دسترسی پیدا کنند (که به آن «حمله بالادستی» یا Upstream Attack گفته می‌شود). این دسترسی می‌تواند از طریق سرقت اطلاعات ورود، هدف قرار دادن تأمین‌کنندگانی که دسترسی موقت به سیستم یک سازمان دارند، یا سوءاستفاده از یک آسیب‌پذیری ناشناخته نرم‌افزاری و روش‌های مشابه به‌دست آید.

پس از آن‌که دسترسی به این وابستگی شخص ثالث برقرار شد، مرحله «حمله پایین‌دستی» یا Downstream Attack آغاز می‌شود؛ یعنی همان حمله‌ای که در نهایت به هدف اصلی می‌رسد و معمولاً از طریق مرورگر یا دستگاه کاربر نهایی انجام می‌شود. این مرحله می‌تواند به روش‌های مختلفی اجرا شود.

برای مثال، در نمونه قبلی، حمله بالادستی زمانی رخ می‌دهد که مهاجم کد مخرب را به نرم‌افزار یک شرکت ارائه‌دهنده خدمات امنیت سایبری اضافه می‌کند. سپس حمله پایین‌دستی زمانی اتفاق می‌افتد که این بدافزار از طریق یک به‌روزرسانی عادی نرم‌افزار روی دستگاه کاربران نهایی اجرا شده و سیستم آن‌ها را آلوده می‌کند.

انواع رایج حملات زنجیره تأمین کدام‌اند؟

حملات زنجیره تأمین ممکن است سخت‌افزار، نرم‌افزار، اپلیکیشن‌ها یا دستگاه‌هایی را هدف قرار دهند که توسط اشخاص ثالث مدیریت می‌شوند. برخی از رایج‌ترین انواع این حملات عبارت‌اند از:

حملات مبتنی بر مرورگر

در این نوع حمله، کد مخرب روی مرورگر کاربران نهایی اجرا می‌شود. مهاجمان ممکن است کتابخانه‌های جاوااسکریپت یا افزونه‌های مرورگر را هدف قرار دهند که به‌صورت خودکار روی دستگاه کاربر اجرا می‌شوند. همچنین امکان سرقت اطلاعات حساس ذخیره‌شده در مرورگر (مانند کوکی‌ها، فضای ذخیره‌سازی نشست و موارد مشابه) نیز وجود دارد.

حملات نرم‌افزاری

در این روش، بدافزار در قالب به‌روزرسانی‌های نرم‌افزاری پنهان می‌شود. همان‌طور که در حمله SolarWinds مشاهده شد، سیستم کاربران ممکن است این به‌روزرسانی‌ها را به‌صورت خودکار دانلود کنند و ناخواسته به مهاجمان اجازه دهند دستگاه آن‌ها را آلوده کرده و اقدامات مخرب بعدی را انجام دهند.

حملات متن‌باز (Open Source)

این حملات از آسیب‌پذیری‌های موجود در کدهای متن‌باز سوءاستفاده می‌کنند. اگرچه بسته‌های متن‌باز به سازمان‌ها کمک می‌کنند فرآیند توسعه نرم‌افزار و اپلیکیشن را سریع‌تر انجام دهند، اما ممکن است به مهاجمان اجازه دهند از آسیب‌پذیری‌های شناخته‌شده سوءاستفاده کرده یا بدافزار را در کد پنهان کنند و از این طریق به سیستم یا دستگاه کاربر نفوذ نمایند.

حملات جاوااسکریپتی

در این نوع حمله، مهاجمان از آسیب‌پذیری‌های موجود در کدهای JavaScript استفاده می‌کنند یا اسکریپت‌های مخرب را در صفحات وب قرار می‌دهند که هنگام بارگذاری صفحه به‌صورت خودکار اجرا می‌شوند.

حملات Magecart (فرم‌جکینگ)

این حملات با استفاده از کدهای مخرب جاوااسکریپت، اطلاعات کارت بانکی کاربران را از فرم‌های پرداخت و تسویه‌حساب وب‌سایت‌ها سرقت می‌کنند. این فرم‌ها اغلب توسط اشخاص ثالث مدیریت می‌شوند و به این روش «Formjacking» نیز گفته می‌شود.

حملات Watering Hole (چاله آب)

در این روش، مهاجمان وب‌سایت‌هایی را شناسایی می‌کنند که تعداد زیادی از کاربران به‌طور مرتب از آن‌ها استفاده می‌کنند (مانند سایت‌های سازنده وب‌سایت یا وب‌سایت‌های دولتی). سپس با شناسایی آسیب‌پذیری‌های امنیتی آن سایت، از همان نقاط ضعف برای انتقال بدافزار به کاربران ناآگاه استفاده می‌کنند.

کریپتوجکینگ (Cryptojacking)

کریپتوجکینگ به مهاجمان امکان می‌دهد از منابع پردازشی قربانی برای استخراج ارز دیجیتال استفاده کنند. این کار می‌تواند از راه‌های مختلفی انجام شود؛ از جمله تزریق کد یا تبلیغات مخرب در وب‌سایت‌ها، جاسازی اسکریپت‌های استخراج رمزارز در مخازن کد متن‌باز، یا استفاده از حملات فیشینگ برای ارسال لینک‌های آلوده به بدافزار به کاربران ناآگاه.

چگونه در برابر حملات زنجیره تأمین از خود دفاع کنیم؟

هر حمله‌ای که از نرم‌افزار، سخت‌افزار یا اپلیکیشن‌های شخص ثالث سوءاستفاده کند یا آن‌ها را دست‌کاری نماید، در دسته حملات زنجیره تأمین قرار می‌گیرد. سازمان‌ها معمولاً با مجموعه‌ای از تأمین‌کنندگان و فروشندگان خارجی همکاری می‌کنند که هر یک از آن‌ها ممکن است در ابزارها و خدمات خود از ده‌ها وابستگی مختلف استفاده کنند.

به همین دلیل، برای سازمان‌ها دشوار — و در برخی موارد تقریباً غیرممکن — است که به‌طور کامل خود را در برابر حملات زنجیره تأمین ایمن‌سازی کنند. با این حال، راهکارها و استراتژی‌هایی وجود دارد که سازمان‌ها می‌توانند به‌صورت پیشگیرانه برای مقابله با روش‌های رایج این نوع حملات به‌کار بگیرند:

انجام ارزیابی ریسک تأمین‌کنندگان شخص ثالث

این کار می‌تواند شامل تست نرم‌افزارهای شخص ثالث پیش از استقرار، الزام فروشندگان به رعایت سیاست‌های امنیتی مشخص، پیاده‌سازی سیاست‌های امنیتی محتوا (Content Security Policy یا CSP) برای کنترل منابعی که مرورگر اجازه اجرای آن‌ها را دارد، یا استفاده از Subresource Integrity (SRI) برای بررسی کدهای JavaScript از نظر محتوای مشکوک باشد.

پیاده‌سازی رویکرد Zero Trust (اعتماد صفر)

مدل Zero Trust تضمین می‌کند که همه کاربران — از کارکنان داخلی گرفته تا پیمانکاران و فروشندگان — به‌طور مداوم در داخل شبکه سازمان اعتبارسنجی و پایش شوند. بررسی هویت کاربر و دستگاه و سطح دسترسی آن‌ها کمک می‌کند حتی در صورت سرقت اطلاعات کاربری معتبر، مهاجمان نتوانند به‌سادگی وارد شبکه شوند یا در صورت نفوذ، به‌صورت جانبی در شبکه حرکت کنند.

استفاده از ابزارهای پیشگیری از بدافزار

ابزارهای جلوگیری از بدافزار، مانند آنتی‌ویروس‌ها، به‌طور خودکار دستگاه‌ها را برای شناسایی کدهای مخرب اسکن می‌کنند تا از اجرای آن‌ها جلوگیری شود.

استفاده از ایزوله‌سازی مرورگر (Browser Isolation)

ابزارهای ایزوله‌سازی مرورگر، کد صفحات وب را پیش از اجرا روی دستگاه کاربر نهایی، در یک محیط ایزوله یا سندباکس اجرا می‌کنند. به این ترتیب، بدافزارها پیش از رسیدن به هدف شناسایی و خنثی می‌شوند.

شناسایی Shadow IT

Shadow IT به اپلیکیشن‌ها و سرویس‌هایی گفته می‌شود که کارکنان بدون تأیید واحد IT سازمان از آن‌ها استفاده می‌کنند. این ابزارهای تأییدنشده ممکن است دارای آسیب‌پذیری‌هایی باشند که تیم IT قادر به وصله‌کردن آن‌ها نیست، زیرا از وجودشان بی‌اطلاع است. استفاده از یک Cloud Access Security Broker (CASB) با قابلیت شناسایی Shadow IT به سازمان‌ها کمک می‌کند ابزارهای مورد استفاده کارکنان را شناسایی کرده و از نظر آسیب‌پذیری‌های امنیتی بررسی کنند.

فعال‌سازی وصله‌گذاری و شناسایی آسیب‌پذیری‌ها

سازمان‌هایی که از ابزارهای شخص ثالث استفاده می‌کنند، مسئولیت دارند اطمینان حاصل کنند این ابزارها عاری از آسیب‌پذیری‌های امنیتی شناخته‌شده هستند. اگرچه شناسایی و رفع همه آسیب‌پذیری‌ها همیشه ممکن نیست، اما سازمان‌ها باید تلاش لازم را برای کشف و اعلام آسیب‌پذیری‌های شناخته‌شده در نرم‌افزارها، اپلیکیشن‌ها و سایر منابع شخص ثالث انجام دهند.

جلوگیری از سوءاستفاده از آسیب‌پذیری‌های Zero-Day

حملات زنجیره تأمین اغلب از آسیب‌پذیری‌های Zero-Day استفاده می‌کنند که هنوز وصله امنیتی برای آن‌ها ارائه نشده است. هرچند هیچ روش قطعی برای پیش‌بینی این تهدیدات وجود ندارد، اما ابزارهای ایزوله‌سازی مرورگر و فایروال‌ها می‌توانند به شناسایی، ایزوله‌کردن و مسدودسازی کدهای مخرب پیش از اجرا کمک کنند.

نمونه‌هایی از حملات زنجیره تأمین

در سال‌های اخیر، حملات هکرها به زنجیره‌های تأمین باعث بروز چندین حادثه بزرگ و خبرساز شده است. در هر یک از نمونه‌های زیر، سیستم‌ها یا نرم‌افزارهای فروشندگان معتبری که مورد اعتماد بودند، دچار نفوذ و compromise شده‌اند.

Dependency Confusion – سال ۲۰۲۱

یک پژوهشگر امنیتی توانست به سیستم‌های شرکت‌هایی مانند Microsoft، Uber، Apple و Tesla نفوذ کند. این پژوهشگر به نام الکس بیرسان (Alex Birsan) از وابستگی‌هایی سوءاستفاده کرد که اپلیکیشن‌ها برای ارائه خدمات به کاربران نهایی از آن‌ها استفاده می‌کنند. از طریق این وابستگی‌ها، او توانست بسته‌های داده جعلی اما بی‌ضرر را به سیستم‌های این شرکت‌های بزرگ ارسال کند.

Mimecast – سال ۲۰۲۱

در حمله Mimecast، هکرها موفق شدند یک گواهی امنیتی را که برای احراز هویت خدمات Mimecast در Microsoft 365 Exchange Web Services استفاده می‌شد، به خطر بیندازند. اگرچه تعداد کاربران آسیب‌دیده نسبتاً محدود بود، اما حدود ۱۰٪ از مشتریان Mimecast از اپلیکیشن‌هایی استفاده می‌کردند که به این گواهی آلوده‌شده وابسته بودند.

SolarWinds – سال ۲۰۲۰

حمله SolarWinds با تزریق یک درِ پشتی (Backdoor) به نام SUNBURST در ابزار به‌روزرسانی Orion IT انجام شد. این درِ پشتی توسط حدود ۱۸٬۰۰۰ مشتری دانلود شد و به مهاجمان امکان دسترسی گسترده به سیستم‌های قربانیان را داد. این حمله یکی از شناخته‌شده‌ترین نمونه‌های حمله زنجیره تأمین محسوب می‌شود و شرکت SolarWinds را به‌شدت تحت تأثیر قرار داد.

ASUS – سال ۲۰۱۸

طبق گزارش پژوهشگران Symantec، حمله به ASUS از قابلیت به‌روزرسانی خودکار این شرکت سوءاستفاده کرد و تا حدود ۵۰۰٬۰۰۰ سیستم را تحت تأثیر قرار داد. در این حمله، بدافزار از طریق یک به‌روزرسانی خودکار به سیستم کاربران منتقل شد.

Event-stream – سال ۲۰۱۸

در حمله event-stream، یکی از مخازن موجود در سیستم GitHub با بدافزار آلوده شد. وابستگی آلوده‌شده در این مخزن توسط تعداد نامشخصی از اپلیکیشن‌ها مورد استفاده قرار گرفت. اگرچه GitHub یک پلتفرم متن‌باز نیست، اما به‌عنوان یک سرویس عمومی پشتیبان مورد استفاده قرار می‌گیرد و کاربران تشویق می‌شوند راه‌حل‌های خود را با دیگران به اشتراک بگذارند؛ موضوعی که باعث گسترش سریع‌تر این آلودگی شد.

جمع‌بندی

حملات زنجیره تأمین یکی از پیچیده‌ترین و خطرناک‌ترین تهدیدات امنیت سایبری محسوب می‌شوند، زیرا مهاجمان به‌جای حمله مستقیم به سازمان هدف، از اعتماد موجود میان سازمان‌ها و تأمین‌کنندگان شخص ثالث سوءاستفاده می‌کنند. گستردگی وابستگی‌های نرم‌افزاری، استفاده از کدهای متن‌باز، به‌روزرسانی‌های خودکار و ابزارهای خارجی باعث شده است که سطح حمله به‌طور چشمگیری افزایش یابد. نمونه‌های واقعی مانند SolarWinds، Mimecast و ASUS نشان می‌دهند که حتی شرکت‌های بزرگ و معتبر نیز در برابر این نوع حملات مصون نیستند. با وجود آن‌که جلوگیری کامل از حملات زنجیره تأمین تقریباً غیرممکن است، اما با ترکیبی از ارزیابی ریسک تأمین‌کنندگان، پیاده‌سازی Zero Trust، مدیریت آسیب‌پذیری‌ها، کنترل Shadow IT و استفاده از ابزارهای امنیتی پیشرفته، می‌توان ریسک این حملات را تا حد زیادی کاهش داد و تاب‌آوری سازمان را در برابر آن‌ها افزایش داد.

سوالات متداول زنجیره تامین

حمله زنجیره تأمین چه تفاوتی با سایر حملات سایبری دارد؟

تفاوت اصلی در غیرمستقیم بودن آن است. در این حملات، مهاجم به‌جای هدف قرار دادن مستقیم سازمان، از طریق نرم‌افزارها، سرویس‌ها یا تأمین‌کنندگان مورد اعتماد وارد عمل می‌شود.

آیا فقط شرکت‌های بزرگ هدف حملات زنجیره تأمین قرار می‌گیرند؟

خیر. هر سازمانی که از ابزارها یا سرویس‌های شخص ثالث استفاده کند — از استارتاپ‌ها گرفته تا سازمان‌های بزرگ — می‌تواند قربانی این نوع حمله شود.

رایج‌ترین مسیر ورود در حملات زنجیره تأمین چیست؟

به‌روزرسانی‌های آلوده نرم‌افزاری، وابستگی‌های جاوااسکریپتی، کتابخانه‌های متن‌باز و افزونه‌های مرورگر از رایج‌ترین مسیرهای نفوذ هستند.

آیا استفاده از نرم‌افزارهای متن‌باز خطرناک است؟

خود متن‌باز بودن ذاتاً خطرناک نیست، اما در صورت عدم بررسی کد، به‌روزرسانی‌نشدن یا استفاده از نسخه‌های آسیب‌پذیر، می‌تواند به یک ریسک امنیتی جدی تبدیل شود.

Zero Trust چگونه به کاهش ریسک حملات زنجیره تأمین کمک می‌کند؟

Zero Trust با اعتبارسنجی مداوم کاربران و دستگاه‌ها، مانع می‌شود مهاجمان حتی در صورت دسترسی به یک جزء آلوده، به‌راحتی در شبکه حرکت کنند یا به منابع حساس دسترسی یابند.

Shadow IT چه نقشی در حملات زنجیره تأمین دارد؟

ابزارهای Shadow IT معمولاً بدون نظارت امنیتی استفاده می‌شوند و می‌توانند دارای آسیب‌پذیری‌هایی باشند که مسیر مناسبی برای حملات زنجیره تأمین فراهم می‌کنند.

آیا می‌توان حملات Zero-Day مرتبط با زنجیره تأمین را کاملاً متوقف کرد؟

خیر، توقف کامل این حملات بسیار دشوار است؛ اما استفاده از فایروال‌ها، ایزوله‌سازی مرورگر، پایش مداوم و تشخیص رفتارهای مشکوک می‌تواند اثرگذاری آن‌ها را به‌طور قابل توجهی کاهش دهد.

اولین قدم عملی برای کاهش ریسک حملات زنجیره تأمین چیست؟

شناخت دقیق تأمین‌کنندگان، وابستگی‌ها و ابزارهای مورد استفاده در سازمان و انجام ارزیابی ریسک شخص ثالث، مهم‌ترین و مؤثرترین نقطه شروع است.