O que é um ataque à cadeia de suprimentos?

Os ataques à cadeia de suprimentos são projetados para explorar relações de confiança entre uma organização e partes externas. Esses relacionamentos podem incluir parcerias, relacionamentos com fornecedores ou o uso de software de terceiros. Os atores das ameaças cibernéticas comprometerão uma organização e depois subirão na cadeia de abastecimento, aproveitando estas relações de confiança para obter acesso aos ambientes de outras organizações.

Evitando um ataque? RELATÓRIO DE CIBERSEGURANÇA

O que é um ataque à cadeia de suprimentos?

Os ataques à cadeia de suprimentos estão aumentando

Given the outsized impact they can have, it is unsurprising that supply chain attacks have dramatically increased in recent years. Data shows that from 2021 to 2023, supply chain attacks grew by 431%.

  • More recent data from Check Point’s State of Cyber Security 2025 report found hardware and software supply chains experienced the highest surge of attacks in 2024.
  • The report found that the average number of attacks targeting software, hardware, and semiconductor companies increased by 179%.

Experts state this is due to the increased global demand for hardware and the focus on AI technologies. As a vital component of modern infrastructure and innovations, the technological supply chain is becoming a significant target for cyber criminals.

Exploiting supply chain vulnerabilities in these sectors provides many opportunities for:

  • Financial gain
  • Espionage
  • Disruption

High-Profile Supply Chain Incidents

Com os novos vetores de ataque criados pelo trabalho remoto e pelas equipes de segurança sobrecarregadas, os cibercriminosos tiveram muitas oportunidades de realizar ataques à cadeia de suprimentos. Alguns dos maiores dos últimos anos incluem:

  • SolarWinds: Em 2020, um grupo de hackers obteve acesso ao ambiente de produção da SolarWinds e incorporou um backdoor nas atualizações de seu produto de monitoramento de rede Orion. Os clientes da SolarWinds que executavam a atualização maliciosa sofreram violações de dados e outros incidentes de segurança.
  • Kaseya: A gangue de ransomware REvil explorou a Kaseya, uma empresa de software que fornece software para provedores de serviços gerenciados (MSPs) para infectar mais de 1.000 clientes com ransomware.  O grupo exigiu um resgate de US$ 70 milhões para fornecer chaves de descriptografia para todos os clientes afetados. 
  • Codecov: Codecov é uma organização de testes de software cujo script Bash uploader (usado para enviar relatórios de cobertura de código para a empresa) foi modificado por um invasor. Essa exploração da cadeia de suprimentos permitiu que os invasores redirecionassem informações confidenciais, como código-fonte, segredos e muito mais, dos clientes da CodeCov para seus próprios servidores.
  • NotPetya: NotPetya era um malware ransomware falso que criptografava computadores, mas não salvava a chave secreta para descriptografia. Chama-se transformá-lo em um “limpador”.
    • O ataque NotPetya começou como um ataque à cadeia de abastecimento quando uma empresa de contabilidade ucraniana foi violada e o malware foi incluído numa atualização maliciosa.
  • Atlassian: Em novembro de 2020, a Check Point Research (CPR) descobriu uma série de vulnerabilidades que, quando combinadas, podem ser exploradas para obter o controle de uma conta e de vários aplicativos Atlassian que estão conectados via SSO.
    • O que torna essa vulnerabilidade um ataque potencial à cadeia de suprimentos é que, uma vez que o invasor explore essas falhas e obtenha o controle de uma conta, ele poderá instalar backdoors que poderá utilizar no futuro.
    • Isto pode resultar em danos graves que só serão detectados e controlados após a ocorrência do dano.
    • A Check Point Research divulgou de forma responsável esta informação às equipas da Atlassian e foi implementada uma solução para garantir que os seus utilizadores possam continuar a partilhar informações com segurança nas diversas plataformas
  • British Airways: Em 2018, a British Airways sofreu um ataque Magecart que comprometeu mais de 380.000 transações no site da companhia aérea. O ataque foi possível graças a um ataque à cadeia de abastecimento que comprometeu um dos fornecedores da companhia aérea e se espalhou para a British Airways, Ticketmaster e outras empresas.

  • Linux XZ

    Discovered in 2024, the Linux XZ supply chain attack was a multi-year operation to insert a backdoor into the open-source project. XZ utilities are regularly used for compression in Linux.

    The backdoor enabled remote code execution to attackers with a specific key.

    The compromised version of XZ utilities was not widely deployed when the vulnerability was discovered. But, it was present in development versions. Experts stated that if undetected, the Linux XZ backdoor could have given the attackers access to hundreds of millions of systems around the world.

Como funciona um ataque à cadeia de suprimentos

Um ataque à cadeia de abastecimento tira partido das relações de confiança entre diferentes organizações. Todas as organizações têm um nível de confiança implícita em outras empresas à medida que instalam e usam o software da empresa em sua rede ou trabalham com elas como fornecedores.

Um ataque à cadeia de abastecimento tem como alvo o elo mais fraco de uma cadeia de confiança. Se uma organização tiver uma segurança cibernética forte, mas tiver um fornecedor confiável e inseguro, os invasores terão como alvo esse fornecedor. Com uma posição segura na rede do fornecedor, os invasores poderiam então migrar para a rede mais segura usando esse relacionamento confiável.

Um tipo comum de alvo de ataque à cadeia de suprimentos são os provedores de serviços gerenciados (MSPs). Os MSPs têm acesso profundo à rede de seus clientes, o que é inestimável para um invasor. Depois de explorar o MSP, o invasor pode facilmente expandir para sua rede de clientes. Ao explorar a vulnerabilidade da cadeia de abastecimento, estes atacantes têm um impacto maior e podem obter acesso a redes que seriam muito mais difíceis de atacar diretamente. Foi assim que os invasores do Kaseya conseguiram infectar tantas organizações com ransomware.

 

Outros ataques à cadeia de suprimentos usam software para entregar malware aos clientes de uma organização.  Por exemplo, os invasores da SolarWinds obtiveram acesso aos servidores de construção da empresa e injetaram um backdoor nas atualizações do produto de monitoramento de rede SolarWinds Orion.  Quando esse código de atualização foi enviado aos clientes, os invasores também obtiveram acesso à sua rede.

Os impactos dos ataques à cadeia de suprimentos

Os ataques à cadeia de suprimentos simplesmente fornecem ao invasor outro método para violar as defesas de uma organização. Podem ser utilizados para realizar qualquer tipo de ciberataque, como:

  • Violação de dados: ataques à cadeia de suprimentos são comumente usados para realizar violações de dados. Por exemplo, o hack da SolarWinds expôs dados confidenciais de várias organizações dos setores público e privado.
  • Infecções por malware: Os cibercriminosos geralmente exploram a vulnerabilidade da cadeia de suprimentos para entregar malware a uma organização-alvo. A SolarWinds incluiu a entrega de um backdoor malicioso, e o ataque Kaseya resultou em ransomware projetado para explorá-los.

What Makes Supply Chain Attacks Dangerous

Supply chain attacks are a significant concern because they don’t target your systems directly, but rather exploit your trust in others. Whenever you install and use a vendor’s software or add a third-party dependency to your own code, you’re implicitly placing your trust in that vendor’s security.

This exposes you to any mistakes that might be made by external organizations and developers.

For instance, you assume they didn’t accidentally introduce vulnerabilities to their software and regularly update their code to patch out new exploits as they are discovered.

This is a particular concern for open-source dependencies…

Open-Source Software

Relying on unpaid developers to continually update their open-source projects and respond to new threats can be a major supply chain weakness.

Supply chain attacks aren’t trying to exploit the strongest link in the chain, they target the weakest. Therefore, you can be left exposed even if you develop extensive internal security controls to protect your systems without proper third-party risk management strategies.

Supply Chain Breach & Backdoor

Plus, once hackers have a supply chain breach and add a backdoor to a piece of software that is widely used, they can launch far-reaching attacks with many victims. Cybercriminals can get a much larger return on investment by compromising third-party code.

Rather than attacking an organization head-on and getting one victim, they can go after the software supply chain and get many more victims from a single vulnerability.

This attracts some of the most sophisticated hackers and groups to find supply chain attack vectors.

How to Prevent Supply Chain Attacks

While these attacks are hard to detect and remediate, there are best practices for supply chain cybersecurity that you can implement to limit their impact. These processes can be broken down into third-party risk management approaches that improve your supply chain resilience, and internal practices that limit the impact of compromised systems.

Third-Party Risk Management

Assessing vendor security standards and managing the risk of using external software and dependencies is a critical aspect of supply chain cybersecurity. You need to rigorously assess your vendors and determine the security of their development practices.

Performing third-party risk assessments allows you to identify specific security policies you want vendors to implement to work with you.

Plus, you can group vendors based on the risk they pose (their internal security practices and how much access they have to your sensitive business data). Then, prioritize monitoring each vendor based on their vulnerability level. This includes:

  • Identifying all open source dependencies
  • Ensuring they remain active projects that still push updates based on the latest threats.

Beyond open source projects, patch management is a vital aspect across supply chain cybersecurity.

You have to maintain the latest software versions to ensure the window of risk posed by new vulnerabilities is as small as possible.

Melhores práticas para identificar e mitigar ataques à cadeia de suprimentos

Os ataques à cadeia de abastecimento tiram partido de relações de confiança inseguras entre uma empresa e outras organizações. Algumas maneiras de mitigar os riscos desses ataques incluem:

  • Implementar privilégio mínimo: muitas organizações atribuem acesso e permissões excessivos a seus funcionários, parceiros e software. Essas permissões excessivas facilitam a execução de ataques à cadeia de suprimentos. Implemente privilégios mínimos e atribua a todas as pessoas e softwares apenas as permissões necessárias para realizar seu trabalho.
  • Realize a segmentação da rede: Software de terceiros e organizações parceiras não precisam de acesso irrestrito a todos os cantos da rede. Use a segmentação de rede para dividir a rede em zonas com base nas funções de negócios. Desta forma, se um ataque à cadeia de abastecimento comprometer parte da rede, o resto da rede ainda estará protegido.
  • Siga as práticas de DevSecOps: Ao integrar a segurança ao ciclo de vida de desenvolvimento, é possível detectar se softwares, como as atualizações do Orion, foram modificados de forma maliciosa.
  • Prevenção automatizada de ameaças e caça a ameaças: os analistas dos Centros de Operações de Segurança (SOC) devem proteger contra ataques em todos os ambientes da organização, incluindo endpoint, rede, nuvem e dispositivos móveis.

Minimizing the Impact of a Supply Chain Breach

To minimize third-party supply chain risks, you need to reduce the access these systems have within your network. This includes introducing zero trust practices based on least privilege access. This makes applications and users continually verify their identity while only providing access to the systems they need, nothing more.

Another Zero Trust Network Access (ZTNA) technique is network segmentation, which divides your systems into siloed sections with strong security controls when moving between them.

ZTNA reduces the impact of supply chain breaches by preventing lateral movement.

The attacker only has access to the initial compromised system and struggles to extend their access further. Other techniques to help prevent supply chain attacks include:

  • Following DevSecOps best practices to test for vulnerabilities in any dependencies you use. You can improve software development visibility through a Software Bill of Materials (SBOM) that tracks details (source, version, etc.) of every dependency.
  • Regularly scanning your system with malware prevention tools to prevent attacks from executing.
  • Develop incident response plans that include considerations for supply chain attacks. This could implement sandboxing new code before executing it to mitigate any backdoors.
  • Track all of the applications and services employees use and uncover any shadow IT (unsanctioned applications) to ensure your supply chain attack surface is not larger than you realise.

Proteção contra ataques à cadeia de suprimentos com Check Point

Supply chain attackers take advantage of a lack of monitoring within an organization’s environment. Check Point Check Point Endpoint Security helps an organization to protect against these threats by monitoring applications for suspicious behavior that might point to compromise.

 

To learn more about the types of attacks that Check Point Endpoint Security protects against, check out Check Point’s 2021 Cyber Security Report. Then, take a security checkup to learn about the security issues within your environment. You can also learn how to close these security gaps with a free demo.