t1195-002-compromise-software-supply-chain

# T1195.002 - Compromise Software Supply Chain ## Técnica Pai Esta é uma sub-técnica de [[t1195-supply-chain-compromise|T1195 - T1195 - Supply Chain Compromise]]. ## Descrição **Compromise Software Supply Chain** é uma subtécnica de [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] na qual adversários manipulam software legítimo antes de sua distribuição ao consumidor final. A adulteração pode ocorrer em qualquer ponto da cadeia de desenvolvimento: no código-fonte do repositório oficial, no mecanismo de build e compilação, nos binários já compilados antes do release, ou no canal de atualização automática utilizado pelo produto. O resultado é que usuários e organizações instalam ativamente um software que parece legítimo - assinado digitalmente, distribuído pelos canais oficiais do fornecedor - mas que contém funcionalidade maliciosa implantada pelo adversário. A característica mais perigosa dessa técnica é a escala: ao comprometer um único fornecedor de software amplamente utilizado, o adversário obtém acesso simultâneo a milhares ou dezenas de milhares de organizações de uma vez. Casos como o ataque à [[solarwinds-orion-compromise|SolarWinds]] (via [[s0562-sunspot|SUNSPOT]] e [[s0559-sunburst|SUNBURST]]) demonstraram que mesmo grandes organizações com maturidade em segurança - incluindo agências governamentais americanas - podem ser comprometidas por essa via. O implante [[s0493-goldenspy|GoldenSpy]] foi outro exemplo notório: inserido em software fiscal obrigatório do governo chinês, afetou diretamente empresas estrangeiras operando no país. **Contexto Brasil/LATAM:** No Brasil, a superfície de ataque via supply chain de software é significativa e crescente. O país possui um ecossistema robusto de software fiscal e de gestão (ERP, NFe, SPED) que é utilizado de forma obrigatória por milhões de empresas - tornando esses fornecedores alvos de alto valor para adversários que buscam acesso em escala ao setor empresarial brasileiro. Empresas de tecnologia em crescimento no Brasil, especialmente nos setores [[_sectors|financeiro]] e [[_sectors|governo]], dependem fortemente de bibliotecas open-source e pipelines de CI/CD que podem ser contaminados via ataques a repositórios npm, PyPI ou GitHub. O grupo [[g0096-apt41|APT41]], com histórico de ataques a empresas de software na Ásia e nos EUA, representa uma ameaça relevante para desenvolvedores de software brasileiros que aténdem mercados globais. ## Attack Flow ```mermaid graph TB A[Comprometimento do Repositório ou Build] --> B[Inserção de Código Malicioso] B --> C:::highlight[Distribuição via Canal Legítimo do Fornecedor] C --> D[Instalação Confiável pelas Vítimas] D --> E[Ativação Seletiva do Implante] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário compromete o ambiente de desenvolvimento ou distribuição do fornecedor-alvo - sejá por exploração de vulnerabilidade no repositório de código (GitHub, GitLab), comprometimento de credenciais de desenvolvedor via [[t1566-003-spearphishing-via-service|spearphishing via serviço]], ataque ao servidor de build, ou ao sistema de empacotamento e assinatura de releases. Em seguida, insere código malicioso de forma cirúrgica para evitar detecção durante revisões de código: o implante pode ficar inativo até receber uma condição de ativação específica (domínio, hostname, ou data), tornando análise estática insuficiente para detectá-lo. ### 2. Execução O software comprometido é compilado, assinado digitalmente com o certificado legítimo do fornecedor e distribuído pelos canais oficiais - site do fornecedor, repositórios de pacotes, mecanismos de atualização automática. As organizações-alvo instalam a atualização confiando na assinatura digital e na procedência. Uma vez instalado, o implante executa em contexto privilegiado (muitos softwares corporativos rodam como serviço do sistema), estabelecendo comunicação com infraestrutura de C2 do adversário via protocolo que mimetiza tráfego legítimo para evitar detecção por [[t1071-application-layer-protocol|Application Layer Protocol]]. ### 3. Pós-execução Com acesso estabelecido em múltiplas organizações simultaneamente, o adversário realiza triagem das vítimas para identificar alvos de maior interesse. Para alvos prioritários, avança com reconhecimento interno, [[t1003-os-credential-dumping|OS Credential Dumping]], movimentação lateral e exfiltração de dados de longo prazo. Para alvos de menor interesse, o implante pode permanecer dormente por meses antes de ser ativado. O [[g0034-sandworm|Sandworm Team]] utilizou essa abordagem para comprometer infraestrutura crítica via software de gestão industrial, enquanto o [[g0115-gold-southfield|GOLD SOUTHFIELD]] distribuiu o ransomware REvil via atualização do software Kaseya VSA. ## Detecção > [!danger] Alta dificuldade de detecção > O binário malicioso possui assinatura digital válida e é instalado pelo usuário voluntariamente. A detecção depende de análise comportamental pós-instalação, verificação de integridade e monitoramento de comúnicações de rede anômalas. **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | `7045` | System | Novo serviço instalado - verificar assinatura e hash do executável | | `4688` | Security | Processo filho inesperado criado por software legítimo recém-atualizado | | `1` | Sysmon | Criação de processo com linha de comando anômala originada de software empresarial | | `3` | Sysmon | Conexão de rede a IP/domínio externo por processo de software corporativo | | `5` | Sysmon | Driver carregado - verificar hashes contra baseline pré-atualização | | `4663` | Security | Acesso a arquivos sensíveis por processo de software que não deveria acessá-los | **Regra Sigma:** ```yaml title: Anomalous Network Connection from Enterprise Software Process id: f8c2d4a1-9e3b-4f7c-b6a2-e1d5f3c8b9a7 status: experimental description: Detecta conexão de rede a endereços externos por processos de software empresarial que normalmente não fazem comúnicações externas diretas - padrão de implante em supply chain references: - https://attack.mitre.org/techniques/T1195/002 logsource: product: windows service: sysmon detection: selection: EventID: 3 Initiated: 'true' Image|contains: - 'solarwinds' - 'kaseya' - 'ManageEngine' - 'updaté' - 'autoupdaté' DestinationPort: - 443 - 80 - 8443 filter_known_good: DestinationHostname|contains: - 'microsoft.com' - 'windowsupdaté.com' - 'akamaitechnologies.com' condition: selection and not filter_known_good falsepositives: - Software legítimo que usa CDNs não catalogadas para atualizações - Telemetria de produto para domínios do próprio fornecedor level: medium tags: - attack.initial_access - attack.t1195.002 - attack.persistence ``` ## Mitigação | Controle | Mitigação MITRE | Recomendação para Organizações Brasileiras | |----------|----------------|---------------------------------------------| | Verificação de integridade | [[m1051-update-software\|M1051 - Updaté Software]] | Validar hashes SHA-256 de instaladores antes da implantação em produção. Manter baseline de hashes de arquivos críticos de sistemas e comparar após atualizações. Usar ferramentas como AIDE (Linux) ou File Integrity Monitoring no Windows. | | Scan de vulnerabilidades na cadeia | [[m1016-vulnerability-scanning\|M1016 - Vulnerability Scanning]] | Implementar análise de composição de software (SCA) no pipeline de desenvolvimento. Ferramentas como Snyk, Dependabot e OWASP Dependency-Check identificam bibliotecas comprometidas ou com CVEs conhecidos. | | Política de atualização controlada | [[m1051-update-software\|M1051 - Updaté Software]] | Não aplicar atualizações automáticas em sistemas críticos sem staging prévio. Testar atualizações em ambiente isolado por pelo menos 72 horas antes de rollout em produção. | | Segmentação e monitoramento de rede | Detecção contínua | Isolar sistemas críticos para que software empresarial não tenha conectividade direta com a internet. Monitorar e alertar sobre novas conexões externas de processos que não fazem comunicação externa normalmente. | | SBOM e rastreabilidade | Boas práticas DevSecOps | Exigir Software Bill of Materials (SBOM) de fornecedores críticos. Validar proveniência de dependências via políticas de repositório privado (Nexus, Artifactory) - especialmente relevante para empresas brasileiras com pipelines de desenvolvimento ativos. | ## Threat Actors - [[g0096-apt41|APT41]] - Grupo chinês (dupla espionagem/crime) com histórico de comprometer fornecedores de software para distribuir backdoors a clientes downstream; responsável pelo ataque à cadeia de supply chain de empresas de software asiáticas e norte-americanas. - [[g0034-sandworm|Sandworm Team]] - APT russo (GRU) que utilizou comprometimento de supply chain de software industrial (NotPetya via MEDoc, um software contábil ucraniano) para causar dano em escala global, com impacto documentado em multinacionais com operações no Brasil. - [[g0115-gold-southfield|GOLD SOUTHFIELD]] - Grupo de ransomware que comprometeu o mecanismo de atualização do Kaseya VSA para distribuir o ransomware REvil a mais de 1.000 organizações simultaneamente em julho de 2021 - o maior ataque de supply chain de ransomware registrado. - [[g0035-dragonfly|Dragonfly]] - APT russo focado em infraestrutura crítica (energia, manufatura industrial) que utilizou trojanização de software de fornecedores industriais para obter acesso a redes OT/SCADA de concessionárias de energia. - [[g0046-fin7|FIN7]] - Grupo financeiro que comprometeu fornecedores de software de PDV para distribuir malware a varejistas e redes de hospitalidade, coletando dados de cartões de pagamento em escala - relevante para o setor de varejo brasileiro. - [[g0027-threat-group-3390|Threat Group-3390]] - APT chinês que trojanizou instaladores de software legítimo para atingir organizações governamentais e de defesa na Ásia, com técnicas transferíveis para alvos em outros continentes. - [[g1034-daggerfly|Daggerfly]] - Grupo de espionagem com foco em telecomúnicações e governo que utilizou comprometimento de supply chain como vetor de acesso inicial em campanhas de longo prazo. - [[g1036-moonstone-sleet|Moonstone Sleet]] - Grupo norte-coreano que criou empresas e produtos de software fictícios para distribuir ferramentas de desenvolvimento trojanizadas a desenvolvedores-alvo, mesclando spearphishing com supply chain. - [[g0080-cobalt-group|Cobalt Group]] - Grupo financeiro especializado em ataques a instituições bancárias que utilizou comprometimento de supply chain como vetor auxiliar em campanhas contra o setor financeiro europeu e latino-americano. ## Software Associado - [[s0493-goldenspy|GoldenSpy]] - Backdoor inserido em software fiscal legítimo distribuído pelo governo chinês; executava em nível de sistema com privilégios elevados e estabelecia canal de C2 persistente - exemplo paradigmático de supply chain via software regulatório obrigatório. - [[s0562-sunspot|SUNSPOT]] - Implante usado pelo [[g0016-apt29|APT29]] para monitorar o sistema de build da SolarWinds e substituir o código-fonte do Orion no momento da compilação, garantindo que apenas os binários de produção fossem infectados enquanto o código no repositório permanecia limpo. - [[s0222-ccbkdr|CCBkdr]] - Backdoor inserido em compilações trojanizadas do software CCleaner por atores da [[g0096-apt41|APT41]]; atingiu 2,27 milhões de usuários antes de ser descoberto, demonstrando a escala possível em ataques de supply chain de software de uso massivo. --- *Fonte: [MITRE ATT&CK - T1195.002](https://attack.mitre.org/techniques/T1195/002)*