Компрометация поставщиков услуг

🔍 Что такое компрометация поставщика?

Компрометация поставщика происходит, когда злоумышленник:

• взламывает учетные записи сотрудников;
• эксплуатирует уязвимости в сервисах;
• внедряет вредоносное ПО или бэкдоры в инструменты обслуживания;
• получает привилегированный доступ к клиентским системам через сервис провайдера.

После этого атакующие могут получить доступ к данным, изменить конфигурации, внедрить ransomware или
проводить другие вредоносные действия на инфраструктуре клиентов.

⚙️ Как работает атака: полный цикл

1. Разведка — исследуются поставщик, используемые им сервисы и инфраструктура, а также его клиенты.
2. Компрометация поставщика — фишинг сотрудников, взлом VPN, эксплуатация уязвимостей сервисного ПО, злоупотребление внутренними правами.
3. Получение доступа к клиентам — использование RMM, VPN, административных аккаунтов, токенов, API‑ключей.
4. Масштабная атака — установка вредоносного ПО, кража данных, шифрование систем, lateral movement внутри клиентских сетей.
5. Сокрытие следов и удержание доступа — использование встроенных инструментов провайдера, логов, бэкапов для маскировки действий.

1. Атака на Kaseya VSA (2021)

REvil взломала MSP-платформу Kaseya и через обновления RMM‑агента заразила тысячи компаний ransomware.

• вектор: компрометация облачной платформы поставщика;
• эффект: сотни клиентов пострадали одновременно;
• масштаб: глобальный, особенно малый и средний бизнес.

2. Атака на 3CX (2023)

Компрометация поставщика корпоративной телефонии привела к заражению клиентов через вредоносное обновление настольного приложения.

3. APT10 и атаки на MSP

Государственная APT-группа взламывала MSP по всему миру и получала доступ к корпоративной инфраструктуре через доверенные сервисные каналы.

1. Взлом удаленного доступа

RMM, VPN, RDP, TeamViewer, AnyDesk — популярные инструменты удаленного администрирования.

2. Компрометация учетных записей

• фишинг сотрудников;
• brute force / password spraying;
• утечки паролей;
• использование украденных токенов.

3. Эксплуатация уязвимостей в сервисном ПО

Уязвимости в облачных платформах, CRM, RMM или собственных сервисах поставщика открывают доступ к клиентам.

4. Вредоносные обновления и поставка ПО

Атака может происходить через поддельные обновления сервисного ПО, RMM-агентов, интеграционные модули и плагины.

1. Жесткая проверка поставщиков

• проверка аудитов: SOC2, ISO27001;
• требования MFA, Zero Trust;
• анализ истории инцидентов и безопасности.

2. Сегментация и ограничение доступа

• доступ только к необходимым сетям;
• использование jump‑server;
• временные разрешения;
• контроль привилегий (PAM).

3. Мониторинг действий поставщика

• отдельные логины для подрядчиков;
• логирование всех операций;
• анализ аномалий;
• запрет на общие учетные данные.

4. Контроль используемых инструментов

• установка RMM‑агентов только после проверки;
• запрет установки ПО без подтверждения;
• контроль обновлений и подписей.

5. Контрактные требования безопасности

• обязательное уведомление о компрометации;
• SLA на инциденты безопасности;
• ответственность за нарушения безопасности.