ТЕХНІЧНИЙ ОПИС

Зловмисники можуть збирати інформацію про бізнес-відносини жертви, яка може бути використана під час вибору цілі. Інформація про бізнес-відносини організації може включати різноманітні деталі, зокрема дані про організації або домени другої чи третьої сторони (наприклад, постачальники керованих послуг (MSP), підрядники тощо), які мають підключений (і, можливо, привілейований) мережевий доступ. Ця інформація також може розкрити ланцюжки постачання та шляхи доставки апаратних і програмних ресурсів жертви.

Зловмисники можуть збирати цю інформацію різними способами, наприклад, через пряме виманювання за допомогою Фішингу для отримання інформації. Інформація про бізнес-відносини також може бути розкрита зловмисникам через онлайн-ресуси або інші доступні набори даних (наприклад, соціальні мережі або пошук на вебсайтах, що належать жертві).

Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, фішинг або пошук на відкритих вебсайтах/доменах), створення оперативних ресурсів (створення або компрометація акаунтів) та/або початкового доступу (компрометація ланцюжка постачання, Drive-by Compromise або довірені відносини).

Як хакери використовують вашу партнерську мережу?

  • Атака на ланцюжок постачання (Supply Chain Attack): Замість того, щоб ламати ваш фаєрвол, хакер зламує сервер розробника ПЗ, яким ви користуєтесь, і додає вірус у чергове оновлення програми. Ви самі встановите його, довіряючи цифровому підпису партнера.
  • Фішинг «від імені»: Отримавши список ваших постачальників, зловмисник надсилає листа: “Вітаємо, це ваш банк/юрист/орендодавець. У нас змінилися реквізити для оплати, ось новий рахунок”. Через знання реальних відносин такі листи мають критично високий рівень довіри.
  • Експлуатація довірених каналів: Багато MSP-провайдерів мають постійні VPN-тунелі до мереж своїх клієнтів. Злом одного такого провайдера дає хакеру «зелений коридор» у десятки організацій-жертв.
  • Логістичне перехоплення: Знаючи, через яку кур’єрську службу ви отримуєте нові ноутбуки, зловмисник може спробувати перехопити вантаж (Interdiction) для встановлення апаратних закладок.

Де зловмисники шукають інформацію про партнерів?

  • Розділи «Наші клієнти» та «Партнери»: Багато компаній самі публікують списки тих, з ким вони працюють, з метою маркетингу.
  • Відгуки та кейси: Детальні описи проектів (“Як ми впроваджували SAP для компанії X”) дають хакеру повну технічну картину взаємодії.
  • LinkedIn: Профілі співробітників, які вказують на спільні проекти з іншими фірмами, або менеджери з закупівель, що контактують з постачальниками.
  • Реєстри закупівель: В Україні Prozorro є відкритим джерелом інформації про те, хто, що і в кого купує, включаючи суми та технічні специфікації.

Як захиститися?

  • Мінімізація публічних даних: Не публікуйте списки всіх підрядників на сайті. Кейси та успіхи описуйте без надмірних технічних деталей.
  • Аудит безпеки партнерів: Впроваджуйте вимоги до кібербезпеки в контракти з підрядниками. Ви маєте бути впевнені, що їх зламати не легше, ніж вас.
  • Багатофакторна автентифікація (MFA): Навіть якщо партнер має довірений доступ, кожна сесія повинна підтверджуватися другим фактором.
  • Принцип нульової довіри (Zero Trust): Не вважайте трафік з VPN-каналу партнера «безпечним». Він має проходити таку ж перевірку та фільтрацію, як і будь-який інший.