Attacchi alla supply chain: cosa sono e come proteggersi

Immagina di eseguire un aggiornamento software di cui ti fidi completamente — d’altronde, proviene da un fornitore rinomato. Tuttavia, al posto di patch di sicurezza, l’aggiornamento introduce una backdoor digitale che apre i tuoi sistemi ai cybercriminali. Quello che sembra uno scenario da film hollywoodiano è purtroppo una realtà concreta:
È esattamente ciò che è accaduto durante il famigerato attacco a SolarWinds nel 2020, che ha compromesso migliaia di organizzazioni e persino agenzie governative, e più di recente nel 2023 con 3CX, quando un’app manipolata ha messo in pericolo centinaia di migliaia di utenti.

Questi attacchi alla supply chain non prendono di mira direttamente le grandi aziende o le istituzioni governative; puntano piuttosto su anelli più piccoli e spesso meno protetti della catena. Un unico fornitore compromesso o un modulo software infetto può innescare una reazione a catena che, nel peggiore dei casi, paralizza interi settori. Esempi lampanti come Stuxnet (che ha preso di mira le installazioni nucleari iraniane) o l’attacco hacker contro la grande catena di distribuzione americana Target mostrano chiaramente che nessuno è immune: persino le reti più sicure possono essere violate se un fornitore o un componente esterno viene manipolato.

Ma come funzionano esattamente questi attacchi, che si celano dietro aggiornamenti all’apparenza innocui? Perché sono così difficili da rilevare — e ancor più da contrastare? E soprattutto: quali misure puoi adottare, come azienda o utente esperto, per proteggerti da questo pericolosissimo vettore di attacco? In questo articolo offriremo una panoramica dei meccanismi in gioco, illustreremo i casi di attacco più noti e segnaleremo le contromisure più efficaci. Inoltre, spiegheremo in dettaglio come funziona il Supply Chain Risk Management (SCRM) di Protectstar e come i nostri rigorosi processi impediscono l’introduzione di codice dannoso già in fase di sviluppo.

1. Che cos’è un attacco alla supply chain?

Un attacco alla supply chain è una forma di cyberattacco in cui i criminali non attaccano direttamente l’obiettivo principale, ma sfruttano un percorso indiretto attraverso fornitori, terze parti o componenti software esterni. Questa strategia indiretta ha una spiegazione semplice: le grandi organizzazioni e le società di grandi dimensioni dispongono in genere di sofisticate misure di sicurezza, rendendo un “attacco frontale” molto dispendioso e rischioso. Al contrario, fornitori o service provider di dimensioni più ridotte spesso presentano meccanismi di sicurezza meno complessi, diventando un punto di ingresso relativamente facile.

Come funziona?

Uno scenario tipico si verifica quando gli hacker compromettono il software di un fornitore affidabile, iniettando codice dannoso in un aggiornamento che sarebbe altrimenti legittimo. I clienti installano l’aggiornamento, convinti che sia sicuro. Una volta installato, gli aggressori ottengono un accesso non rilevato ai sistemi delle vittime. In questo modo, è possibile infettare simultaneamente decine di migliaia di dispositivi o di reti. Un esempio particolarmente emblematico è quello dell’attacco a SolarWinds nel 2020.

Perché questa strategia?

La via di minor resistenza: tentare di penetrare direttamente nelle reti, altamente protette, di grandi aziende o enti governativi significa dover superare firewall multipli, sistemi di prevenzione delle intrusioni e team di sicurezza specializzati. È molto più semplice compromettere un fornitore o un service provider IT più piccolo che, pur avendo accesso regolare ai sistemi bersaglio, tende ad avere protocolli di sicurezza meno rigorosi. Le statistiche confermano questo dato: secondo uno studio Verizon, il 92% degli attacchi informatici andati a segno avviene in aziende di dimensioni ridotte, che poi fungono da trampolino verso il vero obiettivo.

2. Esempi noti di attacchi alla supply chain

Di seguito presentiamo alcuni tra i più noti attacchi alla supply chain. Questi esempi evidenziano che praticamente qualsiasi settore o tecnologia può essere colpito: da semplici reti aziendali a sistemi industriali altamente specializzati fino a comuni applicazioni consumer.

SolarWinds (2020)

L’attacco a SolarWinds è considerato uno dei più gravi attacchi alla supply chain degli ultimi anni:

• Contesto: SolarWinds è un’azienda statunitense di servizi IT, nota anche per il suo software di gestione delle reti Orion. A livello globale, agenzie governative, grandi imprese e Managed Service Provider (MSP) si affidano ai prodotti di SolarWinds per monitorare le proprie infrastrutture IT.
• Procedura dell’attacco: Gli aggressori — presumibilmente un gruppo di hacker russi identificato da molti esperti di sicurezza come “Cozy Bear” (APT29) — si sono introdotti nell’ambiente di build di SolarWinds. Lì hanno iniettato il codice malevolo “SUNBURST” direttamente negli aggiornamenti di Orion. Poiché tali aggiornamenti erano ufficialmente firmati, i clienti non hanno notato differenze rispetto a una normale versione software.
• Cronologia: È probabile che la violazione sia avvenuta già nella primavera del 2020. Gli update infetti sono stati distribuiti a partire da marzo 2020 e la scoperta è avvenuta soltanto a dicembre, quando la società di cybersicurezza FireEye ha sollevato dei sospetti.
• Sfruttamento: La backdoor “SUNBURST” consentiva agli hacker di sottrarre dati e distribuire ulteriore malware. Essendo ufficialmente firmato, il codice è rimasto indisturbato per mesi.
• Portata: Circa 18.000 clienti — tra cui varie agenzie federali statunitensi (ad esempio il Dipartimento del Tesoro e il Dipartimento del Commercio) e multinazionali — potrebbero essere stati colpiti. Probabilmente, gli aggressori hanno sfruttato solo una parte di questi accessi, rendendo difficile valutare l’effettiva entità dell’attacco.

Conseguenze:

• Reazioni politiche: Il governo degli Stati Uniti ha risposto con nuove linee guida per lo sviluppo software, rafforzando la collaborazione con aziende di sicurezza private.
• Perdita di fiducia: SolarWinds ha subito un notevole danno d’immagine e ha affrontato implicazioni legali. Molte aziende hanno di conseguenza rivisto i propri processi di aggiornamento e di gestione della supply chain.

Questo incidente dimostra come l’abuso di un’infrastruttura di aggiornamento possa produrre effetti devastanti. In pochissimo tempo, il compromesso di un unico fornitore ha scatenato una crisi globale in ambito di sicurezza.

3CX (2023)

Nel marzo 2023, 3CX, un fornitore di soluzioni VoIP e UC, è stato vittima di un vasto attacco alla supply chain:

• Contesto: Il software 3CX è utilizzato in numerosi settori, offrendo soluzioni di comunicazione flessibili. Sono soprattutto le app desktop per Windows e macOS a essere molto diffuse.
• Compromissione dell’app desktop: Gli aggressori sono riusciti a manipolare il processo di installazione di 3CX. Durante l’installazione, è stato caricato in maniera invisibile un trojan che ha aperto un canale di comunicazione verso un server esterno di comando e controllo (C2).
• Possibile attacco “doppio”: Secondo analisi di diversi team di sicurezza (tra cui CrowdStrike), l’attacco potrebbe essere definito una “doppia supply chain attack”, in cui un altro software era già stato compromesso in precedenza, consentendo in seguito di infiltrarsi in 3CX.
• Autori sospettati: Gli esperti collegano l’attacco al gruppo di hacker nordcoreano Lazarus, famoso per campagne di spionaggio e attacchi finanziari, spesso realizzati con trojan che rubano dati sensibili.
• Utenti interessati: Poiché 3CX è impiegato da numerose aziende e pubbliche amministrazioni in tutto il mondo, il potenziale di danno era notevole. Si stima che centinaia di migliaia, se non milioni, di sistemi possano essere stati compromessi.

Impatto:

• Furto di dati: L’obiettivo principale degli aggressori era sottrarre informazioni riservate, credenziali di accesso e registri di comunicazione.
• Reputazione in pericolo: 3CX si è trovata a dover reagire prontamente per ristabilire la fiducia. Patch e avvisi di sicurezza sono stati pubblicati in breve tempo. Ciò nonostante, molti clienti sono rimasti turbati, poiché facevano affidamento su un installer ufficialmente verificato.

Il caso 3CX mostra come i gruppi di hacker puntino con strategia sofisticata alle vulnerabilità nella catena di distribuzione del software e come persino servizi di comunicazione molto diffusi possano trasformarsi in cavalli di Troia.

Stuxnet (2010)

Sebbene più datato, il worm Stuxnet resta un esempio lampante di attacco molto avanzato alla supply chain — spesso definito la prima vera “arma informatica” della storia:

• Obiettivo: Stuxnet prendeva di mira i sistemi di controllo Siemens (SCADA) utilizzati nel programma nucleare iraniano, colpendo in particolare le centrifughe per l’arricchimento dell’uranio.

Metodo di attacco:

• Infezione via USB: Essendo la rete isolata (air-gapped), non era possibile attaccarla direttamente tramite Internet. Una chiavetta USB infetta è penetrata nella rete interna, probabilmente introdotta da tecnici esterni o dipendenti inconsapevoli.
• Exploits zero-day: Stuxnet sfruttava diverse vulnerabilità sconosciute (zero-day) in Windows, diffondendosi di nascosto e manipolando selettivamente il software Step7 di Siemens.
• Funzionamento:
• Sabotaggio: Stuxnet modificava in modo invisibile la velocità di rotazione delle centrifughe, mentre il software di monitoraggio mostrava valori apparentemente normali. Questo causava danni significativi senza che venissero rilevati subito.

Contesto: I ricercatori ritengono che possa essere stato un progetto congiunto tra Stati Uniti e Israele volto a rallentare il programma nucleare iraniano.

Rilevanza:

• Pietra miliare nella sicurezza informatica: Stuxnet fu il primo caso documentato in cui un attacco cyber era mirato apertamente a sabotare infrastrutture industriali.
• Fattore di apprendimento: L’episodio ha generato un notevole rafforzamento delle misure di protezione nei sistemi di controllo industriale (ICS), dimostrando che perfino installazioni altamente specialistiche e apparentemente isolate possono essere vulnerabili.

Nonostante Stuxnet non sia stato diffuso tramite aggiornamenti software convenzionali, dimostra in modo esemplare come un attacco possa originarsi “nell’ambito della catena”, in questo caso attraverso un dispositivo fisico infetto.

Altri esempi (Target, NotPetya, CCleaner ecc.)

Gli attacchi alla supply chain possono colpire praticamente qualsiasi settore. Ecco tre esempi che evidenziano la portata del problema:

Target (2013): Il colosso della grande distribuzione statunitense Target subì una grave violazione di dati quando dei criminali rubarono le credenziali di accesso di un fornitore di impianti HVAC (riscaldamento, ventilazione e climatizzazione). Mediante tali credenziali, riuscirono a sottrarre 40 milioni di record di carte di credito. La fiducia dei clienti fu pesantemente danneggiata, e Target dovette sostenere costi elevati per risarcimenti e miglioramenti della sicurezza.

NotPetya (2017): Presentato come ransomware, questo malware era in realtà un wiper distruttivo che cancellava definitivamente i dati. Si diffuse attraverso un update del software di contabilità ucraino MeDoc, causando danni dell’ordine di miliardi a livello globale. Aziende come Maersk e Merck furono gravemente colpite, arrivando in alcuni casi a dover ricostruire le proprie infrastrutture IT da zero.

CCleaner (2017): Dei malintenzionati compromisero l’ambiente di sviluppo di Piriform (successivamente acquisita da Avast) e inserirono un malware nel programma di installazione ufficiale del popolare strumento di pulizia CCleaner. Milioni di computer furono colpiti a livello globale. Gli aggressori puntavano principalmente a infiltrarsi nelle grandi aziende tecnologiche, dove avrebbero attivato una seconda fase di malware (spionaggio mirato).

Tali esempi mostrano che nessuno dovrebbe cullarsi in un falso senso di sicurezza: grandi retailer, impianti industriali o sviluppatori software — ogni anello della catena di fornitura può trasformarsi nella porta d’ingresso di un attacco.

3. Perché gli attacchi alla catena di fornitura sono così pericolosi?

Gli attacchi alla supply chain rappresentano un’enorme minaccia e spesso hanno conseguenze su vasta scala. Ecco i principali motivi:

• Danni estesi: Un solo attacco può colpire migliaia di clienti e milioni di utenti finali, specialmente se si tratta di software ampiamente diffuso.
• Sfruttamento della fiducia: I comuni meccanismi di sicurezza vengono aggirati perché il componente dannoso (ad esempio un aggiornamento firmato) sembra legittimo.
• Difficile da individuare: Poiché l’infezione proviene da canali ufficialmente certificati, le backdoor possono rimanere nascoste per mesi.
• Conseguenze durature: Una volta che l’hardware o il firmware sono compromessi, diventa estremamente difficile bonificarli. In certi casi, nemmeno la reinstallazione del sistema operativo risolve il problema.
• Ampiezza della superficie di attacco: La crescente globalizzazione e l’aumento dell’interconnettività estendono costantemente la complessità e la dimensione di qualsiasi supply chain.

4. Come proteggersi?

Né le aziende né i singoli utenti possono permettersi di ignorare i rischi derivanti dalla catena di fornitura. Tuttavia, esistono varie prassi consolidate che possono ridurre drasticamente la probabilità di subire un attacco:

1. Scelta e verifica accurata dei fornitori: Audit di sicurezza, certificazioni e standard vincolanti dovrebbero far parte dei contratti.
2. Principio del minimo privilegio: Ai fornitori esterni si dovrebbe concedere soltanto l’accesso realmente necessario, con controllo rigoroso dei permessi.
3. Mettere in sicurezza la catena di approvvigionamento software: Verificare l’integrità e l’autenticità degli aggiornamenti, utilizzare solo fonti ufficiali e condurre revisioni del codice.
4. Software Bill of Materials (SBOM): Documentare tutte le librerie e i componenti impiegati, in modo da poter rilevare rapidamente eventuali vulnerabilità.
5. Monitoraggio attivo e tempestivo patching: Implementare sistemi di monitoraggio che individuino con anticipo eventuali attività sospette e applicare regolarmente gli aggiornamenti di sicurezza — inclusi quelli del firmware.
6. Piano d’emergenza e capacità di reazione: Un piano di risposta agli incidenti riduce i danni nel caso in cui l’attacco vada a segno. Le assicurazioni cyber possono inoltre attenuare i rischi finanziari.

5. L’approccio di Protectstar: Supply Chain Risk Management (SCRM)

Protectstar è pienamente consapevole della minaccia crescente rappresentata dagli attacchi alla catena di fornitura. Per questo motivo, abbiamo implementato un nostro Supply Chain Risk Management (SCRM), che copre tutte le fasi di sviluppo e integrazione dei prodotti. Per saperne di più (in inglese):
https://www.protectstar.com/it/blog/supply-chain-risk-management-scrm-why-its-indispensable-for-your-security

La nostra strategia si fonda su vari principi chiave:

• Verifica completa di ogni componente: Nessuna libreria o modulo esterno viene integrato nei nostri prodotti senza superare rigorosi controlli di sicurezza (revisioni del codice, audit, penetration test). Con una SBOM, abbiamo sempre la possibilità di reagire immediatamente a nuove vulnerabilità.
• Conformità a standard di sicurezza riconosciuti: Seguiamo le linee guida NIST (ad esempio SP 800-161 per la gestione del rischio nelle catene di fornitura) e la norma ISO/IEC 27036 sulle relazioni sicure con i fornitori. Adottiamo inoltre le raccomandazioni OWASP per lo sviluppo software sicuro.
• Audit e certificazioni periodici: Alcune nostre applicazioni hanno ottenuto la certificazione DEKRA MASA L1, e istituti di prestigio come AV-TEST hanno premiato ripetutamente le nostre app per la sicurezza. Ogni modifica al codice è documentata in modo trasparente e valutata.
• Miglioramento continuo: Utilizziamo modelli di IA autoapprendenti (Antivirus AI, Firewall AI) per identificare attacchi zero-day fin dalla fase iniziale. Con un’accuratezza superiore al 99,8% e un numero di falsi positivi quasi nullo, forniamo una protezione multistrato, completata da soluzioni come Anti Spy e dall’app di cancellazione dati iShredder.

Grazie a questa combinazione di misure, garantiamo una catena di sicurezza continua, dalla prima riga di codice fino al download dell’utente. In tal modo, qualsiasi potenziale punto debole viene rilevato ed eliminato ancor prima di raggiungere i nostri clienti.

6. Conclusione

Gli attacchi alla supply chain hanno assunto negli ultimi anni una portata notevole. Dalle update di software manomesse ai componenti hardware compromessi, passando per chiavette USB che introducono malware in ambienti presumibilmente sicuri: i criminali sfruttano la fiducia che caratterizza i rapporti con i fornitori. Le conseguenze possono essere devastanti, interessando non solo singole aziende, ma interi settori o persino istituzioni pubbliche.

Ciononostante, non si è completamente indifesi. Una solida strategia di Supply Chain Risk Management può ridurre sensibilmente la probabilità di subire un attacco. Punti fondamentali includono un’accurata selezione e verifica dei fornitori, un sistema di privilegi ben calibrato, il rapido rilevamento e la correzione delle vulnerabilità, nonché un piano d’emergenza chiaro.

Protectstar è un esempio di come possa funzionare una strategia di sicurezza completamente integrata: attraverso procedure di test rigorose, audit periodici, conformità a standard internazionali e l’impiego di tecnologie IA all’avanguardia, ci assicuriamo che gli aggressori non abbiano modo di ottenere un punto d’appoggio. In un’epoca in cui le minacce digitali sono sempre più sofisticate e difficili da rilevare, questo livello di attenzione è indispensabile.

Chi adotta questi principi costruisce un solido “anello di difesa”, proteggendo sistemi, dati e processi aziendali da uno dei vettori di attacco più pericolosi dell’era digitale. In questo modo, gli aggiornamenti affidabili restano davvero tali e, se mai dovesse emergere un anello debole nella catena digitale, si potrà bloccare sul nascere o addirittura prevenire il danno. In definitiva, è proprio questa visione proattiva e olistica che fa la differenza tra sicurezza e vulnerabilità in un mondo interconnesso.