Supply-Chain-Attacken
Software-Lieferketten unter Beschuss
Cyberangriffe auf die Lieferkette sind nichts Neues, aber Vorfälle wie etwa bei Solarwinds zeigen deutlich, wie schnell sich Cyberkriminelle weiterentwickeln. Vor allem aber sind die Motive bei einem Supply-Chain-Angriff gezielter und weitreichender.
Der Angriff bei Solarwinds, der sich über mehrere Monate im Jahr 2020 zog, bis er öffentlich bekannt wurde, betraf die Server von mindestens 18.000 Kunden in der Lieferkette, darunter viele hochrangige Regierungsinstitutionen. Beim Thema Cybersecurity wird aufgrund der Raffinesse aber auch der Dreistigkeit mit der Cyberkriminelle vorgehen, deutlich, dass sich Sparen nicht lohnt. Nicht nur Lösegeldforderungen steigen ins unermesseliche, auch der Druck, den Kriminelle ausüben. Richtig gefährlich wird es aber bei den »Unsichtbaren«. Die Hacker, die sich in Systeme schleichen und gleich ganze Lieferketten ausspähen, sind eine noch größere Gefahr, denn sie haben noch ganz andere Motive.
Social Engineering ist nicht zu unterschätzen
Manch einer unterschätzt die Raffinesse einiger Hacker und meint, dass ernsthafte Datenschutzverletzungen eine Art von Sicherheitslücke beinhalten müssen, zum Beispiel einen Anwendungsfehler oder eine Schwachstelle, die Angreifer entdeckt und ausgenutzt haben. In Wirklichkeit sind die ersten Sicherheitsverstöße oft das Ergebnis von sehr effektivem Social Engineering. Der erste Schritt bei Angriffen auf eine Lieferkette besteht in der Regel darin, Personen im Unternehmen, das die Zielsoftware herstellt, mit Phishing-E-Mails zum Preisgeben von Benutzerzugangsdaten zu überlisten. Standard-Phishing-Taktiken wie das Imitieren von IT-Personal oder automatisierte System-E-Mails sind hier sehr effektiv.
Sobald der Angreifer ein Konto kompromittiert hat, kann er sich seitlich durch das netzwerk bewegen und weiteren privilegierten Zugriff erlangen, bis er sein Ziel erreicht hat – den Quellcode der Anwendung. Von hier aus verstecken Angreifer Schadcode im Produkt und sorgen dann dafür, dass das Unternehmen diese »trojanisierte« Version unwissentlich an seine Kunden weitergibt. Um erfolgreich zu sein, müssen die Angreifer ihre Manipulationen so lange wie möglich unbemerkt lassen, damit sie maximalen Zugang zur Benutzerbasis des Produkts erhalten. Zu diesem Zweck wird der bösartige Code wahrscheinlich erst kurz vor der Auslieferung in das Produkt eingefügt. Ziel ist es, die Wahrscheinlichkeit zu minimieren, dass er bei Sicherheits- oder Qualitätssicherungsprüfungen entdeckt wird. Im Fall von Solarwinds haben die Akteure den Code Vermutungen nach in ein Update der Orion-Software eingefügt, kurz bevor dieses ausgeliefert wurde.
Am besten unsichtbar bleiben
Einfach nur an den Quellcode zu gelangen, reicht nicht aus – der Angreifer muss auch die Berechtigung zur Veröffentlichung erhalten. Mit viel Glück könnte er ein privilegiertes Konto mit schlechten Sicherheitsvorkehrungen finden. Wahrscheinlicher ist es jedoch, dass er mehrere Wochen mit sehr langsamen, vorsichtigen seitlichen Bewegungen verbringen wird, um sein Ziel unentdeckt zu erreichen. Der Angreifer nutzt dabei so viele native Tools wie möglich aus, um unter dem Radar zu fliegen.
Die Angreifer müssen außerdem Zeit investieren, Details über das Unternehmen zu recherchieren und ein umfassendes Verständnis seiner Abläufe zu erlangen, bevor sie mit dem Angriff beginnen. Sobald sie schließlich den Quellcode erreicht haben, müssen sie in der Lage sein, ihn zurück zu entwickeln, um den bösartigen Code erfolgreich hinzuzufügen. Dies muss erfolgen, ohne die Leistung der Anwendung zu beeinträchtigen und ohne offensichtliche Hinweise darauf zu hinterlassen, dass etwas nicht in Ordnung ist.
Solche Angriffe erfordern einen erheblichen Zeitaufwand und viel Geschick, um ihn erfolgreich auszuführen. Für die Angreifer geht daraus kaum ein direkter Return on Investment hervor. Daher lässt sich mutmaßen, dass Angriffe auf die Supply Chain fast ausschließlich das Werk von staatlich gesponserten Bedrohungsakteuren. Mit einem regelmäßigen Gehalt von ihren staatlichen Auftraggebern können Bedrohungsakteure bequem mehrere Monate mit der Planung und Ausführung eines Supply-Chain-Angriffs verbringen, auch wenn sie keine direkte Rendite erzielen. Der Solarwinds-Angriff scheint zum Beispiel mindestens sechs Monate Arbeit beansprucht zu haben.
Bei korrekter Ausführung ist ein Supply-Chain-Angriff eine überaus heimtückische Technik, die extrem schwer zu erkennen ist. Solarwinds wurde schließlich nur entdeckt, weil Fireeye etwas Ungewöhnliches vermutet hat und sich die Zeit nahm, dies zu untersuchen. Es ist daher nicht unwahrscheinlich, dass viele andere Softwareunternehmen unter dem Einfluss ähnlicher Angriffe stehen, diese aber noch nicht entdeckt haben.
- Software-Lieferketten unter Beschuss
- Wie sich Supply-Chain-Angreifer tarnen
Lesen Sie mehr zum Thema
