Was ist ein Software-Supply-Chain-Angriff?

Im Jahr 2021 wird Codecov, eine Softwaretestplattform, die Berichte und Statistiken zur Codeabdeckung erstellt, wurde Ziel eines Supply-Chain-Angriffs das Docker-Upload-Skripte manipulierte. Die Umgebung von Codecov wurde kompromittiert, ohne dass irgendwelche Warnsignale ausgelöst wurden. Der Schaden war enorm, da Codecov über 29,000 Unternehmenskunden bedient, darunter IBM, Google, HP, Washington Post, Atlassian, GoDaddy, Procter & Gamble und die Royal Bank of Canada. Der massive Verstoß blieb mehrere Monate lang unentdeckt. Obwohl es am 31. Januar 2021 begann, wurde es erst am 1. April 2021 entdeckt.

Bei einem weiteren berüchtigten Vorfall handelte es sich um das allgegenwärtige Computer-Reinigungstool CCleaner war kompromittiert seit mehr als einem Monat von Hackern. Avast, dem Eigentümer von CCleaner, hat die Software-Updates, die Benutzer herunterladen, mit einer Malware-Hintertür infiziert. Millionen von Computern wurden entlarvt, und dieser Vorfall verstärkte die Bedrohung sogenannte digitale Supply-Chain-Angriffe, bei dem tatsächlich vertrauenswürdige, weit verbreitete Software infiziert ist.

Ein Angriff auf die Lieferkette, auch als Drittparteienangriff oder Backdoor-Verletzung bekannt, tritt auf, wenn ein Hacker über einen Drittpartner oder Anbieter, der Softwaredienste für dieses Unternehmen bereitstellt, in das System eines Unternehmens eindringt. Man spricht von einem Supply-Chain-Angriff, da die Schwachstelle, über die der Angriff erfolgt, die Software-Lieferkette ist. Diese Art von Angriffen ist oft sehr umfangreich und schwer zu erkennen. Cyberkriminelle nehmen solche Software-Lieferketten häufig ins Visier, weil ein einziger Verstoß es ihnen ermöglicht, Tausende von Opfern gleichzeitig zu gefährden.

Da mehr Softwarelieferanten und -verkäufer Zugriff auf sensible Daten erhalten als früher, ist das Risiko dieser Angriffe in den letzten Jahren gestiegen. Tatsächlich gibt es zahlreiche Quellen, die behaupten, dass sich die Zahl der Software-Supply-Chain-Angriffe im Jahr 2021 im Vergleich zu den Zahlen des Vorjahres verdreifacht habe. Im Mai 2021 hat die Biden-Administration Als Problembereich wurden Angriffe auf die Software-Lieferkette aufgeführtDies bestätigt, wie wichtig dieses Thema ist.

 

Bild von Angriffen auf die Software-Lieferkette

Welche verschiedenen Arten von Software-Supply-Chain-Angriffen gibt es?

Jedes Softwareunternehmen, das seine Dienste anderen Organisationen zur Verfügung stellt, ist ein potenzielles Ziel für einen Softwareangriff auf die Lieferkette. Für einen Angriff ist nur eine kompromittierte Software erforderlich, um Malware über die gesamte Lieferkette zu verbreiten. Die Hacker sind in der Regel auf der Suche nach schlecht gesicherter Software oder ungeschützten Netzwerkprotokollen, in die sie eindringen und Malware im Erstellungs- oder Aktualisierungsprozess der Software verstecken können. Bedrohungsakteure können eine breite Palette von Techniken einsetzen, um einen Angriff auf die Lieferkette durchzuführen.

In den meisten Fällen verstecken sich Supply-Chain-Angriffe hinter legitimen Prozessen, um uneingeschränkten Zugriff auf das Software-Ökosystem eines Unternehmens zu erhalten. Angreifer beginnen typischerweise damit, die Sicherheitsmaßnahmen eines Anbieters oder Softwarelieferanten zu infiltrieren. Aufgrund der schlechten Cybersicherheitspraktiken vieler dieser Anbieter ist dies in der Regel einfacher, als ein Opfer direkt anzugreifen.

Sobald die Supply-Chain-Malware in das Software-Ökosystem des Anbieters eingeschleust wird, muss sie sich an einen legitimen, digital signierten Prozess anhängen. Angreifer nutzen Software-Updates häufig als Einstiegspunkte, um die Malware über die gesamte Software-Lieferkette zu verbreiten. Zu den häufigsten Techniken, die bei Angriffen auf die Lieferkette eingesetzt werden, gehören:

Kompromittierte Tools zur Softwareerstellung

Der Prozess der Erstellung moderner Softwareanwendungen ähnelt stark der physischen Lieferkette: In den meisten Fällen werden Anwendungen mit verschiedenen vorgefertigten Komponenten verschiedener Anbieter erstellt. Dazu gehören proprietärer Code, APIs von Drittanbietern, Open-Source-Komponenten usw. Es ist unmöglich, eine moderne Anwendung von Grund auf neu zu erstellen, weshalb die meisten Softwareentwickler diese verschiedenen Komponenten standardmäßig einfach wiederverwenden.
Während diese Plug-and-Play-Praxis den Entwicklungsprozess beschleunigt, birgt sie das Risiko von Sicherheitslücken, vor allem Angriffe auf die Lieferkette. Wenn die Software einer Komponente auf irgendeine Weise kompromittiert wird, werden unzählige Organisationen, deren Anwendungen mit dieser Komponente erstellt wurden, anfällig für einen Angriff.

Bild eines kompromittierten Codes

 

Gestohlene Code-Sign-Zertifikate oder signierte Schad-Apps mit gestohlener Identität

Bei dieser Art von Angriff stiehlt der Hacker ein Zertifikat, das das Produkt eines Unternehmens als legitim und sicher bestätigt. Dieses gestohlene Zertifikat ermöglicht es ihnen, Schadcode zu verbreiten, der als Produkt eines legitimen Unternehmens getarnt ist.

ATP41, eine von der chinesischen Regierung unterstützte Hackergruppe, nutzt diese Angriffsmethode, um Angriffe auf die Lieferkette durchzuführen. Indem sie bösartigen Code als legitim erscheinen lassen (mithilfe gestohlener Code-Sign-Zertifikate), sind sie in der Lage, den Code an den Sicherheitskontrollen der Systeme, die sie angreifen, zu umgehen. Diese Art von Angriff ist besonders schwer zu erkennen.

Ein Angriff auf eine signierte bösartige App ähnelt einem Angriff mit gestohlenem Code. In diesem Fall tarnt der Angreifer eine kompromittierte Software als legitime App, indem er die gestohlene signierte Identität der App verwendet. Dies ermöglicht es, verschiedene Sicherheitsmaßnahmen zu umgehen und einen Angriff durchzuführen.

Kompromittierter Code in Hardware- oder Firmware-Komponenten

Jedes digitale Gerät ist auf Firmware angewiesen, um reibungslos zu funktionieren. In den meisten Fällen handelt es sich bei dieser Firmware um ein Drittprodukt, das von einem anderen Unternehmen verwaltet wird. Hacker können bösartigen Code in die Firmware einschleusen und so Zugriff auf das Netzwerk oder die Systeme digitaler Geräte erhalten, die diese Firmware-Komponenten nutzen. Diese Art von Angriff schafft eine Hintertür zu den digitalen Geräten, die mit dieser Firmware betrieben werden, und ermöglicht es Hackern, Informationen zu stehlen und noch mehr Malware zu installieren.

Vorinstallierte Malware

Hacker installieren manchmal bösartige Supply-Chain-Malware auf Hardwaregeräten wie Telefonen, USB-Kameras (Universal Serial Bus), Laufwerken und anderen Geräten. Dies ermöglicht es ihnen, Systeme oder Netzwerke anzugreifen, die mit den Geräten verbunden sind, für die die infizierte Hardware verwendet wird.

Beispielsweise kann ein USB-Stick zum Transport eines Keyloggers verwendet werden, der dann in die Systeme eines großen Einzelhandelsunternehmens gelangt. Mit diesem Keylogger können die Tastenanschläge der Kunden des Unternehmens protokolliert werden, wodurch Hacker Zugriff auf Informationen wie Zahlungsdetails, Kundendaten usw. erhalten.

Wie schützt man sich vor Angriffen auf die Lieferkette?

Die Natur von Angriffen auf die Lieferkette macht es schwierig, dagegen vorzugehen. Diese Art von Angriffen nutzt das Vertrauen, das Unternehmen in ihre Lieferanten haben, aus, um Gegenangriffe durchzuführen. Obwohl es schwierig ist, diese Angriffe zu verhindern, können Sie im Folgenden einige Maßnahmen ergreifen, um ihre Auswirkungen abzuschwächen oder ihre Risiken zu verringern:

Prüfen Sie Ihre Infrastruktur

Die Verwendung von Software, die nicht von der IT genehmigt oder überwacht wird (Schatten-IT), ist einer der Faktoren, die Ihr Unternehmen für Angriffe auf die Lieferkette anfällig machen können. Eine Möglichkeit, diese Angriffe einzudämmen, besteht darin, eine umfassende Prüfung der gesamten in Ihrem Unternehmen verwendeten Software durchzuführen. Dadurch könnten Schwachstellen aufgedeckt werden, die Hacker in der Lieferkette ausnutzen können, um einen Angriff zu starten.

Führen Sie ein aktuelles Inventar aller Ihrer Software-Assets

Jede von Ihnen verwendete Software von Drittanbietern (unabhängig davon, wie sicher sie erscheint) stellt eine potenzielle Schwachstelle dar. Indem Sie einen aktualisierten Bestand Ihrer gesamten Drittanbieter-Software führen, können Sie deren Updates, Upgrades und Sicherheitsprobleme besser im Auge behalten. Dies hilft auch, potenzielle Angriffspunkte einzugrenzen und notwendige Lösungen bereitzustellen.

Bewerten Sie Anbieter gründlich und wenden Sie einen Zero-Trust-Ansatz an

Bevor Sie Tools von Drittanbietern verwenden oder mit einem neuen Anbieter zusammenarbeiten, müssen Sie deren Sicherheit genau prüfen. In den meisten Fällen kommt es zu Angriffen auf die Lieferkette, weil Anbieter die Standardsicherheitspraktiken nicht befolgen. Im Rahmen Ihrer Risikobewertungsbemühungen können Sie jeden potenziellen Anbieter bitten, Einzelheiten zu seinen standardmäßigen Sicherheitspraktiken anzugeben, um festzustellen, wie gut er auf Angriffe auf die Lieferkette vorbereitet ist. Sie können zunächst einen SOC-2-Typ-Bericht und eine ISO-27001-Zertifizierung bei jedem Anbieter anfordern, mit dem Sie zusammenarbeiten möchten. Sie sollten vor dem Kauf auch die Sicherheitsberichte und Zertifikate für jedes Produkt prüfen.

Vertrauen Sie niemals standardmäßig neuer Software oder Benutzern. Auch nach der Bestätigung ihres Sicherheitsrahmens und der Zustimmung zur Nutzung ihrer Dienste sowie der Einschränkung der Aktivitäten oder Berechtigungen wird jedes neue Tool in Ihrem Netzwerk Ihre Schwachstelle verringern.

Bild von Zero Trust

Verwenden Sie Sicherheitstools

Auch wenn Antivirenprogramme, Firewalls und andere Sicherheitstools bei Angriffen auf die Lieferkette oft wirkungslos sind, können sie dennoch dabei helfen, die Codeintegrität zu überprüfen und das Risiko eines Angriffs zu verringern. Auch wenn sie den Angriff nicht verhindern können, können diese Tools Sie dennoch vor laufenden Angriffen warnen. Beispielsweise kann eine Firewall Sie darüber informieren, wenn große Datenblöcke über Ihr Netzwerk gesendet werden, was häufig bei einem Malware- oder Ransomware-Angriff der Fall ist.

Sichern Sie Ihre Endpunkte

Angreifer in der Lieferkette nutzen häufig Software-Schwachstellen an schlecht gesicherten Endpunkten aus, um einen Angriff zu starten. Durch den Einsatz eines Endpunkterkennungs- und Reaktionssystems können Sie Ihre Endpunkte vor Malware und Ransomware schützen. Auf diese Weise können sie diese Endpunkte nicht mehr dazu verwenden, einen Angriff auf andere Teile Ihres Netzwerks auszuweiten, und der Angriff wird gestoppt, bevor er sich weiter ausbreitet.

Setzen Sie strenge Code-Integritätsrichtlinien ein

Angriffe auf die Lieferkette, die die App- oder Codeintegrität ausnutzen, können durch die Einführung strenger Codeintegritätsrichtlinien gestoppt werden, die Apps nur auf der Grundlage strenger Regeln autorisieren. Diese Richtlinien zur Codeabhängigkeit blockieren jede App, die verdächtig aussieht oder eine Warnmeldung auslöst. Auch wenn es zu Fehlentscheidungen und Fehlalarmen kommen kann, ist es immer noch besser, die Risiken in der Lieferkette auf diese Weise zu mindern, als einen Angriff zu erleiden. Jede markierte App kann weiter untersucht und autorisiert werden, wenn sie sich als legitim erweist.

Haben Sie einen Incident-Response-Plan

Angesichts der zunehmenden Häufigkeit von Angriffen auf die Lieferkette ist es am besten, sich rechtzeitig vorzubereiten, indem Sie einen Plan zur Reaktion auf Vorfälle erstellen. Jede Organisation sollte Pläne zum Schutz geschäftskritischer Komponenten im Falle von Sicherheitsverletzungen haben, um den Betrieb aufrechtzuerhalten. Sie sollten außerdem über klare Reaktions- und Kommunikationsstrategien verfügen, um Partner, Lieferanten und Kunden zu informieren, wenn ein Verstoß auftritt. Ihr IT-Team sollte stets auf mögliche Angriffe vorbereitet sein. Zu einer angemessenen Risikomanagementplanung gehört die regelmäßige Durchführung von Incident-Response-Übungen mit Ihrem Team, um die Bereitschaft für potenzielle Angriffe zu beurteilen.

Beispiele für aktuelle Angriffe auf die Lieferkette

Die Effizienz von Supply-Chain-Angriffen ist der Hauptfaktor für ihre Verbreitung. Diese Art von Angriffen betrifft verschiedene Organisationen, von größeren Unternehmen wie Target bis hin zu Regierungsbehörden. Im letzten Jahrzehnt gab es einige aufsehenerregende Fälle von Angriffen auf die Lieferkette. Zu den bekanntesten Beispielen für Angriffe auf die Lieferkette gehören:

  • SITA, 2021

    Anfang 2021 kam es beim Luftverkehrsdatenunternehmen SITA zu einem Datenverstoß, bei dem vermutlich die Flugdaten von mehr als 580,000 Passagieren der Malaysia Airlines offengelegt wurden.

    Vielfliegerprogramm. Der gleiche Datenschutzverstoß betraf auch Finnair Air in Neuseeland und mehrere andere. Experten gehen davon aus, dass der Angriffspunkt über ein Unternehmen namens Star Alliance erfolgte, mit dem Singapore Airlines Daten austauscht. Anschließend weitete sich der Angriff auf die gesamte Lieferkette aus.

  • Passwortstatus, 2021

    ClickStudios, ein in Australien ansässiges Unternehmen und Entwickler von Passwordstate (einer Lösung zur Passwortverwaltung), meldete 2021 einen Angriff auf die Lieferkette. Der Angriff erfolgte über den Software-Update-Dienst, der auf einem CDN eines Drittanbieters gehostet wurde. Die Schadsoftware wurde automatisch auf die Geräte der Kunden heruntergeladen, die zum Zeitpunkt des Angriffs ihre Software aktualisiert hatten. Die Schadsoftware wurde entwickelt, um alle in der Datenbank des Kunden gespeicherten Daten zu entschlüsseln und als Klartext an den externen Server des Angreifers zu senden.

  •  Abhängigkeitsverwirrung 2021

    Dies war ein absichtlicher Angriff, um die Ausbreitung von Angriffen auf die Lieferkette zu testen. Alex Birsan, ein Sicherheitsforscher, hat in Systeme von Unternehmen wie Microsoft, Uber, Tesla und Apple eingedrungen, indem er Abhängigkeitsprotokolle ausgenutzt hat, die ihre Anwendungen zur Bereitstellung von Diensten für Endbenutzer verwendeten. Diese Abhängigkeiten ermöglichten die Übermittlung gefälschter Datenpakete an verschiedene hochkarätige Benutzer im Netzwerk.

  • Mimecast, 2021

    Ein kompromittiertes digitales Zertifikat von Mimecast führte zu einer der am meisten diskutierten Datenschutzverletzungen in der Lieferkette des Jahres 2021. Das digitale Zertifikat, das zur Authentifizierung einiger Dienste von Mimecast auf Microsoft 365 Exchange-Webdiensten verwendet wurde, wurde kompromittiert. Untersuchungen ergaben, dass die Gruppe hinter diesem Hack auch für den SolarWinds-Angriff im Jahr 2020 verantwortlich war. Der Angriff betraf bis zu 10 % der Kunden von Mimecast.

  • SolarWinds-Angriff, 2020

    Dies ist wohl der bekannteste Fall von Lieferkettenangriffen im letzten Jahrzehnt. Hacker, bei denen es sich vermutlich um ausländische böswillige Akteure handelt, griffen über einen Drittanbieter namens SolarWinds, einen IT-Dienstleister, mehrere US-Regierungsbehörden an. Sechs US-Regierungsbehörden gehören zu den 18,000 SolarWinds-Kunden, die von den Angriffen betroffen sind, darunter das Energieministerium und die National Nuclear Security Administration, das US-Außenministerium, das Handelsministerium, das Finanzministerium und das Heimatministerium Sicherheit.

  • ASUS, 2018

    Im Jahr 2018 nutzte ein böswilliger Angriff die Live-Update-Software von ASUS aus, um Backdoor-Malware auf mehr als einer Million Computer zu installieren. Bei diesem Supply-Chain-Angriff nutzten die Hacker die automatische Update-Funktion, um Malware auf den PCs der Benutzer einzuschleusen. Die Malware wurde mit legitimen ASUS-Sicherheitszertifikaten signiert, was ihre Erkennung erschwerte. Glücklicherweise verfügten die Hacker über eine begrenzte Liste von nur 600 Benutzern, und die Tausenden anderen Benutzer, die nicht auf dieser Liste standen, waren nicht wesentlich betroffen.

  • Event-Stream, 2018

    Beim Event-Stream-Angriff im Jahr 2018 haben Hacker Malware in ein Repository innerhalb des GitHub-Systems eingeschleust. Da GitHub ein Backup-Dienst für Millionen von Entwicklern war, setzte der Angriff mehrere Benutzer einem potenziellen Malware-Angriff aus. Allerdings wurde der Schadcode speziell für die Bitcoin-Wallet von Copay programmiert. Wenn die von der Malware betroffenen Copay-Entwickler während des Angriffs ein Release-Build-Skript ausführen würden, wäre der Schadcode in die Anwendung gebündelt worden und diese hätte die privaten Schlüssel und Kontoinformationen von Copway-Benutzern mit mindestens 1000 Bitcoins gesammelt Konto.

  • Angriff auf die Lieferkette von Equifax

    Equifax, eine der größten Kreditkartenauskunfteien der Welt, wurde 2018 von einem Angriff auf die Lieferkette heimgesucht. Der Schadcode wurde über eine App-Schwachstelle auf der Website des Unternehmens eingeschleust. Mehr als 147 Millionen Equifax-Kunden waren von dem Angriff betroffen, bei dem sensible persönliche Daten wie Adressen, Sozialversicherungsnummern, Geburtsdaten usw. offengelegt wurden.

Schlussfolgerung

Wenn es nur eine Sache gibt, die Sie aus diesem Artikel mitnehmen müssen, dann sollte es diese sein: Angriffe auf die Software-Lieferkette sind eine unmittelbare Bedrohung. Daran gibt es keinen Zweifel.

Daher können Sie den signierten Produkten und Updates der Anbieter nicht vertrauen; Möglicherweise gibt es bereits Änderungen oder Ergänzungen an Ihrem Code. Was können Sie also tun, um sicherzustellen, dass Ihr System nicht mit schädlichen Dateien infiziert ist? Stellen Sie sicher, dass Ihnen jeder Bibliothekseigentümer oder Programmanbieter eine vollständige SBOM zur Verfügung stellt – erfahren Sie mehr über SBOMs HIER– und stellen Sie sicher, dass Sie vom Anbieter oder Bibliothekseigentümer das bekommen, was Sie erwarten, indem Sie eine vertrauenswürdige Bescheinigung anfordern.