Im Dezember 2020 wurde bekannt, dass der amerikanische Softwareentwickler SolarWinds Opfer eines schweren Cyberangriffs wurde. Der Angreifer installierte eine Hintertür in den Software-Updates seiner Orion-Plattform. Durch diese Hintertür erlangten die Angreifer einen direkten Zugang zu den Computer Netzwerken von 18.000 Orion Kunden. Dazu gehören die höchsten Ränge der US-Regierung und einige der größten Unternehmen der Welt.
“Aus softwaretechnischer Sicht kann man wohl mit Fug und Recht behaupten, dass dies der größte und raffinierteste Angriff ist, den die Welt je gesehen hat."
Microsoft Präsident Brad Smith.
Der SolarWinds Vorfall ist ein Beispiel für einen schnell wachsende und gefährliche Art von Cyber Attacken, bekannt unter dem Begriff Supply Chain Angriffe oder Angriffe auf die Lieferkette.
Ein Angriff auf die Lieferkette ist ein Cyberangriff, bei dem sich ein Bedrohungsakteur illegal Zugang zum Computernetzwerk eines Unternehmens verschafft, indem er einen Drittanbieter oder Partner mit Zugang zum Netzwerk ins Visier nimmt.
Angriffe auf die Lieferkette nutzen das Vertrauensverhältnis zwischen einem Unternehmen und seinen Dritten aus. Die Angreifer ermitteln zunächst die Lieferanten und Partner der IT-Infrastruktur eines Ziels, z. B. dessen Software und Netzwerkgeräte. Die Drittpartei wird dann angegriffen und das an die Zielorganisation gelieferte Produkt wird manipuliert. Dadurch erhalten Angreifer ungehinderten Zugang zum Zielnetz. Die dritte Partei dient als Angriffsvektor (Eintrittspunkt), um in höherwertige Ziele einzudringen. Dabei handelt es sich meist um große Unternehmen und Regierungsbehörden. Die Angreifer operieren innerhalb des Zielnetzes, um größere Angriffe durchzuführen, wie zum Beispiel Ransomware Angriffe, Datenexfiltration und Cyberspionage.
In einem Software Supply Chain Angriff, nutzen die Bedrohungsakteure die Software-Anbieter ihrer Ziele aus. Das geschieht durch die Beeinträchtigung von Phasen im Lebenszyklus der Software Entwicklung. So wie bei dem SolarWinds Angriff werden Software Updates häufig zur Zielscheibe. Die Angreifer verschaffen sich zunächst Zugang zum Update-Server der Software und injizieren bösartigen Code in das Software-Update-Paket. Wenn das Zielunternehmen die veränderten Updates anschließend herunterlädt und installiert, erhalten die Angreifer einen direkten Zugang zum Netzwerk. Durch die scheinbar vertrauenswürdigen digitalen Signaturen der Software-Updates können sie sich der Erkennung durch Sicherheitstools leicht entziehen. Der SolarWinds-Angriff ist einer der weitreichendsten Angriffe auf die Software-Lieferkette in der Geschichte.
Managed Service Provider (MSPs) werden häufig als Dreh- und Angelpunkt für die Angriffe auf die Software-Lieferkette genutzt. MSPs sind Drittparteien, die die IT-Infrastruktur und die Netzwerkgeräte anderer Unternehmen aus der Ferne verwalten. Sie stellen Software und Hardware in der Umgebung ihrer Kunden bereit, wodurch sie einen umfassenden Zugang und Einblick in das Netzwerk erhalten. Das macht MSPs attraktiv für Angreifer, um ihre Kunden zu infiltrieren. Ein Beispiel eines Angriffs auf ein MSP ist der Kaseya Ransomware Angriff im Jahr 2021.
Hardware Supply Chain Angriffe ist eine weniger verbreitete Art der Angriffe auf die Lieferketten. Bei einem Angriff auf die Hardware-Lieferkette werden die Komponenten von Netzwerkgeräten manipuliert. Sie sind daher schwierig durchzuführen und erfordern häufig einen staatlichen Akteur. Obwohl hardwarebasierte Angriffe selten sind, können die Folgen schwerwiegend sein. Manipulierte Bauteile sind extrem schwer zu entdecken und können jahrelang verborgen bleiben. Beispielsweise können Netzwerkgeräte mit Chips ausgestattet sein, die Daten kopieren und aus dem Netzwerk senden. Unternehmen, die Opfer von Angriffen auf die Hardware-Lieferkette werden, können unter groß angelegten Datenverletzungen und langfristiger Spionage leiden.
Angriffe auf die Lieferkette gehören zu den am schnellsten wachsenden Cyber-Bedrohungen. In den letzten Jahren erregten spektakuläre Angriffe die Aufmerksamkeit der Öffentlichkeit.
(Quelle der Infographik: ENISA)
Die Cybersicherheitstechnologien haben sich in den letzten Jahren als Reaktion auf die fortschrittlichen Tools und Techniken der Angreifer rasch weiterentwickelt. Große Unternehmen und Regierungsbehörden, die die Hauptziele von Angriffen auf die Lieferkette sind, haben mehrschichtige Abwehrsysteme aufgebaut. Viele dieser Unternehmen und Regierungsbehörden haben eigene und engagierte IT Security Teams und/oder nehmen Managed Security Services (MSS) in Anspruch. Diese Maßnahmen stärken die Sicherheitslage dieser Organisationen und machen es viel schwieriger, in sie einzudringen. Die Angreifer müssten neue Werkzeuge und Techniken entwickeln und neue Angriffsstrategien planen. Das kostet Zeit und Geld und verringert die Chancen eines Angriffs.
Kleinere Drittanbieter und Partner hingegen verfügen in der Regel über weniger fortschrittliche Cybersicherheitstechnologien. Möglicherweise haben auch kein eigenes Sicherheitsteam. Dies macht Drittorganisationen zu idealen Sprungbrettern, von denen aus ein Angriff gestartet werden kann.
Neben dem SolarWinds-Angriff gab es eine Reihe bemerkenswerter Angriffe auf die Lieferkette, die auf Software- und Hardware-Lieferanten abzielten.
Im Juli 2021 wurde der IT-Softwareentwickler Kaseya Opfer eines Ransomware-Angriffs auf die Lieferkette. Die Ransomware-Gruppe REvil nutzte einen Fehler in Kaseya VSA aus, einer bei MSPs beliebten Software zur Fernüberwachung und -verwaltung. Die Schwachstelle ermöglichte es dem Angreifer, die Authentifizierung zu umgehen und Code auf VSA-Servern auszuführen. Der Angriff betraf etwa 60 direkte Kaseya VSA-Kunden und 1.500 Downstream-Kunden.
Im April 2021 meldete das US-Technologieunternehmen Codecov, dass es Opfer eines Angriffs auf die Lieferkette geworden war. Der Hackergruppe gelang es, die Software-Testplattform des Unternehmens zu verändern, die weltweit über 29 000 Kunden nutzen. Auf diese Weise konnten die Angreifer sensible Informationen wie Quellcodes und Geheimnisse von CodeCovs Kunden stehlen.
Im Mai 2014 brachte das Buch "No Place to Hide" (Kein Ort zum Verstecken) Licht ins Dunkel der Massenüberwachung durch die NSA. In dem Buch wird behauptet, dass die NSA routinemäßig Netzwerkgeräte wie Router und Server, einschließlich derer von Cisco, empfangen oder abgehört hat. Die NSA hat die Geräte mit Backdoor-Überwachungstools ausgestattet, bevor sie an Kunden in aller Welt ausgeliefert wurden.
Da die Produkte von Drittanbietern als vertrauenswürdig gelten, reichen Abhilfemaßnahmen allein nicht aus, um Angriffe zu verhindern. Benötigt wird ein Tool, das die Aktivitäten des Angreifers aufspüren kann, sobald er in das Netzwerk eingedrungen ist.
Dabei handelt es sich um das Tool Network Detection and Response.
Network Detection and Response (NDR) ist eine Netzwerksicherheitstechnologie, die den Netzwerkverkehr analysiert, um Cyber-Bedrohungen zu erkennen. NDR Lösungen wie NovaCommand sind so genannte anomaliebasierte Erkennungswerkzeuge. Diese Tools nutzen maschinelles Lernen, um Grundlinien normaler Netzwerkaktivitäten zu erstellen und zu lernen. Die KI-gestützte Verhaltensanalyse analysiert den Netzwerkverkehr in Echtzeit und vergleicht die Ergebnisse mit diesen Baselines. Erkannte Anomalien werden mit Aktivitäten auf anderen Netzwerkgeräten korreliert, um mehr Kontext zu liefern. Bei Bedrohungen der Lieferkette kann NDR speziell die Infrastruktur der Lieferkette, wie z. B. Software-Server, überwachen, um unregelmäßiges Verhalten zu erkennen. Glaubwürdige Bedrohungen werden zur weiteren Untersuchung und Reaktion auf Vorfälle gemeldet oder durch Automatisierung behoben.
Mit dieser Methode zur Erkennung von Bedrohungen werden die hochgradig ausweichenden Techniken von Bedrohungsakteuren genau identifiziert. Diese werden von signaturbasierten Sicherheitstools wie Antiviren- und Anti-Malwaresoftware nicht erkannt.
Die CISA empfiehlt, dass "eine Organisation ihre kritischen Daten identifizieren und einen Grundriss des Datenflusses zwischen Prozessen oder Systemen erstellen sollte. Verteidiger können Analysen, einschließlich solcher, die auf maschinellem Lernen/künstlicher Intelligenz basieren, einsetzen, um spätere Anomalien in Datenströmen zu erkennen, die frühe Indikatoren dafür sein können, dass ein Bedrohungsakteur eine Schwachstelle ausnutzt."
Wie man auf einen Angriff auf die Lieferkette reagiert, von Gartner, Inc.
Gartner stellt fest, dass "Angriffe auf die Lieferkette mehrere Angriffstechniken nutzen können. Spezialisierte Technologien zur Erkennung von Anomalien, einschließlich Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und User Behaviour Analytics (UBA), können den breiteren Bereich der Sicherheitsanalyse mit zentralisierten Log Management/SIEM-Tools ergänzen."