Bei einem Lieferkettenangriff wird ein vertrauenswürdiger Drittanbieter ins Visier genommen, der für die Lieferkette unerlässliche Services oder Software bereitstellt.
Bei Software-Lieferkettenangriffen wird böswilliger Code in eine Anwendung injiziert, um alle Benutzer der Anwendung zu infizieren. Bei Hardware-Lieferkettenangriffen werden zu diesem Zweck physische Komponenten kompromittiert.
In der Vergangenheit galten Lieferkettenangriffe als Angriffe auf Vertrauensbeziehungen, bei denen ein unsicherer Lieferant angegriffen wird, um sich Zugang zu dessen Geschäftspartnern zu verschaffen. Genau das ist 2013 beim Angriff auf Target passiert, bei dem der Bedrohungsakteur sich Zugang zu einem Auftragnehmer im Bereich Klimatechnik verschaffte, um in die Systeme von Target eindringen zu können.
Heute stellen allerdings Software-Lieferkettenangriffe das größere Problem dar. Diese sind besonders anfällig, weil moderne Software nicht von Grund auf neu geschrieben wird. Sie setzt sich unter anderem aus verschiedenen Standard-Komponenten zusammen, z. B. Drittanbieter-APIs, Open-Source-Code und proprietären Code von Software-Anbietern.
Ein durchschnittliches Software-Projekt umfasst heute 203 Abhängigkeiten. Wenn eine beliebte Anwendung eine kompromittierte Abhängigkeit enthält, ist JEDES UNTERNEHMEN, das die Anwendung von dem Anbieter herunterlädt, ebenfalls kompromittiert. Die Opferzahl kann also exponentiell steigen.
Da Software wiederverwendet wird, kann eine Schwachstelle in einer Anwendung zudem den Lebenszyklus der ursprünglichen Software überdauern. Software, die keinen großen Benutzerstamm hat, ist besonders anfällig. Bei einer große Benutzer-Community ist die zügige Entdeckung einer Schwachstelle wahrscheinlicher als bei einem Projekt mit wenigen Anhängern.
Lieferkettenangriffe in Zahlen
Nachfolgend finden Sie Statistiken von 2021 aus der CrowdStrike Global Security Attitude Survey:
- 84 % betrachten Software-Lieferkettenangriffe als eine der größten Cyberbedrohungen für Unternehmen in den nächsten drei Jahren.
- Nur 36 % haben in den letzten 12 Monaten alle neuen und bestehenden Lieferanten einer Sicherheitsprüfung unterzogen.
- 45 % der befragten Unternehmen verzeichneten mindestens einen Software-Lieferkettenangriff in den letzten 12 Monaten, verglichen mit 32 % im Jahr 2018.
- 59 % der Unternehmen, die erstmals Opfer eines Software-Lieferkettenangriffs geworden sind, hatten keine Reaktionsstrategie.
Angriffe auf dem Vormarsch
Lieferkettenangriffe haben um 430 % zugenommen, weil Unternehmen ihre Umgebungen mittlerweile besser absichern und böswillige Angreifer sich deshalb verwundbareren Zielen zuwenden. Außerdem haben sie kreativere Möglichkeiten gefunden, ihr Tun zu verbergen und erstrebenswerte Ziele mit sehr hoher Wahrscheinlichkeit zu erreichen.
Hier sind die verschiedenen Arten von Lieferkettenangriffen aufgelistet:
- Upstream-Serverangriffe sind die geläufigsten. Bei diesen Angriffen infiziert ein böswilliger Akteur ein Upstream-System, das den Benutzern „vorgelagert“ ist. Er bedient sich beispielsweise eines böswilligen Updates, das dann alle „nachgelagerten“ (Downstream-)Benutzer infiziert, die es herunterladen. Das ist auch beim SolarWinds-Lieferkettenangriff geschehen.
- Midstream-Angriffe zielen auf zwischengeschaltete Elemente ab, z. B. auf Tools zur Software-Entwicklung.
- Bei Angriffen mit Abhängigkeitsaustausch werden private, intern erstellte Software-Abhängigkeiten ausgenutzt, indem eine Abhängigkeit mit demselben Namen, aber mit einer höheren Versionsnummer in einem öffentlichen Repository registriert wird. In diesem Fall ist es ziemlich wahrscheinlich, dass die falsche Abhängigkeit anstelle der richtigen im Software-Build übernommen wird.
- Angriffe mit gestohlenen SSL- und Codesignatur-Zertifikaten kompromittieren die privaten Schlüssel, die zum Authentifizieren von Benutzern sicherer Websites und Cloud-Services verwendet werden. Zu dieser Kategorie gehört auch Stuxnet.
- Bei CI/CD-Infrastrukturangriffen wird Malware in die Infrastruktur zur Entwicklungsautomatisierung eingeschleust, z. B. durch Klonen legitimer GitHub-Repositorys.
- Bei Open-Source-Software-Angriffen wird Code in Builds eingeschleust. Der Code breitet sich dann auf alle nachgelagerten Instanzen aus, die die Builds nutzen.
Beispiele für Lieferkettenangriffe
Der SolarWinds-Angriff ist der Lieferkettenangriff, den vermutlich jeder kennt. Bei diesem komplexen Angriff wurde böswilliger Code in den Build-Zyklus der Software injiziert. Anfangs wurden dadurch rund 18.000 Downstream-Kunden infiziert, darunter auch bedeutende Firmen und Regierungsbehörden mit den stärksten Cybersicherheitstools und -services, die heute verfügbar sind.
Ein anderer raffinierter Lieferkettenangriff zielte auf das ASUS Live Update ab – ein auf ASUS-Systemen vorinstalliertes Software-Dienstprogramm, das das BIOS, das UEFI, die Treiber, Anwendungen und andere Komponenten eines Computers automatisch aktualisiert. Es steht fest, dass mehr als 57.000 Benutzer das kompromittierte Dienstprogramm heruntergeladen und installiert haben (die Dunkelziffer ist vermutlich aber noch weitaus höher). Hierbei handelte es sich um einen gezielten Angriff, der sich gegen eine Gruppe von Benutzern mit spezifischen MAC-Adressen richtete.
Ein beliebtes JavaScript-Open-Source-Tool war das Ziel eines Angriffs auf Linux- und macOS-Betriebssysteme. Beim Angriff kam eine Technik namens Brandjacking zum Einsatz, mit der Benutzer zum Herunterladen von böswilligem Code verleitet werden. Die Ziel-Software, Browserify, wird von 1,3 Millionen Benutzern pro Woche heruntergeladen. Die Auswirkungen der Kompromittierung waren also unter Umständen massiv. In diesem Fall wurde der Angriff innerhalb eines Tages nach Beginn entdeckt und gestoppt. Es gibt aber viele andere Angriffe dieser Art, die übersehen werden. Im Jahr 2020 wurden mindestens 26 Open-Source-Projekte bei Lieferkettenangriffen ins Visier genommen.
Cybersicherheitsunternehmen sind selbst Ziele von Lieferkettenangriffen. Das beliebte kostenlose Bereinigungstool CCleaner wurde beispielsweise mit einer Backdoor kompromittiert, durch die böswillige Akteure Zugang zu den Millionen von Computern hatten, auf denen die Software installiert war. CCleaner war ein Produkt des Sicherheitsunternehmens Avast. Allerdings war das Tool bereits kompromittiert, als Avast das Unternehmen übernahm, das CCleaner ursprünglich entwickelt hatte. Die Angreifer installierten ihre Backdoors und warteten dann, bis die Übernahme abgeschlossen war, bevor sie mit der Kontaminierung der Downloads begannen. Forschern zufolge handelt es sich hierbei um einen gezielten Angriff, denn obwohl 2,27 Millionen böswillige Downloads stattgefunden haben, wurden nur 40 kompromittierte Systeme mit einem anschließenden Angriff ins Visier genommen.
Wie werden Lieferkettenangriffe vermieden und erkannt?
Lieferkettenangriffe werden immer mehr zu einem geschäftskritischen Problem, das sich auf wichtige Beziehungen zu Partnern und Lieferanten auswirkt. Lieferkettenangriffe sind schwer zu erkennen – und nur weil ein Software-Produkt in der Vergangenheit validiert wurde, ist es heute nicht unbedingt sicher.
Zusätzlich zur sorgfältigen Beurteilung der Anbieter, mit denen sie zusammenarbeiten, sollten Unternehmen auch die Lieferkettenrisiken mindern, durch die sie anfällig für Angriffe sind. Dazu sind effektive Präventions-, Erkennungs- und Reaktionstechnologien erforderlich.
Mit den nachfolgenden Empfehlungen können Unternehmen die Sicherheit ihrer Lieferkette verbessern, damit sie möglichst nicht zu Angriffsopfern werden:
- Setzen Sie Lösungen mit verhaltensbasierter Angriffserkennung ein. Aufgrund der Raffinesse von Lieferkettenangriffen müssen Unternehmen auf verhaltensbasierte Analysen setzen, z. B. von Angriffsindikatoren. Zur Beseitigung von Risiken durch „gute Programme, die schädlich werden“, benötigen Sie Technologien wie Machine Learning (ML), die Muster in hunderten, tausenden oder sogar Millionen Angriffen pro Tag erkennen können. Der Mensch allein kann das nicht schaffen.
- Bleiben Sie mit Bedrohungsanalysen künftigen Lieferkettenangriffen einen Schritt voraus. Mit Bedrohungsanalysen werden Sie bei einem neu aufgetretenen Lieferkettenangriff benachrichtigt. Außerdem erhalten Sie alle erforderlichen Informationen, um sich ein Bild vom Angriff machen und sich davor schützen zu können. Falcon Intelligence™ ist das automatisierte, integrierte Bedrohungsanalysetool von CrowdStrike, das Malware-Analyse, Malware-Suche und Bedrohungsanalysedaten kombiniert, um kontextreiche Informationen für prädiktive Sicherheit zu liefern.
- Nutzen Sie proaktive Services zur besseren Vorbereitung. Das CrowdStrike Services-Team berücksichtigt Lieferkettenanalysen in seiner Reifegradbewertung für Cybersicherheit und führt Tabletop-Übungen mit Kunden durch, in denen ein Lieferkettenangriff simuliert wird. Kunden können sich dadurch ihre aktuelle Sicherheitslage verdeutlichen und erhalten zudem eine Roadmap, um ihren Schutz vor Lieferkettenangriffen zu stärken und sich besser auf solche Attacken vorbereiten zu können.