Was ist ein Supply Chain Hack und wie können Sie sicher sein?

Wenn Sie an einen Cybersicherheitsangriff denken, fällt Ihnen das Bild eines Hackers ein, der ein Netzwerk auf Schwachstellen untersucht. Oder ein Phishing-Angriff, bei dem die Anmeldeinformationen oder die auf einem Computer installierte Malware eines Mitarbeiters gestohlen werden.

Dies sind alles gültige und übliche Angriffsmethoden. Aber was wäre, wenn es einen anderen Weg gäbe, ein Netzwerk zu infiltrieren, bei dem das Ziel nicht direkt angegriffen wurde?

Ein Supply-Chain-Angriff tut genau dies, indem er mit dem Ziel verbundene Organisationen ausnutzt und die Supply-Chain des Ziels angreift. Was sind Supply-Chain-Angriffe und wie funktionieren sie?

Was ist ein Supply Chain Hack?

Ein Supply-Chain-Angriff versucht, ein Unternehmen zu beschädigen oder zu infiltrieren, indem gefährdete Teile seines Supply-Network identifiziert werden. Der Angriff auf eine Lieferkette bietet mehrere Möglichkeiten für eine erfolgreiche Infiltration – insbesondere dann, wenn ein Unternehmen mit einem komplizierten oder komplizierten Lieferkettennetzwerk angegriffen wird.

Bei fast allen Angriffen in der Lieferkette ist das ursprüngliche Opfer nicht das einzige Ziel des Angreifers. Das Element der Lieferkette ist vielmehr ein Sprungbrett für einen größeren Fisch. Der Angreifer nutzt Schwachstellen im einfacheren Ziel aus und nutzt diese, um zum endgültigen Ziel zu gelangen.

Obwohl Angriffe auf die Lieferkette selten klingen, ergab eine Studie von Opinion Matters für BlueVoyant vom Juni 2020 [PDF, Anmeldung erforderlich], dass 80 Prozent der Unternehmen "in den letzten 12 Monaten einen Verstoß im Zusammenhang mit Dritten erlitten haben". Darüber hinaus haben 77 Prozent der Befragten "eine eingeschränkte Sichtbarkeit gegenüber ihren Drittanbietern".

Anhand solcher Zahlen sehen Sie, warum Supply-Chain-Angriffe nicht nur beliebt sind, sondern auch, wie es ihnen gelingt, vom ursprünglichen Ziel zur Hauptorganisation zu gelangen.

Für ein Unternehmen ist es äußerst schwierig, einen Angriff auf die Software-Lieferkette von Drittanbietern zu erkennen. Aufgrund der Art des Angriffs sind die schädlichen Dateien nicht nur vor dem Hauptziel, sondern auch vor dem anfälligen Glied in der Lieferkette verborgen. Der Computer muss nicht einmal online sein, damit der Angriff funktioniert .

Die Zielorganisation erkennt möglicherweise nur dann, dass ein Problem vorliegt, wenn ihre Daten an anderer Stelle zum Verkauf angeboten werden oder etwas Ähnliches einen Alarm auslöst. Mit einem derart tiefen Zugriff auf das interne Netzwerk ist es möglich, sich innerhalb des Unternehmens frei zu bewegen und sogar die verräterischen Anzeichen eines Eindringlings zu löschen.

Angriffsarten der Lieferkette

Supply-Chain-Angriffe sind keine Einheitsgröße. Die Lieferkette für eine große Organisation kann mehrere verschiedene bewegliche Teile umfassen. Ein Angreifer muss überlegen, welche Art von Supply-Chain-Angriff er gegen ein Ziel ausführen soll.

Hier sind drei bemerkenswerte Supply-Chain-Angriffe, die Sie berücksichtigen sollten.

1. Ziel

Im Jahr 2013 war der US-Einzelhändler Target Gegenstand eines Großangriffs, der zum Verlust von Informationen über 110 Millionen in ihren Filialen verwendete Kredit- und Debitkarten führte. Die Gesamtmenge der gestohlenen Daten betrug nur 11 GB, aber die Art der gestohlenen Daten war besonders wertvoll.

Die Angreifer identifizierten eine Reihe von Drittanbietern im Unternehmensnetzwerk von Target. Während die endgültige Anzahl der versuchten Exploits unbekannt ist, war Fazio Mechanical, ein Kühlunternehmen, das gefährdete Unternehmen.

Sobald der Auftragnehmer kompromittiert wurde, warteten die Angreifer innerhalb des Unternehmensnetzwerks, bis es möglich war, mit gestohlenen Anmeldeinformationen zu einem Zielsystem zu eskalieren. Schließlich erhielten die Angreifer Zugriff auf die Server von Target und suchten nach anderen anfälligen Systemen im Unternehmensnetzwerk.

Von hier aus nutzten die Angreifer das POS-System (Point of Sale) von Target und überflogen Karteninformationen für Millionen von Kunden.

2. SolarWinds

Ein Hauptbeispiel für einen Angriff auf die Software-Lieferkette von Drittanbietern ist SolarWinds , dessen Orion-Fernverwaltungssoftware im Jahr 2020 kompromittiert wurde. Die Angreifer haben eine böswillige Hintertür in den Software-Update-Prozess eingefügt.

Als das Update an Hunderttausende von Kunden von SolarWinds gesendet wurde, war die Malware des Angreifers damit verbunden. Da das Update wie gewohnt digital signiert wurde, sah alles wie gewohnt aus.

Verwandte: Was ist Code-signierte Malware?

Nach der Aktivierung der Software im Rahmen des normalen Aktualisierungsprozesses erhielten die Angreifer Zugriff auf eine Vielzahl kritischer Ziele, darunter das US-Finanzministerium, die Ministerien für innere Sicherheit, Handel, Staat, Verteidigung und Energie sowie die National Nuclear Security Administration .

Der SolarWinds-Angriff ist einer der größten und erfolgreichsten Supply-Chain-Angriffe, die jemals durchgeführt wurden.

3. Stuxnet

Wussten Sie, dass einer der berüchtigtsten Hacks aller Zeiten ein Supply-Chain-Angriff war?

Stuxnet ist ein Computerwurm mit einem äußerst spezifischen Ziel: Systeme, auf denen ein bestimmter Softwaretyp eines bestimmten Herstellers ausgeführt wird, der in iranischen Kernkraftwerken zu finden ist. Die Stuxnet-Malware führt zu einer drastischen Erhöhung der Geschwindigkeit von Zentrifugen, wodurch das Material in der Zentrifuge und die Infrastruktur selbst zerstört werden.

Verwandte: Kann ein Cyberangriff physischen Schaden verursachen?

Es wird angenommen, dass der hoch zielgerichtete und unglaublich hoch entwickelte Wurm die Arbeit der US-Regierung und der israelischen Regierung ist, die zusammenarbeiten, um eine offensichtliche iranische nukleare Bedrohung zu beseitigen.

Stuxnet wurde mithilfe eines infizierten USB-Flash-Laufwerks in die Lieferkette des iranischen Kernkraftwerks eingeführt. Nach der Installation auf einem Computer bewegte sich Stuxnet seitlich durch das Netzwerk und suchte vor der Ausführung nach dem richtigen Steuerungssystem.

Da Stuxnet ein genaues Ziel hat, macht es nicht auf sich aufmerksam, sondern wird nur aktiviert, wenn es auf einen Computer trifft, der den Spezifikationen entspricht.

So bleiben Sie in der Ära der Supply Chain Attack sicher

Lieferketten sind im besten Fall schwer zu verwalten. Viele Unternehmen verwenden Softwarelösungen von Drittanbietern, um Aspekte ihres Geschäfts zu verwalten. Dazu gehören Remoteverwaltungstools oder Buchhaltungssoftware oder sogar Plattformen wie Microsoft Office 365.

Unternehmen können einfach nicht jeden Aspekt ihres Geschäfts unter einem Dach vereinen. Sie sollten es auch nicht müssen. Das Vertrauen in einen Softwareentwickler oder Cloud-Dienstleister sollte die Wahrscheinlichkeit, dass Sie oder Ihr Unternehmen Opfer eines Angriffs werden, nicht drastisch erhöhen.

Erhöhte Sicherheit für Unternehmen und Verbraucher führt auch zu Angriffen in der Lieferkette. Wenn die Angreifer keinen Weg in die Organisation finden, ist der Angriff auf die nächste Stufe der wirtschaftlichste und pragmatischste Weg, um Zugang zu erhalten. Es ist auch weniger wahrscheinlich, dass es von Unternehmenssicherheitssystemen erfasst wird.

In vielen Fällen handelt es sich bei Supply-Chain-Angriffen um umfangreiche, gut recherchierte und gut finanzierte Operationen.

Zum Beispiel ist SolarWinds die Arbeit eines nationalstaatlichen Hacking-Teams, das Monate Zeit hatte, um an dem Supply-Chain-Hack zu arbeiten und ihn durchzuführen. In ähnlicher Weise kombinierte Stuxnet mehrere Zero-Day-Angriffe in einem einzigen Paket, um iranische Atomkraftwerke zu treffen, und es dauerte einige Zeit, bis der Hack in der Lieferkette von Target erfolgreich war.

Dies sind keine zufälligen Skriptamateure, über die wir hier sprechen und die auf eine Sicherheitslücke gestoßen sind. Es sind Hackerteams, die zusammenarbeiten, um ein bestimmtes Ziel anzugreifen. Die Lieferkette ist zufällig der Weg des geringsten Widerstands.