In den letzten Monaten beobachten Sicherheitsforscher immer wieder, dass Angreifer sogenannte Software Supply Chain Angriffe nutzen, um sich Zugang zu einer großen Anzahl von Netzwerken zu verschaffen. Der folgende Artikel soll Ihnen das Thema „Software Supply Chain Attacks“ näherbringen, damit Sie in der Lage sind sich effektiver vor solchen Angriffen zu schützen.
Was sind Software Supply Chain Angriffe?
Ein Software Supply Chain Angriff erfolgt, wenn es Cyberkriminellen gelingt, in das Netzwerk eines Softwareherstellers einzudringen und bösartigen Schadcode in die vom Unternehmen vertriebene Software einzuschleusen, bevor der Hersteller diese an die Endkunden verteilt. Bleiben diese Änderungen unerkannt und wird eine derartig veränderte Software nun verteilt, so gelingt es dem Angreifer hierdurch, Zugriff auf die Netzwerke der Kunden des Softwareherstellers zu erhalten. Hierbei spielt es keine Rolle, ob es sich bei der bösartig veränderten Software um ein Endprodukt handelt oder ob lediglich ein Softwareupdate manipuliert wurde. Da durch diese Art des Angriffes potenziell alle Endkunden des Herstellers betroffen sind, kann ein solcher Angriff sehr weitreichende Folgen haben. Gerade deshalb sind derartige Angriffe für Cyberkriminelle meist sehr lukrativ.
Beispiele für Software Supply Chain Angriffe
Traurige Berühmtheit erhielt das Thema im Dezember 2020. Damals wurde bekannt, dass die Netzwerksoftware eines US-amerikanischen Herstellers durch einen Angreifer kompromittiert worden ist. Hiervon betroffen war vor allem ein Produkt, welches von den Endkunden zur Überwachung und Verwaltung lokaler Netzwerke genutzt wurde. Den Angreifern war es bereits ein Jahr zuvor, im September 2019, gelungen, in das Netzwerk des Herstellers einzudringen. In den folgenden Monaten nutzten die Angreifer den erlangten Zugriff, um gezielt die internen Systeme des Herstellers anzugreifen, welche benutzt wurden, um die Software des Unternehmens zu entwickeln. Hierbei schleusten sie zu Testzwecken mehrfach unauffällig Code in die Quelltexte der Software ein, bis sie 6 Monate später unbemerkt echten Schadcode injizierten. Dieser wurde im Rahmen von legitimen Softwareupdates des Herstellers auf die Systeme der Kunden verteilt. Insbesondere bemerkenswert ist, dass die Updates vor dem Ausliefern mit den Zertifikaten des Herstellers signiert wurden, wodurch es für die Endkunden noch schwieriger war, die bösartig veränderten Teile der Software zu erkennen. Erst Monate später fiel in einem Kundennetzwerk auf, dass über die eigentlich legitime Software firmeninterne Daten gestohlen worden waren.
Die folgenden Ermittlungen zeigten, dass der Softwarehersteller zum Zeitpunkt der Angriffe mehr als 300.000 Kunden hatte. Neben namhaften Herstellern aus den Bereichen Sicherheitssoftware, Betriebssysteme oder Prozessoren, waren hier allerdings auch wichtige staatliche Einrichtungen und Unternehmen der kritischen Infrastruktur betroffen. Eine Anfrage im Bundestag ergab, dass die Software in Deutschland unter anderem von 16 Ministerien und Bundesämtern sowie von Teilen der Bundeswehr, des Bundeskriminalamts, des RKI, des Informationstechnikzentrums Bund oder auch des THW genutzt wurde. Auch aufgrund der hohen Anzahl potenziell betroffener Unternehmen und ihrer Bedeutung erhielt dieser Angriff eine sehr hohe Medienpräsenz. Zwar wurde nie bekannt, wie viele Netzwerke nach dem erfolgreichen Angriff über die kompromittierte Software weiter ausgespäht wurden, dennoch wäre dies den Angreifern in der Theorie in allen Endkundennetzwerken der Software möglich gewesen. In den darauffolgenden Monaten konnte festgestellt werden, dass die Anzahl an Supply Chain Angriffen zunahm.
In ähnlichen jedoch weniger ausgefeilten Szenarien wurden unter anderem im April 2021 zwei weitere Angriffe bekannt. Der erste betraf den Hersteller eines Continuous-Integration-Dienstes. Durch einen Fehler bei der Erzeugung eines Docker Images war es Angreifern gelungen, Zugangsdaten zur Modifizierung eines Bash Skriptes der Software zu erhalten. Das geänderte Bash Skript wurde danach per Update an die Kunden verteilt und sendete daraufhin bei jedem Aufruf bestimmte Informationen an die Angreifer. Unter anderem konnten so Zugangsdaten in Form von Credentials, Tokens und Keys erbeutet werden. Diese wurden im Weiteren dazu genutzt, Kunden des Herstellers erfolgreich über aktive Password-Spraying Angriffe anzugreifen.
Außerdem gelang es Angreifern, Code in den legitimen Quelltext eines In-Place-Updates für einen Passwortmanager zu injizieren. Der hierbei verwendete Schadcode war nach erfolgreicher Installation des Updates auf einem Endkundensystem in der Lage, weiteren Schadcode nachzuladen. Laut Angaben des australischen Herstellers wurde die Software zum Zeitpunkt des Angriffs in mehr als 29.000 Unternehmen verwendet.
Andere Formen von Angriffen auf die Software Supply Chain eines Unternehmens sind zum Beispiel das Manipulieren von Open-Source Software durch bösartige Änderungen, das Veröffentlichen manipulierter Software-Libraries, welche Entwickler daraufhin nutzen, um ihre eigene Software zu schreiben oder aber auch das Aufspielen bösartiger Software auf Endgeräten durch Dritte, bevor diese an die Kunden ausgeliefert werden.
Was empfehlen wir?
Das Risiko durch Supply Chain Angriffe ist im letzten halben Jahr gestiegen. Durch die vielen potenziellen Opfer eines einzelnen erfolgreichen Angriffs und die hieraus resultierenden Profitmöglichkeiten ist das Unternehmen ConSecur der Meinung, dass sie wahrscheinlich eine konstante Bedrohung in den kommenden Jahren darstellen. Außerdem besteht der Verdacht, dass es mindestens eine staatlich unterstützte Hackergruppe gibt, welche sich verstärkt auf die Durchführung von Software Supply Chain Angriffe konzentriert. Sich gegen derartige Angriffe zu verteidigen ist unter den heutigen Bedingungen einer immer vernetzteren Welt nicht einfach. Dennoch können Sie in Ihrem Unternehmen folgende Dinge tun, um Ihre Sicherheit zu erhöhen.
- Richten Sie eine Software-Whitelist ein
Eine Software-Whitelist sollte nur Software enthalten, die in Ihrem Unternehmen benötigt wird und der Sie vertrauen. Hierdurch sind Ihre Mitarbeiter in der Lage, nachzuvollziehen, welche Software sie installieren dürfen und welche nicht.
- Limitieren Sie die Möglichkeiten Ihrer Nutzer, Software zu installieren, die nicht vom Unternehmen erlaubt wird
Es kommt immer wieder vor, dass Mitarbeiter Software installieren, um Ihre tägliche Arbeit zu verrichten. Mit jedem neu installierten Programm steigt allerdings auch die Anzahl potenzieller Schwachstellen. Sie sollten daher verhindern, dass durch nicht auf der Whitelist gelistete Software Ihr Unternehmen gefährdet wird.
- Evaluieren Sie die von Ihnen verwendete Software und Ihre Hersteller
Wenn Sie Software externer Hersteller verwenden, sollten Sie eine gewisse Form von Vertrauen und Transparenz zu diesen aufbauen. Oftmals haben externe Hersteller Zugriff auf die Daten Ihres Unternehmens und ihre Software wird oft auch auf kritischen Systemen Ihrer Netzwerkinfrastruktur verwendet. Deswegen sollte es auch im Interesse des Herstellers sein, Sie über die Sicherheitsmaßnahmen zu informieren, die bei der Herstellung und im Vertrieb der von Ihnen verwendeten Software umgesetzt werden. Fragen Sie hierbei gegebenenfalls explizit nach, ob Ihr Hersteller selbst Security Audits durchführt und/oder die Sicherheit der Software regelmäßig überprüft wird.
- Erstellen Sie eine Inventarliste Ihrer Software
Ein Software-Hersteller sollte in der Lage sein, Ihnen zu sagen, welche Dateien seine Software mitbringt. Oftmals kann es passieren, dass bei einem Supply Chain Angriff weitere Dateien (zum Beispiel dll’s oder .exe Dateien) mitgeladen werden, die eigentlich nicht zum Programm gehören. Wenn Sie wissen, welche Dateien legitim existieren sollten, können Sie Ihren Hersteller bei neuen Dateien, die Ihnen nicht bekannt sind, fragen, ob diese zur Software gehören.
- Denken Sie über alternative Software nach
Sollte es für Ihr Unternehmen Software geben, die unverzichtbar ist, stellen Sie sich vor, was passiert, wenn Sie diese Software von heute auf morgen ersetzen müssten. Einen Plan B zu haben kann gerade bei Software Supply Chain Angriffen wichtig für die Sicherheit und die Betriebsfähigkeit Ihres Unternehmens sein.
Darüber hinaus empfiehlt ConSecur folgende Maßnahmen:
- Nutzen Sie Threat Intelligence
Jeden Tag werden tausende Angriffe erkannt und analysiert. Hierbei wird eine wahre Flut an Daten zu aktuellen Bedrohungen gesammelt und veröffentlicht. Eine gute Anbindung an Threat Intelligence Feeds kann Ihrem Unternehmen dabei helfen, früher und gezielter auf mögliche Bedrohungen für Ihr Netzwerk aufmerksam zu werden. Während viele Threat Intelligence Unternehmen standartmäßig nur einen Newsletter anbieten, gibt es auch solche, die sich um die aktive Einbindung neuer Indikatoren in Ihre Sicherheitsumgebung kümmern. Auch wenn es sich bei Threat Intelligence um kein Plug- and Play Produkt handelt, haben Sie so deutlich weniger Arbeit, trotz verbesserten Schutzes. Gezieltes Threat Research, bei dem aktiv nach Bedrohungen gezielt für Ihr Unternehmen gesucht wird, bildet hierbei den größten Mehrwert. Eine Einbindung der neusten Erkennungsmerkmale aktiver Angriffe kann dabei helfen, Ihr Netzwerk wirksamer zu schützen. Auch Software Supply Chain Angriffe können durch dieses Gesamtkonzept noch effektiver erkannt und frühzeitig abgewehrt werden. Nutzen Sie Threat Intelligence effektiv, um potenzielle Risiken zu vermeiden, indem Sie Einblicke in aktuelle Risikolandschaften Ihrer Organisation erhalten.
- Schaffen Sie eine transparente Lieferkette durch aktives Security Monitoring
Eine hundertprozentige Sicherheit vor ausgefeilten Angriffen gibt es nicht. Um einen maximalen Schutz zu erreichen, ist es wichtig über die neuesten Cyberbedrohungen und -Strategien auf dem Laufenden zu bleiben. Durch aktives Untersuchen des eingehenden und ausgehenden Netzwerkverkehrs kann eine schnelle Reaktion auf potenzielle Datenlecks gewährleistet werden. Gewinnen Sie durch aktives Security Monitoring eine maximale Transparenz über Ihr gesamtes Netzwerk. Security Monitoring bedeutet menschliche Analysearbeit zur Detektion und Reaktion von Cyberangriffen. Ein SIEM (Security Information Event Management) ist hier zugrundeliegende System. Sie haben nicht die Ressourcen, um ein kontinuierliches Security Monitoring (24/7) zu betreiben.
Holen Sie sich professionelle Unterstützung! Ein Cyber Defense Center (CDC) kann hier Abhilfe schaffen und die zuverlässige Erkennung von Cyberbedrohungen gewährleisten.
Autor: Christoph Petersen
