Supply-Chain-Attacke
Böswilliger Angriff gegen eine Lieferkette
From Wikipedia, the free encyclopedia
Eine Supply-Chain-Attacke (deutsch Lieferketten/Nachschub-Angriff) ist ein Angriff, der besonders bedrohlich für komplexe Systeme ist. Der Angriff richtet sich nicht gegen das eigentliche Ziel, sondern gegen unterstützende Prozesse, zu denen man ein gewisses Vertrauen hat (oder haben muss). Der Angriff selber geht gegen Dritte und kann sich gegen Personen/Firmen (aka Social Engineering) als auch gegen Hardware oder Software richten. Charakteristisch ist auch eine große Anzahl von kollateralen Opfern, da die Angriffe oft wenig gezielt ausgeführt werden.
Die Anfänge
Im militärischen Bereich sind Angriffe auf den Nachschub nichts Neues, sondern Standard. Im Computerbereich war es Ken Thompson, der diese Problematik erkannte. Im Jahr 1983 veröffentlichte er das Paper Reflections on Trusting Trust. Zu Demonstrationszwecken veränderte/ergänzte Thompson nicht nur das login von UNIX um eine Backdoor, sondern veränderte auch den Compiler, so dass in die Programme eine Backdoor einkompiliert wurde. Dazu schrieb er: „The moral is obvious, You can’t trust code that you did not totally create yourself“ (Reflections on Trusting Trust, deutsch: „Die Konsequenz ist offensichtlich, man kann keinem Code vertrauen, den man nicht selbst vollständig produziert hat“)
Mögliche Gegenmaßnahmen
Die Gegenmaßnahmen sind nicht einfach durchzuführen, da zum menschlichen Zusammenleben immer ein gewisses Vertrauen notwendig ist. Hier wird also die Vertrauenskette (Chain-of-trust) dazu missbraucht, dem Opfer zu schaden. Auch wenn viele Beispiele aus dem IT-Bereich kommen, gilt es grundsätzlich für alle Bereiche.
Risikomanagement
Es ist eine Strategie notwendig, die von außen wirksame Prozesse überwacht. Es kann sich dabei um eine ganz einfache Maßnahme handeln, wie automatische Virenscanner, die einkommende Emails automatisch checken, als auch die Prüfung von Patches. Betrachtet werden müssen hier auch alle Beteiligten, wie Personal, Lieferanten sowie Dienstleister.
Zero Trust Security
Nach innen muss man den Zugriff auf den notwendigen Kreis beschränken: Ein Single-Sign-On mag bequem sein, erlaubt aber jedem Angreifer bei Erfolg jeden Zugriff, Webseiten brauchen nicht von überall den Code nachzuladen, die SCADA-Systeme müssen von der Büro-IT getrennt sein. Aber Zero Trust hat auch Nachteile, so dass immer eine vorsichtige Balance notwendig ist.
Notfallplan
Wenn ein Angriff erfolgreich war und man bemerkt es, muss man einen Notfallplan haben. Dabei betrachtet man nicht nur die IT-Infrastruktur, sondern auch Personal, Infrastruktur (z. B. Gebäude und Anlagen) und Dienstleister.[1]
Aufklärungsarbeit
Viele Versuche haben gezeigt, dass Mitarbeiterschulungen nur wenig ausrichten.[2]
Opfer
Zu den zahlreichen Opfern solcher Angriffe einige Beispiele:
- ATM-Malware
- Im Jahr 2014 gelang es Angreifern, die Steuersoftware von Geldautomaten zu kompromittieren. Damit konnten die Täter beliebig Banknoten abheben. Betroffen waren vor allem Automaten in Osteuropa.
- Solarwinds
- Das Firewall-Produkt des Herstellers wurde 2020 kompromittiert. Infolgedessen waren tausende Kunden (darunter zahlreiche Regierungsstellen) von Angriffen betroffen, da Angreifer unerwartet problemlos die Firewall durchdringen konnten.
- ASUS
- Es gelang Angreifern im Jahr 2019, den Software-Update-Server der Firma zu infizieren. Mehr als 1 Million Kunden installierten daraufhin mit dem Update auch gleich eine Backdoor, bis diese Manipulation erkannt wurde.[3]
- Piriform
- CCleaner sollte die Windows-Registry aufräumen und unerwünschte Files löschen. Der Update-Server des Herstellers wurde 2017 gehackt und ca. 2,3 Millionen Kunden erhielten mit dem Update auch eine Backdoor.
Auch der Linux-Kernel blieb nicht verschont. Bereits im Jahr 2003 wurde versucht, eine Backdoor einzubauen.[4] Im Jahr 2024 war es eine Bibliothek in den XZ Utils, die Opfer eines Angriffs wurde. Die Schwachstelle XZ Utils Backdoor sorgte weltweit für Aufsehen und erhielt den höchstmöglichen CVSS-Score.[5][6] In beiden Fällen wurden die Manipulationen von Dritten erkannt.
Nicht-IT-Angriffe
Literatur
- Ken Thompson, Reflections on Trusting Trust (PDF; 0,2 MB).
- Cassie Crossley, Software Supply Chain Security, ISBN 978-1-09-813366-5.
- Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations doi:10.6028/NIST.SP.800-161r1-upd1
Weblinks
- https://www.terranovasecurity.com/blog/supply-chain-attacks
- https://www.hackerone.com/knowledge-center/supply-chain-attacks-impact-examples-and-6-preventive-measures
- Hacker Lexicon: What Is a Supply Chain Attack?
- https://www.industrialcybersecuritypulse.com/threats-vulnerabilities/throwback-attack-ken-thompson-lays-the-foundation-for-software-supply-chain-attacks/
- Linked-Out: Security Principles to Break Software Supply Chain Attacks auf YouTube, RSA Conference 2022
- The Enemy Within: Modern Supply Chain Attacks auf YouTube, Black Hat 2019