Supply-Chain-Angriffe sind ein neuer Trend und \u00e4u\u00dferst gef\u00e4hrlich f\u00fcr Unternehmen: Hacker injizieren sch\u00e4dlichen Code in Software, sodass eigentlich legitime Apps zum Verteilen von Malware genutzt werden k\u00f6nnen. Einmal ins System eingedrungen, l\u00e4sst sich das Ausma\u00df des entstehenden Schadens oft erst im Nachhinein bewerten. Wir kl\u00e4ren auf \u00fcber Supply-Chain-Angriffe und zeigen Ihnen Schritte zur Pr\u00e4vention auf.<\/p>\n
Supply Chain l\u00e4sst sich mit Beschaffungs- oder Lieferkette \u00fcbersetzen. Daraus lassen sich erste Informationen bereits ableiten: Diese neue Art der Bedrohung von Supply-Chain-Angriffen (SCA) zielen auf Softwareentwickler und Lieferanten ab. Das Ziel eines solchen Angriffs besteht darin, legitime Apps zum Verteilen von Malware auszunutzen, wof\u00fcr die Angreifer direkt in den Quellcode eingreifen.<\/p>\n
Das kann f\u00fcr Sie bedeuten, dass Dienste oder Programme, die Sie seit Jahren problemlos verwenden, pl\u00f6tzlich sch\u00e4dlich werden k\u00f6nnen. Die Angreifer, die diese Methode nutzen, sind auf der Jagd nach unsicheren Netzwerkprotokollen sowie ungesch\u00fctzten Servern oder Infrastrukturen und unsicheren Codes. Quellcodes werden von den Angreifern unterbrochen oder ver\u00e4ndert, sodass Malware in Build- und Update-Prozessen eingeschleust werden kann.<\/p>\n
Supply-Chain-Angriffe geh\u00f6ren zweifelsfrei zu den gef\u00e4hrlichsten Infektionsmethoden, die in den letzten Jahren den Markt ersch\u00fcttert haben. Man konnte sie vorrangig bei fortschrittlichen Cyberangriffen wie „ShadowPad“ oder „CCleaner“ beobachten (s. u.). Angriffe dieser Art zielen auf Hackern bekannte Schw\u00e4chen innerhalb vernetzter Systeme ab, an denen in aller Regel menschliche sowie organisatorische und materielle Ressourchen beteiligt sind: Angefangen bei der ersten Entwicklungsphase bis hin zum Endnutzer.<\/p>\n
Man unterscheidet verschiedene Arten von Supply-Chain-Attacken:<\/p>\n
Im Jahr 2017 gab es mit ShadowPad einen brisanten Vorfall: Innerhalb des Codes der Netzwerk-Administrations-Software vom koreanischen Hersteller NetSarang befand sich 17 Tage lang eine ausgekl\u00fcgelte Hintert\u00fcr. Angreifer erlangten \u00fcber diese die volle Kontrolle \u00fcbers Netzwerk der Anwender. Von dieser Hintert\u00fcr waren die Programme Xmanager, Xshell, Xlpd sowie Xftp betroffen. Die trojanisierte Software soll von hunderten gro\u00dfen Firmen eingesetzt werden, darunter Pharmaunternehmen und Energielieferanten, aber auch Banken.<\/p>\n
F\u00fcr die Entdeckung der Hintert\u00fcr<\/a> waren Forscher des Sicherheitsanbieters Kaspersky zust\u00e4ndig. Konkret fanden diese eine Hintert\u00fcr im Netzwerk eines Geldinstituts in Hongkong. Untersuchungen zeigten, dass verd\u00e4chtige DNS-Aufrufe von der NetSarang-Software ausgingen; einem Management-Tool f\u00fcr Unix- und Linuxserver.<\/p>\n Die Kaspersky-Forscher zeigten sich beeindruckt davon, mit welchem technischen Geschick die Hintert\u00fcr umgesetzt wurde. So bestand der Schadcode aus verschiedenen verschl\u00fcsselten Modulen, die nur, wenn sie auch wirklich ben\u00f6tigt werden, on-the-fly entschl\u00fcsselt wurden. Dies sollte dem Enttarnen des Trojaner-Codes durch Sicherheitssoftware vermeiden. So gelang es, die Schadcodes nur zu aktivieren, nachdem ein Zielrechner des Opfers vom Kontrollserver der Cyberkriminellen ein bestimmtes Paket empfangen hatte.<\/p>\n Kaspersky taufte den Angriff ShadowPad. Schon lange warnen Sicherheitsforscher vor Angriffen dieser Art, die jedoch in freier Wildbahn Seltenheitswert hatten. Bis es zum Ausbruch des Trojaners NotPetya kam.<\/p>\n NotPetya wurde im Juni 2017 \u00fcber den Update-Mechanismus legitimier Finanzsoftware verteilt. Hier kamen gef\u00e4lschte Zertifikate zum Einsatz, die durch den Update-Mechanismus bereits legitimierter Software nicht mehr richtig gepr\u00fcft wurden. Die Folge war trojanisierter Schadcode \u2013 mit g\u00fcltigen Zertifikaten von NetSarang signiert.<\/p>\n NetSarang selbst hatte den Angriff auf die eigenen Server sp\u00e4ter best\u00e4tigt. Au\u00dferdem hat man eine komplett neue Infrastruktur f\u00fcr das Vorbereiten und Ausliefern von Updates bereitgestellt und veraltete Systeme komplett neu aufgesetzt.<\/p>\n Als eines der bekanntesten Programme zum Bereinigen der Systemregistrierung wird CCleaner sowohl von Heimanwendern als auch von Systemadministratoren h\u00e4ufig verwendet. Im Jahr 2017 jedoch kompromittierten Angreifer die Kompilierungsumgebung der Programmentwickler. Mehrere Versionen der Software wurden mit einer Backdoor versehen. Der verschl\u00fcsselte Schadcode befand sich Sicherheitsforschern zufolge in der Initialisierungsroutine des Programms.<\/p>\n Beim Start der Programmausf\u00fchrung wurde eine Dynamic Link Library (DLL) extrahiert; sie lief in einem eigenen Thread im Kontext der Anwendung. Hier werden verschiedene Informationen gesammelt: Name des Rechners, laufende Prozesse, installierte Software, Admin-Privilegien oder die MAC-Adresse. Diese Informationen wurden an einen entfernten Command-and-Control-Server gesendet.<\/p>\n Eben dieser Server sei den Sicherheitsforschern zufolge auch in der Lage, \u00fcber die Backdoor eine weitere Payload auf den kompromittierten Computer zu schleusen. Piriform, Hersteller des CCleaner, mittlerweile \u00fcbernommen durch den AV-Hersteller Avast, erkl\u00e4rte, dass der als Kommandozentrale genutzte Server kurze Zeit sp\u00e4ter offline sei. Es g\u00e4be weitere potenzielle Angriffsserver, die sich jedoch au\u00dferhalb des Kontrollbereichs der Angreifer bef\u00e4nden. Auch wenn z\u00fcgig reagiert wurde: die kompromittierten Versionen wurden einen Monat lang \u00fcber die offizielle Website des Anbieters verteilt. In dieser Zeit wurde der CCleaner 2,27 Millionen Mal heruntergeladen.<\/p>\n Wieder waren es die Forscher von Kaspersky Lab, die mit ShadowHammer einen gef\u00e4hrlichen Supply-Chain-Angriff aufdecken konnten. Diesmal hatten es die Angreifer auf das Programm ASUS Live Update Utility abgesehen: zwischen Juni und November 2018 wurde eine Backdoor ins Update-Programm injiziert. Offenbar waren weltweit mehr als eine Million Nutzer davon betroffen.<\/p>\n Die Angreifer nutzten gestohlene digitale Zertifikate, die ASUS f\u00fcrs Signieren legitimer Bin\u00e4rdateien verwendet. So gelang es, \u00e4ltere Versionen der auf vielen ASUS-Rechnern vorinstallierten Software zu manipulieren und eigenen b\u00f6sartigen Code zu injizieren. Kaspersky f\u00fchrt aus: „Die Trojaner-Version des Dienstprogramms wurde mit legitimen Zertifikaten signiert und auf offiziellen ASUS-Update-Servern gehostet und verteilt. Dies machte sie f\u00fcr die \u00fcberwiegende Mehrheit von IT-Sicherheitsl\u00f6sungen weitgehend unsichtbar.“<\/p>\n Die Operation „ShadowHammer“ war zielgerichtet angelegt: Die Backdoor-Codes enthielten eine Tabelle mit fest kodierten MAC-Adressen. Wurde eine Backdoor auf einem Ger\u00e4t ausgef\u00fchrt, wurde die MAC-Adresse des ausf\u00fchrenden Rechners mit der Tabelle abgeglichen. Stimmten die Eintr\u00e4ge \u00fcberein, lud die Malware weitere b\u00f6sartige Codes herunter. Gab es keine \u00dcbereinstimmung, zeigte das Update-Programm keinerlei Netzwerkaktivit\u00e4t \u2013 deshalb dauerte die Entdeckung auch so lange an.<\/p>\n Kaspersky setzte ASUS und weitere Anbieter \u00fcber seine Entdeckung in Kenntnis. Vitaly Kamluk, Director of Global Research and Analysis Team bei Kaspersky Lab erkl\u00e4rt: „Die betroffenen Anbieter sind \u00e4u\u00dferst attraktive Ziele f\u00fcr APT-Gruppen [Anm. d. Redaktion: APT = Advanced Persistent Threat<\/a>), die von deren gro\u00dfem Kundenstamm profotieren wollen. Es ist noch nicht ganz klar, was das ultimative Ziel der Angreifer war und wir untersuchen noch immer, wer hinter dem Angriff steckt. Allerdings deuten die Techniken zur unbefugten Codeausf\u00fchrung sowie andere entdeckte Artefakte darauf hin, dass ShadowHammer wahrscheinlich mit BARIUM APT zusammenh\u00e4ngt, das zuvor unter anderem mit den ShadowPad- und CCleaner-Vorf\u00e4llen verbunden war. Diese neue Kampagne ist ein weiteres Beispiel daf\u00fcr, wie komplex und gef\u00e4hrlich ein raffinierter Supply-Chain-Angriff heute sein kann.\u201c<\/p>\n Wie unsere Beispiele zeigen, sind Supply-Chain-Angriffe h\u00f6chst komplex und in aller Regel zielgerichtet. Da SCA immer h\u00e4ufiger in Anwendungen beobachtet werden, m\u00fcssen auch IT-Sicherheitsexperten am Ball bleiben. Christian Funk, Head of Global Research & Analyses Team DACH bei Kaspersky, ist von der Professionalit\u00e4t der Angriffe, insbesondere der Operation „ShadowHammer“ nachhaltig beeindruckt: „Wir sprechen vom obersten einen oder 0,1 Prozent der Angreifer, was die Raffinesse betrifft“, betont Funk.<\/p>\n Das Verschleiern der Spuren war so geschickt gemacht, dass sich kaum nachvollziehen lie\u00df, woher der Angriff kam oder wer die eigentlichen Ziele waren. Allenfalls h\u00e4tten Daten, die vom Kontrollserver ausgelesen werden, dar\u00fcber Aufschluss geben k\u00f6nnen. Undurchsichtig ist nach wie vor, auf wen es die Macher von ShadowHammer und anderen Supply-Chain-Angriffen abgesehen haben und was sie erreichen m\u00f6chten. Funk mutma\u00dft, die Akteure hinter ShadowHammer h\u00e4tten es auf Daten und Informationen abgesehen \u2013 auf welche, ist jedoch auch ihm unklar. „M\u00f6glicherweise gibt es kein definitives Endziel, sondern das ist eher heuschreckenartig“, orakelt Funk.<\/p>\n In seiner weltweiten Umfrage „The Impossible Puzzle of Cybersecurity“<\/a> zeigt der Sicherheitsanbieter Sophos, wie IT-Manager Risiken bewerten:<\/p>\n Eine weitere Studie von Hiscox<\/a> zeigt, dass gerade KMU gegen steigende Angriffszahlen zu k\u00e4mpfen haben. In s\u00e4mtlichen L\u00e4ndern, in denen Hiscox untersuchte, wurden bereits 47 Prozent der Kleinbetriebe und 63 Prozent der mittelst\u00e4ndischen Betriebe Opfer von Cyberattacken (Vgl. Report 2018: 33 Prozent der kleinen, 36 Prozent der mittleren Betriebe). Der zunehmenden Vernetzung in Unternehmen sei es zu verdanken, dass Cyberkriminelle mehr potenzielle Einfallstore f\u00e4nden, um so in fremde Systeme zu gelangen. Insbesondere die digitalisierte Lieferkette ist gef\u00e4hrdet: 65 Prozent aller betroffenen Unternehmen wurde diese Lieferkette zum Verh\u00e4ngnis. Die Angreifer nutzten die bestehenden Verbindungen zu den Zulieferern, um sich Zugang zu verschaffen.<\/p>\n Christian Funk von Kaspersky Lab geht davon aus, dass es \u2013 vollkommen unabh\u00e4ngig von der verwendeten Technik eines Angreifers \u2013 nicht untypisch ist, sich \u00fcber die Zulieferkette zum eigentlichen Angriffsziel vorzuarbeiten. F\u00fcr Funk ist es auch nicht verwunderlich, dass Angreifer es eher auf KMU als auf Gro\u00dfkonzerne abgesehen haben: „Die gehen davon aus, dass kleinere, oftmals mittelst\u00e4ndische Zulieferer leichter zu knacken sind als Gro\u00dfkonzerne, weil sie nicht \u00fcber solche Ressourcen f\u00fcr IT-Sicherheit verf\u00fcgen“.<\/p>\n Sie sind erschreckend, die Meldungen \u00fcber Supply-Chain-Angriffe. Jedoch k\u00f6nnen Sie selbst als Anwender und als Unternehmen oder Organisation das Risiko recht gering halten. Investieren Sie auf allen Ebenen in die IT-Sicherheit: Sicherheitskompetenz, ein entsprechendes Sicherheitsbudget und das Nutzen aktueller Technologien sind mehr als sinnvoll.<\/p>\n Nicht immer entscheiden sich Cyberkriminelle bei Supply-Chain-Angriffen f\u00fcr ein bestimmtes Ziel. Sie selbst k\u00f6nnen in gewissem Ma\u00dfe sogar mitentscheiden, inwieweit Sie Cyberkriminellen zum Opfer fallen: Verzichten Sie auf Dienste oder Programme, bei denen bekannt ist, dass sie f\u00fcrs Verteilen von Malware missbraucht werden. Nutzen Sie beispielsweise den CCleaner, entscheiden Sie sich f\u00fcr eine der vielen sauberen Versionen.<\/p>\n Zugegeben, unser Fazit ist nicht besonders originell, aber tats\u00e4chlich besteht eine L\u00f6sung darin, jedes einzelne Ger\u00e4t mit Internetzugang zu sch\u00fctzen. Eine weitere besteht darin, die Anwender mit einem Wissen rund um IT-Sicherheit auszustatten, damit die vorhandene Technik sicher genutzt wird, aber auch, um Angriffe wie Phishing oder Social Engineering auszuschlie\u00dfen. Awareness<\/a> ist eine der st\u00e4rksten Waffen im Kampf um IT-Sicherheit!<\/p>\nDer CCleaner-Vorfall<\/h3>\n
Operation ShadowHammer<\/h3>\n
Angriffe mit hoher Sorgfalt<\/h2>\n
Supply-Chain-Angriffe werden noch untersch\u00e4tzt<\/h2>\n
\n
Was k\u00f6nnen Sie zur Pr\u00e4vention gegen Supply-Chain-Angriffe tun?<\/h2>\n