Cyberrisiken
Warum Water-Hole-Angriffe auf die Supply-Chain
Neben den nachprüfbaren Fakten „was ist geschehen“ und „wie sind die Kriminellen vorgegangen“ ist für die Cybersicherheit auch das „Warum“ interessant – vor allem, wenn es um aufwändigere Supply-Chain-Angriffe geht. Ein Kommentar zum Thema.
Save to Folio
Der häufigste Grund für Angriffe – na klar, Kriminelle wollen Kohle. Dazu nutzen sie alles, was sie können. Und sie machen ihr Geld mit Diebstahl, Erpressung oder Betrug. Daran hat sich in den letzten Jahrhunderten wenig geändert -- ja, dieses Vorgehen gibt es auch ohne IT. Die Technik hat nur die Vorgehensweise und Skalierbarkeit verändert. Deshalb denken wir bei entsprechenden Meldungen auch gar nicht mehr weiter nach. Irgendein Krimineller wird wohl irgendwas mit den gelegten Zugängen anfangen.
Nur, ein Supply-Chain Angriff wie der beschriebene über einen kompromittierten Installer erfordert eher mehr Aufwand. Dabei wird ein initiales Opfer gehackt und über dessen Verteilmechanismus anschließend das eigentliche Ziel infiziert -- oder besser „Ziele“, denn abgesehen von politischen Taten geht es bei dieser Art von Angriff selten um nur ein Opfer.
Deshalb ist die wahrscheinlichste Erklärung, dass es sowohl um die Zugangsdaten als auch die Softwareentwicklung selbst geht. Die Täter möchten entweder diese Daten für eigene KI-Trainingszwecke sammeln oder sich in den produzierten Code integrieren. Das speziell Code-Editoren angegriffen werden, passt dabei ins Bild.
Das bedeutet allerdings auch, dass man den Verteilmechanismus des Wirts so nachbauen muss, dass dessen Kunden den Unterschied nicht sofort bemerken. So war das auch in diesem Fall. Und es ist nicht der erste dieser Art. Sieht man sich andere Angriffe an, lassen sich unschwer Parallelen erkennen. Auch hier wurde beispielsweise eine Codeeditor-Plattform zu Spionagezwecken missbraucht.
Fazit
Tatsächlich erleben wir Angriffe auf Entwicklungsabteilungen immer häufiger. Natürlich ist es möglich, dass derartige Attacken irgendwann in Ransomware münden, aber das wäre eher ungewöhnlich. Denn wie auch im vorliegenden Fall werden Supply-Chain-Angriffe in der jeweiligen Community schnell bekannt. Die Betroffenen werden daher umgehend Gegenmaßnahmen einleiten.
Zudem sind Entwicklerplattformen hoffentlich strikt vom Produktivnetz eines Unternehmens abgekoppelt. KI-erzeugter Code wird in der Zukunft den Großteil der Softwareentwicklung ausmachen. Das Training dafür hat wohl bereits begonnen.