Was ist ein Supply-Chain-Angriff?

tball

Supply-Chain-Angriffe sind spezielle Cyberangriffe, die weniger sichere Elemente in der Lieferkette eines Unternehmens ins Visier nehmen, statt ein Unternehmen direkt anzugreifen. 

Supply-Chain-Angriffe 

In den letzten Jahren haben Supply-Chain-Angriffe weltweit erheblichen Schaden angerichtet. Ein Supply-Chain-Angriff ist eine Art von Cyberangriff, der auf die vertrauensvollen Beziehungen zwischen Organisationen abzielt, indem ein kompromittierter Partner als Sprungbrett genutzt wird, um andere Systeme zu infiltrieren. Ziel ist es, das Netzwerk oder die Systeme eines Unternehmens zu infiltrieren, indem ein Drittanbieter, Lieferant oder Partner kompromittiert wird, der Zugriff auf die Daten, Software oder Netzwerkinfrastruktur des Unternehmens hat. 

Das Hauptmerkmal eines Supply-Chain-Angriffs ist, dass Angreifer indirekt in Systeme eindringen können, indem sie zunächst weniger gut gesicherte Teile der Lieferkette kompromittieren, wie z. B. Drittanbieter. Da diese Dritten fest in den täglichen Betrieb eingebunden sind, fällt es Angreifern leichter, unbemerkt zu bleiben, bis bereits erheblicher Schaden entstanden ist.

Wichtige Merkmale von Supply-Chain-Angriffen  

Indirekter Ansatz

Statt die Zielorganisation direkt anzugreifen, kompromittieren Angreifer einen vertrauenswürdigen Dritten, etwa einen Anbieter von Software, Hardware oder Dienstleistungen. Dieser wird dann zu einem Kanal für die Übermittlung der schädlichen Nutzlast an das endgültige Ziel. 

Komplexität und Skalierung

Supply-Chain-Angriffe können komplex sein, mehrere Phasen umfassen und eine große Anzahl von Organisationen betreffen. Die Angreifer können in verschiedenen Phasen der Lieferkette schädlichen Code oder Hardware einfügen und so die Erkennung erschweren. 

Missbrauch von Vertrauen

Diese Angriffe nutzen die Vertrauensbeziehungen zwischen einer Organisation und ihren Lieferanten aus. Da Drittanbieter oft privilegierten Zugriff auf die Systeme oder sensiblen Daten einer Organisation haben, werden sie zu einem attraktiven Ziel für Angreifer. 

Weitreichende Auswirkungen

Die Auswirkungen eines Angriffs auf die Supply Chain können erheblich sein und nicht nur das primäre Ziel betreffen. Sie können sich auch auf Tausende anderer Organisationen auswirken, die auf den kompromittierten Dritten angewiesen sind. 

Arten von Supply-Chain-Angriffen

Supply-Chain-Angriffe lassen sich je nach Ursprung in drei Typen einteilen:

Software-Supply-Chain-Angriffe

Ein Software-Supply-Chain-Angriff kompromittiert die Prozesse zur Entwicklung oder Auslieferung von Software, um bösartigen Code in die Software selbst oder deren Updates einzuschleusen. So können Angreifer über scheinbar legitime Software in Zielorganisationen eindringen.

Typische Angriffsvektoren sind Open-Source-Code, Verwaltungswerkzeuge oder häufig genutzte Anwendungen. Statt ein Unternehmen direkt anzugreifen, brechen die Angreifer oft zuerst in die Systeme vertrauenswürdiger Drittanbieter ein, die die Software entwickeln oder deren Downloads hosten. Anschließend werden Update-Server oder Verteilungswege genutzt, um manipulierte Versionen auszuliefern.

Wird die kompromittierte Software breit eingesetzt, kann der Angriff viele Organisationen gleichzeitig treffen und großen Schaden anrichten.

Software-Supply-Chain-Angriffe

Service-Supply-Chain-Angriffe

Service-Supply-Chain-Angriffe zielen auf Dienstleister wie Managed Service Provider (MSPs) ab, um deren vertrauensvolle Zugänge zu nutzen und Schadsoftware in Kundennetzwerken zu verbreiten.

Ein bekanntes Beispiel ist der Ransomware-Angriff 2021 auf den IT-Management-Dienst Kaseya VSA. Angreifer kompromittierten MSPs, die Kaseya VSA nutzten, und verteilten Ransomware an zahlreiche Endkunden. Da MSPs mit dem Betrieb und der Verwaltung der Kundennetzwerke beauftragt sind, können Angreifer sie als Ausgangspunkt für Malware wie Ransomware nutzen.

In diesem Fall nutzten die Angreifer die besonderen Eigenschaften der MSP-Dienstleistungen aus. Schätzungen zufolge waren bis zu 1.500 Unternehmen betroffen.

Service-Supply-Chain-Angriffe

Business-Supply-Chain-Angriffe

Business-Supply-Chain-Angriffe richten sich gegen das umfassendere Ökosystem aus Partnern, Zulieferern, Logistikdienstleistern und Lieferanten, um über diese Verbindungen in die Hauptorganisation einzudringen.

Diese Methode ist so weit verbreitet, dass sie inzwischen als Standardvorgehen gilt.

Trend Micro beobachtet regelmäßig Cyberangreifergruppen wie Earth Hundun (auch bekannt als BlackTech) und Earth Tengshe (verknüpft mit APT10), die zunächst internationale Niederlassungen kompromittieren und diesen Zugang dann nutzen, um in das eigentliche Ziel – die zentralen Infrastrukturen – vorzudringen.

Business-Supply-Chain-Angriffe

Kategorien von Supply-Chain-Angriffen  

  • Kompromittierte Software-Updates: Angreifer fügen schädlichen Code in Software-Updates ein, die an eine große Anzahl von Benutzern verteilt werden.
  • Kompromittierte Software-Bibliotheken von Drittanbietern: Angreifer schleusen Schadcode in Bibliotheken oder Abhängigkeiten von Drittanbietern, die in seriöse Softwareprodukte integriert sind.
  • Kompromittierte Hardware oder Firmware: Angreifer fügen während des Herstellungs- oder Vertriebsprozesses schädliche Hardwarekomponenten oder Firmware in Produkte ein.
  • Manipulation von Entwickler-Tools: Angreifer kompromittieren Tools, die von Entwicklern verwendet werden, zum Beispiel integrierte Entwicklungsumgebungen (IDEs) oder CI/CD-Pipelines (Continuous Integration / Continuous Deployment).
  • Kompromittierte Software-Abhängigkeiten: Angreifer schleusen Schadcode in seriöse Softwareabhängigkeiten, die weithin genutzt werden.
  • Datenextraktion über ausgenutzte Protokolle: Angreifer nutzen Schwachstellen in Protokollen wie SMB, TLS, SSH oder direktes Targeting von Datenbanken, um Daten zu extrahieren. Eine gängige Methode ist SQL Injection.
  • Open-Source-Projekte im Fokus: Angreifer haben weitverbreitete Open-Source-Projekte im Visier. Ihr Ziel ist es, Schadcode einzufügen, der viele nachgelagerte Projekte beeinträchtigen kann.

Beispiele für Supply-Chain-Angriffe  

SolarWinds-Angriff (2020)

Angreifer infiltrierten den Orion-Software-Update-Mechanismus von SolarWinds. Über 18.000 Kunden, darunter Regierungsbehörden und große Unternehmen, erhielten schädliche Updates. 

Ressource CISA-Warnung bei SolarWinds

RockYou2024 (2024)

Das Passwortleck „RockYou2024“ sorgte dafür, dass fast 10 Milliarden zuvor kompromittierte Anmeldedaten kompiliert und in einem Hacking-Forum veröffentlicht wurden. Das unterstreicht das erhebliche Supply-Chain-Risiko, das durch die Aggregation, Wiederverwendung und Offenlegung von gestohlenen Anmeldedaten über mehrere Plattformen und Dienste hinweg entsteht. 

Ressource Fast 10 Milliarden Passwörter in der größten Sammlung aller Zeiten geleakt

Large Language Models (LLMs) und Public Chatbots (2024)

Öffentliche Chatbots, die auf LLMs basieren, können versehentlich sensible interne Daten preisgeben, die während der Interaktion ausgetauscht werden. Dabei wird das Vertrauen ausgenutzt, das Unternehmen in diese KI-Dienste setzen. Das unterstreicht die Risiken, die mit der Nutzung externer KI-Plattformen verbunden sind, die durch ihre Lern- und Interaktionsprozesse unbeabsichtigt vertrauliche Daten preisgeben können. 

Ressource Die benutzerdefinierten Chatbots von OpenAI verraten ihre Geheimnisse

PHP Git Server Compromise (2021)

Angreifer kompromittierten den Git-Server von PHP und versuchten, eine Backdoor in den Quellcode der gängigen Webscripting-Sprache einzufügen. 

Ressource ZDNet über den PHP-Git-Server-Hack

IoT- und OT-Kompromittierung

Die laterale Ausbreitung von einem anfänglichen Angriffsvektor wie Spear-Phishing auf IoT- oder OT-Geräte wie Kameras und Drucker wird auch als „Island Hopping“ bezeichnet. 

Ressource Bericht bei Krebs on Security

US National Public Data (2024)

Die Sicherheitslücke wurde durch Schwachstellen im Schwesterunternehmen RecordsCheck ermöglicht. Die Angreifer konnten vertrauensvolle Beziehungen zwischen verwandten Diensten ausnutzen, um auf sensible Daten zuzugreifen. 

Ressource Nationale Datenschutzverletzung: Nur 134 Millionen eindeutige E-Mails geleakt, und das Unternehmen bestätigt den Vorfall

Trend Vision One Platform

Stoppen Sie Angreifer schneller und reduzieren Sie Cyberrisiken mit einer einzigen Plattform. Verwalten Sie Sicherheit ganzheitlich mit Funktionen für Prävention, Erkennung und Reaktion, die auf künstlicher Intelligenz, wegweisenden Forschungsmethoden und tiefgehenden Erkenntnissen basieren.

Trend Vision One unterstützt verschiedene hybride IT-Umgebungen, automatisiert und koordiniert Workflows und bietet fachkundige Services für Cybersicherheit. Damit können Sie Ihre Sicherheitsprozesse vereinfachen und zusammenführen.