Supply-Chain-Angriffe sind spezielle Cyberangriffe, die weniger sichere Elemente in der Lieferkette eines Unternehmens ins Visier nehmen, statt ein Unternehmen direkt anzugreifen.
Inhaltsverzeichnis
In den letzten Jahren haben Supply-Chain-Angriffe weltweit erheblichen Schaden angerichtet. Ein Supply-Chain-Angriff ist eine Art von Cyberangriff, der auf die vertrauensvollen Beziehungen zwischen Organisationen abzielt, indem ein kompromittierter Partner als Sprungbrett genutzt wird, um andere Systeme zu infiltrieren. Ziel ist es, das Netzwerk oder die Systeme eines Unternehmens zu infiltrieren, indem ein Drittanbieter, Lieferant oder Partner kompromittiert wird, der Zugriff auf die Daten, Software oder Netzwerkinfrastruktur des Unternehmens hat.
Das Hauptmerkmal eines Supply-Chain-Angriffs ist, dass Angreifer indirekt in Systeme eindringen können, indem sie zunächst weniger gut gesicherte Teile der Lieferkette kompromittieren, wie z. B. Drittanbieter. Da diese Dritten fest in den täglichen Betrieb eingebunden sind, fällt es Angreifern leichter, unbemerkt zu bleiben, bis bereits erheblicher Schaden entstanden ist.
Statt die Zielorganisation direkt anzugreifen, kompromittieren Angreifer einen vertrauenswürdigen Dritten, etwa einen Anbieter von Software, Hardware oder Dienstleistungen. Dieser wird dann zu einem Kanal für die Übermittlung der schädlichen Nutzlast an das endgültige Ziel.
Supply-Chain-Angriffe können komplex sein, mehrere Phasen umfassen und eine große Anzahl von Organisationen betreffen. Die Angreifer können in verschiedenen Phasen der Lieferkette schädlichen Code oder Hardware einfügen und so die Erkennung erschweren.
Diese Angriffe nutzen die Vertrauensbeziehungen zwischen einer Organisation und ihren Lieferanten aus. Da Drittanbieter oft privilegierten Zugriff auf die Systeme oder sensiblen Daten einer Organisation haben, werden sie zu einem attraktiven Ziel für Angreifer.
Die Auswirkungen eines Angriffs auf die Supply Chain können erheblich sein und nicht nur das primäre Ziel betreffen. Sie können sich auch auf Tausende anderer Organisationen auswirken, die auf den kompromittierten Dritten angewiesen sind.
Supply-Chain-Angriffe lassen sich je nach Ursprung in drei Typen einteilen:
Ein Software-Supply-Chain-Angriff kompromittiert die Prozesse zur Entwicklung oder Auslieferung von Software, um bösartigen Code in die Software selbst oder deren Updates einzuschleusen. So können Angreifer über scheinbar legitime Software in Zielorganisationen eindringen.
Typische Angriffsvektoren sind Open-Source-Code, Verwaltungswerkzeuge oder häufig genutzte Anwendungen. Statt ein Unternehmen direkt anzugreifen, brechen die Angreifer oft zuerst in die Systeme vertrauenswürdiger Drittanbieter ein, die die Software entwickeln oder deren Downloads hosten. Anschließend werden Update-Server oder Verteilungswege genutzt, um manipulierte Versionen auszuliefern.
Wird die kompromittierte Software breit eingesetzt, kann der Angriff viele Organisationen gleichzeitig treffen und großen Schaden anrichten.
Service-Supply-Chain-Angriffe zielen auf Dienstleister wie Managed Service Provider (MSPs) ab, um deren vertrauensvolle Zugänge zu nutzen und Schadsoftware in Kundennetzwerken zu verbreiten.
Ein bekanntes Beispiel ist der Ransomware-Angriff 2021 auf den IT-Management-Dienst Kaseya VSA. Angreifer kompromittierten MSPs, die Kaseya VSA nutzten, und verteilten Ransomware an zahlreiche Endkunden. Da MSPs mit dem Betrieb und der Verwaltung der Kundennetzwerke beauftragt sind, können Angreifer sie als Ausgangspunkt für Malware wie Ransomware nutzen.
In diesem Fall nutzten die Angreifer die besonderen Eigenschaften der MSP-Dienstleistungen aus. Schätzungen zufolge waren bis zu 1.500 Unternehmen betroffen.
Business-Supply-Chain-Angriffe richten sich gegen das umfassendere Ökosystem aus Partnern, Zulieferern, Logistikdienstleistern und Lieferanten, um über diese Verbindungen in die Hauptorganisation einzudringen.
Diese Methode ist so weit verbreitet, dass sie inzwischen als Standardvorgehen gilt.
Trend Micro beobachtet regelmäßig Cyberangreifergruppen wie Earth Hundun (auch bekannt als BlackTech) und Earth Tengshe (verknüpft mit APT10), die zunächst internationale Niederlassungen kompromittieren und diesen Zugang dann nutzen, um in das eigentliche Ziel – die zentralen Infrastrukturen – vorzudringen.
Angreifer infiltrierten den Orion-Software-Update-Mechanismus von SolarWinds. Über 18.000 Kunden, darunter Regierungsbehörden und große Unternehmen, erhielten schädliche Updates.
Ressource CISA-Warnung bei SolarWinds
Das Passwortleck „RockYou2024“ sorgte dafür, dass fast 10 Milliarden zuvor kompromittierte Anmeldedaten kompiliert und in einem Hacking-Forum veröffentlicht wurden. Das unterstreicht das erhebliche Supply-Chain-Risiko, das durch die Aggregation, Wiederverwendung und Offenlegung von gestohlenen Anmeldedaten über mehrere Plattformen und Dienste hinweg entsteht.
Ressource Fast 10 Milliarden Passwörter in der größten Sammlung aller Zeiten geleakt
Öffentliche Chatbots, die auf LLMs basieren, können versehentlich sensible interne Daten preisgeben, die während der Interaktion ausgetauscht werden. Dabei wird das Vertrauen ausgenutzt, das Unternehmen in diese KI-Dienste setzen. Das unterstreicht die Risiken, die mit der Nutzung externer KI-Plattformen verbunden sind, die durch ihre Lern- und Interaktionsprozesse unbeabsichtigt vertrauliche Daten preisgeben können.
Ressource Die benutzerdefinierten Chatbots von OpenAI verraten ihre Geheimnisse
Angreifer kompromittierten den Git-Server von PHP und versuchten, eine Backdoor in den Quellcode der gängigen Webscripting-Sprache einzufügen.
Ressource ZDNet über den PHP-Git-Server-Hack
Die laterale Ausbreitung von einem anfänglichen Angriffsvektor wie Spear-Phishing auf IoT- oder OT-Geräte wie Kameras und Drucker wird auch als „Island Hopping“ bezeichnet.
Ressource Bericht bei Krebs on Security
Die Sicherheitslücke wurde durch Schwachstellen im Schwesterunternehmen RecordsCheck ermöglicht. Die Angreifer konnten vertrauensvolle Beziehungen zwischen verwandten Diensten ausnutzen, um auf sensible Daten zuzugreifen.
Stoppen Sie Angreifer schneller und reduzieren Sie Cyberrisiken mit einer einzigen Plattform. Verwalten Sie Sicherheit ganzheitlich mit Funktionen für Prävention, Erkennung und Reaktion, die auf künstlicher Intelligenz, wegweisenden Forschungsmethoden und tiefgehenden Erkenntnissen basieren.
Trend Vision One unterstützt verschiedene hybride IT-Umgebungen, automatisiert und koordiniert Workflows und bietet fachkundige Services für Cybersicherheit. Damit können Sie Ihre Sicherheitsprozesse vereinfachen und zusammenführen.