Supply Chain Attack

Angriff auf die Lieferkette (Lieferkettenangriff, Supply Chain Attack)

Ein Supply-Chain-Angriff ist ein indirekt ablaufender Angriff, um illegal Zugriff auf Daten, IT-Systeme und IT-Netze

(a) der Kunden eines Lieferanten/externen Partners respektive
(b) der Nutzer einer Software/-komponente eines Lieferanten

zu erlangen.

Nach [1] wird unter Lieferkette das Netzwerk aller Personen, Organisationen, Ressourcen (z.B. Materialien), Aktivitäten und Technologien verstanden, um ein Produkt herzustellen, zu verkaufen und an den Endkunden auszuliefern. Ein Cyber-Angreifer nutzt dabei die implizite Vertrauensstellung zwischen Lieferant, Hersteller und Kunde aus, um über das schwächste Glied in der Lieferkette a) einen gezielten Angriff gegen ein ausgewähltes Ziel einzuleiten oder b) möglichst viele Kunden zu kompromittieren. Dabei infiltriert der Angreifer üblicherweise zuerst die IT-Systeme bzw. das IT-Netz eines Lieferanten oder externen Partners, um sich anschließend in das IT-Netz seines eigentlichen Opfers vorzuarbeiten. Es handelt sich dabei um eine Form der Island Hopping Attack[2].

Eine besonders gefährliche Form des Lieferkettenangriffs ist die Kompromittierung von Softwarepaketen oder Softwarekomponenten, welche über offizielle und somit augenscheinlich als legitim und sicher betrachte Bezugsquellen bezogen werden. Diese spezialisierte Angriffsvariante wird als Angriff auf die Software-Lieferkette (Software Supply Chain Attack) bezeichnet. Mit dem SolarWinds-Hack, welcher im Dezember 2020 bekannt wurde, gelangte diese Angriffsform – wegen ihrer immensen Tragweite [3] – zu unrühmlicher, weltweiter Bekanntheit [4]. Ein weiterer prominenter Vertreter dieser Kategorie ist der Kaseya-Hack [5][6], welcher Anfang Juli 2021 in der Verschlüsselung von IT-Systemen von bis zu 1.500 Kunden gipfelte. Angriffe dieser Art erfahren gerade einen exponentiellen Anstieg. Im Zeitraum von 2020 auf 2021 wurden im Vergleich zum Vorjahreszeitraum 650% [7] mehr Angriffe verzeichnet. Lieferkettenangriffe gegen Information und Kommunikationstechnik (ICT) gehen über alle Phasen des Lebenszyklus (Design -> Entwicklung und Produktion -> Distribution -> Akquisition und Verteilung -> Wartung -> Entsorgung) [8].

Folgende Angriffsvarianten finden nach [9] Anwendung bei einem Lieferkettenangriff:

  1. Kompromittierung der Software von Drittanbietern, unabhängig davon, ob es sich um Bibliotheken oder Abhängigkeiten (Dependencies) handelt.*
  2. Ein vorgelagerter Lieferant ist kompromittiert und verteilt Software-Updates mit Schadcode. Der SolarWinds-Hack fällt in diese Kategorie.
  3. Kompromittierung eines Managed Service Provider (MSP), sei es ein Dienst oder Software. Der Kaseya-Hack fällt in diese Kategorie.
  4. Injektion von Schadcode in Inhalte, die über Content Delivery Networks (CDN) verteilt werden.
  5. Kompromittierung des legitimen Zugangs eines Geschäfts-/Vertragspartners auf privilegierte Ressourcen.
  6. Ein Angriff auf die physische Lieferkette, bei dem ein manipulierter Chip bzw. Modul in ein kommerzielles Produkt implantiert wird, bevor es vom Hersteller ausgeliefert wird.

* Dieses Kompromittierung untergliedert sich in:

  • Echte (kritische) Schwachstelle in einem Softwarepaket eines Drittanbieters, wie die im Dezember 2021 bekannt gewordenen schwerwiegenden Schwachstellen in der Open-Source-Bibliothek log4j fallen hierunter [10].
  • ‎Eingepflanzter Schadcode in Drittanbieter-Software via Dependency Confusion (Namespace Confusion) [7], Typosquatting [7, S. 11], Malicious Commit/Malicious Source Code Injections [7, S. 11] oder RepoJacking [11].
  • ‎Manipulation eines IT-Dienstes eines Drittanbieters, nicht die Software selbst, vgl. Codecov Supply Chain Attack [12].

Referenzen

  1. Gillis, Alexander S.: Definition Lieferkettenangriff, https://www.computerweekly.com/ de/definition/Lieferkettenangriff, November 2021
  2. Brathwaite, Shimon: The Rise of Island Hopping Attacks, https://www.softwaresecured.com/ the-rise-of-island-hopping-attacks/, 06. Juni 2022
  3. Byres, Eric: Three Things the SolarWinds Supply Chain Attack Can Teach Us, https: //blog.adolus.com/three-things-the-solarwinds-supply-chain-attack- can-teach-us, 18. Dezember 2020
  4. Wellbrock, Bianca: SolarWinds-Hack: Cyberattacke sorgt für globale Alarmstimmung, https://www.psw-group.de/blog/solarwinds-hack-cyberattacke, 14. Januar 2021
  5. Whittaker, Zack: Kaseya hack floods hundreds of companies with ransomware, https: //techcrunch.com/2021/07/05/kaseya-hack-flood-ransomware/, 6. Juli 2021
  6. Spiegel (Hrsg.): Kaseya-Hack: Von 70 Millionen Dollar auf Null, https://www.spiegel.de/ netzwelt/web/kaseya-hack-von-70-millionen-dollar-auf-null-a-deeef8ef-f15f-4817-b69d-dcb474ce12f1, 27. Juli 2021
  7. sonatype (Hrsg.): 2021 - State of the Software Supply Chain - 7. Jahresbericht zur welt- weiten Entwicklung von Open-Source-Software, https://www.sonatype.com/hubfs/SSCR%202021%20INT%20German%20French/SSSC-Report-2021-DE_Oct12.pdf, October 2021
  8. Cybersecurity and Infrastructure Security Agency (CISA) (Hrsg.): Defending Against Software Supply Chain Attacks, https://www.cisa.gov/sites/default/files/publications/defending_against_software_supply_chain_attacks_508_1.pdf, April 2021
  9. Risk Based Security (Hrsg.): Is the Kaseya Hack Actually a Supply Chain Attack?, https://www.riskbasedsecurity.com/2021/07/14/is-the-kaseya-hack-actually-a-supply-chain-attack/, 14. Juli 2021
  10. Haas, Thomas Philipp: Log4J shows: Dangerous Supply chain attacks are becoming in- creasingly popular with attackers, https://www.itsa365.de/en/news-knowledge/2022/interview/log4j-shows-dangerous-supply-chain-attacks-are-becoming-increasingly-popular-with-attackers, 21. Februar 2022
  11. Ilgayev, Alex: TypoSquatting, RepoJacking, and Domain Takeover, https://cycode.com/blog/typosquatting-repojacking-domain-takeover/, 1. Juni 2022
  12. Hope, Alicia: Codecov Supply Chain Attack Remained Undetected For Months and Potentially Affected Major Companies Including Google, IBM, HP, and Others, https://www.cpomagazine.com/cyber-security/codecov-supply-chain-attack-remained-undetected-for-months-and-potentially-affected-major-companies-including-google-ibm-hp-and-others/, 30. April 2021