Supply Chain Attack
Angriff auf die Lieferkette (Lieferkettenangriff, Supply Chain Attack)
Ein Supply-Chain-Angriff ist ein indirekt ablaufender Angriff, um illegal Zugriff auf Daten, IT-Systeme und IT-Netze
(a) der Kunden eines Lieferanten/externen Partners respektive
(b) der Nutzer einer Software/-komponente eines Lieferanten
zu erlangen.
Nach [1] wird unter Lieferkette das Netzwerk aller Personen, Organisationen, Ressourcen (z.B. Materialien), Aktivitäten und Technologien verstanden, um ein Produkt herzustellen, zu verkaufen und an den Endkunden auszuliefern. Ein Cyber-Angreifer nutzt dabei die implizite Vertrauensstellung zwischen Lieferant, Hersteller und Kunde aus, um über das schwächste Glied in der Lieferkette a) einen gezielten Angriff gegen ein ausgewähltes Ziel einzuleiten oder b) möglichst viele Kunden zu kompromittieren. Dabei infiltriert der Angreifer üblicherweise zuerst die IT-Systeme bzw. das IT-Netz eines Lieferanten oder externen Partners, um sich anschließend in das IT-Netz seines eigentlichen Opfers vorzuarbeiten. Es handelt sich dabei um eine Form der Island Hopping Attack[2].
Eine besonders gefährliche Form des Lieferkettenangriffs ist die Kompromittierung von Softwarepaketen oder Softwarekomponenten, welche über offizielle und somit augenscheinlich als legitim und sicher betrachte Bezugsquellen bezogen werden. Diese spezialisierte Angriffsvariante wird als Angriff auf die Software-Lieferkette (Software Supply Chain Attack) bezeichnet. Mit dem SolarWinds-Hack, welcher im Dezember 2020 bekannt wurde, gelangte diese Angriffsform – wegen ihrer immensen Tragweite [3] – zu unrühmlicher, weltweiter Bekanntheit [4]. Ein weiterer prominenter Vertreter dieser Kategorie ist der Kaseya-Hack [5][6], welcher Anfang Juli 2021 in der Verschlüsselung von IT-Systemen von bis zu 1.500 Kunden gipfelte. Angriffe dieser Art erfahren gerade einen exponentiellen Anstieg. Im Zeitraum von 2020 auf 2021 wurden im Vergleich zum Vorjahreszeitraum 650% [7, S. 10] mehr Angriffe verzeichnet. Lieferkettenangriffe gegen Information und Kommunikationstechnik (ICT) gehen über alle Phasen des Lebenszyklus (Design -> Entwicklung und Produktion -> Distribution -> Akquisition und Verteilung -> Wartung -> Entsorgung) [8, S. 3].
Folgende Angriffsvarianten finden nach [9] Anwendung bei einem Lieferkettenangriff:
- Kompromittierung der Software von Drittanbietern, unabhängig davon, ob es sich um Bibliotheken oder Abhängigkeiten (Dependencies) handelt.*
- Ein vorgelagerter Lieferant ist kompromittiert und verteilt Software-Updates mit Schadcode. Der SolarWinds-Hack fällt in diese Kategorie.
- Kompromittierung eines Managed Service Provider (MSP), sei es ein Dienst oder Software. Der Kaseya-Hack fällt in diese Kategorie.
- Injektion von Schadcode in Inhalte, die über Content Delivery Networks (CDN) verteilt werden.
- Kompromittierung des legitimen Zugangs eines Geschäfts-/Vertragspartners auf privilegierte Ressourcen.
- Ein Angriff auf die physische Lieferkette, bei dem ein manipulierter Chip bzw. Modul in ein kommerzielles Produkt implantiert wird, bevor es vom Hersteller ausgeliefert wird.
* Dieses Kompromittierung untergliedert sich in:
- Echte (kritische) Schwachstelle in einem Softwarepaket eines Drittanbieters, wie die im Dezember 2021 bekannt gewordenen schwerwiegenden Schwachstellen in der Open-Source-Bibliothek log4j fallen hierunter [10].
- Eingepflanzter Schadcode in Drittanbieter-Software via Dependency Confusion (Namespace Confusion) [7, S. 11], Typosquatting [7, S. 11], Malicious Commit/Malicious Source Code Injections [7, S. 11] oder RepoJacking [11].
- Manipulation eines IT-Dienstes eines Drittanbieters, nicht die Software selbst, vgl. Codecov Supply Chain Attack [12].
Referenzen
- ↑ Gillis, Alexander S.: Definition Lieferkettenangriff, https://www.computerweekly.com/ de/definition/Lieferkettenangriff, November 2021
- ↑ Brathwaite, Shimon: The Rise of Island Hopping Attacks, https://www.softwaresecured.com/ the-rise-of-island-hopping-attacks/, 06. Juni 2022