IT-Security

Neue Gefahr: Supply-Chain-Angriffe

17. Dezember 2019 von PSW GROUP Redaktion
supply-chain-angriffe-malware
© Bits and Splits - Adobe Stock

5
(2)

Supply-Chain-Angriffe sind ein neuer Trend und äußerst gefährlich für Unternehmen: Hacker injizieren schädlichen Code in Software, sodass eigentlich legitime Apps zum Verteilen von Malware genutzt werden können. Einmal ins System eingedrungen, lässt sich das Ausmaß des entstehenden Schadens oft erst im Nachhinein bewerten. Wir klären auf über Supply-Chain-Angriffe und zeigen Ihnen Schritte zur Prävention auf.

Supply-Chain-Angriffe werden häufiger

Supply Chain lässt sich mit Beschaffungs- oder Lieferkette übersetzen. Daraus lassen sich erste Informationen bereits ableiten: Diese neue Art der Bedrohung von Supply-Chain-Angriffen (SCA) zielen auf Softwareentwickler und Lieferanten ab. Das Ziel eines solchen Angriffs besteht darin, legitime Apps zum Verteilen von Malware auszunutzen, wofür die Angreifer direkt in den Quellcode eingreifen.

Das kann für Sie bedeuten, dass Dienste oder Programme, die Sie seit Jahren problemlos verwenden, plötzlich schädlich werden können. Die Angreifer, die diese Methode nutzen, sind auf der Jagd nach unsicheren Netzwerkprotokollen sowie ungeschützten Servern oder Infrastrukturen und unsicheren Codes. Quellcodes werden von den Angreifern unterbrochen oder verändert, sodass Malware in Build- und Update-Prozessen eingeschleust werden kann.

Supply-Chain-Angriffe gehören zweifelsfrei zu den gefährlichsten Infektionsmethoden, die in den letzten Jahren den Markt erschüttert haben. Man konnte sie vorrangig bei fortschrittlichen Cyberangriffen wie „ShadowPad“ oder „CCleaner“ beobachten (s. u.). Angriffe dieser Art zielen auf Hackern bekannte Schwächen innerhalb vernetzter Systeme ab, an denen in aller Regel menschliche sowie organisatorische und materielle Ressourchen beteiligt sind: Angefangen bei der ersten Entwicklungsphase bis hin zum Endnutzer.

Man unterscheidet verschiedene Arten von Supply-Chain-Attacken:

  • Schädliche, jedoch signierte Apps unter Nutzung der Identität der dev Company
  • Aktualisierte Infrastruktur oder kompromittierte Software-Gebäude-Tools
  • Spezieller, jedoch kompromittierter Code, der über Hard- oder Firmware-Komponenten mitgeliefert wurde
  • Geräte mit vorinstallierter Malware wie Smartphones, Tablets, USB-Sticks, Kameras, etc.

ShadowPad und NotPetya: zwei bekannte Supply-Chain-Angriffe

Im Jahr 2017 gab es mit ShadowPad einen brisanten Vorfall: Innerhalb des Codes der Netzwerk-Administrations-Software vom koreanischen Hersteller NetSarang befand sich 17 Tage lang eine ausgeklügelte Hintertür. Angreifer erlangten über diese die volle Kontrolle übers Netzwerk der Anwender. Von dieser Hintertür waren die Programme Xmanager, Xshell, Xlpd sowie Xftp betroffen. Die trojanisierte Software soll von hunderten großen Firmen eingesetzt werden, darunter Pharmaunternehmen und Energielieferanten, aber auch Banken.

Für die Entdeckung der Hintertür waren Forscher des Sicherheitsanbieters Kaspersky zuständig. Konkret fanden diese eine Hintertür im Netzwerk eines Geldinstituts in Hongkong. Untersuchungen zeigten, dass verdächtige DNS-Aufrufe von der NetSarang-Software ausgingen; einem Management-Tool für Unix- und Linuxserver.

Die Kaspersky-Forscher zeigten sich beeindruckt davon, mit welchem technischen Geschick die Hintertür umgesetzt wurde. So bestand der Schadcode aus verschiedenen verschlüsselten Modulen, die nur, wenn sie auch wirklich benötigt werden, on-the-fly entschlüsselt wurden. Dies sollte dem Enttarnen des Trojaner-Codes durch Sicherheitssoftware vermeiden. So gelang es, die Schadcodes nur zu aktivieren, nachdem ein Zielrechner des Opfers vom Kontrollserver der Cyberkriminellen ein bestimmtes Paket empfangen hatte.

Kaspersky taufte den Angriff ShadowPad. Schon lange warnen Sicherheitsforscher vor Angriffen dieser Art, die jedoch in freier Wildbahn Seltenheitswert hatten. Bis es zum Ausbruch des Trojaners NotPetya kam.

NotPetya wurde im Juni 2017 über den Update-Mechanismus legitimier Finanzsoftware verteilt. Hier kamen gefälschte Zertifikate zum Einsatz, die durch den Update-Mechanismus bereits legitimierter Software nicht mehr richtig geprüft wurden. Die Folge war trojanisierter Schadcode – mit gültigen Zertifikaten von NetSarang signiert.

NetSarang selbst hatte den Angriff auf die eigenen Server später bestätigt. Außerdem hat man eine komplett neue Infrastruktur für das Vorbereiten und Ausliefern von Updates bereitgestellt und veraltete Systeme komplett neu aufgesetzt.

Der CCleaner-Vorfall

Als eines der bekanntesten Programme zum Bereinigen der Systemregistrierung wird CCleaner sowohl von Heimanwendern als auch von Systemadministratoren häufig verwendet. Im Jahr 2017 jedoch kompromittierten Angreifer die Kompilierungsumgebung der Programmentwickler. Mehrere Versionen der Software wurden mit einer Backdoor versehen. Der verschlüsselte Schadcode befand sich Sicherheitsforschern zufolge in der Initialisierungsroutine des Programms.

Beim Start der Programmausführung wurde eine Dynamic Link Library (DLL) extrahiert; sie lief in einem eigenen Thread im Kontext der Anwendung. Hier werden verschiedene Informationen gesammelt: Name des Rechners, laufende Prozesse, installierte Software, Admin-Privilegien oder die MAC-Adresse. Diese Informationen wurden an einen entfernten Command-and-Control-Server gesendet.

Eben dieser Server sei den Sicherheitsforschern zufolge auch in der Lage, über die Backdoor eine weitere Payload auf den kompromittierten Computer zu schleusen. Piriform, Hersteller des CCleaner, mittlerweile übernommen durch den AV-Hersteller Avast, erklärte, dass der als Kommandozentrale genutzte Server kurze Zeit später offline sei. Es gäbe weitere potenzielle Angriffsserver, die sich jedoch außerhalb des Kontrollbereichs der Angreifer befänden. Auch wenn zügig reagiert wurde: die kompromittierten Versionen wurden einen Monat lang über die offizielle Website des Anbieters verteilt. In dieser Zeit wurde der CCleaner 2,27 Millionen Mal heruntergeladen.

Operation ShadowHammer

Wieder waren es die Forscher von Kaspersky Lab, die mit ShadowHammer einen gefährlichen Supply-Chain-Angriff aufdecken konnten. Diesmal hatten es die Angreifer auf das Programm ASUS Live Update Utility abgesehen: zwischen Juni und November 2018 wurde eine Backdoor ins Update-Programm injiziert. Offenbar waren weltweit mehr als eine Million Nutzer davon betroffen.

Die Angreifer nutzten gestohlene digitale Zertifikate, die ASUS fürs Signieren legitimer Binärdateien verwendet. So gelang es, ältere Versionen der auf vielen ASUS-Rechnern vorinstallierten Software zu manipulieren und eigenen bösartigen Code zu injizieren. Kaspersky führt aus: „Die Trojaner-Version des Dienstprogramms wurde mit legitimen Zertifikaten signiert und auf offiziellen ASUS-Update-Servern gehostet und verteilt. Dies machte sie für die überwiegende Mehrheit von IT-Sicherheitslösungen weitgehend unsichtbar.“

Die Operation „ShadowHammer“ war zielgerichtet angelegt: Die Backdoor-Codes enthielten eine Tabelle mit fest kodierten MAC-Adressen. Wurde eine Backdoor auf einem Gerät ausgeführt, wurde die MAC-Adresse des ausführenden Rechners mit der Tabelle abgeglichen. Stimmten die Einträge überein, lud die Malware weitere bösartige Codes herunter. Gab es keine Übereinstimmung, zeigte das Update-Programm keinerlei Netzwerkaktivität – deshalb dauerte die Entdeckung auch so lange an.

Kaspersky setzte ASUS und weitere Anbieter über seine Entdeckung in Kenntnis. Vitaly Kamluk, Director of Global Research and Analysis Team bei Kaspersky Lab erklärt: „Die betroffenen Anbieter sind äußerst attraktive Ziele für APT-Gruppen [Anm. d. Redaktion: APT = Advanced Persistent Threat), die von deren großem Kundenstamm profotieren wollen. Es ist noch nicht ganz klar, was das ultimative Ziel der Angreifer war und wir untersuchen noch immer, wer hinter dem Angriff steckt. Allerdings deuten die Techniken zur unbefugten Codeausführung sowie andere entdeckte Artefakte darauf hin, dass ShadowHammer wahrscheinlich mit BARIUM APT zusammenhängt, das zuvor unter anderem mit den ShadowPad- und CCleaner-Vorfällen verbunden war. Diese neue Kampagne ist ein weiteres Beispiel dafür, wie komplex und gefährlich ein raffinierter Supply-Chain-Angriff heute sein kann.“

Angriffe mit hoher Sorgfalt

Wie unsere Beispiele zeigen, sind Supply-Chain-Angriffe höchst komplex und in aller Regel zielgerichtet. Da SCA immer häufiger in Anwendungen beobachtet werden, müssen auch IT-Sicherheitsexperten am Ball bleiben. Christian Funk, Head of Global Research & Analyses Team DACH bei Kaspersky, ist von der Professionalität der Angriffe, insbesondere der Operation „ShadowHammer“ nachhaltig beeindruckt: „Wir sprechen vom obersten einen oder 0,1 Prozent der Angreifer, was die Raffinesse betrifft“, betont Funk.

Das Verschleiern der Spuren war so geschickt gemacht, dass sich kaum nachvollziehen ließ, woher der Angriff kam oder wer die eigentlichen Ziele waren. Allenfalls hätten Daten, die vom Kontrollserver ausgelesen werden, darüber Aufschluss geben können. Undurchsichtig ist nach wie vor, auf wen es die Macher von ShadowHammer und anderen Supply-Chain-Angriffen abgesehen haben und was sie erreichen möchten. Funk mutmaßt, die Akteure hinter ShadowHammer hätten es auf Daten und Informationen abgesehen – auf welche, ist jedoch auch ihm unklar. „Möglicherweise gibt es kein definitives Endziel, sondern das ist eher heuschreckenartig“, orakelt Funk.

Supply-Chain-Angriffe werden noch unterschätzt

In seiner weltweiten Umfrage „The Impossible Puzzle of Cybersecurity“ zeigt der Sicherheitsanbieter Sophos, wie IT-Manager Risiken bewerten:

  • 75 % betrachten Software-Exploits, ungepatchte Schwachstellen und/ oder Zero-Day-Bedrohungen als höchstes Sicherheitsrisiko
  • 50 % sehen Phishing als höchste Gefahr
  • lediglich 16 % sehen Supply-Chain-Angriffe als Risiko für die IT-Sicherheit

Eine weitere Studie von Hiscox zeigt, dass gerade KMU gegen steigende Angriffszahlen zu kämpfen haben. In sämtlichen Ländern, in denen Hiscox untersuchte, wurden bereits 47 Prozent der Kleinbetriebe und 63 Prozent der mittelständischen Betriebe Opfer von Cyberattacken (Vgl. Report 2018: 33 Prozent der kleinen, 36 Prozent der mittleren Betriebe). Der zunehmenden Vernetzung in Unternehmen sei es zu verdanken, dass Cyberkriminelle mehr potenzielle Einfallstore fänden, um so in fremde Systeme zu gelangen. Insbesondere die digitalisierte Lieferkette ist gefährdet: 65 Prozent aller betroffenen Unternehmen wurde diese Lieferkette zum Verhängnis. Die Angreifer nutzten die bestehenden Verbindungen zu den Zulieferern, um sich Zugang zu verschaffen.

Christian Funk von Kaspersky Lab geht davon aus, dass es – vollkommen unabhängig von der verwendeten Technik eines Angreifers – nicht untypisch ist, sich über die Zulieferkette zum eigentlichen Angriffsziel vorzuarbeiten. Für Funk ist es auch nicht verwunderlich, dass Angreifer es eher auf KMU als auf Großkonzerne abgesehen haben: „Die gehen davon aus, dass kleinere, oftmals mittelständische Zulieferer leichter zu knacken sind als Großkonzerne, weil sie nicht über solche Ressourcen für IT-Sicherheit verfügen“.

Was können Sie zur Prävention gegen Supply-Chain-Angriffe tun?

Sie sind erschreckend, die Meldungen über Supply-Chain-Angriffe. Jedoch können Sie selbst als Anwender und als Unternehmen oder Organisation das Risiko recht gering halten. Investieren Sie auf allen Ebenen in die IT-Sicherheit: Sicherheitskompetenz, ein entsprechendes Sicherheitsbudget und das Nutzen aktueller Technologien sind mehr als sinnvoll.

Nicht immer entscheiden sich Cyberkriminelle bei Supply-Chain-Angriffen für ein bestimmtes Ziel. Sie selbst können in gewissem Maße sogar mitentscheiden, inwieweit Sie Cyberkriminellen zum Opfer fallen: Verzichten Sie auf Dienste oder Programme, bei denen bekannt ist, dass sie fürs Verteilen von Malware missbraucht werden. Nutzen Sie beispielsweise den CCleaner, entscheiden Sie sich für eine der vielen sauberen Versionen.

Zugegeben, unser Fazit ist nicht besonders originell, aber tatsächlich besteht eine Lösung darin, jedes einzelne Gerät mit Internetzugang zu schützen. Eine weitere besteht darin, die Anwender mit einem Wissen rund um IT-Sicherheit auszustatten, damit die vorhandene Technik sicher genutzt wird, aber auch, um Angriffe wie Phishing oder Social Engineering auszuschließen. Awareness ist eine der stärksten Waffen im Kampf um IT-Sicherheit!

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu