Die 10 größten Supply-Chain-Angriffe, die die Welt erschütterten

Der Anstieg in Angriffe auf die Lieferkette ist nicht hypothetisch; alarmierende Statistiken belegen diese neue Angriffshäufigkeit. Der Einsatz von Open-Source-Komponenten und Drittanbieter-Software ist zwar entscheidend für kürzere Entwicklungszeiten und operative Flexibilität, birgt aber erhebliche Risiken.

Aufgrund dieser Abhängigkeit von externem Code, von verschiedenen Anwendungen und von mehreren Organisationen kann ein Angriff auf eine Basisbibliothek schnell zu Tausenden anfälliger Software-Stacks eskalieren. 

Angriffe auf die Lieferkette können als eine hochentwickelte Form von Cyber-BedrohungSie zielen auf das komplexe Beziehungsnetzwerk zwischen einem Unternehmen und seinen Lieferanten, Zulieferern und Drittanbietern ab. Aufgrund der vernetzten digitalen Lieferketten, die sich oft über mehrere Unternehmen, Regionen und Systeme erstrecken, nutzen diese Angriffe Schlupflöcher aus. 

Die Angriffe

Die Angriffstechniken haben sich stark diversifiziert, mit Typosquatting, Abhängigkeitsverwirrung, Protestware und die Einschleusung von Schadcode stellen Cybersicherheitsspezialisten vor neue Herausforderungen und erfordern besondere Überlegungen. Hier untersuchen wir die jüngsten Angriffe auf die Lieferkette mit ihren massiven Folgen. 

1. Angriff auf die Discord-Bot-Plattform (März 2024)

   Die Top.gg-Bot-Community von Discord mit über 170,000 Mitgliedern ist von einem Supply-Chain-Angriff betroffen, der darauf abzielte, Entwickler mit Malware zu infizieren, die vertrauliche Informationen stiehlt. Im Laufe der Jahre hat der Angreifer verschiedene Taktiken, Verfahren und Techniken eingesetzt, darunter GitHub kapern Konten, Verbreitung schädlicher Python-Pakete, Verwendung einer gefälschten Python-Infrastruktur und Social Engineering. Top.gg wurde mit einer informationsstehlenden Malware infiziert, nachdem ein bösartiger Klon eines Tools namens Colorama heruntergeladen wurde.

2. Okta-Lieferkettenangriff (Oktober 2023)

   Okta, ein Anbieter von Authentifizierungs- und Identitätsmanagement-Diensten, berichtete im Oktober 2023, dass Angreifer Zugriff auf private Kundendaten erhalten könnten, indem sie sich Zugangsdaten für das Kundensupport-Managementsystem verschaffen. In aktuellen Support-Fällen konnten die Angreifer Dateien einsehen, die von bestimmten Kunden hochgeladen wurden.

3. Angriff auf die Lieferkette von JetBrains (September/Oktober 2023)

   Im Dezember warnten Regierungsvertreter, dass die Solarwind Angreifer nutzten eine kritische Sicherheitslücke in den TeamCity-Servern von JetBrains aus. Die kritische Sicherheitslücke zur Umgehung der Authentifizierung erregte aufgrund ihrer potenziellen Auswirkungen und ihres hohen Schweregrads Aufmerksamkeit.

   Nicht authentifizierte Eindringlinge mit HTTP(S) Zugriff kann diese Schwachstelle ausnutzen, um die administrative Kontrolle über betroffene Server zu erlangen und Remotecode auszuführen, was einen potenziellen Vektor für Supply-Chain-Angriffe darstellt. Dieser Angriff wurde von einem russischen Bedrohungsakteur namens Cozy Bear durchgeführt, der mit dem russischen Auslandsgeheimdienst (SVR RF) in Verbindung steht.

   Bei dem Angriff verschafften sich Angreifer Administratorzugriff auf den Server und nutzten Remote-Codeausführung. Es war keine Benutzerinteraktion erforderlich, da viele große Softwareunternehmen TeamCity-Server für ihre CI / CD, wobei über 3,000 direkt betroffen waren.

4. MOVEit-Lieferkettenangriff (Juni 2023)

   Im Juni wurde der MOVEit-Supply-Chain-Angriff ausgeführt, der sich gegen Nutzer des MOVEit-Transfer-Tools der US-amerikanischen Progress Software richtete. MOVEit ist für die sichere Übertragung sensibler Dateien konzipiert und erfreut sich in den USA großer Beliebtheit. Die Ransomware Die Gruppe Cl0p wurde mit dem Angriff in Verbindung gebracht.

   Die Angreifer nutzten EWIs (Exposed Web Interfaces), um erheblichen Schaden anzurichten. Die webbasierte MOVEit-App wurde mit einer Web-Shell namens LEMURLOOT infiziert, die dann zum Diebstahl von Daten aus MOVEit-Übertragungsdatenbanken verwendet wurde.

5. 3CX-Lieferkettenangriff (März 2023)

   Im März zielte der 3CX-Angriff auf macOS- und Windows-Desktop-Anwendungen ab und weckte Bedenken hinsichtlich der Sicherheit und Integrität der Software-Lieferkette. Die Cyberkriminellen kompromittierten die Anwendung mithilfe einer infizierten Bibliotheksdatei, die anschließend eine verschlüsselte Datei mit Befehls- und Steuerungsinformationen herunterlud. Dies ermöglichte den Angreifern, böswillige Aktivitäten in der Umgebung des Opfers auszuführen.

6. Angriff auf die Microsoft-Lieferkette (Februar 2023)

   Im Februar hat 2023, a Angriff auf die Software-Lieferkette Auch Microsoft war betroffen. Der Angriff nutzte eine Schwachstelle in Jfrog Artifactory aus, einem Binär-Repository-Manager, den Microsoft zur Verteilung und Speicherung seiner Softwarekomponenten verwendet.

   Die Angreifer verschafften sich Zugriff auf Jfrog Artifactory und schleusten Schadcode in einige Softwarekomponenten von Microsoft ein, wodurch sie auf das Netzwerk von Microsoft zugreifen und gleichzeitig Quellcode und andere vertrauliche Informationen stehlen konnten.

7. Norton Supply Chain-Angriff (Mai 2023)

   Nortons bekannteste Software ist der weit verbreitete Antivirus. Auch sie wurde im Mai 2023 angegriffen. Der Angriff nutzte eine Zero-Day-Sicherheitslücke in MOVEit Transfer, einer MFT-Software (Managed File Transfer), die Nortons Muttergesellschaft für den Datentransfer zwischen Privatkunden und Büros nutzt. Die Angreifer verschafften sich Zugang zum Netzwerk von Norton und stahlen persönliche Daten und Details der Mitarbeiter. Sie drohten zudem mit der Freigabe der gestohlenen Daten, falls Norton kein Lösegeld zahlte.

8. Angriff auf die Lieferkette von Airbus (Januar 2023)

   Airbus wurde im Januar 2023 ebenfalls von einem Bedrohungsakteur namens USDoD angegriffen. Das US-Verteidigungsministerium bestätigte, dass der Angriff über ein kompromittiertes Mitarbeiterkonto bei Turkish Airlines, einem Airbus-Kunden, durchgeführt wurde. Der Bedrohungsakteur konnte auf das Konto des Mitarbeiters zugreifen und sich Zugang zu den Airbus-Systemen verschaffen.

   Der Datendiebstahl umfasste personenbezogene Daten von über 3000 Airbus-Lieferanten, darunter Rockwell Collins und die Thales Group. Der Datendump umfasste Namen, Telefonnummern und E-Mail-Adressen.

9. SolarWinds (Ende 2020)

   Ende 2020 stellte SolarWinds Software bereit, die Schadsoftware enthielt, die dazu bestimmt war, gemeinsam mit sensiblen Informationen installiert zu werden. Die Kunden vertrauten voll und ganz auf die signierte Software und gingen davon aus, dass sie frei von Schadcode und Viren war, da sie seit der Signierung, Entwicklung und Auslieferung durch SolarWinds nicht verändert worden war.

   Die Angreifer platzierten die Sunspot-Malware jedoch in das von SolarWinds genutzte IT-Überwachungssystem Orion und die Verwaltungssoftware. SolarWinds signierte die Malware digital und nutzte sie dann, um über 18,000 private Geschäftskunden und die Regierung zu infiltrieren.

   Die Malware sammelte Informationen aus den infizierten Netzwerken und sendete Daten an einen Remote-Server. Verantwortlich für diesen Angriff war erneut Cozy Bear, der mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung steht.

10. ShadowHammer/ASUS (2019)

    Im Jahr 2019 wurden taiwanesische Computerhersteller Opfer von Angreifern, die kritische Code-Signaturschlüssel auf ihrem Web-Update-Server fanden. Die Eindringlinge fügten legitimen ASUS-Updates Schadsoftware hinzu, die mit den Code-Signaturschlüsseln von ASUS signiert war, und infizierten so eine Million ASUS-Computer.

    Die ShadowHammer-Angriffe ereigneten sich über einen Zeitraum von sechs Monaten. Sie betrafen ASUS-Notebook-Kunden, die die Live-Update-Funktion aktiviert hatten. Dabei handelt es sich um ein Dienstprogramm, das automatisch nach neuen Firmware- und Software-Updates von ASUS sucht und diese installiert.

Aktuelle Trends bei Code Signing-Angriffen 

Codesignatur Bei Angriffen auf die Lieferkette gibt es in letzter Zeit bemerkenswerte Trends, da die Angreifer ihre Taktiken ständig weiterentwickeln. Das Verständnis dieser Trends ermöglicht es Unternehmen, wachsam zu bleiben und wirksame Sicherheitsmaßnahmen zu implementieren.

• Vergiftung der Lieferkette

  Cyberkriminelle zielen zunehmend auf die Software-Lieferkette ab, indem sie während der Verteilung oder Erstellung schädlichen Code in legitime Softwarepakete einschleusen. Diese Vergiftungstechnik ermöglicht es ihnen, herkömmliche Sicherheitsmaßnahmen zu umgehen und kompromittierte Software an Benutzer zu verteilen.

• Zertifikatsmissbrauch und -fälschung

  Angreifer haben Schwachstellen in der Bescheinigung Infrastruktur zum Fälschen und Missbrauchen Code-Signing-ZertifikateSie stehlen entweder legitime Zertifikate von Entwicklern oder erstellen gefälschte Zertifikate, die authentisch erscheinen. Mit diesen Taktiken können sie Schadsoftware signieren und Benutzer glauben machen, dass die Software aus einer authentischen Quelle stammt.

• Gezielte Angriffe auf hochwertige Software

  Cyberkriminelle konzentrieren sich zunehmend auf hochwertige Software, wie weit verbreitete Betriebssysteme, kritische Infrastruktursoftware oder Unternehmensanwendungen. Die Kompromittierung des Code-Signatur-Verfahrens für solche Software kann schwerwiegende Folgen haben und es Eindringlingen ermöglichen, in zahlreiche Organisationen einzudringen und erheblichen Schaden anzurichten.

Finanzielle Auswirkungen und Auswirkungen auf die Wiederherstellungszeit von Angriffen auf die Lieferkette 

Obwohl die Gesamtkosten dieser Datenschutzverletzungen schwer zu beziffern sind, wissen wir, dass Datenschutzverletzungen kostspielig sind. Diese Angriffe auf die Lieferkette und die damit verbundenen Datenschutzverletzungen kosten 4.45 Mio. USD. Wir haben jedoch in letzter Zeit Verstöße mit geschätzten Kosten, die dieses Gleichgewicht in Zukunft beeinflussen könnten. 

Zu den direkten Kosten von Datenschutzverletzungen zählen Behebungsmaßnahmen und Untersuchungen, Bußgelder, Rechtsstreitigkeiten, forensische Prüfungen, Erstattungsforderungen von Banken, gerichtliche Vergleiche, Kundendienstkosten und Maßnahmen zur Schadensbegrenzung. 

Lange Wiederherstellungszeiten wirken sich auch auf die Gesamtkosten einer Datenpanne aus. Ein großer Gesundheitsdienstleister spürt dies deutlich, da die Wiederherstellungszeit nach der Datenpanne in die Länge gezogen wird. Die Kosten für die Aufholjagd würden nach der Datenpanne weiter steigen. Deshalb ist es wichtig, unternehmensweit nur die Ausführung von freigegebenem Code zuzulassen. 

Wie kann Code-Signing genutzt werden, um Unternehmen vor diesen Bedrohungen zu schützen? 

1. Ursprungsüberprüfung

   Die Ursprungsüberprüfung im Codesigning ist eine Sicherheitsmaßnahme, die sicherstellt, dass der Code aus einer authentischen Quelle stammt, bevor er signiert und verteilt wird. Sie umfasst Details zum Quellrepository und seinen Validierungskomponenten, wie z. B. Build-Informationen, Commit und Branch.

   Dieses Verfahren trägt dazu bei, das Risiko eines unbefugten Zugriffs auf Schadcode oder Codeänderungen zu verringern. Dies sorgt für zusätzliche Sicherheit und Vertrauen im Softwareverteilungs- und -entwicklungsprozess.

   Diese Funktion ist für den Einsatz in Umgebungen konzipiert, die hohe Sicherheitsanforderungen erfüllen und Compliance-Standards einhalten müssen, um die Sicherheit sowohl für Endbenutzer als auch für Entwickler zu gewährleisten.

2. Reproduzierbarer Aufbau

   Reproduzierbare Builds, ein grundlegendes Konzept moderner Softwareentwicklung, gewährleisten die Sicherheit, Konsistenz und Zuverlässigkeit von Anwendungs-Builds. Mit reproduzierbaren Builds kann jeder Versuch, den Anwendungscode zu ändern, leicht erkannt werden. Dies bietet einen robusten Schutz vor böswilligen Angriffen und gewährleistet gleichzeitig die Integrität der App-Entwicklungslösung.

3. Build-Überprüfung

   Build-Verifizierungstests (BVT) werden für jeden neuen Build durchgeführt, um dessen Stabilität und Testbereitschaft zu prüfen. Sie bestehen aus Testfällen, die die Kernfunktionen des Software-Builds validieren. Jeder Build, der den BVT nicht besteht, wird abgelehnt und zur Lösung an die Entwickler zurückgeschickt.

   BVT ermöglicht die Minderung von Risiken, die mit dem Systemverhalten verbunden sind. Es identifiziert potenzielle Risiken wie Datenverlust, Sicherheitslücken oder fehlerhafte Funktionalität, indem es das erwartete Verhalten anspricht und validiert, bevor das System in der Produktion eingesetzt wird.

Warum sollten Sie CodeSign Secure vertrauen, um diese Angriffe zu vermeiden? 

Es gibt mehrere Gründe, warum Sie sich für CodeSign Secure für die Durchführung Ihrer Codesigning-Operationen:

• CodeSign Secure hilft Verbrauchern, immer einen Schritt voraus zu sein, indem es eine sichere Codesigning-Lösung mit manipulationssicherer Schlüsselspeicherung, vollständiger Kontrolle und Einblick in die Codesigning-Aktivitäten bietet.
• Die privaten Schlüssel des Codesigning-Zertifikats können in einem HSM, wodurch das Risiko beschädigter, missbrauchter oder gestohlener Schlüssel eliminiert wird. 
• Durch clientseitiges Hashing wird die Build-Leistung sichergestellt und gleichzeitig unnötige Dateibewegungen vermieden, was zu mehr Sicherheit führt. 
• Es bietet außerdem eine nahtlose Authentifizierung über clientseitiges Hashing, Geräteauthentifizierung, Multi-Faktor-Authentifizierung, mehrstufige Genehmiger-Workflows und mehr. 
• Unterstützung für InfoSec-Richtlinien zur Verbesserung der Lösungsakzeptanz, während verschiedenen Geschäftsteams gleichzeitig ein eigener Workflow für die gemeinsame Entwicklung ermöglicht wird. 
• Es ist außerdem mit einem hochmodernen clientseitigen Hash-Signaturmechanismus ausgestattet, wodurch weniger Daten über das Netzwerk übertragen werden. Dies macht es zu einem hocheffizienten Codesignationssystem für die komplexen kryptografischen Operationen, die im HSM stattfinden. 

Fazit 

Die Untersuchung der zehn schwerwiegendsten Supply-Chain-Angriffe mit weltweitem Echo zeigt deutlich, dass Ausmaß und Raffinesse dieser Cyberbedrohungen zunehmen. Die im Blog erwähnten Vorfälle verdeutlichen die Schwachstellen, denen Unternehmen bei der Sicherung ihrer Vermögenswerte ausgesetzt sein können – von der Einschleusung von Schadcode bis hin zur Ausnutzung von Zertifikatsinfrastrukturen.

Die Antwort auf diese wachsende Bedrohung liegt in der Anwendung sicherer Codesign-Praktiken und der Förderung eines tieferen Verständnisses der mit der Softwareentwicklung und -verteilung verbundenen Risiken. CodeSign Secure arbeitet für Sie, indem es Ihre Sicherheitslage bei der gemeinsamen Gestaltung verbessert und gleichzeitig Vertrauen, Integrität und Sicherheit in dieser sich entwickelnden digitalen Landschaft aufrechterhält.