Top 10 aanvallen op de toeleveringsketen die de wereld schokten

De golf in aanvallen op de toeleveringsketen is niet hypothetisch; alarmerende statistieken ondersteunen dit nieuwe aantal aanvallen. Vertrouwen op open-sourcecomponenten en software van derden is weliswaar cruciaal voor kortere ontwikkeltijden en operationele flexibiliteit, maar brengt aanzienlijke risico's met zich mee.

Door deze afhankelijkheid van externe code, verschillende applicaties en meerdere organisaties, kan een aanval op een basisbibliotheek snel escaleren naar duizenden kwetsbare softwarestacks. 

Aanvallen op de toeleveringsketen kunnen worden beschouwd als een geavanceerde vorm van cyberdreigingZe richten zich op het complexe netwerk van relaties tussen een organisatie en haar leveranciers, leveranciers en externe dienstverleners. Vanwege de onderling verbonden digitale toeleveringsketens, die vaak meerdere organisaties, regio's en systemen beslaan, maken deze aanvallen gebruik van zwakke plekken in de beveiliging. 

The Attacks

De aanvalstechnieken zijn sterk gediversifieerd, met typosquatting, afhankelijkheidsverwarring, protestware en kwaadaardige code-injectie, wat nieuwe uitdagingen en overwegingen met zich meebrengt voor cybersecurityspecialisten. Hier bespreken we de nieuwste supply chain-aanvallen met enorme gevolgen. 

1. Discord Bot Platform-aanval (maart 2024)

   De Top.gg-botcommunity van Discord, met meer dan 170,000 leden, is getroffen door een supply chain-aanval die erop gericht was ontwikkelaars te infecteren met malware die gevoelige informatie steelt. In de loop der jaren heeft de aanvaller verschillende tactieken, procedures en technieken gebruikt, waaronder GitHub kapen accounts, het verspreiden van kwaadaardige Python-pakketten, het gebruiken van een nep-Python-infrastructuur en social engineering. Top.gg werd geïnfecteerd door een informatie-stelende malware na het downloaden van een kwaadaardige kloon van een tool genaamd Colorama.

2. Okta Supply Chain-aanval (oktober 2023)

   Okta, een aanbieder van authenticatie- en identiteitsbeheerdiensten, meldde in oktober 2023 dat kwaadwillenden toegang konden krijgen tot persoonlijke consumentengegevens door inloggegevens te verkrijgen voor het klantenservicesysteem. In recente supportgevallen konden de aanvallers bestanden bekijken die door specifieke klanten waren geüpload.

3. JetBrains Supply Chain-aanval (september/oktober 2023)

   In december waarschuwden regeringsfunctionarissen dat de Zonnewind Aanvallers maakten misbruik van een kritieke kwetsbaarheid in de TeamCity-servers van JetBrains. De kritieke kwetsbaarheid voor het omzeilen van authenticatie trok de aandacht vanwege de potentiële impact en de hoge ernst ervan.

   Niet-geverifieerde indringers met HTTP(S) Access kan deze fout misbruiken om administratieve controle over de getroffen servers te krijgen en code op afstand uit te voeren, wat een potentieel doelwit vormt voor aanvallen op de toeleveringsketen. Deze aanval werd uitgevoerd door een Russische dreigingsactor genaamd Cozy Bear, die banden heeft met de Russische Buitenlandse Inlichtingendienst (SVR RF).

   Bij de aanval kregen kwaadwillenden beheerderstoegang tot de server en maakten ze gebruik van code-uitvoering op afstand. Er was geen gebruikersinteractie nodig, terwijl veel grote softwareorganisaties TeamCity-servers gebruikten voor hun CI / CD, waarvan er ruim 3,000 direct zijn blootgesteld.

4. MOVEit Supply Chain-aanval (juni 2023)

   In juni werd de MOVEit-aanval op de toeleveringsketen uitgevoerd, gericht op gebruikers van de MOVEit Transfer-tool, eigendom van de Amerikaanse organisatie Progress Software. MOVEit is ontworpen om gevoelige bestanden veilig over te dragen en is populair in de VS. ransomware Groep Cl0p wordt in verband gebracht met de aanval.

   De aanvallers gebruikten EWI's (Exposed Web Interfaces) om aanzienlijke schade aan te richten. De webgebaseerde MOVEit-app was geïnfecteerd met een webshell genaamd LEMURLOOT, die vervolgens werd gebruikt om gegevens te stelen uit MOVEit-overdrachtsdatabases.

5. 3CX Supply Chain-aanval (maart 2023)

   In maart richtte de 3CX-aanval zich op macOS- en Windows-desktopapplicaties, wat leidde tot bezorgdheid over de beveiliging en integriteit van de softwareketen. De cybercriminelen compromitteerden de applicatie met een geïnfecteerd bibliotheekbestand, dat vervolgens een versleuteld bestand met command-and-control-informatie downloadde. Dit stelde de aanvallers in staat om schadelijke activiteiten uit te voeren binnen de omgeving van het slachtoffer.

6. Microsoft Supply Chain-aanval (februari 2023)

   In februari 2023, a aanval op de software supply chain Ook Microsoft werd getroffen. De aanval maakte gebruik van een kwetsbaarheid in Jfrog Artifactory, een binaire repositorymanager die Microsoft gebruikt om zijn softwarecomponenten te distribueren en op te slaan.

   De aanvallers kregen toegang tot Jfrog Artifactory en injecteerden schadelijke code in enkele softwarecomponenten van Microsoft. Zo konden ze toegang krijgen tot het netwerk van Microsoft en tegelijkertijd broncode en andere vertrouwelijke informatie stelen.

7. Norton Supply Chain-aanval (mei 2023)

   De meest opvallende software van Norton is de veelgebruikte antivirussoftware. Ook zij werden in mei 2023 aangevallen. De aanval maakte gebruik van een zero-day-kwetsbaarheid in MOVEit Transfer, een MFT-software (Managed File Transfer) die het moederbedrijf van Norton gebruikt om bestanden over te dragen tussen consumenten en kantoren. De aanvallers kregen toegang tot het netwerk van Norton en stalen persoonlijke gegevens en specifieke details van medewerkers. De aanvallers dreigden ook de gestolen gegevens vrij te geven als Norton geen losgeld zou betalen.

8. Aanval op de toeleveringsketen van Airbus (januari 2023)

   Airbus werd in januari 2023 ook aangevallen door een cybercrimineel genaamd USDoD. De organisatie bevestigde dat de aanval was uitgevoerd via een gehackt account van een medewerker bij Turkish Airlines, een van de klanten van Airbus. De cybercrimineel kon toegang krijgen tot het account van de medewerker en zo toegang krijgen tot de systemen van Airbus.

   De datalekken omvatten persoonlijke gegevens van meer dan 3000 Airbus-leveranciers, zoals Rockwell Collins en de Thales Group. De datadump bevatte namen, telefoonnummers en e-mailadressen.

9. SolarWinds (eind 2020)

   Eind 2020 leverde SolarWinds software die malware bevatte die bedoeld was om samen met gevoelige informatie te worden geïnstalleerd. Klanten hadden er alle vertrouwen in dat de ondertekende software die ze ontvingen vrij was van schadelijke code en virussen, omdat deze niet was gewijzigd sinds SolarWinds deze had ondertekend, ontwikkeld en aan hen had geleverd.

   Aanvallers plaatsten de Sunspot-malware echter in het Orion IT-monitoringsysteem en de beheersoftware van SolarWinds. SolarWinds ondertekende het resultaat digitaal, waarmee het vervolgens werd gebruikt om meer dan 18,000 particuliere zakelijke klanten en de overheid te infiltreren.

   De malware verzamelde informatie van de geïnfecteerde netwerken en stuurde deze naar een externe server. Cozy Bear was opnieuw verantwoordelijk voor deze aanval, die verbonden is met de Russische Buitenlandse Inlichtingendienst (SVR).

10. ShadowHammer/ASUS (2019)

    In 2019 werden Taiwanese computerfabrikanten het slachtoffer van aanvallers die kritieke codeondertekeningssleutels op hun webupdateserver vonden. De indringers voegden malware toe aan legitieme ASUS-updates, ondertekend met de codeondertekeningssleutels van ASUS, en infecteerden zo 1 miljoen ASUS-computers.

    De ShadowHammer-aanvallen vonden plaats gedurende een periode van zes maanden. Ze troffen ASUS-notebookgebruikers die de Live Update-functie hadden ingeschakeld, een hulpprogramma dat automatisch nieuwe firmware- en software-updates van ASUS zoekt en installeert.

Recente trends in codeondertekeningsaanvallen 

Code ondertekening Aanvallen op de toeleveringsketen hebben de laatste tijd opvallende trends laten zien, aangezien aanvallers hun tactieken voortdurend ontwikkelen. Inzicht in deze trends kan organisaties in staat stellen waakzaam te blijven en effectieve beveiligingsmaatregelen te implementeren.

• Vergiftiging in de toeleveringsketen

  Cybercriminelen richten zich steeds vaker op de softwaretoeleveringsketen door tijdens de distributie of bouw kwaadaardige codes in legitieme softwarepakketten te injecteren. Deze vergiftigingstechniek stelt hen in staat om conventionele beveiligingscursussen te omzeilen en gecompromitteerde software aan gebruikers te distribueren.

• Misbruik en vervalsing van certificaten

  Aanvallers hebben misbruik gemaakt van kwetsbaarheden in de certificaat infrastructuur om te vervalsen en te misbruiken code-ondertekeningscertificatenZe stelen legitieme certificaten van ontwikkelaars of zijn verantwoordelijk voor het creëren van frauduleuze certificaten die authentiek lijken. Deze tactieken stellen hen in staat om schadelijke software te ondertekenen en gebruikers te misleiden door ze te laten geloven dat deze afkomstig is van een betrouwbare bron.

• Gerichte aanvallen op hoogwaardige software

  Cybercriminelen richten zich steeds meer op waardevolle softwaredoelen, zoals veelgebruikte Oss-software, kritieke infrastructuursoftware of bedrijfsapplicaties. Het schenden van de codeondertekeningsprocedure voor dergelijke software kan grote gevolgen hebben, waardoor indringers talloze organisaties kunnen infiltreren en aanzienlijke schade kunnen aanrichten.

Financiële en hersteltijdgevolgen van aanvallen op de toeleveringsketen 

Hoewel de totale kosten van deze datalekken moeilijk te bepalen zijn, weten we zeker dat datalekken kostbaar zijn. Deze aanvallen op de toeleveringsketen en de bijbehorende datalekken kosten 4.45 miljoen USDWe hebben echter recentelijk gezien inbreuken met geschatte kosten, die de schaal in de toekomst kunnen beïnvloeden. 

De directe kosten van datalekken bestaan ​​onder meer uit herstelmaatregelen en onderzoeken, boetes van toezichthouders, rechtszaken, forensische audits, eisen van banken om de schade te vergoeden, juridische schikkingen, kosten voor klantenservice en maatregelen om de schade te beperken. 

Lange hersteltijden hebben ook invloed op de totale kosten van een datalek. Een grote zorgaanbieder kan deze pijn zeker voelen naarmate de hersteltijd van hun datalek langer wordt. De kosten voor het inhalen van de schade zouden na het datalek verder oplopen. Daarom is het cruciaal om alleen de uitvoering van goedgekeurde code binnen uw organisatie toe te staan. 

Hoe kan code-signing worden ingezet om organisaties te beschermen tegen deze bedreigingen? 

1. Oorsprongverificatie

   Oorsprongverificatie bij codesign kan worden beschouwd als een beveiligingsmaatregel die ervoor zorgt dat de code afkomstig is van een authentieke bron voordat deze wordt ondertekend en gedistribueerd. Het omvat details over de bronrepository en de validerende componenten, zoals build-informatie, commit en branch.

   Deze procedure helpt de risico's van ongeautoriseerde toegang tot kwaadaardige codes of codewijzigingen te verminderen. Dit zorgt voor een extra beveiligingslaag en vertrouwen in het softwaredistributie- en ontwikkelingsproces.

   Deze functie is bedoeld voor gebruik in omgevingen waar een hoge mate van beveiliging is vereist en moet worden voldaan aan nalevingsnormen. Zo wordt de veiligheid van zowel eindgebruikers als ontwikkelaars gewaarborgd.

2. Reproduceerbare bouw

   Reproduceerbare builds, een fundamenteel concept in moderne softwareontwikkeling, garanderen de veiligheid, consistentie en betrouwbaarheid van applicatiebuilds. Met reproduceerbare builds kan elke poging om de code van de applicatie te wijzigen eenvoudig worden gedetecteerd, wat robuuste bescherming biedt tegen kwaadaardige aanvallen en tegelijkertijd de integriteit van de app-ontwikkelingsoplossing waarborgt.

3. Bouwverificatie

   Buildverificatietests (BVT's) worden op elke nieuwe build uitgevoerd om de stabiliteit en gereedheid voor verdere tests te controleren. Ze bestaan ​​uit testcases die de kernfuncties van de softwarebuild valideren. Elke build die niet aan de BVT-test voldoet, wordt afgewezen en teruggestuurd naar de ontwikkelaars voor een oplossing.

   BVT maakt het mogelijk om risico's die samenhangen met het gedrag van het systeem te beperken. Het identificeert potentiële risico's zoals gegevensverlies, beveiligingsproblemen of onjuiste functionaliteit door het verwachte gedrag aan te pakken en te valideren voordat het systeem in productie wordt genomen.

Waarom zou u op CodeSign Secure vertrouwen om deze aanvallen te voorkomen? 

Er zijn verschillende redenen waarom u voor deze optie zou moeten kiezen CodeSign Secure voor het uitvoeren van uw codesigning-bewerkingen:

• CodeSign Secure zorgt ervoor dat consumenten voorop blijven lopen door een veilige codesigningoplossing te bieden met fraudebestendige sleutelopslag, volledige controle en inzicht in codesigningactiviteiten.
• De persoonlijke sleutels van het codesigning-certificaat kunnen worden opgeslagen in een HSM, waardoor het risico op beschadigde, misbruikte of gestolen sleutels wordt geëlimineerd. 
• Client-side hashing zorgt voor betere prestaties en voorkomt onnodige verplaatsing van bestanden, wat zorgt voor een betere beveiliging. 
• Het biedt ook naadloze authenticatie via client-side hashing, apparaatauthenticatie, multi-factorauthenticatie, multi-tier goedkeurderworkflows en meer. 
• Ondersteuning voor InfoSec-beleid om de acceptatie van oplossingen te verbeteren en tegelijkertijd verschillende bedrijfsteams de mogelijkheid te geven om hun eigen workflow voor co-design te hebben. 
• Het is bovendien uitgerust met een geavanceerd hash-ondertekeningsmechanisme aan de clientzijde, waardoor er minder data over het netwerk hoeft te worden verzonden. Dit maakt het een zeer efficiënt codesignsysteem voor de complexe cryptografische bewerkingen die in de HSM plaatsvinden. 

Conclusie 

Nu we de tien meest impactvolle supply chain-aanvallen hebben onderzocht die wereldwijd hun weerslag hebben gehad, is het duidelijk dat de omvang en complexiteit van deze cyberdreigingen toenemen. De in de blog genoemde incidenten onderstrepen de kwetsbaarheden waarmee organisaties te maken kunnen krijgen bij het beveiligen van hun activa, variërend van het injecteren van kwaadaardige codes tot het misbruiken van certificaatinfrastructuren.

De reactie op deze groeiende dreiging ligt in het toepassen van veiligere codesign-praktijken en het bevorderen van een beter begrip van de risico's die gepaard gaan met softwareontwikkeling en -distributie. CodeSign Secure werkt voor u door uw beveiligingshouding bij het co-designen te verbeteren en tegelijkertijd vertrouwen, integriteit en veiligheid te behouden in dit veranderende digitale landschap.