Hacker-Lexikon: Was ist ein
Supply-Chain-Angriff?
Hacker-Lexikon: Was ist ein Supply-Chain-Angriff?
Von NotPetya bis SolarWinds ist es ein
Problem, das nicht bald verschwinden wird.
Bindehautfragen im Bereich der
Cybersicherheit werden seit langem in einfachen Vertrauensbegriffen
beschrieben: Hüten Sie sich vor E-Mail-Anhängen aus unbekannten Quellen
und übergeben Sie keine Anmeldeinformationen an eine betrügerische
Website. Aber zunehmend untergraben ausgeklügelte Hacker dieses
grundlegende Gefühl des Vertrauens und werfen eine paranoia-induzierende
Frage auf: Was ist, wenn die legitime Hardware und Software, aus der Ihr
Netzwerk besteht, an der Quelle kompromittiert wurde?
Diese heimtückische und immer häufigere Form
des Hackens wird als "Lieferkettenangriff" bezeichnet, eine Technik, bei
der ein Gegner bösartigen Code oder sogar eine bösartige Komponente in
ein vertrauenswürdiges Stück Software oder Hardware schlüpft. Durch
Kompromisse bei einem einzelnen Lieferanten können Spione oder Saboteure
ihre Vertriebssysteme kapern, um jede Anwendung, die sie verkaufen,
jedes Software-Update, das sie vertreiben, selbst die physische
Ausrüstung, die sie an Kunden versenden, in Trojanische Pferde
umzuwandeln. Mit einem gut platzierten Eindringen können sie ein
Sprungbrett zu den Netzwerken der Kunden eines Lieferanten erstellen –
manchmal hunderte oder sogar Tausende von Opfern.
"Lieferkettenangriffe sind beängstigend, weil
sie wirklich schwer zu bewältigen sind und weil sie deutlich machen,
dass man einer ganzen Ökologie vertraut", sagt Nick Weaver,
Sicherheitsforscher am International Computer Science Institute der UC
Berkeley. "Sie vertrauen jedem Kreditor, dessen Code sich auf Ihrem
Computer befindet, und Sie vertrauen dem Kreditor jedes Kreditors."
Die Schwere der Bedrohung durch die
Lieferkette wurde im vergangenen Dezember massiv demonstriert, als
bekannt wurde, dass russische Hacker – die später als Mitarbeiter des
Auslandsgeheimdienstes des Landes, bekannt als SVR, identifiziert wurden
– die Softwarefirma SolarWinds gehackt und bösartigen Code in ihr
IT-Management-Tool Orion gepflanzthatten, wodurch Zugriff auf bis zu
18.000 Netzwerke möglich war, die diese Anwendung auf der ganzen Welt
nutzten. Der SVR nutzte diesen Halt, um tief in die Netzwerke von
mindestens neun US-Bundesbehörden einzudringen, darunter die NASA, das
Außenministerium, das Verteidigungsministerium und das
Justizministerium.
Doch so schockierend diese Spionageoperation
auch war, SolarWinds war nicht einzigartig. Schwere Angriffe auf die
Lieferkette treffen Unternehmen auf der ganzen Welt seit Jahren, sowohl
vor als auch seit Russlands kühner Kampagne. Erst im vergangenen Monat
wurde bekannt, dass Hacker ein Software-Entwicklungstool kompromittiert
hatten, das von einer Firma namens CodeCov verkauft wurde und den
Hackern Zugang zu Hunderten von Netzwerken der Opfer gewährte. Eine
chinesische Hackergruppe namens Barium führte in den letzten fünf Jahren
mindestens sechs Supply-Chain-Angriffe durch und versteckte bösartigen
Code in der Software des Computerherstellers Asus und in der
Festplatten-Bereinigungsanwendung CCleaner. Im Jahr 2017 entführten die
russischen Hacker, bekannt als Sandworm, Teil des militärischen
Geheimdienstes GRU des Landes, die Software-Updates der ukrainischen
Buchhaltungssoftware MEDoc und nutzten sie, um sich selbst
verbreitenden, destruktiven Code namens NotPetyazu verdrängen, der
letztlich weltweit 10 Milliarden Dollar Schaden anrichtete – der
teuerste Cyberangriff der Geschichte.
Tatsächlich wurden Supply-Chain-Angriffe
erstmals vor etwa vier Jahrzehnten demonstriert, als Ken Thompson, einer
der Schöpfer des Unix-Betriebssystems, sehen wollte, ob er eine
Hintertür in unixs Login-Funktion verbergen könnte. Thompson pflanzte
nicht nur ein Stück bösartigen Codes, der ihm die Möglichkeit gab, sich
bei jedem System anzumelden. Er baute einen Compiler – ein Tool zum
Verwandeln von lesbarem Quellcode in ein maschinenlesbares, ausführbares
Programm –, das die Hintertür heimlich in die Funktion platzierte, als
sie kompiliert wurde. Dann ging er einen Schritt weiter und beschädigte
den Compiler, der den Compiler kompilierte, so dass selbst der Quellcode
des Compilers des Benutzers keine offensichtlichen Anzeichen von
Manipulationen haben würde. "Die Moral ist offensichtlich", schrieb
Thompson in einem Vortrag, der seine Demonstration 1984 erklärte. "Man
kann Code nicht vertrauen, den sie selbst nicht vollständig erstellt
haben. (Vor allem Code von Unternehmen, die Leute wie mich
beschäftigen.)"
Dieser theoretische Trick – eine Art
Doppelangriff auf die Lieferkette, der nicht nur ein weit verbreitetes
Stück Software, sondern auch die Werkzeuge, mit denen er erstellt wurde
– korrumpiert, ist inzwischen auch Realität geworden. Im Jahr 2015
verteilten Hacker eine gefälschte Version von XCode, einem Tool, das zum
Erstellen von iOS-Anwendungen verwendet wird, das heimlich bösartigen
Code in Dutzende von chinesischen iPhone-Apps gepflanzt hat. Und die
Technik erschien wieder im Jahr 2019, als Chinas Barium-Hacker eine
Version des Microsoft Visual Studio-Compilers korrumpierten, so dass sie
Malware in mehreren Videospielen verstecken ließen.
Der Anstieg der Angriffe auf die Lieferkette,
argumentiert Berkeleys Weaver, könnte zum Teil auf eine verbesserte
Verteidigung gegen rudimentärere Angriffe zurückzuführen sein. Hacker
mussten nach weniger leicht geschützten Eindringstellen suchen. Und
Angriffe auf die Lieferkette bieten auch Skaleneffekte; Hacken Sie einen
Softwareanbieter und Sie können Zugriff auf Hunderte von Netzwerken
erhalten. "Teilweise wollen Sie einen Knall für Ihren Bock, und
teilweise ist es nur, dass Supply-Chain-Angriffe indirekt sind. Deine
eigentlichen Ziele sind nicht, wen du angreifst", sagt Weaver. "Wenn
ihre eigentlichen Ziele hart sind, ist dies vielleicht der schwächste
Punkt, damit Sie in sie eindringen können."
Zukünftige Angriffe in der Lieferkette zu
verhindern, wird nicht einfach sein; Es gibt keine einfache Möglichkeit
für Unternehmen, sicherzustellen, dass die Software und Hardware, die
sie kaufen, nicht beschädigt wurde. Hardware-Lieferkettenangriffe, bei
denen ein Gegner bösartigen Code oder Komponenten physisch in ein Gerät
einpflanzt, können besonders schwer zu erkennen sein. Während ein
Bombenbericht von Bloomberg im Jahr 2018 behauptete, dass winzige
Spionagechips in den SuperMicro-Mainboards versteckt waren, die in
Servern in Amazon- und Apple-Rechenzentren verwendet wurden, bestritten
alle beteiligten Unternehmen die Geschichte vehement – ebenso wie die
NSA. Aber die geheimen Leaks von Edward Snowden enthüllten, dass die NSA
selbst Sendungen von Cisco-Routern entführt und für ihre eigenen
Spionagezwecke hinter die Tür gestellthat.
Die Lösung für Angriffe auf Lieferketten –
sowohl auf Software als auch auf Hardware – ist vielleicht nicht so
technologisch wie organisatorisch, argumentiert Beau Woods, ein
leitender Berater der Cybersecurity and Infrastructure Security Agency.
Unternehmen und Regierungsbehörden müssen wissen, wer ihre Software- und
Hardware-Lieferanten sind, sie überprüfen und sie an bestimmte Standards
halten. Er vergleicht diese Verschiebung damit, wie Unternehmen wie
Toyota versuchen, ihre Lieferketten zu kontrollieren und zu begrenzen,
um Zuverlässigkeit zu gewährleisten. Dasselbe muss jetzt auch für die
Cybersicherheit getan werden. "Sie wollen die Lieferkette
rationalisieren: weniger Lieferanten und hochwertigere Teile von diesen
Lieferanten", sagt Woods. Softwareentwicklung und IT-Betrieb haben diese
Supply Chain-Prinzipien in gewisser Weise neu erlernt."
Die Anfang des Monats erlassene
Cybersicherheits-Exekutivanordnung des Weißen Hauses könnte helfen. Es
legt neue Mindestsicherheitsstandards für jedes Unternehmen fest, das
Software an Bundesbehörden verkaufen möchte. Aber die gleiche
Überprüfung ist im gesamten privaten Sektor genauso notwendig. Und
private Unternehmen – genauso wie Bundesbehörden – sollten nicht
erwarten, dass die Epidemie von Lieferkettenkompromissen bald ein Ende
hat, sagt Woods.
Ken Thompson hatte vielleicht 1984 Recht, als
er schrieb, dass man keinem Code, den man selbst nicht geschrieben hat,
nicht vollständig vertrauen kann. Aber das Vertrauen von Code von
Lieferanten, denen Sie vertrauen – und die überprüft haben – kann das
nächstbeste sein.
Diese Geschichte erschien zuerst auf
wired.com.
https://arstechnica.com/information-technology/2021/06/hacker-lexicon-what-is-a-supply-chain-attack/
Hacker-Lexikon: Was ist ein
Supply-Chain-Angriff? | Ars Technica