Supply-Chain-Attacken
Software-Lieferketten unter Beschuss
Fortsetzung des Artikels von Teil 1
Wie sich Supply-Chain-Angreifer tarnen
Das Hinterhältigste an einem Supply-Chain-Angriff ist die Art und Weise, wie Angreifer legitime Softwareauslieferungen kapern, um eine große Anzahl von Opfern zu erreichen. Sunburst, die Malware, die die Orion-Software von Solarwinds infizierte, soll die Server von mindestens 18.000 Kunden infiziert haben.
Sobald die trojanisierte Software von den Kunden installiert wurde, kann der Bedrohungsakteur den bösartigen Code ausführen, um die nächste Etappe des Angriffs fortzusetzen. Im Fall von Solarwinds scheint das Hauptziel die Erkundung zu sein. Es wird spekuliert, dass die Täter damit ein kritisches Verständnis für die Abläufe und Tools der Kundenunternehmen, in diesem Fall vor allem US-Regierungsbehörden, erlangen wollten. Während hier eine stille Beobachtung das Ziel war, könnten Angriffe auf die Lieferkette wie dieser auch dazu genutzt werden, groß angelegte, schwächende Cyberangriffe zu starten, die mehrere hochwertige Ziele gleichzeitig treffen.
Eine Untersuchung ergab, dass Orion-Updates zwischen März und Juni 2020 mit Sunburst infiziert worden waren, wobei die Sicherheitslücke erst im Dezember 2020 öffentlich bekannt gegeben wurde. Dies deutet auf eine Zeitspanne von mehreren Monaten hin, in denen die Angreifer freie Hand in der Lieferkette von Solarwinds hatten, und einen noch längeren Zeitraum innerhalb der eigenen Systeme.
Bei den Untersuchungen wurden mehrere Tricks festgestellt, die von den Angreifern verwendet wurden, um ihre Anwesenheit über einen so langen Zeitraum zu verschleiern. Sie griffen auf kommerzielle Cloud-Server wie Amazon, Microsoft und Go Daddy zurück, um die Kommandozentralen für den Angriff zu hosten, was es viel einfacher machte, die Kommunikation im alltäglichen Datenverkehr zu verstecken. Ein Großteil der bei den Angriffen verwendeten Malware war zudem neu erstellt und passte daher nicht zu bekannten Bedrohungssignaturen. Neue Malware zu nutzen scheint ein weiterer Trend zu sein, wie eine Studie zeigt: Die meist genutzten Ramsonware-Familien in 2020 beispielsweise, waren nur ein Jahr alt. (ICT CHANNEL berichtete.)
Herkömmliche Erkennungstools reichen nicht aus
Die wichtigste Erkenntnis, die Unternehmen aus dem Solarwinds-Angriff ziehen können, ist, dass sie sich nicht mehr auf die traditionelle signaturbasierte Erkennung von Bedrohungen verlassen können, um bei bösartigen auf dem Laufenden zu bleiben. »Zu viele Unternehmen und Behörden investieren immer noch zu sehr in veraltete Perimeter-Verteidigungslösungen wie Sandboxing, IDS und Next-Generation-Firewalls. Doch es reicht nicht mehr, einfach nur höhere Sicherheitswände zu bauen. Darüber hinaus verlassen sich SOC-Teams (Security Operation Center) immer noch auf sehr einfache Regeln, die auf Protokollen basieren und nach Anomalien der Benutzeraktivitäten suchen. Dies macht es schwierig, bösartige Angreifer im Hintergrundrauschen zu finden«, meint Andreas Müller, Regional Director Zentraleuropa bei Vectra AI. Der Solarwinds-Angriff war zum Teil deshalb so erfolgreich, weil die Angreifer fast keine traditionellen Indikatoren für eine Kompromittierung hinterlassen haben. Die Angriffsziele, die von der trojanisierten Orion-Software infiziert wurden, waren völlig blind für die Eindringlinge in ihren Netzwerken.
- Software-Lieferketten unter Beschuss
- Wie sich Supply-Chain-Angreifer tarnen
Lesen Sie mehr zum Thema
