Benutzer:A1000/wolrad

Eine Supply-Chain-Attack (deutsch Lieferketten/Nachschub-Angriff) ist ein Angriff der sich besonders bedrohlich für komplexe Systeme ist. Der Angriff richtet sich nicht gegen das eigentliche Ziel sondern gegen unterstützende Prozesse. Der Angriff selber kann gegen Personen (aka Social Engineering) als auch gegen Hardware oder Software richten. Charakteristisch ist auch eine große Anzahl von kollateral Opfern, da die Angriffe oft wenig gezielt ausgeführt werden.

Im militärischen Bereich sind Angriffe auf den Nachschub nichts neues, sondern Standard. Im Computerbereich war es Ken Thompson der diese Problemematik erkannte. Im Jahr 1983 veröffentlichte er das Paper Reflections on Trusting Trust. Thompson veränderte ergänzte nicht nur das login von UNIX, um eine Backdoor, sondern veränderte auch den Compiler, so das in die Programme eine Backdoor eincompiliert wurde. Dazu schrieb er: „The moral is obvious, You can't trust code that you did not totally create yourself“ (Reflections on Trusting Trust, deutsch: „Die Konsequenz ist offensichtlich, man kann keinem Code vertrauen, den man nicht selbst vollständig produziert hat“)

Die Gegenmaßnahmen sind nicht einfach durchzuführen, da zum menschlichen Zusammenleben immer eine gewisses Vertrauen notwendig ist.

Es ist eine Strategie notwendig, die von außen wirksame Prozesse überwacht. Es kann sich dabei um ganz einfache Maßnahmen handeln, wie automatische Virenscanner handeln, die einkommende Emails automatisch checkt als auch die Prüfung von Patches. Betracht werden müssen hier auch alle Beteiligten, von Personal, Lieferanten sowie Dienstleister.

Nach Innen muss man den Zugriff auf den notwendigen Kreis beschränken. Ein Single-Sign-On mag bequem sein, erlaubt aber jedem Angreifer bei Erfolg jeden Zugriff. Die SCADA-System müssen von der Büro-IT getrennt sein. Ab Zero Trust hat Nachteile, so das immer eine vorsichtige Balance notwendig ist.

Wenn ein Angriff erfolgreich war und man bemerkt es, muss man einen Notfallplan haben. Dabei betrachtet man nicht nur die IT-Infrastruktur sondern auch Personal, Infrastruktur (z. B. Gebäude und Anlagen) und Dienstleister.^[1]

Viele Versuche haben gezeigt, dass Mitarbeiterschulungen nur wenig ausrichten.^[2]

Zu den zahlreichen Opfern solcher Angriffe einige Beispiele:

ATM malware

im Jahr 2014 gelang es Angreifern die Steuersoftware von Geldautomaten zu kompromittiert. Damit konnten die Täter beliebe Geldnoten abheben. Betroffen waren vor allem Automaten in Osteuropa.

SolarWinds

Das Firewall-Produkt des Herstellers wurde 2020 kompromittiert. In Folge dessen war tausende Kunden von Angriffen betroffen, da diese unerwartet problemlos die Firewall durchdringen konnten, darunter zahlreiche Regierungsstellen.

ASUS

Es gelang Angreifern im Jahr 2019 den Software Update Server der Firma zu infizieren. Mehr als 1 Million Kunden installierten darauf hin, mit dem Update auch gleich eine Backdoor bis diese Manipulation erkannt wurde.^[3]

Piriform

CCleaner sollte die Windows-Registry aufräumen und unerwünschte Files löschen. Der Update-server des Herstellers wurde 2017 gehackt und ca. 2,3 Millionen Kunden erhielten mit dem Update auch ein Backdoor.

Auch der Linux-Kernel blieb nicht verschont. Bereits im Jahr 2003 wurde versucht eine Backdoor einzubauen.^[4] Im Jahr 2024 war es die Unterstützungsbibliothek libxz, die Opfer eines Angriffs wurde. In beiden Fällen wurden die Manipulationen von dritten Erkannt.

• Reflections on Trusting Trust (pdf)
• Cassie Crossley, Software Supply Chain Security, ISBN 9781098133665

• https://www.terranovasecurity.com/blog/supply-chain-attacks
• https://www.hackerone.com/knowledge-center/supply-chain-attacks-impact-examples-and-6-preventive-measures
• Hacker Lexicon: What Is a Supply Chain Attack?
• https://www.industrialcybersecuritypulse.com/threats-vulnerabilities/throwback-attack-ken-thompson-lays-the-foundation-for-software-supply-chain-attacks/

1. ↑ Massnahmenkatalog des BSI
2. ↑ Hirne Hacken vom 36c3
3. ↑ Warning: ASUS Software Update Server Hacked to Distribute Malware,Swati Khandelwal, 25. März 2019
4. ↑ The Linux Backdoor Attempt of 2003 von Ed Felton, 9. Oktober 2013

[[Kategorie:Hackertechnik (Computersicherheit)]] [[Kategorie:IT-Sicherheit]]