Das Problem mit den Updates und der etwas andere Fall GitHub

Software-Updates zählen zum Alltag eines jeden Mitarbeitenden. Eine plötzliche Ankündigung der IT-Abteilung und die Updates werden entweder innerhalb weniger Minuten oder über Nacht durchgeführt. Insbesondere während Pandemiezeiten erfordert es ein hohes Level an IT-Support und Ressourcen. Aktualisierungen von Soft- und Hardware gelten schlichtweg als wichtiges Mittel zur Verbesserung der Funktionalität und der Datensicherheit. Genau dort setzen Angreifer, die es auf die Software-Lieferkette abgesehen haben, oftmals an. Aber auch abseits von Updates der Soft- und Hardware kann eine Attacke auf die Lieferkette stattfinden.

GitHub, ein US-amerikanisches Unternehmen, bietet einen netzbasierten Dienst zur Versionsverwaltung für Software-Entwicklungsprojekte. Mittlerweile zählt das Unternehmen 83 Millionen Entwickler, die auf der Plattform aktiv sind. Der Angreifer der mehr als 35.000 GitHub-Speicherorte (Repositories) klonte und bösartigen Code beifügte, brachte den Nutzern eine Menge Ärger ein. Die geklonten Projekte versuchten die Benutzer zum Anklicken zu verleiten, indem sie echte Benutzerkonten vortäuschten. Damit konnten umfangreiche Informationen über die Umgebung der Entwickler und ihre Projekte gesammelt, aber auch zusätzliche Malware über Drittanbieterseiten heruntergeladen werden. Durch die zahlreiche Nutzung der Software-Entwicklungsplattform, könnten auch große Software-Unternehmen Opfer des Angriffs werden.

Supply Chain Attacks – Lieferketten als ideale Einstiegspunkte für den Hacker

Wie kann also ein Vorfall dieses Umfangs ausgelöst werden? Die kurze und einfache Antwort ist Supply Chain Attacks. Bei diesem Angriff wird nicht jedes Unternehmen einzeln angegriffen, sondern das Ziel ist eine komplette Software-Lieferkette. Hacker versuchen dabei, einzelne Schwachstellen in Produkten von Drittanbietern zu identifizieren und nutzen diese aus, um bösartigen Code zu platzieren. Beispielsweise ein einfaches Software-Update schleust die manipulierte Software in das Netzwerk der Kunden ein und breitet sich dort aus, bis es zum eigentlichen Ziel gelangt. Auch bei GitHub konnte ein ähnlicher Vorfall beobachtet werden: Dabei diente GitHub als Schwachstelle der Software-Lieferkette für andere Unternehmen. Mithilfe der manipulierten Repositories können Angreifer in die Entwicklungssoftware der Unternehmen eindringen und Schadsoftware einschleusen.

Die Attraktivität von Supply Chain Attacks ist für die Angreifer besonders hoch. Selbst vorhandene Virenschutz-Programme und SoftwareBuildTools identifizieren diese Hacks mit hoher Wahrscheinlichkeit nicht. Der Aufwand für den Angreifer ist bei der Attacke recht gering, sodass lediglich die gesamte Lieferkette genau beobachtet und anschließend auf Schwachstellen abgesucht werden muss. Die Angriffsmöglichkeiten sind dabei umfangreich: So nutzen viele Softwareprodukte externe Bibliotheken und Dienste zur Versionsverwaltung wie GitHub, sind über diverse Downloadserver verfügbar oder basieren auf Open Source Code. Auch Social Engineering ist als Einstiegspunkt denkbar.

Doch GitHub ist nicht das einzige prominente Beispiel. Im Jahr 2017 gelang es Hackern, in den Download der häufig eingesetzten Optimierungssoftware CCleaner, Malware zu injizieren. Bis Sicherheitsforscher die manipulierte Software erkannten, war sie bereits über 2 Millionen Mal heruntergeladen worden. Ein ähnlicher Fall ereignete sich auch vergangenes Jahr: SolarWinds, ebenfalls ein US-amerikanisches Unternehmen, bietet mit seiner Software „Orion“ eine praktikable Lösung zur Verwaltung von Netzwerken an. Ein vermeintlich routinemäßiges Update brachte den Netzwerken zahlreicher Behörden und Unternehmen wie Microsoft, Intel und Cisco eine Menge Ärger ein. Hackern gelang es durch ihren Angriff Schadsoftware bei 18.000 Kunden zu installieren – darunter auch das Pentagon.

So können sich Unternehmen vor Supply Chain Attack schützen

Supply Chain Attacks werden durch ihre hohe Effektivität immer häufiger und beliebter. Die Zahl der Betroffenen kann sich je nach Ziel schnell in die Millionen skalieren und nicht nur Reputationsverluste bewirken, sondern auch enorme Kosten nach sich ziehen. Laut statista entstand der deutschen Wirtschaft im Jahr 2022 ein Schaden von 203 Milliarden Euro durch Datendiebstahl, Sabotage oder Spionage. Dabei gaben 84% der Unternehmen an, davon betroffen zu sein.

Was kann ich als Unternehmen also dagegen tun? Der Schutz vor derartigen Attacken muss durch die regelmäßige Überprüfung der gesamten Lieferkette auf ihre Cyber Resilience sichergestellt werden. Dabei ist eine ganzheitliche Betrachtung ein essenzieller Schritt, um die Nachhaltigkeit der IT-Sicherheit im Unternehmen zu gewährleisten. Es gibt dabei eine Reihe von Methoden, die eingesetzt werden können: Dies beginnt beim Aufbau eines Identity and Access Managements, um die Rechtevergabe der Mitarbeiter und Partner effektiv und sicher zu verwalten. Ein weiterer wichtiger Baustein kann ein automatisierter, regelmäßig durchgeführter Penetrationstest sein, um den Status-Quo technisch zu prüfen und Schwachstellen zu detektieren. Der Aufbau eines Informationssicherheitsmanagementsystems (ISMS), hilft beim Identifizieren und Kontrollieren der Lieferanten. Weiterhin werden im Rahmen des Aufbaus eines ISMS, Risikokriterien in der Lieferkette definiert die anschließend bewertet und überwacht werden können. Auch ein IT-Security Check ermöglicht die schnelle Identifikation und Bearbeitung von Handlungsbedarfen entlang der Lieferkette. Ein Notfallplan bzw. Bedrohungsmodell sollte im Fall der Fälle umgesetzt sein, sodass bei einer Kompromittierung des Systems die richtigen Maßnahmen ergriffen werden können. Schlussendlich helfen auch Methoden, die zur Awareness aller Mitarbeiter beitragen wie beispielsweise Schulungen oder Phishing-Simulationen. So kann ein schnelles Detektieren von Angriffen und ein sicherheitsbewusstes Handeln garantiert und in der Praxis gelebt werden.

Werden Sie daher heute noch aktiv und sprechen Sie uns an it-security(at)syracom.de.

Quellen

• How Russia Used SolarWinds To Hack Microsoft, Intel, Pentagon, Other Networks : NPR
• SolarWinds: What are Supply Chain Attacks, and How to Avoid Them (datacenterknowledge.com)
• Supply Chain-Angriffe - Windows security | Microsoft Docs
• Supply Chain: Angriffe als IT-Security Trend 2021 - datensicherheit.de
• SolarWinds Describes Attackers' 'Malicious Code Injection' (databreachtoday.com)
• SolarWinds-Hack: USA beschuldigen offiziell Hacker des russischen Geheimdiensts - silicon.de
• FireEye etc.: Trojaner in SolarWinds-Updates ermöglicht Cyberangriffe | heise online
• https://www.theverge.com/2017/9/18/16325202/ccleaner-hack-malware-security
• Researchers say enterprise password manager hit in supply chain attack | SC Media (scmagazine.com)
• 'Raindrop' Is Latest Malware Tied to SolarWinds Hack (databreachtoday.com)
• Password Manager Compromised In Supply Chain Attack - My TechDecisions