Vorsicht vor Lieferkettenangriffen

Abstrakt

In diesem Beitrag erfahren Sie alles Wissenswerte über den Ablauf und die Entwicklungsgeschichte von Lieferkettenangriff. Insbesondere geht es um den als SUNBURST bezeichneten Lieferkettenangriff über die bekannte Monitoring-Plattform SolarWinds Orion. Wir erläutern die komplexen Techniken, mit denen es den Hackern gelang, gängige Erkennungsfunktionen zu umgehen, und informieren Sie darüber, wie Sie herausfinden können, ob Ihre Organisation von diesem Angriff betroffen waren. Außerdem empfehlen wir Ihnen Maßnahmen zur Abwehr ähnlicher Angriffe mithilfe weithin bekannter Grundsätze und kommerziell erhältlicher Tools.

Einführung

Lieferkettenangriffe sind Angriffe auf die Zulieferer bzw. die Wertschöpfungskette einer Organisation mit dem Ziel, Zugriff auf die Systeme der Organisation zu verschaffen, die das eigentliche Opfer darstellt. Dabei handelt es sich häufig um namhafte Marken, systemrelevante Versorgungsbetriebe oder auch staatliche Behörden. Diese Arten von Angriffen erfordern ein hohes Maß an Planung und Raffinesse und können weit über die ursprüngliche Kompromittierung hinaus verheerende Auswirkungen auf Unternehmen haben, wie der SolarWinds-Angriff im Jahr 2020 nachdrücklich unter Beweis stellte.

Allgemein ist zwischen zwei unterschiedlichen Angriffsarten zu unterscheiden, die beide Liefer- bzw. Wertschöpfungspartner als Zugriffsvektoren ausnutzen, um sich Zugang zur Umgebung des eigentlichen Opfers zu verschaffen.

Sogenannte Island-Hopping-Angriffe richten sich gegen potenziell anfällige Geschäftspartner oder Elemente in der Wertschöpfungskette, von denen vermutet wird, dass sie über Zugriffsberechtigungen für das Netzwerk verfügen, das das eigentliche Angriffsziel darstellt. Die Bezeichnung „Island Hopping“ leitet sich ab von der Strategie, die die US-Streitkräfte während des Zweiten Weltkriegs im Pazifik anwendeten. Damals wurden mehrere Pazifikinseln quasi als Trittsteine zur Eroberung japanischen Hoheitsgebiets ausgenutzt. Analog dazu werden Cyberangriffe in mehreren Etappen durchgeführt, indem beispielsweise ein Lieferant als ursprünglicher Zugriffsvektor für einen Angriff auf eine prominente Einzelhandelsmarke dient.

Bei Lieferketten- bzw. Supply-Chain-Angriffen im eigentlichen Sinn wird das Vertrauen einer Organisation in legitime Produkte ausgenutzt, die sie zur Abwicklung ihrer regulären Geschäfte einsetzt. Hier versuchen Angreifer sich unbefugten Zugriff auf die Systeme eines Opfers zu verschaffen, indem sie Backdoors in die Produkte einbauen, die von der betreffenden Organisation verwendet werden. In der Regel geschieht dies im Rahmen der Bereitstellung automatisch installierter Patches oder Software-Updates. Teilweise werden auch Angriffe beobachtet, die sich direkt gegen Technologieunternehmen richten, insbesondere Virenschutz-Anbieter oder Hersteller von Netzwerksicherheitsprodukten. Allerdings ist davon auszugehen, dass diese Angriffe im weiteren Verlauf auf andere hochkarätige Ziele übergreifen.

In beiden Fällen können die Angriffe sich gegen mehrere Organisationen auf einmal richten und das Ziel verfolgen, den Bedrohungsakteuren Zugriff auf oder Informationen über ganze Branchen oder größere Organisationen oder Personengruppen zu verschaffen. Andererseits können auch Organisationen, die lediglich als eine von mehreren „Inseln“ auf dem Weg zum eigentlichen Angriffsziel ausgenutzt werden, massive Reputationsschäden und Geschäftsverluste erleiden.
 

Lieferkettenangriffe: eine unerwünschte Nebenwirkung der Datenvernetzung

Mit den ersten schlagzeilenträchtigen Island-Hopping-Angriffen auf prominente Ziele vor einem knappen Jahrzehnt rückte die Datenvernetzung innerhalb der Wertschöpfungsketten großer Organisationen in den Fokus von Cybersicherheitsexperten. Bei Angriffen auf Lieferanten der Einzelhandelsketten Target und Home Depot in den Jahren 2013 und 2014 gelang es Cyberkriminellen, Zahlungskartendaten in großem Umfang zu erbeuten.

Die Datenvernetzung zwischen Lieferkettenpartnern unterstützt die Implementierung hochgradig effizienter Prozesse im gesamten Wertschöpfungszyklus von der Planungsphase über die Prototypenentwicklung, Fertigung und Logistik bis hin zur fristgerechten Lieferung an den Kunden. Diese engmaschigen Vernetzungen beschleunigen die Markteinführung neuer Produkte und ermöglichen Ersparnisse im Milliardenbereich durch Effizienzgewinne. Wie die Datenpannen bei Target und Home Depot deutlich machten, vervielfachen sie indes die externe Angriffsfläche der betreffenden Organisationen.

Infolgedessen setzte sich bei Sicherheitsexperten die Erkenntnis durch, dass die Anbindung automatischer Prozesse von Geschäftspartnern ans Netzwerk ihrer Organisation künftig als genauso wenig vertrauenswürdig einzustufen war wie jede andere anonyme Verbindung. Dieser Wandel führte zu einem erhöhten Sicherheitsbewusstsein und zusätzlichen Kontrollen zur Überwachung vernetzter Systeme. Immer mehr Organisationen machten die Zertifizierung gemäß ISO/IEC 27001 (die in Anhang A ausdrücklich auf Informationssicherheit in Lieferantenbeziehungen eingeht) zur Voraussetzung für die Vernetzung mit Lieferkettenpartnern.

Bei Island-Hopping-Angriffe werden in der Regel Zugriffsberechtigungen oder Sicherheitslücken in Form von Software-Schwachstellen oder Fehlkonfigurationen in den Systemen der Lieferanten ausgenutzt. Je sorgfältiger und disziplinierter Unternehmen beim Patchen ihrer Systeme, der Umsetzung von Best-Practice-Empfehlungen zur Konfiguration und der Segmentierung ihrer Netzwerke vorgehen, desto schwieriger wird es für Angreifer, ausnutzbare Schwachstellen zu finden.

2015 tauchten Vermutungen über eine geheime Backdoor im SSH-Authentifizierungsmechanismus (Secure Shell) des Betriebssystems von Juniper auf. Diese Sicherheitslücke, die von einem unbekannten Bedrohungsakteur in die Produkte eines bekannten US-amerikanischen Herstellers von Netzwerksicherheitsgeräten eingebaut wurde, bestand möglicherweise schon seit mehreren Jahren. Noch im selben Jahr soll eine mutmaßliche Backdoor in einem beliebten Virenschutzprogramm zu einem aufsehenerregenden Datenleck streng geheimer Informationen der Nationalen Sicherheitsbehörde der USA geführt haben. Diese Vorfälle, die an der breiten Öffentlichkeit weitgehend unbemerkt vorbeigingen, versetzten Sicherheitsexperten insbesondere deshalb in höchste Alarmbereitschaft, weil bei derartigen Angriffen unser Vertrauen in die Integrität und die inhärente Sicherheit der betroffenen Technologien missbraucht wird.

Der Lieferkettenangriff über SolarWinds Orion Ende 2020 ist nur das jüngste Beispiel eines derartigen Angriffs.

Lehren aus dem SolarWinds-Angriff

Über den Lieferkettenangriff unter Ausnutzung der als SUNBURST bezeichneten Backdoor in der SolarWinds-Orion-Plattform ist schon eine Menge geschrieben worden. Deswegen verzichten wir hier auf eine erneute Obduktion der technischen Details und gehen stattdessen auf die Frage ein, welche Maßnahmen Organisationen ergreifen können, um erstens festzustellen, ob sie von dem Angriff unmittelbar betroffen waren, und zweitens Schritte zur Schadensbegrenzung bzw. zur Verhütung zukünftiger Angriffe einzuleiten.

Welche Organisationen sind betroffen?

Um das Risiko einschätzen zu können, dass Ihre Organisation zu den Opfern des SolarWinds-Angriffs zählt, sollten Sie zunächst untersuchen, ob überhaupt eines der kompromittierten Produkte bzw. Versionen in Ihrer Umgebung zum Einsatz kommt. Weitere Informationen finden Sie in diesem Blogbeitrag. Um möglichst lange unentdeckt zu bleiben, nutzten die Bedrohungsakteure die Backdoor in SolarWinds Orion anscheinend ausschließlich für Angriffe auf Umgebungen aus, die für die Angreifer von besonderem Interesse waren. Ob Ihre Organisation tatsächlich von einem erfolgreichen Zugriffsversuch betroffen war, lässt sich nur durch Analyse der Netzwerkaktivität mit einer gewissen Zuverlässigkeit feststellen.

Es wird nämlich vermutet, dass die Kampagne bereits spätestens im März 2020 begann und keine der bekannten Anzeichen für eine Kompromittierung aufwies. Aufgrund der hohen Datenvolumen bewahren viele Organisationen Zugriffsprotokolle nicht lange genug auf, um im Nachhinein feststellen zu können, ob eine Kompromittierung stattgefunden hat oder nicht.

Haben die Schutzmechanismen versagt?

Mit den aktuell verfügbaren automatischen Funktionen lässt sich die in SolarWinds Orion eingebaute SUNBURST-Backdoor schwer erkennen – das gilt selbst für Malware-Sandboxes und ähnliche Funktionen, die speziell zur Erkennung bisher unbekannter Bedrohungen entwickelt wurden.

Diese Schwierigkeit ist auf eine Reihe von Faktoren zurückzuführen, die von der extremen Sorgfalt zeugen, mit der die Bedrohungsakteure ihre Spuren verwischten. Die Backdoor wurde über ein legitimes Software-Update für ein bekanntes Monitoring- und Verwaltungstool ausgeliefert. Um die erfolgreiche Installation der Backdoor zu gewährleisten, mussten bestimmte Software-Komponenten bereits im System des Angriffsopfers vorhanden sein.

Die Kapazitäten von Sandbox-Umgebungen beschränken sich in der Regel auf gängige Versionen von Betriebssystemen und Anwendungen, die auf vielen Endgeräten installiert sind. Nach der erfolgreichen Installation der Backdoor ergriff der Angreifer weitere Vorsichtsmaßnahmen, um eine Entdeckung in einer Sandbox-Umgebung zu verhindern. Beispielsweise wartete er mehrere Tage lang auf einen Rückruf zur zur Command-and-Control-Infrastruktur und überprüfte, ob die Software in einer Test- oder Produktivumgebung ausgeführt wurde.

Normalerweise hätten Organisationen die Backdoor bzw. die über sie ausgeführten Aktivitäten durch Überwachung der Solar-Winds-Orion-Plattform auf abnormale Netzwerkaktivitäten erkennen können. In diesem Fall ergriff der Bedrohungsakteur jedoch eine Reihe von Maßnahmen, um zu vermeiden, dass die üblichen Warnsignale ausgelöst wurden, die Sicherheitsexperten über den Angriffsversuch informiert hätten. So wurde zum Beispiel die Command-and-Control-Infrastruktur nicht etwa an verdächtigen Standorten, sondern im jeweiligen Land des Opfers eingerichtet. Um sicherzustellen, dass Verbindungen zu einer neu registrierten Domain den Sicherheitsbeauftragten keinen Grund zum Argwohn gaben, wurde die Domain für die Command-and-Control-Infrastruktur bereits mehrere Monate vor dem mutmaßlichen Beginn der Kampagne registriert. Außerdem integrierte der Angreifer Namenskonventionen der angegriffenen Organisation in die DNS-Namen der Command-and-Control-Infrastruktur. Dadurch sollten die zuständigen Sicherheitsbeauftragten dazu verleitet werden, jeden potenziellen Verdacht als Fehlalarm abzutun.

Nach der erfolgreichen Kompromittierung setzten die Angreifer bekannte Tools und Techniken zum Erfassen von Administrator-Zugangsdaten, Einnisten im System und Remotezugriff auf das infizierte System. Diese Aktivitäten hätten sich mit gängigen EDR-Produkten (Endpoint Detection and Response) erkennen lassen. In vielen Fällen werden EDR-Produkte jedoch nicht auf Serversystemen, sondern nur zur Überwachung von Endgeräten eingesetzt.

Kurz gesagt: Die Erkennung dieser in legitime Software eingebauten Backdoor war mit einigen Schwierigkeiten verbunden, aber keineswegs unmöglich.
 

Empfehlungen zum Schutz vor Lieferkettenangriffen

Perspektivisch müssen wir uns mit der Frage auseinandersetzen, wie sich verhindern lässt, dass Lieferketten zunehmend zum potenziellen Angriffsvektor werden. Der Versuch, zuverlässigen Schutz vor Backdoors oder Sicherheitsrisiken zu gewährleisten, die von Bedrohungsakteuren in vertrauenswürdige Softwareprogramme oder -komponenten eingebaut werden, ist ein kompliziertes Unterfangen. Einige Grundsätze, die sich bei der Abwehr von Island-Hopping-Angriffen bewährt haben, versprechen indes auch hier Erfolg.
 

Minimale Zugriffsberechtigungen

Die Grundprinzipien einer Zero-Trust-Architektur wirken effektiv als Schutzschicht, die die potenziellen Auswirkungen „trojanisierter“ Geschäftsanwendungen deutlich reduzieren kann.

Wenn es einem Angreifer gelingt, eine Backdoor in die Software oder Hardware einzubauen, die mit unseren Netzwerken verbunden oder gar darin integriert ist, beschränkt sich seine Bewegungsfreiheit innerhalb der IT-Umgebung auf die Zugriffsberechtigungen, die für die betreffende Komponente gelten. Wenn also die ein- und ausgehenden Verbindungen der Komponente auf das unbedingt erforderliche Minimum begrenzt werden, wird damit auch die Fähigkeit des Angreifers zur lateralen Ausbreitung innerhalb des Systems drastisch eingeschränkt.

Zu diesem Zweck ist es wichtig, alle Lösungen nicht nur im Hinblick auf die Zugriffsberechtigungen zu bewerten, die für ihren ordnungsgemäßen Betrieb erforderlich sind. Zusätzlich muss genau analysiert werden, welche Entitäten jeweils Zugriff auf einzelne Funktionen innerhalb der Lösung benötigen. So sollten beispielsweise Verbindungen zwischen einer Serveranwendung und einer mit dem Internet verbundenen Ressource nur für spezifische dokumentierte und vordefinierte Anwendungsfälle genehmigt werden, u. a.. für die Verbindung zu Update-Servern oder Netzwerk-Zeitservern. Parallel dazu muss für jede einzelne Lösung analysiert und bewertet werden, welche Zugriffsberechtigungen unbedingt erforderlich sind, damit sie ordnungsgemäß funktionieren kann. Wenn beispielsweise eine Monitoring-Lösung eingerichtet wird, ist zu prüfen, ob sie Berechtigungen zum Schreiben oder zum Vornehmen von Änderungen am System benötigt. Es kann gut sein, dass nicht einmal Lesezugriff auf das ganze System, sondern lediglich auf einen bestimmten Service oder Datensatz erforderlich ist.
 

Starke Authentifizierung und Überwachung

Als weitere Maßnahme empfiehlt es sich, eine sorgfältige Bewertung der jeweils erforderlichen Zugriffsberechtigungen für einzelne Anwendungen bzw. Systeme sowie der damit verbundenen Sicherheitsanforderungen durchzuführen.Basierend auf dieser Bewertung können dann geeignete Zugriffskontrollen eingerichtet werden, um die Möglichkeiten eines potenziellen Angreifers zum Missbrauch „trojanisierter“ Technologien durch laterale Ausbreitung im System effektiv einzuschränken. So leuchtet beispielsweise unmittelbar ein, dass Systeme, die auf Zugriffsberechtigungen für andere Systeme und Komponenten in einer bestimmten Umgebung angewiesen sind, aus Sicht eines Angreifers besonders lohnende Ziele darstellen. Für den Zugriff auf die betreffenden Netzwerkkomponenten oder -systeme mit Administrarorrechten muss daher eine mehrstufige Authentifizierung erzwungen werden. Dabei ist zu beachten, dass Administratorrechte nur nach dem Erforderlichkeitsprinzip an Personen vergeben werden dürfen, die sie zur Erledigung der Aufgaben in ihrem Zuständigkeitsbereich unbedingt benötigen.

Die hier empfohlenen Maßnahmen sind keineswegs nur für Organisationen sinnvoll, die tatsächlich oder potenziell von dem SolarWinds-Angriff betroffen waren. Durch Einschränken des Zugriffs auf die bzw. von der SolarWinds-Orion-Plattform und Durchsetzung einer starken Authentifizierung als Voraussetzung für jeden solchen Zugriff hätten die betroffenen Organisationen es den Bedrohungsakteuren sehr viel schwerer gemacht, durch Ausnutzen einer Backdoor oder Sicherheitslücke auf ihre Umgebung zuzugreifen. Gleichzeitig wäre die Wahrscheinlichkeit höher gewesen, dass unerwartete Aktivitäten schnell erkannt werden. Zur Erinnerung: Die Untersuchung, die zur Aufdeckung des Angriffs führte, wurde durch ein verdächtiges Anmeldeereignis mit gestohlenen Zugangsdaten ausgelöst.
 

Zusammenarbeit nur mit vertrauenswürdigen und zertifizierten Partnern

Service- bzw. branchenspezifische Zertifizierungen können Organisationen bei der Beurteilung der Cybersicherheitsmaßnahmen unterstützen, die unterschiedliche Lösungsanbieter zur Erkennung, Verhinderung und Abwehr von unbefugten Zugriffen oder Modifizierungen ihrer Daten, Produkte und Services bereitstellen. Von besonderer Relevanz ist dabei die Zertifizierung nach ISO/IEC 27001, da sie nicht nur Auskunft über die Einhaltung von Sicherheitsmaßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit gibt, sondern die Verantwortung dafür zur Chefsache erklärt, die in die Zuständigkeit der Geschäftsführung fällt.

Als vorrangige Strategie zur Verhinderung von Lieferkettenangriffen sollten Sie also die Cybersicherheitsmaßnahmen Ihrer Lieferkettenpartner gründlich bewerten und engmaschig überwachen. In Anhang A der ISO/IEC 27001 wird die Informationssicherheit in Lieferantenbeziehungen ausdrücklich thematisiert.

Zum Nachweis sicherer Systemarchitekturen, der Implementierung effektiver Sicherheits- und Behebungsmaßnahmen und der Einhaltung einschlägiger Best-Practice-Empfehlungen stehen Organisationen verschiedene Audit- und Zertifizierungsverfahren zur Verfügung. Beispielsweise sollten Organisationen bei der Auswahl eines Cloud-Serviceanbieters unbedingt dessen Sicherheitszertifizierungen überprüfen. Relevant ist dabei vor allem die Zertifizierung der SOC-2-Konformität. Diese Zertifizierung geht über die Auflagen der ISO/IEC 27001 hinaus, indem sie die Implementierung spezifischer technischer und verfahrenstechnischer Schutzmaßnahmen vorsieht, um nicht nur die Verfügbarkeit und Integrität der bereitgestellten Services, sondern auch die Sicherheit von Kunden- und User-Daten zu gewährleisten. Insbesondere für Organisationen, die in den USA tätig sind, empfiehlt sich auch die Zusammenarbeit mit Cloud-Serviceanbietern, die eine Zertifizierung gemäß dem Federal Risk and Authorization Management Program (FedRAMP) der US-Regierung vorweisen können.

Neben den hier genannten Beispielen gibt es zahlreiche weitere Zertifizierungen, von denen viele speziell für bestimmte Branchen bzw. geografische Gebiete relevant sind.

Fazit

Schon aufgrund der sorgfältigen Planung und Vorbereitung, Ausführung und anschließenden Spurenbeseitigung ist der SolarWinds-Angriff sicherlich als seltenes oder sogar einmaliges Ereignis zu bewerten. Trotzdem dürfen seine weitreichenden Auswirkungen auf die betroffenen Organisationen bei der weiteren Strategieplanung nicht als „Schwarzer Schwan“ ignoriert werden.

Tatsächlich stehen Sicherheitsteams Mittel und technische Kapazitäten zur Verfügung, um zukünftige Angriffe nicht nur sehr viel früher zu erkennen, sondern auch ihr Schadenspotenzial zu minimieren, indem die Bewegungsfreiheit innerhalb der IT-Umgebung drastisch eingeschränkt wird, sodass Angreifer weniger Möglichkeiten haben, sich im Netzwerk einzunisten und lateral auszubreiten.

Neben der Überwachung der Aktivität von und auf Systemen und Anwendungen, die über erweiterte Zugriffsberechtigungen verfügen bzw. vertrauliche Daten enthalten, können granulare Zugriffskontrollen zum effektiveren Schutz besonders lukrativer Angriffsziele beitragen.

Zur Implementierung entsprechender Zugriffskontrollen und Schutzmaßnahmen empfiehlt sich die konsequente Anwendung der Grundprinzipien von Zero-Trust-Architekturen:

• Einschränkung des Zugriffs für ausgehenden Traffic vom System bzw. der Anwendung auf Anwendungen und Ressourcen, die gemäß Herstellerdokumentation für den ordnungsgemäßen Betrieb unbedingt erforderlich sind
• Einschränkung des Zugriffs innerhalb der IT-Umgebung auf Anwendungen und Ressourcen, die gemäß Herstellerdokumentation unbedingt erforderlich sind
• Einschränkung des User-Zugriffs auf die Anwendung bzw. das System nach dem Prinzip der minimalen Rechtevergabe sowie Durchsetzung mehrstufiger Authentifizierung für den Zugriff auf Ressourcen, die zur Erledigung der jeweiligen Aufgaben unbedingt erforderlich sind

Herkömmliche Netzwerksicherheitsmodelle versagen vor den Anforderungen einer Cloud-orientierten Arbeits- und Geschäftswelt, in der das Internet zunehmend die Rolle des lokalen Netzwerks übernimmt. Zur Unterstützung mobiler Belegschaften und dezentraler Unternehmenskonzepte ist eine umfassende Cloud-Transformation erforderlich, die ihrerseits ein Umdenken in Bezug auf die Gewährleistung der Cybersicherheit voraussetzt. Zukunftsfähige Sicherheitsarchitekturen müssen nicht nur Cloud-fähig, sondern Cloud-nativ sein und auf der konsequenten Durchsetzung der Grundprinzipien von Zero Trust basieren.