Bei einem Supply Chain-Angriff nutzen Angreifer Abhängigkeiten von Drittanbietern aus, um in das System oder Netzwerk eines Ziels einzudringen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Bei einem Supply Chain-Angriff dringen Angreifer mithilfe von Tools oder Diensten von Drittanbietern – zusammenfassend die „Supply Chain“ (Lieferkette) – in das System oder Netzwerk eines Ziels ein. Diese Angriffe werden manchmal als „Value-Chain-Angriffe“ (Angriffe auf die Wertschöpfungskette) oder Third-Party-Angriffe" (Drittanbieter-Angriffe) bezeichnet.
Supply Chain-Angriffe sind von Natur aus indirekt: Sie zielen auf die Drittanbieterabhängigkeiten ab, auf die sich ihre eigentlichen Ziele (oft unwissentlich) verlassen. Eine Abhängigkeit ist ein Programm oder ein Stück Code (oft in JavaScript) eines Drittanbieters, das die Anwendungsfunktionalität verbessert. Eine Abhängigkeit, die von einem E-Commerce-Händler verwendet wird, kann zum Beispiel dabei helfen, Chatbots für die Kundenbetreuung zu betreiben oder Informationen über die Aktivitäten der Web-Besucher zu erfassen. Hunderte, wenn nicht gar Tausende dieser Abhängigkeiten finden sich in einer Vielzahl von Software, Anwendungen und Diensten, die Unternehmen zur Wartung ihrer Anwendungen und Netzwerke verwenden.
Bei einem Supply Chain-Angriff könnte ein Angreifer es auf einen Anbieter von Cybersicherheitslösungen abgesehen haben und böswilligen Schadcode (oder „Malware“) zu dessen Software hinzufügen, der dann als System-Update an die Kunden dieses Anbieters geschickt wird. Die Kunden glauben das Update stamme von einer vertrauenswürdigen Quelle und laden es herunter. Dann verschafft die Malware den Angreifern Zugang zu den Systemen und Informationen dieser Kunden. (Ungefähr so wurde der SolarWinds-Angriff auf 18.000 Kunden im Jahr 2020 durchgeführt).
Bevor ein Supply Chain-Angriff durchgeführt werden kann, müssen sich Angreifer Zugang zu dem System, der Anwendung oder dem Tool eines Drittanbieters verschaffen, das sie ausnutzen wollen (auch als „Upstream“-Angriff bekannt). Dies geschieht beispielsweise mit gestohlenen Zugangsdaten, über Anbieter mit temporärem Zugriff auf das System eines Unternehmens oder durch Ausnutzung einer unbekannten Sicherheitslücke in der Software.
Sobald der Zugang zu dieser Abhängigkeit von Drittanbietern gesichert ist, kann der „Downstream“-Angriffnbrowser– der Angriff, der das eigentliche Ziel erreicht, oft über dessen Browser oder Gerät – auf verschiedene Weise durchgeführt werden.
Um zum vorherigen Beispiel zurückzukehren: In einem „Upstream“-Angriff fügt der Angreifer böswilligen Schadcode in die Software eines Cybersicherheitsanbieters ein. Der „Downstream“-Angriff erfolgt dann, wenn diese Malware über ein routinemäßiges Software-Update auf Endnutzergeräten ausgeführt wird.
Supply Chain-Angriffe können auf Hardware, Software, Anwendungen oder Geräte abzielen, die von Drittanbietern verwaltet werden. Hier sind einige gängige Angriffsarten aufgeführt:
Browserbasierte Angriffe führen böswilligen Schadcode in den Browsern von Nutzern aus.Angreifer greifen möglicherweise JavaScript-Bibliotheken oder Browser-Erweiterungen an, die automatisch Code auf den Geräten der Nutzer ausführen.Alternativ können sie auch sensible Informationen des Nutzers stehlen, die im Browser gespeichert sind (über Cookies, Sitzungsspeicher usw.).
Software-Angriffe tarnen Malware in Software-Updates.Wie bei dem SolarWinds-Angriff laden die Systeme der Nutzer diese Updates möglicherweise automatisch herunter und ermöglichen es den Angreifern so, ihre Geräte zu infizieren und weitere Aktionen durchzuführen.
Open-Source-Angriffe nutzen Sicherheitslücken in Open-Source-Code aus.Open-Source-Codepakete können Unternehmen helfen Entwicklungen und Anwendungen schneller zu bauen, aber sie können es Angreifern auch ermöglichen, bekannte Sicherheitslücken zu manipulieren oder Malware einzuschleusen, die dann verwendet wird, um das System oder Gerät des Nutzers zu infiltrieren.
JavaScript-Angriffe nutzen bestehende Sicherheitslücken im JavaScript-Code aus oder betten böswillige Skripte in Webseiten ein. Diese werden automatisch ausgeführt, wenn sie von einem Nutzer geladen werden.
Magecart-Angriffe verwenden böswilligen JavaScript-Code, um Kreditkarteninformationen aus den Kassenformularen von Websites abzugreifen. Diese werden häufig von Drittanbietern verwaltet.Man nennt dies auch „Formjacking“.
Bei Watering Hole-Angriffen identifizieren Angreifer Websites, die von einer großen Zahl von Nutzern verwendet werden (z. B. ein Website-Builder oder eine Regierungswebsite).Mit verschiedenen Taktiken finden Angreifer Sicherheitslücken auf der Website und liefern anhnungslosen Nutzern über diese Sicherheitslücken Malware.
Cryptojacking ermöglicht es Angreifern, Rechenressourcen zu stehlen, die für das Mining von Kryptowährungen benötigt werden. Sie können dies auf verschiedene Weise tun: indem sie böswilligen Schadcode oder Werbung in eine Website einschleusen, Cryptomining-Skripte in Open-Source-Code-Repositories einbetten oder Phishing-Taktiken anwenden, um mit Malware infizierte Links an ahnungslose Nutzer zu liefern.
Jeder Angriff, der Software, Hardware oder Anwendungen von Drittanbietern ausnutzt oder manipuliert, gilt als Supply Chain-Angriff. Unternehmen arbeiten in der Regel mit einer Vielzahl von Drittanbietern zusammen, jeder von ihnen verwendet möglicherweise Dutzende von Abhängigkeiten in seinen Tools und Diensten.
Aus diesem Grund kann es für Unternehmen schwierig, wenn nicht gar unmöglich sein, sich vollständig gegen Supply Chain-Angriffe abzuschirmen. Mit einigen Strategien können Sie sich jedoch präventiv gegen gängige Angriffsmethoden schützen:
*Das Anhalten von Zero-Day-Exploits ist für die meisten Unternehmen immer noch eine besondere Herausforderung. Im Jahr 2021 wurde eine Zero-Day-Sicherheitslücke in Log4j entdeckt, einer Open-Source-Softwarebibliothek, die Entwicklern hilft, Daten innerhalb von Java-Anwendungen zu protokollieren. Dadurch konnten Angreifer Hunderte von Millionen von Geräten infizieren und kontrollieren. Von dort aus führten sie dann weitere Angriffe durch, darunter Ransomware-Angriffe und illegales Cryptomining. Lesen Sie mehr darüber, wie Cloudflare gegen die Log4j-Sicherheitslücke schützt.
Cloudflare Zero Trust hilft, Supply Chain-Angriffe zu vereiteln, indem es den Zugang zu potenziell riskanten Websites blockiert, böswillige Up- und Downloads verhindert und die SaaS-Anwendungen (sowohl genehmigte als auch nicht genehmigte) innerhalb Ihres Unternehmens überprüft.
Cloudflare Zaraz ist ein Toolmanager für Drittanbieter, der Anwendungen in die Cloud lädt, sodass böswilliger Schadcode nicht im Browser des Nutzers ausgeführt werden kann. Zaraz gibt Nutzern Einblick in und Kontrolle über die Skripte von Drittanbietern, die auf ihren Websites laufen, und ermöglicht es ihnen, riskantes Verhalten zu isolieren und zu blockieren.