Angriffe auf die Software-Lieferkette werden durch die hohe Geschwindigkeit moderner agiler Entwicklungsmethoden ermöglicht. Werden dabei nicht in jeder Phase des Entwicklungsprozesses Sicherheitsstandards integriert, erhöht sich die Zahl der Schwachstellen im Produktionscode und es entstehen zusätzlich für Angreifer Möglichkeiten, einen schädlichen Code in die Produkte einzuschleusen.

Die folgenden Beispiele beschreiben die bekanntesten Angriffe auf die Software-Lieferkette und erläutern, wie die dabei beteiligten Cyberkriminellen sie ausführen konnten.

SolarWinds

Die Angreifer von SolarWinds nutzten den Zugang zum Netzwerk des Unternehmens sowie unzureichende interne Sicherheitsrichtlinien, um eine Hintertür einzubauen, durch die sie den Code im Produkt Orion des Unternehmens aktualisieren konnten. Orion ist ein Tool zur Netzwerküberwachung, das von einigen der größten privaten und öffentlichen Einrichtungen in den USA eingesetzt wird. Durch die Einsicht in den Datenverkehr, der über diese Netzwerke fließt, verschafften sich die Angreifer Zugang zu E-Mails und anderen vertraulichen Informationen.

Anschließend verwendeten die Angreifer eine Reihe von Sicherheitslücken (einschließlich des sehr schwachen Passworts „solarwinds123“), um Zugang zur Entwicklungsumgebung des Unternehmens zu erhalten. Dort hatten sie es auf ein Plug-in namens SolarWinds.Orion.Core.BusinessLayer.dll abgesehen, das mit jedem Update des Orion-Tools ausgeliefert wird. Innerhalb der Entwicklungspipeline und vor dem Signieren des Codes fügten sie einen bösartigen Code in diese DLL ein. Da die Verantwortlichen von SolarWinds diese Änderungen am Code übersahen und die manipulierte Version digital signierten, wurden sie mit dem nächsten Update ausgeliefert. Die Orion-Software vertraute dem Update aufgrund der gültigen Signatur und installierte es, wodurch der Angreifer über eine Hintertür Zugang erhielt.

SolarWinds war der bedeutendste Cyberangriff des Jahres 2020. Schätzungsweise 18.000 Unternehmen und öffentliche Einrichtungen sowie Regierungsorganisationen waren von der Cyberattacke betroffen. Die durchschnittlichen Kosten für jedes betroffene Unternehmen werden auf 12 Millionen US-Dollar geschätzt.

Kaseya

Der virtuelle Systemadministrator (VSA) von Kaseya wurde entwickelt, um Managed Service Providern (MSPs) die Möglichkeit zu geben, die Netzwerke ihrer Kunden aus der Ferne zu überwachen und zu verwalten. Im Juli 2021 gab Kaseya bekannt, dass ein Angreifer eine Schwachstelle im VSA gefunden und ausgenutzt hatte. Diese ermöglichte es den Hackern, die Ransomware REvil bei den MSPs und ihren Kunden einzusetzen, die mit VSA verwaltet wurden. Anschließend verwendeten die Angreifer diese Schwachstelle, um vom VSA aus die Authentifizierung in der Webschnittstelle zu umgehen. Dadurch konnten sie einen authentifizierten Zugang zu VSA-Systemen erlangen, bösartige Nutzdaten hochladen und Befehle ausführen, indem sie eine SQL-Injection-Schwachstelle ausnutzten.

Durch den Missbrauch eines VSA-Servers im Netzwerk eines MSP war der Angreifer in der Lage, schädliche Updates an die Systeme von MSP-Kunden zu senden. Dies führte dazu, dass die Ransomware REvil auf den Geräten installiert wurde. Da die Ordner der Kaseya VSA-Agenten von der Virenprüfung ausgenommen sind, konnte die Malware ungehindert installiert und ausgeführt werden.

Obwohl sich die Kaseya-Angreifer nur einen Zugang zu einer relativ kleinen Anzahl von MSP-Umgebungen verschafft hatten, konnten sie diesen Zugang nutzen, um zwischen 800 und 1.500 kleine bis mittlere Unternehmen mit der REvil-Ransomware zu infizieren. Nach der Verschlüsselung forderten die Erpresser von Kaseya ein Lösegeld in Höhe von 70 Millionen US-Dollar. Glücklicherweise wurde dem Unternehmen von einem vertrauenswürdigen Dritten ein universelles Werkzeug zur Entschlüsselung bereitgestellt, so dass schlimme Auswirkungen sowohl für das Unternehmen als auch seine Kunden verhindert werden konnten.

NotPetya

NotPetya war eine Malware, die im Jahr 2017 hauptsächlich in der Ukraine eingesetzt wurde. Sein Name rührt von seiner Ähnlichkeit mit der Ransomware Petya her. Im Gegensatz zu Petya war NotPetya jedoch nicht darauf ausgelegt, die zur Verschlüsselung der Zielsysteme verwendeten Schlüssel zu speichern, so dass es unmöglich war, die Daten zu entschlüsseln und wiederherzustellen.

NotPetya war ein gezielter Angriff auf die Lieferkette von Unternehmen in der Ukraine. Die Angreifer verschafften sich Zugang zu der Buchhaltungsfirma MeDoc und schleusten einen Schadcode in deren Software ein. Diese Software wurde von ukrainischen Unternehmen in großem Umfang für die Steuererklärung verwendet, so dass sie viele ukrainische Unternehmen infizieren konnte.

NotPetya war eine der verheerendsten Cyberattacken der Geschichte. Die Ransomware verursachte durch die Infektion multinationaler Unternehmen wie Maersk einen geschätzten Schaden von zehn Milliarden US-Dollar.

Wie man Cyberattacken auf die Software-Lieferkette verhindert

Angriffe auf die Software-Lieferkette werden in der Regel dadurch ermöglicht, dass Hersteller die Sicherheit erst am Ende des Entwicklungsprozesses prüfen. Ein bösartiger Code, der während der Entwicklung eingeschleust wurde, gilt als vertrauenswürdig, weil die endgültige Version am Ende des Prozesses abgenommen wird.

Die Verhinderung von Angriffen auf die Software-Lieferkette erfordert eine Verlagerung der Sicherheit auf die andere Seite und die Überprüfung der Herkunft des Codes, bevor er in die Produktionsversionen aufgenommen wird. Anstatt den Code am Ende des Prozesses zu validieren und zu signieren, sollte der Code nur dann in die Release-Kandidaten aufgenommen werden, wenn bekannt ist, dass er aus einer seriösen Quelle stammt.

Eine Verbesserung der Codesicherheit und ein effektiver Schutz vor Angriffen aus der Lieferkette, kann gelingen, indem die Codesignatur vom Ende des Entwicklungsprozesses an den Anfang verlagert wird. Code Commits werden mit Schlüsseln, die an einen bestimmten Entwickler und ein bestimmtes Gerät gebunden sind, digital signiert, bevor sie von Code Repositories akzeptiert werden.