Die meisten Menschen vertrauen bekannten Softwareherstellerinnen und -herstellern, wenn diese eine App, ein Programm oder ein anderes Produkt aktualisieren oder ein neues Produkt auf den Markt bringen. Doch genau dieses Vertrauen nutzen Kriminelle bei sogenannten „Supply-Chain-Angriffen“ aus. Über den Weg von vermeintlich vertrauenswürdiger Software wird Schadsoftware an zahlreiche NutzerInnen verteilt. Das Ziel dieser Attacke sind vor allem Unternehmen, treffen kann es jedoch auch PrivatanwenderInnen. 

Stellen Sie sich vor, Sie haben einen Kuchen bei einer Konditorei in Auftrag gegeben. Der Kuchen ist fertig, Sie gehen in die Konditorei und sind zufrieden, denn der Kuchen ist genau wie immer. Der Konditor bietet Ihnen aber noch ein „Update“ mit Kirschen an. Sie stimmen zu und können den „aktualisierten“ Kuchen morgen abholen. Doch bevor der Konditor die Kirschen auf den Kuchen platzieren kann, schleichen sich BetrügerInnen in die Konditorei ein und infizieren die Kirschen mit einem Wurm. Der Konditor bekommt davon nichts mit, nutzt die infizierten Kirschen, um Ihren Kuchen neu zu machen und verkauft diesen Kuchen an Sie. Auch Sie bemerken nichts vom Wurm, außer dass Sie Bauchschmerzen vom Kuchen bekommen. So ungefähr lässt sich eine „Supply-Chain-Attacke“ beschreiben.

Eine Person mit Maske sitzt in einem verdunkelten Raum an einem Tisch vor einem Laptop.
Symbolbild Internetkriminalität. Quelle: unsplash | Clint Patterson

Bei dieser relativ neuen Art der Bedrohung werden die Unternehmen nicht direkt angegriffen, sondern über ihre Lieferketten („supply chains“). Eigentlich bekannte und seriöse Anwendungen werden von den Kriminellen mit Schadsoftware infiziert. Diese Attacken stellen eine große Gefahr dar, da es sein kann, dass ein seit Jahren genutztes Programm, plötzlich schädlich ist.

Wo kann sich Schadsoftware verstecken? 

Dabei gibt es verschiedene Möglichkeiten, welchen Teil der Lieferkette die Kriminellen nutzen, um in eine Anwendung einzudringen und dort den Schadcode hinzuzufügen:   

  • In Entwicklungsumgebungenoder Update-Infrastrukturen von Software-Unternehmen wird nach Sicherheitslücken gesucht und die Schadsoftware darin versteckt. Gibt es dann eine neue Veröffentlichung einer Software oder ein Sicherheitsupdate wird die Schadsoftware über offizielle Vertriebskanäle verbreitet.
  • Anwendungen werden noch bevor sie signiert und damit offiziell vertrieben werden dürfen, mit Schadsoftware infiziert. Durch gestohlene Zertifikate können diese signiert und dadurch verbreitet werden.
  • Verwendet ein Software-Unternehmen Komponenten von Drittanbietern, kann auch in diese Komponenten ein infizierter Code eingeschleust werden. Der bösartige Code kann sich so auf eine Vielzahl von unterschiedlichen Programmen ausbreiten.
  • Die Schadsoftware wird auf den physischen Geräten (z.B.auf Smartphones, Tablets, USB-Sticks, Kameras) vorinstalliert.

Wie erhalten die Kriminellen Zugang zum Netzwerk? 

Bevor die Software überhaupt infiziert werden kann, brauchen die Kriminellen jedoch einen Zugang zum Netzwerk des Software-Unternehmens. Meist starten die Angriffsversuche daher mit sogenannten Spear-Phishing-Attacken, also mit zielgerichteten E-Mails durch die versucht wird an vertrauliche Daten zu kommen. Auch Social Engineering Methoden sind beliebt. Durch diese versuchen die Angreiferinnen und Angreifer das Verhalten von Personen so zu manipulieren, dass sie zum Beispiel vertrauliche Informationen preisgeben.

Sowohl die Phishing-Mails als auch das Social Engineering richten sich an MitarbeiterInnen des betroffenen Unternehmens, die möglichst hohe Netzwerkprivilegien haben. Haben die Kriminellen erste Informationen erhalten, versuchen sie immer weiter in das Unternehmensnetzwerk voranzukommen. Bereits in diesem Prozess werden Schwachstellen im Netzwerk genutzt, um weitere Anmeldeinformationen zu erhalten. Bis sie schließlich Zugang zu den kritischen Systemen haben, in denen sie ihre Schadsoftware hinzufügen können.

1,7 Millionen Computer durch infizierte CCleaner-Version betroffen

Eines der bekanntesten Supply-Chain-Angriffe war jener auf die CCleaner Software. Die Software dient dazu das Windows-Betriebssystem zu optimieren und ist nicht nur bei Unternehmen, sondern auch bei Privatnutzerinnen und -nutzern äußerst beliebt. Kriminelle konnten jedoch in die Entwicklungsumgebung eindringen und dort ihren schädlichen Code hinzufügen.

CCleaner ist ein Beispiel, das zeigt wie komplex Attacken auf die Lieferketten sein können. Im August 2017 wurde die neue verseuchte Version von CCleaner veröffentlicht. Nicht nur bis zur Veröffentlichung, sondern auch ein Monat danach blieb der bösartige Code unerkannt. Dadurch stand das schädliche Programm einen Monat lang zum Download zur Verfügung. Der CCleaner-Hersteller Piriform schätzt, dass 1,7 Millionen Computer infiziert wurden.

Doch nicht alle waren von der tatsächlichen Schadsoftware betroffen. Denn die erste Virusstufe sammelte lediglich Daten von den betroffenen Geräten, um herauszufinden ob diese für die Kriminellen überhaupt interessant sind. Mit der Schadsoftware wurden in einer zweiten Stufe dann hauptsächlich Telekommunikations- und Technikunternehmen infiziert, vor allem in Japan, Taiwan, Deutschland und den USA (z.B. Sony, Samsung, Asus oder Fujitsu).

Wie schütze ich mich vor Supply-Chain-Angriffen? 

Supply-Chain-Angriffe sind meist sehr kompliziert und nur schwer zu entdecken. In erster Linie sind daher die Software-Unternehmen selbst gefragt, um gegen solche Attacken vorzugehen. Diese müssen ihren Code genauer prüfen, bevor Sie ein Programm oder ein Update eines Programms für die Öffentlichkeit zur Verfügung stellen. Außerdem muss sichergestellt werden, dass alle Anwendungen eine digitale Signatur besitzen und nur über sichere und verschlüsselte Kanäle verteilt werden können.

Dennoch können auch UnternehmerInnen und private NutzerInnen das Risiko eines Supply-Chain-Angriffes verringern. Dazu zählt vor allem die Schaffung von Bewusstsein. Unternehmen sollten die Sicherheitskompetenz Ihre MitarbeiterInnen laufend stärken. Einen gewissen Grad an Sicherheitskompetenz müssen aber auch PrivatanwenderInnen besitzen, um die verschiedenen Gefahren zu kennen. Dadurch kann beispielsweise verhindert werden, dass Dienste oder Programme verwendet werden, bei denen bekannt ist, dass sie für das Verteilen von Schadsoftware missbraucht werden. Auch ungewöhnliches Verhalten von bestimmten Programmen oder Diensten kann so eher erkannt werden. Wie Sie sich generell vor Schadsoftware schützen können, erfahren Sie im Artikel So schützen Sie sich effektiv vor Schadsoftware.

Quelle: https://www.watchlist-internet.at/news/kriminelle-versuchen-durch-serioese-programme-schadsoftware-zu-verbreiten/