PSW GROUP warnt: Schadcode macht aus legitimen Apps gefährliche Verteiler von Malware. [...]
Ein neuer Trend ist für Unternehmen äußerst gefährlich: Hacker infizieren schädlichen Code in Software, um eigentlich legitime Apps zur Verteilung von Malware zu nutzen. Einmal ins System eingedrungen, lässt sich das Ausmaß des entstandenen Schadens oft erst im Nachhinein bewerten. „Diese neue Art der Bedrohung heißt Supply-Chain-Angriff, kurz SCA, und zielt auf Softwareentwickler und Lieferanten ab. Ziel der Angriffe ist es, legitime Apps zur Verteilung von Malware auszunutzen, wofür die Angreifer direkt in den Quellcode eingreifen“, informiert IT-Sicherheitsexpertin Patrycja Tulinska, Geschäftsführerin der PSW GROUP (www.psw-group.de) und wird konkret: „Dienste und Programme, die seit Jahren problemlos verwenden werden, können plötzlich schädlich werden.“
Die Angreifer, die diese Methode nutzen, sind auf der Jagd nach unsicheren Netzwerkprotokollen sowie ungeschützten Servern oder Infrastrukturen und unsicheren Codes. Quellcodes werden von den Angreifern unterbrochen oder verändert, sodass Malware in Build- und Update-Prozessen eingeschleust werden kann. „Supply-Chain-Angriffe gehören zweifelsfrei zu den gefährlichsten Infektionsmethoden, die in den letzten Jahren den IT-Markt erschüttert haben. Zu beobachten waren sie bei fortschrittlichen Cyberangriffen wie ShadowPad oder CCleaner in 2017. In beiden Fällen zielten Hacker auf bekannte Schwächen innerhalb vernetzter Systeme ab, an denen in der Regel menschliche sowie organisatorische und materielle Ressourcen beteiligt waren“, so Tulinska.
Supply-Chain-Angriffe sind zudem äußerst komplex und in der Regel zielgerichtet. Da SCA immer häufiger in Anwendungen beobachtet werden, müssen IT-Sicherheitsexperten am Ball bleiben: Die Angreifer sind sehr raffiniert und professionell. Sie verschleiern ihre Spuren so geschickt, dass sich kaum nachvollziehen lässt, woher der Angriff kam oder wer die eigentlichen Ziele waren. „Allenfalls könnten Daten, die vom Kontrollserver ausgelesen werden, darüber Aufschluss geben. Undurchsichtig ist auch, auf wen es die Macher solcher Supply-Chain-Angriffe überhaupt abgesehen haben und was sie erreichen möchten. So können wir nur mutmaßen, dass die Angreifer es auf Daten und Informationen abgesehen haben. Möglicherweise gibt es bei SCA nicht einmal ein definitives Endziel“, so die IT-Sicherheitsexpertin über den Ernst der Lage.
Und das ist noch nicht einmal das Ende der Fahnenstange: IT-Manager unterschätzen das Risiko SCA. Einer weltweiten Umfrage des Sicherheitsanbieters Sophos zufolge sehen lediglich 16 Prozent von ihnen SCA als Risiko für die IT-Sicherheit. Phishing, Software-Exploits, ungepatchte Schwachstellen und Zero-Day-Bedrohungen werden in der Regel als viel höhere Sicherheitsrisiken eingestuft.
Eine weitere Studie des Versicherers Hiscox aus dem November 2019 zeigt, dass vor allem Klein- und Mittelständische Unternehmen (KMU) mit steigenden Angriffszahlen zu kämpfen haben: In den von Hiscox untersuchten sieben Ländern, darunter Deutschland, wurden 47 Prozent der Kleinbetriebe und 63 Prozent der mittelständischen Unternehmen Opfer von derartigen Cyberattacken. Hiscox führt dies auf die zunehmende Vernetzung in Unternehmen zurück, der es zu verdanken sei, dass Cyberkriminelle mehr potenzielle Einfallstore fänden, um so in fremde Systeme einzudringen. „Das Problem ist tatsächlich, dass KMU meist leichter zu knacken sind als Großkonzerne, weil sie eben nicht über ausreichende Ressourcen für die IT-Sicherheit verfügen“, meint auch Tulinska.
Ihrer Einschätzung zufolge können nur Anwender und Unternehmen selbst das Risiko so gering wie möglich halten, indem sie auf allen Ebenen in die IT-Sicherheit investieren: „Sicherheitskompetenz, ein entsprechendes Sicherheitsbudget und die Nutzung aktueller Technologien sind mehr als sinnvoll.“ Jeder kann sogar in gewissem Maße mitentscheiden, inwieweit er oder sie Cyberkriminellen zum Opfer fällt. Schon der Verzicht auf Programme, bei denen bekannt ist, dass sie für die Verteilung von Malware missbraucht werden, ist eine wichtige Maßnahme.
„Mein Rat ist vielleicht nicht besonders originell, aber tatsächlich besteht die Lösung darin, jedes einzelne Gerät mit Internetzugang zu schützen“, so Tulinska. Nach Ansicht der Expertin sollten Anwender stets mit aktuellem Wissen rund um IT-Sicherheit ausgestattet werden, damit vorhandene Technik sicher genutzt wird, aber auch um Angriffe wie Phishing oder Social Engeneering auszuschließen: „Awareness ist eine der stärksten Waffen im Kampf um IT-Sicherheit“, so Patrycja Tulinska.
Die ShadowPad und CCleaner-Vorfälle
2017 erlangten Angreifer über eine Hintertür in der Netzwerk-Administrations-Software NetSarang die volle Kontrolle über das Netzwerk der Anwender. Programme wie Xmanager, Xshell und Xfto waren betroffen. Die trojanisierte Software wurde von hunderten Firmen, darunter Pharmaunternehmen, Energielieferanten und Banken, eingesetzt. Dieser als ShadowPad bekannt gewordene Angriff war technisch sehr ausgeklügelt: Der Schadcode bestand aus verschiedenen verschlüsselten Modulen, die nur entschlüsselt wurden, wenn sie tatsächlich benötigt wurden. Dadurch sollte ein Enttarnen des Trojaner-Codes durch Sicherheitssoftware vermieden werden. So gelang es, den Schadcode nur zu aktivieren, nachdem ein Zielrechner des Opfers vom Kontrollserver der Cyberkriminellen ein bestimmtes Paket empfangen hatte.CCleaner ist eines der bekanntesten Programme zur Bereinigung der Systemregistrierung und wird von Heimanwendern und Systemadministratoren verwendet. Ebenfalls in 2017 kompromittierten Angreifer die Kompilierungsumgebung der Programmentwickler. Mehrere Versionen der Software wurden mit einer Backdoor versehen. Der – auch hier verschlüsselte – Schadcode befand sich in der Initialisierungsroutine des Programms. Mit Start des Programms wurden Informationen wie Name des Rechners, MAC-Adresse, Admin-Privilegien und installierte Software gesammelt und an einen Command-and-Control-Server gesendet. Dieser war in der Lage, über die Backdoor eine weitere Payload auf den kompromittierten Computer zu schleusen. Die kompromittierten CCleaner-Versionen wurden einen Monat lang über die offizielle Website des Anbieters verteilt. In dieser Zeit wurde CCleaner 2,27 Millionen Mal heruntergeladen.
Be the first to comment