Zie een supply chain-aanval als hub en spokes. Het is een een-op-veel-relatie: sluit een compromis en krijg de rest gratis. Een-op-veel is de belangrijkste aantrekkingskracht van supply chain-aanvallen. Dit is geen nieuw idee, maar het is de afgelopen jaren naar nieuwe niveaus van verfijning en frequentie gebracht. Deze groei zal doorgaan tot 2022 en daarna.
Mike Sentonas, CTO bij CrowdStrike, zegt: "Eerlijk gezegd zijn toeleveringsketens kwetsbaar en tegenstanders onderzoeken actief manieren om hiervan te profiteren. We hebben het einde van deze aanvallen nog lang niet gezien, en de implicaties voor elke aanval zijn aanzienlijk voor zowel de slachtoffers als de klanten en partners van de slachtoffers in de keten.”
Toeleveringsketens zijn aantrekkelijke doelwitten voor zowel cybercriminele bendes als nationale actoren. Voor de eerste bieden ze het potentieel voor grootschalige afpersingsaanvallen (zie Cyber Insights 2022: Ransomware), terwijl ze voor de laatste uitgebreide toegang kunnen bieden tot aan spionage gerelateerde doelen (zie Cyber Insights 2022: Nation-States). Beiden werden geïllustreerd in 2021.
Softwarebedrijf voor netwerkbeheer Kaseya is geschonden door de nu ontmantelde REvil-ransomwarebende, wat leidde tot het compromitteren van managed services-klanten en verdere compromissen voor hun klanten.
Kaseya's pakket voor bewaking en beheer op afstand, Virtual Administration Assistant (VSA), was toegankelijk via een kwetsbaarheid voor het omzeilen van authenticatie, waardoor malware via softwaredownloads naar klanten kon worden gedistribueerd. Binnen enkele dagen nadat het compromis werd ontdekt, maakte Kaseya bekend dat tussen de 800 en 1,500 downstream-klanten door de aanval waren getroffen.
Een grote aanval op de toeleveringsketen door natiestaatactoren werd geïllustreerd door de SolarWinds-incident. Hoewel de eerste inbreuk bij SolarWinds plaatsvond in 2019, werd deze pas eind 2020 bekendgemaakt, en de typische lage en langzame werking van nationale statelijke actoren betekende dat de volledige effecten pas in 2021 bekend of ontdekt werden.
De dader van SolarWinds wordt verondersteld APT29 (ook bekend als Cosy Bear) te zijn, gelinkt aan de Russische buitenlandse inlichtingendienst (FSR). SolarWinds meldde dat ongeveer 18,000 klanten werden getroffen door downloads van de gecompromitteerde software. Maar hiervan wordt gedacht dat de aanvallers zich verder richtten op slechts een paar honderd organisaties (waaronder overheidsinstanties en cyberbeveiligingsbedrijven).
Deze twee incidenten illustreren de aantrekkingskracht en omvang van supply chain-aanvallen en suggereren dat we in 2022 en daarna meer van hetzelfde zullen zien.
Pandemische verstoring zal leiden tot supply chain-aanvallen
Het wereldwijde effect van de Covid-19-pandemie zal zich manifesteren bij aanvallen op de toeleveringsketen in 2022. De eerste overstap naar werken op afstand en meer recentelijk naar hybride kantoor-/thuiswerken, heeft het aanvalsoppervlak voor alle organisaties vergroot. Grotere bedrijven hebben de middelen om hiermee om te gaan, bijvoorbeeld met de algemene levering van bedrijfseigen en gecontroleerde apparaten.
Kleinere bedrijven kunnen of doen dit vaak niet. Kleinere bedrijven lopen bijgevolg een onevenredig groter risico op compromissen via externe werknemers, maar kleinere bedrijven maken vaak deel uit van de toeleveringsketen van grotere bedrijven. "Cybercriminelen", waarschuwt Guido Grillenmeier, hoofdtechnoloog bij Semperis, "zullen gemakkelijke manieren blijven vinden om een organisatie binnen te komen door een kleiner of nieuwer bedrijf hoger in de toeleveringsketen aan te vallen dat geen sterke cyberbeveiliging heeft. Het lijdt geen twijfel dat we in het nieuwe jaar meer aanvallen op de toeleveringsketen zullen zien.”
Ryan Sydlik, een beveiligingsingenieur bij Telos, heeft een vergelijkbaar beeld van zowel oorzaak als gevolg voor 2022. “Covid-19, en meer specifiek de nasleep ervan”, zei hij, “heeft invloed op toeleveringsketens. Het herstel van het virus is wereldwijd ongelijk, wat resulteert in een onevenwichtige vraag en aanbod tussen landen. Verwacht dat cyberaanvallen op de toeleveringsketen een reeds geback-upte situatie zullen overnemen en deze nog verergeren in de toeleveringsketens die al onder druk staan."
Net als Grillenmeier verwacht hij dat het minder goed beschermde kleinere bedrijf een belangrijk startpunt zal zijn. "Naast grote bedrijven die betrokken zijn bij de wereldhandel, zullen in 2022 kleine en middelgrote spelers in de toeleveringsketen het doelwit zijn, omdat tegenstanders erkennen dat deze entiteiten de meest kwetsbare knelpunten zijn en minder robuuste beveiliging hebben. Een goed gerichte storing op de juiste plaats en tijd kan hele industrieën ontwrichten.”
Meer specifiek gelooft James Carder, CSO en VP bij LogRhythm Labs, dat Covid-19-vaccinfabrikanten het doelwit zullen zijn. “In 2022 zullen cybercriminelen hun zinnen zetten op het uitvoeren van een ransomware-aanval op een van de farmaceutische bedrijven die het COVID-19-vaccin produceren. Dit zal de productie van kritieke booster-shots onderbreken en ervoor zorgen dat veel andere levensreddende medicijnen de patiënten niet bereiken. De resulterende gevolgen zullen de vlam voor buitenlandse en binnenlandse desinformatiecampagnes over vaccins aanwakkeren.” De farmaceutische toeleveringsketen is een belangrijk doelwit om de vaccinfabrikant in gevaar te brengen.
Ook het huidige wereldwijde chiptekort wordt mede aangewakkerd door de pandemie. De sterke toename van werken op afstand en leren op afstand heeft geleid tot een grote vraag naar consumentenelektronica die chips gebruikt. Tegelijkertijd had de chipfabricage te lijden onder de verschillende lockdowns - de vraag overtrof het aanbod zwaar. De verwachting is dat dit in 2022 zo zal blijven.
Carder verwacht dat criminelen de toeleveringsketen gebruiken om misbruik te maken van de situatie. "Een toonaangevend land dat halfgeleiderchips produceert, zal zijn toeleveringsketen in gevaar brengen, wat resulteert in grote tekorten aan kritieke materialen", stelt hij voor.
"Terwijl landen proberen de productie op te voeren," vervolgde hij, "zal één land worden betrapt op een poging de markt te veroveren door frauduleuze methoden te gebruiken om toegang te krijgen tot de productie en levering van de toonaangevende chipproducerende landen. Dit zal leiden tot tekorten aan kritieke voorraden, evenals stijgende prijzen voor basisgoederen.”
Softwaretoeleveringsketen
Software zal in 2022 en daarna een primaire supply chain-doelstelling blijven. De meest gebruikelijke aanpak die tot nu toe door hackers wordt gebruikt, is het binnendringen van een softwaretoepassingsprovider en het wijzigen van de toepassingscode die door klanten wordt gedownload (zoals in zowel SolarWinds als Kaseya).
Een derde supply chain-aanval in 2021 geeft ons echter een glimp van mogelijke toekomstige supply chain-aanvallen - dit keer tegen open-source software (OSS) in plaats van applicatieproviders. "Onze digitale economie draait op open-source software (OSS)", legt Lavi Lazarovitz, hoofd onderzoek bij CyberArk Labs, uit. “Het is flexibel, schaalbaar en maakt gebruik van de collectieve kracht van de gemeenschap om nieuwe innovaties aan te wakkeren. Maar talloze 'open' en 'gratis' OSS-bibliotheken betekenen ook een dramatisch groter aanvalsoppervlak en een manier voor bedreigingsactoren om hun inspanningen te automatiseren, detectie te omzeilen en meer schade aan te richten."
Vanaf 31 januari 2021 hadden kwaadwillende actoren toegang tot en konden ze: verander de code van Codecov's Bash Uploader. Continue integratie (CI) betekende dat gebruikers van Bash Uploader automatisch de gecompromitteerde code gebruikten, waardoor de aanvaller uiteindelijk tokens, sleutels en inloggegevens van bedrijven over de hele wereld kon stelen.
OSS wordt meestal niet door de gebruiker gecontroleerd en CI betekent dat het gewoon wordt geaccepteerd en gebruikt. "Met behulp van deze zeer ontwijkende infiltratiemethode kunnen aanvallers referenties aanvallen en stelen om duizenden organisaties in een toeleveringsketen tegelijk te bereiken", voegt Lazarovitz toe.
OSS is een enorm doelwit voor aanvallers. OSS-softwarebibliotheken worden door talloze ontwikkelaars in talloze bedrijven gebruikt, vaak met weinig toezicht. Als de bron van de OSS kan worden gecompromitteerd, kunnen kwetsbaarheden worden geïntroduceerd in elke toepassing die de OSS-bibliotheek gebruikt.
"In de komende 12 maanden zullen aanvallers blijven zoeken naar nieuwe manieren om open-sourcebibliotheken te compromitteren", vervolgt Lazarovitz. “We hebben aanvallers gezien die typosquatting-achtige aanvallen implementeren door codepakketten te maken die subtiele wijzigingen in de namen van de pakketten bevatten (zoals 'atlas-client' in plaats van 'atlas_client'). Dit waren in feite getrojaanse versies van de originele pakketten, die een backdoor of een functionaliteit voor het stelen van inloggegevens implementeren of downloaden. In een ander geval werd een NPM-pakket getrojaniseerd om cryptominingscript en malware voor diefstal van inloggegevens uit te voeren nadat de inloggegevens van een ontwikkelaar waren gecompromitteerd.”
De NPM-aanval is typerend voor wat er in de toekomst te verwachten is. In oktober 2021 maakte GitHub bekend dat drie versies van 'ua-parser-js' was gecompromitteerd. Het is een populair pakket, met ongeveer 8 miljoen downloads per week. "Elke computer waarop dit pakket is geïnstalleerd of actief is, moet als volledig gecompromitteerd worden beschouwd", waarschuwde GitHub. "Alle geheimen en sleutels die op die computer zijn opgeslagen, moeten onmiddellijk vanaf een andere computer worden geroteerd."
De cloud is ook een natuurlijk doelwit voor supply chain-aanvallen. Door zijn aard is het in wezen een één-op-veel-structuur - en dit alleen al maakt het aantrekkelijk voor cybercriminelen. In 2022: "Een grootschalige aanval op de toeleveringsketen van software zal een grote cloud computing-service uitschakelen", waarschuwt Josh Rickard, architect voor beveiligingsoplossingen bij Swimlane.
"Naarmate organisaties meer SaaS- en IaaS-providers van derden aan hun technologiestapel toevoegen", legt hij uit, "zal de impact van cyberaanvallen op gecentraliseerde cloudservices een breder effect hebben. In 2022 zullen we zien dat cybercriminelen misbruik maken van verkeerd geconfigureerde SaaS-API's om privégegevens op een ongekende schaal te exploiteren. Dit zal ertoe leiden dat een grote verspreiding van kernsoftwarecode in gevaar komt en duizenden organisaties over de hele wereld treft.”
Supply chain-aanvallen in de toekomst
Elke topografie die een een-op-veel-relatie biedt, moet worden beschouwd als een potentieel doelwit voor aanvallen op de toeleveringsketen in 2022. Hoewel ze al vele jaren plaatsvinden, heeft 2021 een dramatische toename laten zien in zowel kwantiteit als verfijning - en we kunnen verwachten dat ze dat zullen doen verder toenemen in 2022.
"Supply chain-aanvallen komen niet zo vaak voor als andere, maar ze kunnen exponentieel meer schade aanrichten", waarschuwt Chris Hall, cloudbeveiligingsonderzoeker bij Lacework. “Dit bleek uit de 2020 SolarWinds-hack en de Codecov- en NPM-projectaanvallen in 2021. De 'één-op-veel'-mogelijkheid die wordt geboden door een succesvol compromis in de toeleveringsketen, maakt het een aantrekkelijke optie en de tijd en middelen van aanvallers waard. Om deze reden zijn we van mening dat er in 2022 meer aanvallen zullen plaatsvinden op softwaretoeleveringsketens door zowel criminele als nationale actoren.”
De onbekende hoeveelheid is de software stuklijst (SBOM) gemandateerd in het uitvoerend bevel van Biden inzake het verbeteren van de cyberbeveiliging van de natie van 12 mei 2021. In theorie zal het gedetailleerd inzicht bieden in de individuele softwarecomponenten van elke applicatie; en dat zou software mogelijk veiliger kunnen maken. De tijd zal echter leren of dit voldoende zal zijn om de verstoring van de supply chain door criminelen te verstoren.
Over SecurityWeek Cyber Insights 2022
Cyber Insights 2022 is een reeks artikelen waarin de potentiële evolutie van bedreigingen in het nieuwe jaar en daarna wordt onderzocht. Zes primaire dreigingsgebieden worden besproken:
• Aanvallen door natiestaten (publicatie 01-20-22)
• Identiteit (publicatie 01-24-22)
• Verbetering van criminele verfijning (publicatie 01-26-22)
Hoewel de proefpersonen gescheiden zijn, zullen de aanvallen zelden geïsoleerd plaatsvinden. Aanvallen op natiestaat en toeleveringsketen zullen vaak met elkaar verbonden zijn, net als toeleveringsketen en ransomware. Adversariële AI zal waarschijnlijk vooral te zien zijn bij aanvallen op identiteit; althans op korte termijn. En achter alles schuilt de groeiende verfijning en professionaliteit van de cybercrimineel.
SecurityWeek sprak met tientallen beveiligingsexperts en kreeg bijna honderd suggesties voor de serie.
Kevin Townsend is Senior Contributor bij SecurityWeek. Hij schrijft al sinds de geboorte van Microsoft over hightech-problemen. De laatste 15 jaar heeft hij zich gespecialiseerd in informatiebeveiliging; en heeft vele duizenden artikelen gepubliceerd in tientallen verschillende tijdschriften - van The Times en de Financial Times tot huidige en lang vervlogen computertijdschriften.
Tags: Bron: https://www.securityweek.com/cyber-insights-2022-supply-chain
