Sind wir auf bösartige Updates im großen Stil vorbereitet?
Willkommen zum zweiten Beitrag unserer Forcepoint Future Insights-Reihe mit Erkenntnissen und Prognosen zur Cyber-Sicherheit, die 2022 zum zentralen Thema werden könnte.
Im November 2020 erschütterte der Sunburst-Angriff die Branche. Mithilfe hoch entwickelter Malware, die in legitimen Software-Updates versteckt war, gelang es den Angreifern nicht nur, Daten gezielt herauszuschleusen, sondern die Malware auch noch unter einer riesigen Anzahl von Opfern zu verbreiten.
Der Angriff war ungewöhnlich komplex und ausgeklügelt. Die Sunburst genannte Malware zur Datenexfiltration wurde über die Solarwinds Orion-Software verbreitet, über ein vertrauenswürdiges Update, das über 18.000 öffentlichen und privaten Organisationen bereitgestellt wurde. Die Malware „schlief“ 14 Monate lang und begann dann mit der Datenexfiltration. Dieser Vorfall gilt heute als der bisher größte Lieferkettenangriff, von dem US-Regierungsstellen, Großkonzerne wie FireEye, Microsoft und Deloitte sowie Tausende kleinerer Unternehmen betroffen waren. Es sind noch nicht alle Hintergründe geklärt. Obwohl mittlerweile ein Patch verfügbar ist, könnte immer noch Malware vorhanden sein.
Hinterher ist man immer schlauer, heißt es. Dieser Lieferkettenangriff war jedoch nicht der erste. Petya nutzte 2017 dieselbe Methode. Asus Live Update-Benutzer ereilte 2019 das gleiche Schicksal. In den vergangenen Jahren ist es schon öfter vorgekommen, dass Benutzer mithilfe von vermeintlichen Software-Updates in Phishing-E-Mails dazu verleitet wurden, Malware herunterzuladen.
Wenn sich eine Methode als erfolgreich erwiesen hat, noch dazu mit so weitreichenden, medienwirksamen Folgen, sind Angriffe durch Nachahmer vorprogrammiert. Wir haben erlebt, wie Kaseya, ein irischer IT-Lösungsanbieter, im Sommer 2021 von einem Angriff mit einer ähnlichen Vorgehensweise betroffen war. Dabei wurde das Remote-Überwachungstool des Unternehmens durch Malware unterwandert, die Angreifern den Zugriff auf mehrere Endkunden ermöglichte.
"Wir rechnen 2022 mit einem erheblichen Anstieg von Nachahmerangriffen, bei denen Malware über Software-Updates eingeschleust wird."
Ein genauerer Blick auf Software-Angriffsvektoren
Natürlich werden sich staatliche Hacker wie auch Hackergruppen in Zukunft weiterhin auf Lieferkettenanbieter in mehreren Branchen konzentrieren. Ich habe schon einmal beschrieben, wie technische Schulden Unternehmen für Angriffe anfällig machen können. Das ist der eine Punkt. Doch wie und wo werden Cyber-Kriminelle neue Angriffe starten? Welche anderen Angriffsvektoren könnten ausgenutzt werden?
Angriffe wie Sunburst, von der REvil-Gruppe verübte Ransomware-Angriffe auf Kaseya und andere Angriffe erregen die Aufmerksamkeit einer großen Öffentlichkeit. Ein Hack aus dem Jahr 2021, über den weniger berichtet wurde, hat mein Interesse geweckt: die vier OMIGOD-Sicherheitslücken im Open Management Infrastructure (OMI) Software-Agenten auf Azure Linux-Geräten.
Die Anzahl der Open-Source-Projekte wächst exponentiell weiter. Es stimmt natürlich, dass sich die Sicherheit von Open-Source-Software in den letzten zehn Jahren stark verbessert hat, und zweifellos werden Patches für Sicherheitslücken in der Open-Source-Software wesentlich schneller entwickelt als zuvor. Das sind gute Nachrichten. Andererseits nimmt die Anzahl der Open-Source-Lieferkettenangriffe dramatisch zu. In seinem Bericht über die Situation in der Software-Lieferkette für 2021 berichtet Sonatype über schätzungsweise 12.000 durchgeführte Angriffe auf Open-Source-Projekte – ein Anstieg von 650 % innerhalb eines Jahres.
Die Wettbewerbsfähigkeit eines Unternehmens scheint immer mehr von der Innovationskraft und konsequenten Ausrichtung auf die Verkürzung von Markteinführungszeiten abzuhängen. Das zwingt große wie auch kleine Unternehmen dazu, Open-Source-Projekte einzuführen. Behörden und Organisationen im privaten Sektor stehen unter dem Druck, Innovationen vorantreiben und Software-Projekte immer schneller bereitstellen zu müssen. Doch das Vorpreschen ohne Rücksicht auf Verluste hat seinen Preis, insbesondere aus Sicht der Cyber-Sicherheit.
Daher ist es für jeden von uns im öffentlichen und privaten Sektor unerlässlich, die Sicherheit unserer Open-Source-Projekte an die oberste Stelle setzen. Bei der Nutzung von Open Source geht es teilweise um Innovation und Markteinführungszeit. Unternehmen müssen jedoch in vielen Phasen eines Projekts Sorgfaltspflichtprüfungen durchführen. Konkret bedeutet das, dass der Code sowohl zu Projektbeginn als auch während der Entwicklungs- und Bereitstellungsprozesse mehrfach geprüft werden muss. Das ist kein einfaches Unterfangen. Und komplizierter als man glaubt, wenn man bedenkt, dass Exploits sowohl von externen Cyber-Kriminellen als auch von internen Projektbeteiligten kommen können.
Wie können wir uns davor schützen?
Eine wichtige Waffe im Kampf gegen bösartige Software-Updates ist der Abbau technischer Schulden. Dies ist der Unterschied zwischen dem „Preis“ (Zeit- und Arbeitsaufwand, technologische Investition), den ein technisches Projekt kosten sollte, um ein perfektes und zukunftsfähiges Produkt zu erhalten, und dem „Preis“, den ein Unternehmen zu zahlen bereit ist. Produkte können aufgrund von verringerten Investitionen leiden, doch die meisten dieser technischen Schulden betreffen die Anwendung von Software-Updates, die zwar häufig übersehen, jedoch absolut notwendig sind.
Obwohl die Chance besteht, dass Angreifer (ob staatliche Hacker oder profitorientierte Kriminelle) Malware über Software-Updates verbreiten, müssen IT-Administratoren darauf achten, dass Updates und Patches angewendet werden, sobald sie verfügbar sind.
Wenn technische Schulden anwachsen, wird Angreifern durch die entstandenen Sicherheitslücken Tür und Tor geöffnet. Die Kombination aus neuen Verbreitungsmethoden für Malware und ungepatchten Sicherheitslücken gibt Anlass zu großer Sorge.
Durch das vermehrte Aufkommen von Hybrid-Arbeitsumgebungen tragen Endbenutzer zudem eine größere Verantwortung für die Anwendung von Patches und die Aktualisierung ihrer Systeme. Dadurch kann es vorkommen, dass Updates erst gar nicht installiert werden oder von unerfahrenen Benutzern vorgenommen werden, die Verhalten akzeptieren, das von IT-Teams als verdächtig eingestuft werden würde. Unternehmensleiter sollten dafür sorgen, dass Cyber-Sicherheitsschulungen und regelmäßige Auffrischungsschulungen durchgeführt werden, damit Mitarbeiter als erste Verteidigungslinie fungieren können.
Solarwinds war nicht der erste Vorfall mit bösartigen Software-Updates, und wird sicherlich nicht der letzte gewesen sein. Wenn das Sicherheitsbewusstsein aller Mitarbeiter im Unternehmen geschärft wird und Patches konsequent angewendet werden, sind Unternehmen gegen Angriffe besser gerüstet.
