IoT unter Beschuss Risiko: Supply-Chain-Attacken

Lieferketten sind seit jeher dem Risiko von Diebstahl, Sabotage, Industriespionage und argloser Inkompetenz ausgesetzt. Die vielen verschiedenen Stationen bieten reichlich Angriffsfläche für Kriminelle. Die fortschreitende Digitalisierung und IoT-isierung der Versorgungsketten macht sie allerdings auch zum Ziel neuartiger Cyber-Attacken.

Es ist schlimm genug, wenn die Täter Zero-Day-Exploits ausnutzen, um in die Unternehmens-IT einzudringen. Es ist wohl noch um Einiges schlimmer, wenn sie hierzu ein legitimes Software-Update eines vertrauenswürdigen Herstellers missbrauchen. Eben dieses Szenario hat sich im vergangenen Jahr auf rund 57.000 Computern mit Bauteilen der Marke Asus abgespielt: Mit der Installation einer Aktualisierungssoftware des taiwanesischen PC-Herstellers ASUSTeK Computer Inc. holten sich die Betroffenen eine „sehr fortgeschrittene“ Backdoor ins Haus, warnte der Sicherheitsspezialist Kaspersky Lab. Diese Backdoor, Codenamed Operation ShadowHammer, hätten die Täter direkt von den Asus-Servern über das ASUS Live Update Utility ganz offiziell vertrieben. Die Downloads hatten eine korrekte digitale Signatur und so konnten sie ihren bösartigen Code unbemerkt auf die betreffende Hardware einschleusen. Bösartiger Code ziele auf ganz bestimmte Endgeräte ab und könne diese anhand ihrer MAC-Adressen identifizieren, fand Kaspersky Labs heraus. Deutschland sei das zweitgrößte Ziel weltweit.

In Supply-Chain-Attacken nehmen sich die Angreifer nicht direkt die IT-Systeme des betroffenen Unternehmens zum Ziel, sondern vielmehr seine Lieferanten, die vermeintlich leichte(re) Beute. Cyber-Täter versuchen dabei, bösartigen Code in Technologieprodukte wie beispielsweise eine signierte und zertifizierte – und damit vermeintlich vertrauenswürdige – Anwendung. So können sie in vielen Fällen unbemerkt in die Infrastruktur des Opfers eindringen und im nächsten Schritt dessen eigene Produkte und deren Nutzer verseuchen.

Durch die Kontaminierung von Update-Servern oder Entwicklungstools, das Einfügen von Code in Firewall-Appliances oder ausführbare Dateien oder das einfache Ersetzen von echten durch gefälschte Softwarepakete erreichen bösartige Akteure ihre avisierten Opfer weiter entlang der Wertschöpfungskette.

Bei der Supply-Chain-Attacke gegen Asus-Kunden handelt es sich keinesfalls um einen vereinzelten Vorfall. Vor rund vier Jahren musste auch schon Juniper Networks die Existenz eines Backdoors in dem Zufallszahlengenerator Dual_EC_DRBG seiner NetScreen-Firewalls zugestehen. Nach dem Bekanntwerden der Verwundbarkeit hat das Unternehmen seine Appliances prompt und fein säuberlich „abgedichtet“ und lobte für die Zukunft Besserung.

Das Problem beschränkt sich bei Weitem nicht auf B2B-Geschäfte und kann vielmehr auch Endkunden in seinen Bann reißen.

In der Spielindustrie sind die Wunden noch roh. Einige Entwicklungsschmieden fielen in den vergangenen Monaten den Cyber-Machenschaften der gefürchteten Winnti Group zum Opfer. Die Gruppe habe interne Sicherheitsvorkehrungen mehrerer führender Hersteller von Computerspielen unterwandern können und ihren Malware-Packer mit der Backdoor PortReuse entlang der Wertschöpfungsketten ihrer Opfer übertragen können. Betroffen seien „Zehntausende oder Hunderttausende“ von Endbenutzern, so die Forscher. Das Hauptziel der Gruppe sei Spionage; nebenbei sahnten die Täter auch mittels Crypto-Mining ab.

Die betroffenen Unternehmen einer Supply-Chain-Attacke stehen von einer Mammut-Aufgabe: „Das Durchforsten einer großen Codebasis nach einem winzigen, gut verschleierten Schnipsel ist wie das Suchen nach einer Nadel im Heuhaufen“, kommentierte Marc-Étienne Léveillé, ein Forscher des europäischen Cybersicherheitsdienstleisters ESET.

Einfallstor Lieferkette

Nicht nur klassische IT-Systeme eines Unternehmens, sondern neuerdings auch die IoT-Endpunkte seiner Versorgungskette lassen sich aus dem Cyberspace heraus manipulieren. Im Rahmen von Supply-Chain-Attacken werden IoT-Endgeräte nicht zuletzt auch als Träger von Malware zunehmend missbraucht. Supply-Chain-Attacken wie der Stuxnet-Wurm (eine Schadsoftware gegen industrielle Steuerungs- und Überwachungssysteme) und ATM-Malware sind klar auf dem Vormarsch. Das Aufkommen von Cyberattacken gegen IoT-Endgeräte beschleunigt sich exponentiell, warnen u.a. Sicherheitsforscher von F-Secure Consulting.

Messungen des weltweiten Datenverkehrs durch globales Netzwerk von Honeypots der F-Secure-Unternehmensgruppe sollen einen zwölffachen Anstieg zwischen Januar und Juni des vergangenen Jahres gegenüber dem Vorjahreszeitraum nachgewiesen haben. Die Mehrheit dieser Vorfälle würde demnach auf Verwundbarkeiten in IoT-Geräten abzielen. Deutschland tauchte als eine der vier größten Quellen dieser Attacken auf (neben China, den Vereinigten Staaten und Russland).

Nicht einmal quelloffene Software ist eingeschleusten Code vollständig immun. Ganz im Gegenteil: Cyber-Täter machen sich Open-Source-Bibliotheken und -Repositories überaus gerne zunutze. Sie verschleiern ihre Payloads u.a. mit Hilfe diverser skurriler Dateiformate. Die meisten Softwareschmieden sind mit dem Paket-Management ihrer Dependencies offenbar ziemlich überfordert.

Im vergangenen November fiel die offizielle Website der Kryptowährung Monero einer Supply-Chain-Attacke zum Opfer. Ein Angreifer plante, Gelder aus den Wallets der Gemeindemitglieder abzuzweigen. Hierzu hatte er legitime Linux- und Windows-Binärdateien, die zum Download zur Verfügung standen, heimlich durch bösartige Versionen ersetzt, jedoch offenbar vergessen, die Hashes anzupassen. Einem hellwachen Monero-Benutzer ist die Diskrepanz dann doch aufgefallen. Er hat den Hack gemeldet und konnte so das Ausrauben der Gemeinde vereiteln.

Auf der Suche nach dem Sündenbock

Die aktuelle Welle von Cyber-Attacken zielt zunehmend auf die vernetzte Natur digitalisierter Lieferketten ab, bestätigen u.a. die Analysten von PwC unter Berufung auf einen Bericht des Panemon Institute.

Das Phänomen beschränkt sich bei Weitem nicht auf die Softwareindustrie. Es betrifft vielmehr alle Branchen, kreuz und quer durch das gesamte Gewebe der digitalisierten Wirtschaft.

Bereits vor rund zwei Jahren (2018) habe jedes zweite Unternehmen (56 Prozent) einen Cybersicherheitsvorfall erlebt, den anscheinend seine Lieferanten – sei es jene von Technologielösungen oder von Rohstoffen – verursacht hätten.

Im Falle der spektakulären Datenpanne bei British Airways, bei der die Zahlungsdaten von rund einer halben Million Kunden bloßgestellt wurden, hatte anscheinend die Webshop-Erweiterung eines „vertrauenswürdigen“ Drittanbieters bösartigen Code eingeschleust. Die zuständige Datenschutzbehörde hat den Vorfall unter Berufung auf die DSGVO mit einer rekordverdächtigten Strafe in Höhe von 183 Millionen GBP sanktioniert. (Zum Vergleich: Diese Summe entspricht rund dem 367-Fachen derjenigen Buße, die Facebook für den Skandal Cambridge Analytica bezahlen musste).

Auf Technologielieferanten als Sündenbock zu verweisen scheint hinreichend nachvollziehbar und naheliegend. Die Betroffenen haben im Falle von einer Supply-Chain-Attacke jeden Grund, die Verantwortung von sich zu weisen. Mit diesem Ansatz erlangen sie jedoch nicht automatisch mehr Kontrolle über ihre Versorgungskette und deren interne Abläufe. Das ist ein Rezept für eine Cyber-Katastrophe.

Inzwischen verfeinern die Cyber-Täter weiter ihre Techniken. Neulich nehmen sie die IoT-Endpunkte physischer Lieferketten ins Visier.

Wie eine Seuche

Fallende Kosten für fortgeschrittene Sensorik haben ein massives Rollout IoT-fähiger Endgeräte zur Steuerung von Warenflüssen in der Logistik und Fertigung losgetreten. Das komplexe Gewebe der zunehmend eng verzahnten Wirtschaft zeigt sich gerade an ihren IoT-Endpunkten extrem verwundbar.

Bei dem Phänomen handelt es sich keinesfalls um isolierte Vorfälle vereinzelt gehackter cyberphysischer Systeme. Die Täter lancieren vielmehr methodisch orchestrierte Offensiven gegen ganze Wertschöpfungsketten. Diese Erkenntnis geht aus einem Bericht zur aktuellen Bedrohungslage von Carbon Black hervor, einer Tochter von VMware.

In rund 50 Prozent der Cyber-Attacken gegen Lieferketten seien die Täter nicht bloß danach aus, einem bestimmten Unternehmen vereinzelt Schaden zuzufügen. Die Angreifer praktizierten vielmehr sogenanntes „Inselhüpfen“: Sie seien bemüht, von einem infizierten Unternehmen heraus seine Geschäftspartner zu infizieren, wie eine Seuche.

Cybersicherheitsattacken gegen IoT-isierte Lieferketten sind seit mehreren Jahren stark im Kommen. Nach der Sommerpause im vergangenen Jahr spitzen sich die Angriffe neuerdings wieder zu, warnt Symantec.

Die überwiegende Mehrheit der Cyber-Vorfälle gegen Lieferketten machte sich verwundbare IoT-Endgeräte ursprünglich im Rahmen von Botnets für DDoS-Attacken zunutze. Inzwischen zeichnet sich ein weitaus differenzierteres Bild der Bedrohungslage ab. Angreifer sollen mittlerweile dazu übergegangen sein, persistente Backdoors zu installieren, warnt der Cybersicherheitsspezialist Symantec in seinem aktuellsten Sicherheitsbericht (ISTR 24). So behalten sich die Angreifer die Möglichkeiten vor, das Verhalten von IoT-Geräten auf Wunsch zu manipulieren. Bis dahin „fliegen“ diese Aktivitäten sozusagen „unter dem Radar“. Das Ziel bestünde für die Cyber-Täter darin, nicht unbedingt direkten materiellen Schaden durch Manipulationen von IT- oder cyberphysischen Systemen einzurichten, sondern vielmehr darin, „die Versorgungskette zu beherrschen“.

Unternehmen sind in einer prekären Lage. Aus der digitalisierten Wirtschaft gibt ja bisher kein „Opt-Out“. Den Kopf in den Sand stecken zieht nicht und das massive Aufkommen drahtloser Konnektivität durch den Ausbau von industriellem 5G macht es sicherlich auch nicht einfacher.

Das Aufkommen von 5G läutet die Ära massiver drahtloser M2M-Kommunikation ein, nicht zuletzt erstmals auch in „privaten“ 5G-Mobilfunknetzen der Industrie. IoT-Sensorik der aktuellen Generation mag bereits intelligent(er) sein (als ihre Vorgänger), aber Update-fähig ist sie deswegen immer noch kaum. Selbst im Kontext der 5G-Aufrüstung geht die Angst um, Chipsätze zur RAN-Virtualisierung (Radio Access Network) ließen sich für Supply-Chain-Attacken missbrauchen. Drahtlos manipulierbar seien sie dafür wie geschaffen, warnt u.a. ein Bericht der Five-Eyes-Allianz, eines Bündnisses der Geheimdienste von Australien, Kanada, Neuseeland, Großbritannien und den Vereinigten Staaten.

Laut Cisco sollen zurzeit allein bei dem nordamerikanischen Telekommunikationsanbieter AT&T sagenhafte 11 Milliarden Sicherheitsvorfälle pro Tag auftreten. Diese Zahl soll mit der Umstellung auf 5G auf astronomische 720 Milliarden Sicherheitsvorfälle pro Tag ansteigen, ein atemberaubendes Wachstum auf 6500 Prozent (sechstausend fünfhundert Prozent).

Bereits die IoT-isierung von Lieferketten hat neue Angriffsvektoren geschaffen. Immer mehr Unternehmen nehmen das Risiko jedoch in Kauf. 71 Prozent von Unternehmen der Fertigungsindustrie vertrauen auf IoT ungeachtet möglicher Cyber-Gefahren, berichtet PwC in einer aktuellen Studie. 93 Prozent der befragten Entscheidungsträger glaubten, dass der Nutzen von IoT die Risiken mehr als aufwiege. 68 Prozent der Firmen wollen dementsprechend auch ihre IoT-Investitionen in den kommenden zwei Jahren noch weiter erhöhen. Man darf gespannt sein.

Fazit

Die Komplexität der wirtschaftlichen Zusammenhänge zwischen Unternehmen im Rahmen von Ökosystemen der Wertschöpfung dürfte in absehbarer Zukunft nur noch zunehmen. Sie setzt Unternehmen unter einen enormen Leistungsdruck und macht sie gleichzeitig gegen Cyberattacken verwundbar.

Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).

(ID:46491573)