Supply-chain-aanvallen groeiend securityprobleem met weinig oplossingen

Na de schrik van de Petya-ransomware eerder dit jaar en de CCleaner-aanval in oktober lijkt malware via supply-chain-attacks steeds vaker voor te komen. We spraken beveiligingsexperts om te peilen hoe groot het risico is, en hoe een bedrijf zichzelf kan beschermen.

Een supply-chain-aanval is een vorm van malware die misbruik maakt van vendors in het aanleverproces (de ‘supply-chain’) van bedrijven of consumenten. Er zijn dus twee mogelijke slachtoffers: bedrijven die via supply-chain-malware worden bespioneerd, of consumenten die een update binnenhalen en zo kans lopen op bijvoorbeeld een ransomwarebesmetting.

Lange geschiedenis

Het fenomeen van supply-chain-aanvallen is niet nieuw. Al zeker 20 jaar is het misbruiken van suppliers een veelgebruikte methode voor het versturen van malware of spionagesoftware. Ook zijn supply-chain-aanvallen niet altijd alleen op software gericht. Zo zijn er cases bekend waarbij inlichtingendiensten zoals de NSA fysieke transporten van ICT-apparatuur onderschept en die van malware voorziet.

Recente gevallen

Hoewel het fenomeen al langer bestaat is er juist de laatste maanden steeds meer oog voor deze specifieke vorm van malwareverspreiding, geholpen door de ontdekking van malware in het populaire CCleaner, en eerder door de heftige aanval van Petya-ransomware bij tientallen bedrijven over de hele wereld.

Groot gevaar?

Hoewel de meeste beveiligingsexperts een stijgende trend zien in het aantal gevallen van supply-chain-attacks verschillen de meningen over de impact en risico’s. We spraken met Christiaan Beek, lead scientist & principal engineer bij McAfee, die weliswaar steeds meer gevallen ziet verschijnen maar niet denkt dat consumenten direct op hun hoede moeten zijn. “Dit is een probleem waar vooral het bedrijfsleven door wordt getroffen. Dat zie je aan de Petya-aanval, die vooral bedoeld was om specifieke bedrijven te saboteren, en aan CCleaner dat ook door het bedrijfsleven wordt gebruikt. Dat zijn de doelwitten.”

Michael van der Vaart, CTO bij ESET Nederland, denkt dat het niet alleen maar bedrijven zijn die worden getroffen. ESET ziet steeds meer supply-chain-aanvallen die op consumenten gericht is; zo ontdekte het bedrijf nog deze maand een trojan die verspreid werd via een populaire mediaspeler voor OSX. Vorig jaar werd een trojan ontdekt in torrentclient Transmission, ook gericht op consumenten.

Onduidelijke motieven

De verschillende meningen tonen aan dat het er nog veel onduidelijk is over de motieven en de daders van supply-chain-aanvallen. Zo denken Beek en Van der Vaart verschillend over de motivatie om malware via een supplier te injecteren. Beek denkt dat bedrijfsspionage de belangrijkste drijfveer is: “Supply-chain-aanvallen zijn veel gerichter dan bijvoorbeeld ransomware dat juist zo sterk is omdat het de massa bereikt. Het infiltreren van een bedrijfsnetwerk en het doorvoeren van een malafide update is technisch niet heel moeilijk, maar het lang stilhouden daarvan wel. Het is erg moeilijk om jezelf verborgen te houden als je een systeem hebt geïnfiltreerd. Als je zoiets waardevols in handen hebt, dan wil je daar ook het maximale uit halen.”

Massa, en doelwit

Volgens Van der Vaart is de massa echter steeds belangrijker voor supply-chain-hackers. “Kijk maar naar de Proton-trojan die we ooit in video-encoder Handbrake vonden, en met de OSX-trojan van eerder deze maand. Dat is echte consumentensoftware en de malware richtte zich op de vele gebruikers van die programma’s.” Een aanval kan dus zowel gericht zijn op een kleine groep (zoals in het geval van (Not)Petya dat door het Oekraïense M.E. Doc werd getroffen en een duidelijk target had), maar het bereiken van een gotere massa is wel degelijk interessant voor hackers.

Makkelijker te infecteren

Een reden daarvoor is dat het in sommige gevallen makkelijker kan zijn om een bedrijf verderop in de supply-chain te infecteren. McAfee ontdekte volgens Christiaan Beek bijvoorbeeld een malafide update die naar bedrijven werd verscheept via een GPU-update. “Dat wordt gedaan omdat een update voor je videokaart minder opvallend is, en dat je denkt dat het minder risico voor je bedrijf oplevert. Een GPU-fabrikant checkt softwareupdates doorgaans minder goed dan een bedrijf dat zich volledig op softwarepakketten richt, want dat is minder nodig.”

Moeilijker te voorkomen

Het lastige aan supply-chain-aanvallen is dat het voor consumenten haaks staat op de security practices die de beveiligingswereld al decennia van de daken schreeuwt: update je software, want lekken kunnen misbruikt worden. Maar wat nou als juist die update zelf zorgt voor een virus?

‘Leveranciers vertrouwen’

Volgens Van der Vaart moeten consumenten er vanuit kunnen gaan dat hun leverancier te vertrouwen is en zijn zaken op orde heeft. Leveranciers moeten op hun beurt wel maatregelen durven nemen. Dit kan bijvoorbeeld door zich periodiek door een ethisch hacker te laten hacken om belangrijke softwaregaten te vinden. Dat geldt al helemaal voor bedrijven die gebruik maken van software waarmee persoonlijke gegevens worden bewaard. “Als je een boekhoudpakket gebruikt waarin je klantgegevens opslaat, dan is het logisch dat je aan de leverancier vraagt hoe die zijn updates beveiligt.”

Integrity checks

Het is niet eens zo heel moeilijk om die integriteit te checken, denkt Christiaan Beek. “Het zijn kleine stappen, maar die moet je wel zetten als bedrijf. Draai een update vóór je die naar een klant stuurt eerst lokaal op je eigen systemen, en doe een checksum om te weten of je code gesigneerd is.”

Dat laatste is overigens ook geen waterdichte methode, denken zowel Van der Vaart als Beek. ESET zag bij de aanval via een mediaspeler voor OSX bijvoorbeeld dat het programma werd ondertekend met een vals Apple ID dat niet van de originele makers afkomstig was. Een ander risico bestaat voor de eindgebruiker, die controleert op de hash die is gepubliceerd is op de website of het bestand correct is gedownload. “Maar wie zegt dan dat die hash op de website ook niet aangepast is, als de aanvallers al zo diep in de supply-chain van een organisatie zitten?”

Met onze Security Verified-certificatie kunt u op transparante wijze aantonen dat de beveiliging van uw organisatie goed op orde is. Lees hier meer over dit proces en hoe SoftwareZaken u daarbij kan helpen. Een goed begin om uw beveiligingszaken op orde te stellen is een ISO 27001-audit in uw bedrijf te draaien. Lees er hier meer over.

Bron afbeelding: Christiaan Colen via Flickr