Anfang April haben wir
den ShadowHammer-
Angriff auf Asus-Laptops als Beispiel für eine Malware-Kampagne über eine Lieferkette erörtert. Angriffe auf die Lieferkette sind für Forscher von besonderem Interesse und eine besondere Gefahr für Unternehmen, gerade weil sie vertrauenswürdige Kommunikationskanäle gefährden. Der Kauf eines bereits infizierten Computers, das Hacken eines Subunternehmers mit Zugriff auf die Unternehmensressourcen des Kunden und das Verteilen einer infizierten Version der Software von der Website eines offiziellen Entwicklers sind typische Beispiele für Angriffe auf eine Lieferantenkette.
Noch schwerwiegender kann das Problem sein, wenn das Opfer ein Unternehmen ist, das Ihnen Remote-IT-Infrastrukturdienste oder Softwareentwicklungs- und IT-Systemimplementierungsdienste bereitstellt. Das Auslagern dieser Aufgaben an Dritte ist eine gängige Praxis. Letzte Woche wurde bekannt, dass das indische Unternehmen Wipro, ein bedeutender Anbieter von IT-Dienstleistungen, angegriffen wurde. Zuerst schrieb der unabhängige Journalist Brian Krebs über den Kompromiss des Wipro-Unternehmensnetzwerks, und dann wurden die Informationen im Unternehmen selbst bestätigt (
Nachrichten ,
Artikel von Brian).
Wipro ist ein sehr großer Anbieter von IT-Dienstleistungen mit einem Umsatz von 8 Milliarden US-Dollar pro Jahr und Zehntausenden von Kunden auf der ganzen Welt, darunter seriöse Unternehmen und Regierungsbehörden. Die Zahl der Beschäftigten übersteigt 170 Tausend. Beispiele für in den Medien erwähnte Projekte: Implementierung eines ERP-Systems, Aktualisierung der Infrastruktur für die Bearbeitung von Krankenversicherungspolicen, Implementierung von Kundenbetreuungssystemen. Komplexe Projekte dieser Ebene erfordern einen breiten Zugang der Unternehmensvertreter zum Unternehmensnetzwerk der Kunden.
Was im März 2019 zuverlässig im Unternehmen passiert ist, ist nicht bekannt: Der Journalist Brian Krebs basiert auf anonymen Quellen seitens der Wipro-Kunden, und das Unternehmen selbst gibt in seinen Aussagen keine Details bekannt. Mit einer Ausnahme: Phishing wurde zur ersten Methode, um in das Unternehmensnetzwerk des Unternehmens einzudringen. Angeblich gelang es den Angreifern, auf den Computer eines Mitarbeiters des Unternehmens zuzugreifen, der dann zum Angriff auf andere Mitarbeiter verwendet wurde. Die legitime Software ScreenConnect wurde zur Fernsteuerung von Endgeräten verwendet. Laut einer an der Untersuchung beteiligten Quelle wurde sie auf Hunderten von Computern gefunden, die sowohl Zugriff auf das interne Wipro-Netzwerk als auch auf die Infrastruktur der Kunden des Unternehmens hatten. Das Dienstprogramm Mimikatz, ein Freeware-Programm zum Extrahieren von Kennwörtern auf Computern unter Windows, wurde ebenfalls verwendet.
Dies ist aber laut "anonymen" Quellen. In einem
Kommentar an die India Times bestätigten Vertreter von Wipro offiziell nur den Erfolg des Phishing-Angriffs und gaben bekannt, dass sie unabhängige Experten für die Durchführung der Untersuchung eingestellt hatten. Später, während der Verhandlungen mit Investoren (laut Krebs), beschrieb ein Unternehmensvertreter den Vorfall als „Zero-Day-Angriff“.
Krebsquellen deuten darauf hin, dass dieser Angriff nichts Kompliziertes war. Schnell (in einigen Wochen) wurde es verfolgt, da die Angreifer begannen, den neu erlangten Zugang zur Infrastruktur des Unternehmens für Betrug mit Geschenkkarten von Einzelhandelsketten zu nutzen. Menschen mit ernsthaften Absichten, die sich nicht gegen solche Kleinigkeiten austauschen, könnten viel länger unentdeckt bleiben.
Zumindest im öffentlichen Bereich war Wipros Reaktion auf den Vorfall, gelinde gesagt, nicht ideal: Sie haben das Problem lange Zeit nicht erkannt, sie haben keine Details des Angriffs angegeben, sie haben entgegengesetzte Aussagen gemacht (Phishing, dann Ziro-dei). Die größtmögliche Transparenz bei der Offenlegung von Informationen über Cyber-Vorfälle wird nicht nur zur ethischen Norm für Unternehmen, sondern wird in vielen Ländern auch allmählich zu einer gesetzlichen Anforderung. Auf die eine oder andere Weise hat mindestens ein Kunde des Unternehmens beschlossen, allen Wipro-Mitarbeitern den Zugriff auf ihre eigenen IT-Systeme zu blockieren, bis die Untersuchung abgeschlossen ist. Die indische Organisation selbst arbeitet an der Einführung sicherer Unternehmens-E-Mails.
Für Supply-Chain-Angriffe sind eine detaillierte Beschreibung des Angriffs und eine nüchterne Bewertung des verursachten Schadens besonders wichtig. Nicht dass die Medien darüber schreiben - es ist wichtig, dass die Kunden des betroffenen Unternehmens verstehen, was passiert ist und welche Schritte unternommen werden sollten, um sich selbst zu schützen. Eine kürzlich durchgeführte Studie
zeigt, dass Angreifer in etwa der Hälfte der Fälle versuchen, die gehackte Infrastruktur eines Unternehmens zu nutzen, um andere Organisationen anzugreifen.
Um sich vor solchen Angriffen zu schützen, lohnt es sich, das Vertrauen in Drittanbieter neu zu bewerten. Ein typisches Beispiel ist der Vorfall mit den E-Mail-Diensten von Microsoft in der vergangenen Woche (
Nachrichten ). Das Unternehmen hat proaktiv Empfehlungen zum Ändern des Kennworts einiger Benutzer der E-Mail-Dienste Outloook, Hotmail und MSN gesendet. Wie sich herausstellte, haben die Angreifer das Konto einer der Gegenparteien gehackt, die technische Supportdienste für Benutzer bereitstellen. Solche Gegenparteien haben keinen Zugriff auf Postfachkennwörter, können jedoch einige Inhalte anzeigen - Nachrichtenthemen, Adressen der Befragten, Listen der E-Mail-Ordner. In einigen Fällen könnten Angreifer laut Motherboard-Website Zugriff auf den Inhalt von Briefen erhalten. Obwohl der Zugriff der Angreifer blockiert wurde, ist es unmöglich zu beurteilen, wie viele Daten in ihren Händen waren und wie sie in Zukunft verwendet werden.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.