code on computer screen

Waarom cyberaanvallen op technologische supply chains verontrustend zijn?

Rafiek Madani voor ENAB

Disclaimer: Nulrisico bestaat niet, geen enkel bedrijf ter wereld kan 100% cyberveiligheid garanderen. De zwakste schakel in een netwerk is de persoon.

Safe On Web NLSpecialist over cybersecurity FR

Ransomware, Cyber, La Criminalité
Foto Pixabay – Ransomware

De laatste twee jaar zijn bijna alle gebruikers gewend geraakt aan de term ransomware op het gebied van computerbeveiliging. Dankzij aanvallen zoals Wannacry, die meer dan wie ook weet dat dit malware is die tegenwoordig grote zorgen baart omdat het, wanneer het een computer infecteert, alle gegevens die op de harde schijf zijn opgeslagen, versleutelt en een financieel losgeld vraagt in ruil voor het terugbrengen naar de oorspronkelijke staat.

De laatste tijd vragen aanvallers in gevallen waarin ze gevoelige gegevens vinden op de harde schijven die ze coderen ook vaak om geld in ruil voor het niet openbaar maken van deze gegevens. Kortom, een regelrechte chantage.

Dit is een van de grootste bedreigingen voor de computerveiligheid van vandaag. In de media wordt er vaak over gesproken en hoewel het in veel gevallen nog steeds succesvol is, weten we (althans in theorie) hoe we ons ertegen kunnen beschermen.

Er is echter nog een ander soort bedreiging die minstens even zorgwekkend blijkt te zijn en waarvan het grote publiek zich veel minder bewust is.

Aanvallen op de supply chain.

Cyber, Attaque, Chiffrement, Smartphone
Foto Pixabay – Cyber attack

Het eerste wat we moeten weten is dat de huidige technologie zeer complex is. Om de eindgebruikers van een product of dienst te laten genieten, moeten een groot aantal leveranciers, beheerders, fabrikanten en distributeurs samenwerken in een netwerk van relaties waar wij als eindgebruikers bijna altijd niet van op de hoogte zijn.

Weten we wie elk onderdeel van onze laptop heeft ontworpen, gefabriceerd, geassembleerd, enz. van onze mobiele telefoon en van de software die we gebruiken voor telewerken? Meestal kennen we alleen het merk, maar niet alle derden of onderdelen die nodig zijn geweest om die technologie te gebruiken.

Dit hele netwerk van bedrijven die nodig zijn voor het gebruik van een hardware of software is wat we kennen als supply chain. Deze ketens zijn gebaseerd op de commerciële relaties tussen de verschillende elementen waaruit ze bestaan, elk heeft zijn eigen bedrijfsmodel en verdient geld met een andere activiteit.

Deze ketens zijn ook gebaseerd op vertrouwensrelaties: vertrouwen dat de geëngageerde kwaliteitsnormen worden nageleefd, de gestelde termijnen, en in het algemeen vertrouwen dat het de bedoeling is om de eindklant een goed product of een goede dienst te leveren.

Maar wat gebeurt er als een van de elementen in de keten kwaadaardig is, d.w.z. zich illegaal gedraagt? Het kan vanaf het begin kwaadaardig zijn, of het kan onbewust zijn gecompromitteerd door een aanvaller van buitenaf.

Bij een cyberaanval op de supply chain kunnen we de veiligheid van de eindklant in gevaar brengen door hem een product of dienst te laten gebruiken met kwetsbaarheden die opzettelijk worden veroorzaakt door een van de elementen in de supply chain.

Enkele voorbeelden

Anders, Les Autres, L'Intimidation
Foto Pixabay

Doelwit is een Amerikaanse warenhuisketen. Enkele jaren geleden werden de verkooppuntterminals die in hun winkels werden gebruikt om met een kaart te betalen, massaal geïnfecteerd met malware die de gegevens van de kaarten van hun klanten stal.

Toen ze het incident onderzochten, beseften ze dat de cybercriminelen toegang hadden gekregen tot hun netwerk via een derde partij, een bedrijf dat hun airconditioningsystemen onderhield.

Het is typisch dat wanneer cybercriminelen een aanval plannen, ze altijd op zoek gaan naar het zwakste punt, het punt dat de minste inspanning vereist: de beveiligingssystemen in de winkels van Target waren moeilijk te doorbreken, maar die van sommige leveranciers waar ze mee werkten, niet zozeer. Dus de aanvallers gebruikten een snelkoppeling om zichzelf tijd en moeite te besparen.

In 2018 bevond zich op de moederborden van SuperMicro (een Amerikaanse technologiefabrikant) een chip van onbeduidende grootte die er niet hoefde te zijn, omdat hij niet in het oorspronkelijke ontwerp van het bord zat. Opgemerkt moet worden dat de meeste hardwarefabrikanten, zelfs als ze Amerikaans of Europees zijn, meestal alleen maar ontwerpen. Ze produceren bijna altijd in Azië (meestal in China).

Hoewel er niets bewezen kon worden (iets wat heel gebruikelijk is bij dit soort aanvallen), spraken veel media over een spionageapparaat, aangezien veel grote bedrijven hun boards bij SuperMicro kochten om hun datacenters te monteren (Amazon, Apple, enz.).

Vanaf dat moment waren veel landen wantrouwig ten aanzien van de in China geproduceerde technologie en werd er een campagne gestart om deze niet op te nemen in de uitrol van toekomstige 5G-netwerken.

Zoals we in het begin al zeiden, is vertrouwen essentieel in toeleveringsketens: als het vermoeden bestaat dat een van de elementen wordt gecontroleerd door een staat die het gebruikt om zijn doelstellingen te bereiken (bijvoorbeeld spionage) of dat het gemakkelijk kan worden aangevallen om dit te doen zonder dat hij zich daarvan bewust is, wordt de toeleveringsketen doorbroken door een gebrek aan vertrouwen. We zijn getuige geweest van recente voorbeelden in de race voor het covid-19-vaccin.

Waarom hebben we het hier nu over?

De kwestie is actueel omdat, begraven tussen het nieuws over covid-19 en de koude en sneeuwstorm, in de afgelopen maand verontrustend nieuws naar voren is gekomen over een aanval op de toeleveringsketen waarvan de massale gevolgen nog steeds worden geanalyseerd.

Print scrn website solarwinds.com

Een bedrijf genaamd SolarWinds brengt een product op de markt, het Orion-platform, dat door veel overheden en bedrijven wordt gebruikt om hun computernetwerken te monitoren. Het blijkt dat iemand erin geslaagd is de beveiliging van SolarWinds te doorbreken en een met malware geïnfecteerde versie van Orion, Sunburst, te maken.

Ongeveer 18 000 klanten van SolarWinds wereldwijd hebben deze versie van de geïnfecteerde software gedownload. Ze vermoedden niet (omdat ze het van de officiële servers van SolarWinds, hun vertrouwde provider, hebben gedownload) dat hun infrastructuur nu in gevaar was en dat iemand hun e-mails, hun netwerken en hun schijven aan het bespioneren was.

Logo FireEye en Microsoft

Onder de slachtoffers van deze aanval bevinden zich verschillende Amerikaanse overheidsinstellingen, zoals het ministerie van Justitie of het ministerie van Energie, grote technologiebedrijven, zoals Microsoft, of grote bedrijven in de cyberbeveiligingssector, zoals FireEye. Deze laatste werd beroofd van zijn eigen beveiligingsmiddelen en waarschijnlijk van rapporten en inlichtingen die zeer gevoelige informatie bevatten.

Als, zoals het lijkt, de aanvallers bij de broncode (het hart van de computer) van sommige producten van Microsoft zijn gekomen, wie kan dan garanderen dat ze niet doorgaan met hun aanval op de toeleveringsketen door een soort kwaadaardige software op te nemen in de updates die we allemaal hebben gedownload voor bijvoorbeeld Windows?

Gelukkig lijkt het erop dat deze optie op dit moment niet aan de orde is, maar de gevolgen hadden nog groter kunnen zijn.

Op dit moment wordt nog steeds onderzoek gedaan naar de oorsprong van deze aanval (het lijkt 2019 te zijn), wie erachter zit (vanaf het begin is het toegeschreven aan een Russische groep), de oorzaken en de daadwerkelijke gevolgen ervan. Er moet nog veel worden ontdekt.

Is er iets wat we kunnen doen om onszelf te beschermen?

La Cyber-Sécurité, Sécurité Internet
Foto Pixabay

Dergelijke cyberaanvallen komen steeds vaker voor en stellen de daders in staat om verschillende soorten doelen te bereiken, die allemaal een grote impact hebben op hun slachtoffers. Alle elementen van een supply chain moeten samenwerken om deze aanvallen te voorkomen, het is hun verantwoordelijkheid.

Elk van de schakels moet zijn infrastructuur goed beschermen, zodat ze niet de zwakste in de keten zijn en ze moeten ook de andere schakels controleren, controleren of ze hun deel van het werk doen. Controleer het grondig en voortdurend, niet met bureaucratie om het dossier te dekken. Vertrouwen moet worden verdiend. Dit vereist dat elk bedrijf informatie deelt over zijn kwetsbaarheden en de bedreigingen waarvan het op de hoogte is.

Als gebruikers van technologie in een geglobaliseerde economie, als consumenten, moeten we weten dat wanneer een aanval op de toeleveringsketen goed in elkaar zit, het voor ons moeilijk te voorkomen is. Maar we moeten van onze leveranciers transparantie eisen (indien nodig in de regel vereist), hoe meer informatie we hebben over de toeleveringsketens, hoe beter en gemotiveerder we onze aankoopbeslissingen kunnen nemen.

Daarnaast moeten we ons richten op detectie: als iemand probeert onze gegevens te stelen, kunnen we niet een jaar lang zonder erachter te komen; we moeten ze in de gaten houden om ze snel op te sporen en de middelen in te zetten om ze te verhelpen.