De dreiging die niemand ziet aankomen – hier leest u hoe u ze kunt stoppen

Leer meer over kritieke bedreigingen die van invloed kunnen zijn op uw organisatie en de slechte actoren erachter van de bedreigingsexperts van Cybersixgill. Elk verhaal werpt een licht op ondergrondse activiteiten, de betrokken bedreigingsactoren, waarom u zich daar zorgen over zou moeten maken, en wat u kunt doen om de risico's te beperken.

In een steeds meer onderling verbonden wereld zijn aanvallen op de supply chain uitgegroeid tot een formidabele bedreiging, die niet alleen individuele organisaties in gevaar brengt, maar ook het bredere digitale ecosysteem. Het web van onderlinge afhankelijkheden tussen bedrijven, vooral voor software- en IT-leveranciers, biedt cybercriminelen een vruchtbare voedingsbodem om kwetsbaarheden te misbruiken. Door zich op één zwakke schakel in de toeleveringsketen te richten, kunnen bedreigingsactoren ongeoorloofde toegang krijgen tot gevoelige informatie en kwaadaardige activiteiten uitvoeren met ernstige gevolgen voor meerdere organisaties, van datalekken en financiële verliezen tot wijdverbreide ontwrichting en reputatieschade.

Het begrijpen van de aard, impact en mitigatiestrategieën van supply chain-aanvallen is van cruciaal belang voor het versterken van de cyberbeveiligingsverdediging en het waarborgen van de veiligheid en veerkracht van het hele ecosysteem van derden.

Het groeiende risico van aanvallen op de toeleveringsketen

Supply chain-aanvallen richten zich op de netwerken, systemen en processen van externe leveranciers en leveranciers van een organisatie, waardoor kwaadwillende actoren kunnen infiltreren en de infrastructuur van het uiteindelijke slachtoffer kunnen compromitteren. Eenmaal 'binnen' een systeem kunnen bedreigingsactoren kwaadaardige code injecteren, gevoelige informatie stelen of operaties verstoren, wat trapsgewijze effecten in de hele toeleveringsketen veroorzaakt. Een inbreuk op één organisatie of schakel in de toeleveringsketen kan verstrekkende gevolgen hebben en de veiligheid van talloze entiteiten in gevaar brengen. Dit wetende, richten aanvallers zich steeds vaker op de toeleveringsketen om voet aan de grond te krijgen en de systemen van organisaties binnen te dringen.

Volgens onderzoek van Capterra werd 61% van de Amerikaanse bedrijven in de twaalf maanden voorafgaand aan april 2023 rechtstreeks getroffen door een aanval op de softwaretoeleveringsketen. Uit ons eigen onderzoek blijkt dat het aantal ondergrondse posten van cybercriminelen die adverteren voor toegang tot netwerken van dienstverleners (waaronder IT-bedrijven) diensten, clouddiensten, HR-oplossingen en andere diensten) is de afgelopen jaren gestaag toegenomen. In 2023 waren er ongeveer 245.000 software-supply chain-aanvallen, die bedrijven 46 miljard dollar kostten. Dit zal naar verwachting stijgen tot 60 miljard dollar in 2025, omdat dreigingsactoren er steeds meer op uit zijn om dienstverleners, hun klanten en gelieerde derde partijen uit te buiten.

Doelen en motivaties van aanvallers

De motivaties achter deze aanvallen zijn divers. Het primaire doel is ongeoorloofde toegang tot specifieke systemen of netwerken, die gemakkelijker te infiltreren zijn door zich in de toeleveringsketen te richten. Deze aanvallen zorgen er ook voor dat bedreigingsactoren een groter rendement kunnen behalen, omdat ze invloed kunnen hebben op de intellectuele eigendommen, financiële gegevens, klantinformatie en andere vertrouwelijke gegevens van meerdere organisaties, die kunnen worden uitgebuit voor financieel gewin of kunnen worden gebruikt voor concurrentievoordeel.

Hoewel financieel gewin voor veel cybercriminelen een belangrijke drijfveer is, kunnen hun doelstellingen ook cyberspionage, politieke agenda's of de diefstal van bedrijfsgeheimen en intellectueel eigendom omvatten. Door de staat gesponsorde actoren kunnen ernaar streven toegang te krijgen tot geheime informatie of nationale veiligheidsgeheimen, terwijl concurrerende industrieën te maken kunnen krijgen met bedreigingen die gericht zijn op eigen onderzoek en uitvindingen.

Infiltratietechnieken

Aanvallers gebruiken verschillende methoden om aanvallen op de toeleveringsketen uit te voeren, zoals hieronder beschreven.

Gecompromitteerde rekeningen

Kwaadwillige actoren maken vaak misbruik van de inloggegevens van vertrouwde leveranciers om toegang te krijgen tot de onderling verbonden systemen van doelorganisaties, waarbij ze het gevestigde vertrouwen benutten om traditionele beveiligingsmaatregelen te omzeilen. Deze inloggegevens kunnen via verschillende technieken worden verkregen of op darkwebforums worden gekocht. Cybersixgill observeerde bijvoorbeeld een bericht waarin een bedreigingsacteur toegang verkocht tot de netwerken van een grote Chinese cloudprovider, wat gevolgen had voor klanten als Ferrari en Audi.

Dergelijke inbreuken kunnen leiden tot gegevensdiefstal, fraude, verspreiding van malware en ransomware-aanvallen. Bovendien kunnen gecompromitteerde providers gemanipuleerde software aan klanten leveren, wat kan leiden tot reputatieschade, financiële verliezen, juridische problemen en operationele verstoringen.

Malware-injectie

Aanvallers injecteren ook kwaadaardige code of malware in legitieme componenten, waardoor een wijdverspreide infectieketen ontstaat. In april 2024 werd bijvoorbeeld een achterdeur ontdekt in het datacompressieprogramma XZ Utils, waardoor aanvallers ongeautoriseerde toegang konden krijgen en code op afstand konden uitvoeren. Deze kwaadaardige code trof verschillende veelgebruikte Linux-distributies, waaronder Kali Linux, Fedora, Debian en Arch Linux. De achterdeur werd opzettelijk geplaatst door een persoon die gedurende twee jaar het vertrouwen had gewonnen van de XZ Utils-projectbeheerders en resulteerde in wijdverbreide schade.

Uitbuiting van kwetsbaarheden

Het exploiteren van kwetsbaarheden in software, hardware of processen is ook een effectief middel om aanvallen op de toeleveringsketen uit te voeren en ongeoorloofde toegang te verkrijgen, systemen in gevaar te brengen en kwaadaardige activiteiten te verspreiden. In juni 2023 werden drie kritieke SQL-injectiekwetsbaarheden ontdekt in het MOVEit Transfer-platform van Progress Software, waardoor ongeveer 1.700 organisaties werden getroffen. De Cl0p-ransomwarebende maakte misbruik van deze kwetsbaarheden in een wijdverbreide aanval, gericht op bedrijven als Zellis, British Airways, de BBC en het Minnesota Department of Education. Dit resulteerde in ongeautoriseerde toegang tot gevoelige informatie, waaronder persoonlijke en financiële gegevens.

Lessen uit incidenten uit het verleden

Opmerkelijke aanvallen op de toeleveringsketen, zoals die op SolarWinds, Kaseya en NotPetya, benadrukken het verwoestende potentieel van deze inbreuken. Bij de SolarWinds-aanval werd een achterdeur in software-updates geplaatst, die vervolgens onder duizenden klanten werden verspreid, waaronder overheidsinstanties en grote bedrijven. Dit incident onderstreepte het belang van rigoureuze beveiligingsmaatregelen voor de toeleveringsketens van software en de noodzaak van constante waakzaamheid en snelle responsmogelijkheden.

Mitigatiestrategieën

Gezien de ernstige gevolgen van aanvallen op de toeleveringsketen moeten de SOC- en bedreigingsjagerteams van organisaties proactieve maatregelen nemen om de risico's te beperken. De juiste tools, informatie en context helpen teams de specifieke bedreigingen voor hun organisatie te begrijpen.

De Third-Party Intelligence-module van Cybersixgill biedt verbeterde informatie over cyberdreigingen uit verschillende bronnen, waardoor organisaties kritische inzichten krijgen in de cyberbeveiligingslacunes van hun leveranciers. Hierdoor kunnen beveiligingsteams:

  • Voorkom bedreigingen in de toeleveringsketen
  • Beoordeel voortdurend de beveiligingsstatus van derden om risico's te minimaliseren
  • Rapporteer bedreigingen en bied aanbevolen herstelmaatregelen aan getroffen leveranciers
  • Voer fusie- en overnameonderzoek uit voordat contracten worden afgerond

Conclusie

In het veranderende landschap van cyberdreigingen is het handhaven van een veilige toeleveringsketen niet alleen een strategische prioriteit, maar ook een fundamentele noodzaak om de integriteit en betrouwbaarheid van digitale operaties te waarborgen.

De groeiende dreiging van aanvallen op de toeleveringsketen vereist een groter bewustzijn en robuuste beveiligingsstrategieën van alle belanghebbenden. Naarmate bedrijfsecosystemen meer met elkaar verbonden raken, worden de kwetsbaarheden binnen toeleveringsketens duidelijker en beter te exploiteren. Organisaties moeten uitgebreide beveiligingsmaatregelen implementeren, voortdurend hun relaties met derden beoordelen en op de hoogte blijven van de nieuwste bedreigingen om hun digitale ecosystemen te beschermen.

Voor meer informatie over supply chain-aanvallen en Cybersixgill's Third-Party Intelligence downloadt u Broken Chains: Understanding Third-Party Cyber ​​Threats, of neemt u contact met ons op om een ​​demo te plannen.

Thijs Van der Does