Het gevaar van aanvallen door statelijke actoren op wereldwijde supply chains is nog niet geweken
Statelijke actoren vormen een groeiend gevaar voor supply chains en kritieke infrastructuur

Het gevaar van aanvallen door statelijke actoren op wereldwijde supply chains is nog niet geweken

Security
Software
Achtergrond
Redactie WINMAG Pro

Tekst: Rosa Jong, Analyst Team Lead bij Darktrace

De afgelopen jaren zijn aanvallen op de supply chain zowel in frequentie als in verfijning toegenomen, en uitgegroeid tot een van de meest ernstige dreigingen voor organisaties van iedere omvang en in elke sector. Door externe leveranciers en dienstverleners uit te buiten, kunnen aanvallers met één enkele inbreuk wijdverbreide verstoringen veroorzaken. Ze zijn dan ook een populaire keuze geworden voor natiestaten. Volgens Gartner zullen de kosten van deze aanvallen omhoogschieten van $46 miljard in 2023 tot $138 miljard in 2031.

Maar waarom zijn supply chains zo’n onweerstaanbaar doelwit voor cybercriminelen en natiestaten? We leven in een steeds meer verbonden wereld. De levering van bijna elke dienst die essentieel is voor ons dagelijks leven, is afhankelijk van een complex web van onderling afhankelijke derde partijen. Door slechts één van de dienstverleners in deze keten te compromitteren, kunnen aanvallers zich via de supply chain verspreiden naar andere organisaties in het netwerk. Daarmee vergroten ze de impact van hun campagne enorm.
 

Een huis gebouwd op open-sourcezand

Een manier waarop aanvallers de supply chain kunnen compromitteren, is via open sourcesoftware. Softwareontwikkelaars staan onder immense druk om snel functionele code te produceren, vaak met strakke deadlines. Een extra uitdaging is de noodzaak om te voldoen aan de strenge beveiligingsvereisten van hun DevSecOps-collega’s.

Open sourcerepositories verlichten een deel van deze druk door vooraf gebouwde codepakketten en volledig functionerende tools te bieden die ontwikkelaars vrij kunnen integreren. Deze zeer toegankelijke bronnen verbeteren de productiviteit en stimuleren innovatie. Als gevolg hiervan hebben ze een enorme en diverse gebruikersbasis. Gezien hun brede acceptatie kan een beveiligingsfout echter leiden tot wijdverbreide inbreuken.

Dit is precies wat er gebeurde in december 2021 toen een kwetsbaarheid werd ontdekt in de software van Log4J. Het legde een alarmerend eenvoudige manier bloot voor aanvallers om de controle over elk systeem over te nemen dat Log4J gebruikte. De reikwijdte van deze kwetsbaarheid was ongekend. Sommige schattingen zeggen dat wereldwijd tot wel 3 miljard apparaten werden getroffen.

Als Log4J ons iets heeft geleerd, is het wel dat kwetsbaarheden in open-sourcetechnologieën een zeer aantrekkelijk doelwit zijn voor natiestaten. Volgens de FBI sponsorde de Iraanse overheid dreigingsgroepen die de Log4J-kwetsbaarheid gebruikte om cryptominingsoftware, credential stealers en Ngrok-reverseproxy’s te installeren op Amerikaanse federale netwerken. Daarnaast bleek uit onderzoek van Microsoft en Mandiant dat natiestaatgroepen uit China, Noord-Korea en Turkije misbruik maakten van de Log4J-kwetsbaarheid om malware te verspreiden.

Sinds 2020 is er een toename van 1300% in kwaadaardige dreigingen die circuleren op open-sourcerepositories. Alleen al in de eerste 9 maanden van 2023 werden er 7.000 kwaadaardige pakketten gevonden op PyPl, de officiële open-sourcecoderepository voor programmering in de Python-taal. Sommige van deze pakketten zijn gelinkt aan de Noord Koreaanse hackgroup Lazarus.
 

Inbreuken via software-updates

Updates van software zijn ontworpen om kwetsbaarheden zoals Log4J te patchen en ervoor te zorgen dat de omgeving weer veilig is. Maar wat nou als juist die updates gecompromitteerd zijn door cybercriminelen of natiestaten? Twee van de meest effectieve inbraken op de supply chain in de recente geschiedenis, NotPetya en Solarwinds, zijn uitgevoerd via kwaadaardige updates.

De NotPetya-ransomwareaanval in 2017 is een goed voorbeeld van de massale verspreiding van ransomware via een enkele software-update. Een Russische militaire groep injecteerde malware in boekhoudsoftware die door Oekraïense bedrijven werd gebruikt voor belastingaangiften. Via een automatische update werd de ransomware binnen enkele uren naar duizenden klanten gestuurd, waardoor de Oekraïense infrastructuur, waaronder luchthavens, financiële instellingen en overheidsinstanties, werd lamgelegd.

In 2020 vond op een vergelijkbare manier de Solarwinds-aanval plaats. Een hack groep, gelinkt aan Russische inlichtingendienst, voegde kwaadaardige code toe aan een software-update, welke vervolgens naar 18.000 organisaties werd gestuurd. Slachtoffers waren ten minste acht Amerikaanse overheidsinstanties en verschillende grote technologiebedrijven.

Deze aanvallen leren ons twee belangrijke lessen: ten eerste zullen statelijke actoren in een hyperverbonden digitale wereld het vertrouwen dat organisaties in software-updates hebben, misbruiken om een domino-effect van verwoesting te veroorzaken. Ten tweede zijn de schaalvoordelen van de dreigingsactor zelf verbijsterend: eén enkele kwaadaardige update kan zorgen voor een kolossaal aantal geïnfecteerde apparaten, waardoor ook toegang kan worden verkregen tot ‘s werelds meest gevoelige netwerken. De conclusie is duidelijk: organisaties moeten de authenticiteit en veiligheid van updates nauwkeurig onderzoeken om verstrekkende gevolgen te voorkomen.
 

Supply chain-aanvallen gaan verder dan de software-supply chain

Niet alleen software is kwetsbaar voor supply chain-aanvallen. Ook hardware en logistiek is een doelwit van aanvallers. Organisaties moeten dan ook verder kijken dan hun software om verstoringen in de supply chain succesvol te beperken. In een onderzoek van HP uit augustus 2024 meldden veel organisaties dat “nationale dreigingsactoren de fysieke supply chain targetten en de integriteit van de hardware en firmware van apparaten manipuleerden.” Daarnaast beloofde een Russische militaire eenheid in november 2024 om cyberaanvallen uit te voeren op NAVO landen, waaronder op hun kritieke nationale infrastructuur (CNI). Tegenwoordig omvat CNI meer dan het elektriciteitsnet en de watervoorziening: het omvat ook ICT-diensten en IT-infrastructuur - de digitale systemen die de fundamenten van de moderne samenleving onderbouwen.

Dit is niets nieuws. Een op levering en logistiek gerichte tactiek is door de geschiedenis heen centraal geweest in oorlogsvoering. Wat is veranderd, is dat de cyberspace de schaal en efficiëntie van deze tactieken heeft vergroot, waardoor afzonderlijke softwarecompromissen zijn veranderd in aanvalsvermenigvuldigers. De dreiging van de supply chain is nu groter dan ooit tevoren.
 

Hoe kunnen organisaties zich hiertegen beschermen?

Supply chain-aanvallen hebben één overeenkomst: aanvallers hoeven slechts één stuk software te compromitteren om een verstoring te veroorzaken. Door een technologieprovider

aan te vallen waarvan de producten diepgeworteld zitten in verschillende sectoren, maken dreigingsactoren misbruik van het vertrouwen dat inherent is aan de supply chain, om netwerken op grote schaal te infiltreren.

Voor software-, hardware- en kritieke serviceleveranciers dienen deze voorbeelden als een dringende wake-upcall. Zonder strenge beveiligingsmaatregelen lopen ze het risico om kanalen te worden voor wereldwijde verstoringen. Het controleren van code, het implementeren van robuuste validatieprocessen en het bevorderen van een securitycultuur in de hele supply chain zijn niet langer optioneel, maar essentieel. In het onderling verbonden digitale tijdperk hangt de veiligheid van talloze systemen, sectoren en de samenleving als geheel af van hun waakzaamheid.

Lees meer

Waarom de juiste softwarekeuze cruciaal is voor efficiënt projectmanagement
Waarom de juiste softwarekeuze cruciaal is voor efficiënt projectmanagement
Haven van Barcelona verbetert beveiliging en technologische efficiency met behulp van Genetec
Haven van Barcelona verbetert beveiliging en technologische efficiency met behulp van Genetec
Trend Micro: Organisaties rapporteren lagere cyber risk index-score door proactieve beveiliging
Trend Micro: Organisaties rapporteren lagere cyber risk index-score door proactieve beveiliging
CrowdStrike kondigt een partnerprogramma voor diensten aan om het Security Operations Center (SOC) te optimaliseren en de groei van het ecosysteem te versnellen met Falcon® Next-Gen SIEM
CrowdStrike kondigt een partnerprogramma voor diensten aan om het Security Operations Center (SOC) te optimaliseren en de groei van het ecosysteem te versnellen met Falcon® Next-Gen SIEM
Dit staat het techlandschap in 2025 te wachten
Dit staat het techlandschap in 2025 te wachten
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie