Spear-Phishing und CEO-Fraud verhindern: Absicherung der Lieferkette

Unternehmen arbeiten mit unzähligen Lieferanten, Dienstleistern und Partnern zusammen – und der Channel steckt mittendrin. Cyberkriminelle attackieren die Kommunikation in diesem komplexen Beziehungsgeflecht, um Daten zu stehlen, einen Betrug einzufädeln oder Malware einzuschleusen. Ingo Schaefer von Proofpoint erklärt, was man dagegen tun kann.

Ingo Schaefer, Team Lead Channel Sales DACH bei Proofpoint
(Foto: Proofpoint)

Der Channel ist auf einen reibungslosen Ablauf innerhalb der Zuliefer- und Distributionsketten angewiesen. Störungen der in ihnen ablaufenden Prozesse können große Schäden verursachen. Denn eine unterbrochene Produktion oder eine Verzögerung in der Verfügbarkeit von Produkten und Dienstleistungen kann kostspielige Folgen haben und der Konkurrenz Tür und Tor öffnen sowie wertvolle Channel-Beziehungen beeinträchtigen – Beziehungen, in die viel investiert wurde. Besonders anfällig ist die Kommunikation zwischen den einzelnen Parteien der Supply Chain, wenn unbefugte Dritte versuchen, in die Kommunikation der Lieferkette einzudringen. Dieser Problematik müssen sich alle am Channel beteiligten Unternehmen bewusstwerden.

Einfallstor für Angriffe

Unternehmen, deren vielschichtige Organisation beispielsweise Cloud-Services quer durch ihren Channel nutzen (zum Beispiel für Abrechnungen mit Lieferanten oder Kunden), gehen mitunter auch Ad-hoc-Beziehungen mit Anbietern ein, die bei ihren sonstigen Geschäftsbeziehungen kaum vorkommen. Diese »sonstigen Beziehungen«, die abseits der Partner der Lieferkette bestehen, bieten oft ein ideales Einfallstor für Angriffe.

Gefälschte Mails im Umlauf

Eine erfolgversprechende Betrugsmasche der Cyberkriminellen stellen auch im Channel BEC-Angriffe (Business E-Mail Compromise) dar, oftmals als CEO-Betrug bezeichnet. Mittels täuschend echt wirkender E-Mails aus dem Kollegen- oder vertrauten Lieferantenkreis werden Mitarbeiter dazu gebracht, unbedachte Handlungen auszuführen. Dies kann beispielsweise so aussehen, dass Mails versendet werden, in denen es den Anschein hat, dass ein Vorgesetzter eine Geldüberweisung an einen Lieferanten anordnet, das Geld dann aber auf das Konto des Hackers fließt. Auch die Ausspähung von sensiblen Informationen für zukünftige Angriffe kann Ziel einer manipulativen E-Mail sein. All diese Mails haben eine Taktik gemeinsam: Sie geben ihre Absender als vertrauenswürdige Kollegen oder Partner aus und missbrauchen damit Geschäftsbeziehungen mit Hilfe von Social-Engineering-Techniken.

Häufig sind diese Bedrohungen stark fokussiert. Angreifer forschen ihre potenziellen Ziele genau aus, und nutzen ihr Wissen über die Rolle des Mitarbeiters sowie der Unternehmenshierarchie. Sie identifizieren sogar den besten Zeitpunkt, an dem die Mails gelesen werden. Cyberkriminelle kombinieren die Informationen, deren sie habhaft werden können und erstellen komplette Profile ihrer Opfer.

Barium – nicht nur ein Erdalkalimetall

Doch wer macht sich solche Mühe, so ausgetüftelte Angriffe durchzuführen? Wer bei Barium an ein radioaktives Erdalkalimetall denkt, hat nur teilweise recht. Hinter dem Namen versteckt sich zudem eine vermutlich chinesische APT-Gruppe (Advanced Persistent Threat), die hinter vielen der aktuellen Angriffe vermutet wird. Diese Gruppe verfügt – ähnlich der bekannteren Winnti-Gruppe, die auf verschiedene, auch deutsche Unternehmen bewiesenermaßen Hacker-Angriffe durchgeführt hat – über eine Vielzahl von Werkzeugen, etwa PlugX, Zxschell, AceHash, Webshells sowie die Winnti-Backdoor. Diese Tools sind weit verbreitet und könnten von fast jeder APT-Gruppe genutzt werden.

In der Regel stehen Spear-Phishing-Mails zu Beginn eines Angriffs, die den Empfängern über fast perfekte Imitation des Absenders und Inhalts Legitimität vorgaukeln. Beliebt sind Themen aus den Bereichen Personalwesen, Rekrutierung beziehungsweise Mails mit Bewerbungsunterlagen. Die Anhänge dieser Mails sind jedoch mit einer Malware versehen. Sowohl die Winnti- als auch die Barium-Gruppe verwenden dabei Open-Source-Tools wie Metasploit Meterpreter. Auch Code-Signing-Zertifikate kommen zum Einsatz, was die weitere Erkennung der eingesetzten Malware erschwert.

Unbemerkt angegriffen

Angriffe auf die Schwachstellen einer Lieferkette sind meist schwierig zu erkennen, da sie fallweise auftreten und keinem festen Muster folgen. Umso wichtiger ist es, dass Organisationen gemeinsam mit den Beteiligten ihrer Lieferketten Methoden der Abwehr kennen und nutzen.

Übersicht