För några år sedan blev det känt att APT10 (Kina) i en omfattande operation angripit flertalet IT-leverantörer (MSP, Managed Service Providers).1 Detta kan argumenteras för att i någon utsträckning sätta fart på diskussionerna om supply-chainangrepp.

Låt oss nu snabbspola fram till 2020. Jag har svårt att avgöra huruvida supply-chainangreppen blir vanligare, eller om bara fler upptäcks men här är ett axplock:

  • Avast upptäcker trojan som distribueras genom flertalet mjukvarors uppdateringsfunktioner. 2
  • Företaget ESET rapporterar om ett angrepp mot Sydkorea med bedömningen om att det är utfört av Lazarus (Nord Korea). Angreppet utnyttjade en supply-chain attack. 3
  • Företaget FireEye rapporterar om ett högst avancerat cyberangrepp som genom supply-chain vektorn angriper ett företag för systemövervakning, SolarWind's Orion platform. 4 5
  • Företaget ESET rapporterar om ett angrepp mot den Mongolska regeringen. Attacken utfördes med hjälp av komprometterade system för att skicka ut uppdateringar till ett vanligt använt program. 6

Avancerade cyberangrepp

Jag skulle vilja fokusera särskilt på intrånget SolarWinds och genom det FireEye. Detta är tveklöst ett avancerat cyberangrepp som på många sätt utmärker sig. Men istället för att fokusera på de specifika tekniska detaljerna skulle jag vilja lyfta blicken något och undersöka vad vi kan utläsa genom vektorn.

Vad krävs för ett supply-chainangrepp?

Supply-chainangrepp är generellt sett att betrakta som avancerade cyberangrepp. Det kräver långsiktig planering, operativ förståelse och hög teknisk kompetens för att genomföra dessa. Långsiktigheten innebär indirekt att det behöver finnas en viss typ av verksamhet bakom angreppet. Det behöver finnas operativ kontinuitet vilket troligen innebär en grupp om flera operatörer och beslutsfattare bakom.

Den operativa förståelsen innebär att aktören behöver lära sig målets (SolarWind) nätverk, system och klienter. Därefter behöver aktören ladda ner källkod, lära sig denna och på lämplig plats i koden införa sina bakdörrar. Det innebär hög teknisk kompetens, och högst troligen även en uppsättning operativa resurser (operatörer, utvecklare osv.)

Detta innebär pengar, tämligen stora summor pengar för att resurssätta den nödvändiga organisationen.

Vem utsätts?

En organisation som utsätts för en sådan här omfattande operation är ett viktigt mål för hotaktören. Eftersom supply-chain-vektorn oftast används för att nå ett slutmål måste det även innebära att slutmålet är av högsta vikt, värt investeringen så att säga.

Det måste även innebära att slutmålet är tämligen otillgängligt och svåråtkomligt eftersom supply-chainvektorn anses vara den som ger minsta motstånd. Vi kan således anta att företaget är välskyddat och troligen ett välkänt varumärke, eller tillhör en välkänd nation.

Vilka utsattes?

När vi sedan matchar in dessa "rekvisit" mot det slutgiltiga målet (FireEye, US Treasurey Department osv.) förstår vi snabbt varför supply-chainvektorn nyttjades.

Lärdomar

Supply-chainvektorn innebär oftast något av följande:

  • Slutmålet använder produkten; det är riktat mot en eller ett fåtal organisationer/företag (även om fler berörs).
  • Höga kostnader för operationen innebär att uppdraget prioriteras och beslutas av "högre ort".
  • Kräver omfattande resurser avseende finansiell och resursmässig uthållighet. Få nationer besitter den kompetens och nödvändiga operativa kunskapen för att genomföra ett sådant angrepp.
  • Långsiktig investering nödvändig med planeringshorisont på åtminstone 6-12 månader.

Slutsatser

Det är i huvudsak statligt understödda aktörer som har möjlighet att utnyttja supply-chainvektorn. Allteftersom flera nationer bygger sina operativa förmågor i cyberdomänen kommer det inte helt osannolikt innebära att fler leverantörer av programvaror eller andra IT-relateradetjänster komprometteras som en del av övergripande och mer avancerade cyberoperationer.

Referenser