Niemand weet het, zelfs de geesten niet (人不知, 鬼不觉)
-Chinees idioom
Het is misschien louter toeval dat er een beroemd Chinees gezegde is dat een recente hack op MiMi, een Chinese berichten-app, netjes samenvat. Volgens recente rapporten heeft een door de Chinese staat gesteunde hackgroep kwaadaardige code in deze berichten-app ingevoegd, waarmee in wezen het equivalent van de beruchte SolarWinds-hack werd bereikt. Gebruikers van MiMi kregen een versie van de app te zien waaraan kwaadaardige code was toegevoegd, dankzij aanvallers die de controle hadden over de servers die de app leverden. Kortom, dit was een aanval op de softwaretoeleveringsketen waarbij de pijplijn voor de levering van software werd gecompromitteerd.
En maandenlang wist niemand het.
Deze hack heeft niet veel aandacht gekregen in de westerse media, mogelijk omdat dit een voorbeeld lijkt te zijn van Chinese staatstoezicht op doelen die zich niet in de Verenigde Staten of Europa bevinden. Dat is jammer, want deze aanval wijst op een groeiende trend van aanvallen op de toeleveringsketen van software, zelfs door de Chinese overheid. Daarom moeten westerse bedrijven en regeringen kennis nemen en beginnen met het voorbereiden van verdedigingen.
Toegegeven, niet alle details zijn bekend (of zullen ooit bekend worden), maar forensische code-analyse geeft aan dat een bepaalde Chinese door de staat gesteunde hackgroep (soms Lucky Mouse of Iron Tiger genoemd) waarschijnlijk de controle heeft over servers die gebruikers toestonden te downloaden de MiMi Chinese chat-applicatie, die is gericht op Chinees sprekende gebruikers. De hackers schakelden vervolgens de originele software uit met een kwaadaardige versie en voegden code toe aan de applicatie die malware ophaalde en installeerde.
Op dat moment stelde de malware, onbekend voor de gebruiker, de aanvallers in staat om de software op afstand te controleren en te besturen. Dit lijkt eind 2021 en tot de zomer van 2022 te zijn gebeurd. Interessant is dat noch de legitieme applicatie, noch de malware digitaal werden ondertekend, wat betekende dat gebruikers niet konden weten dat deze software kwaadaardig was.
Het kan waarnemers worden vergeven dat ze denken dat dit gewoon weer een hack is. Chinese hackgroepen, en ook die van westerse landen, hebben de afgelopen twee decennia een reputatie opgebouwd op het gebied van spionage, surveillance en sabotage. Maar deze aanval is anders dan het gebruikelijke hacken, omdat de aanvallers op de achterkant van een vertrouwd stuk software binnenreden. Dit is een aanval op de toeleveringsketen van software, waarbij de aanvallers knoeien met de broncode, het software-buildsysteem of de pijplijn voor het publiceren van software, die allemaal essentieel zijn geworden voor het functioneren van de digitale economie van de wereld.
Volgens onze eigen schattingen zijn aanvallen op de toeleveringsketen van software snel in frequentie toegenomen. Twintig jaar geleden waren dat er misschien een of twee per jaar. Tegenwoordig zijn er, afhankelijk van de methodologie, honderden of duizenden per jaar, en dat is alleen het tellen van de gerapporteerde aanvallen. En in toenemende mate is iedereen die afhankelijk is van software (lees: iedereen) het slachtoffer of zal dit binnenkort worden: de Amerikaanse overheid, Microsoft, duizenden andere bedrijven en, blijkbaar in deze MiMi-aanval, individuen.
Als deze aanvallen op de toeleveringsketen van software alleen afkomstig zouden zijn van criminele bendes, zouden wereldleiders ‘s nachts misschien beter kunnen slapen. Maar dat een door de Chinese staat gesteunde hackgroep zich bezighoudt met aanvallen op de toeleveringsketen van software, betekent dat voorzichtige leiders deze trend moeten zien als onderdeel van staatsmanschap en niet alleen als cybercriminaliteit. Deze trend bedreigt de vrije stroom van grensoverschrijdende digitale handel en belooft de kosten van software-acquisitie te verhogen naarmate kopers aankopen van “niet-vertrouwde” verkopers steeds kritischer bekijken.
Gelukkig hoeft de wereldwijde softwaretoeleveringsketen niet gegijzeld te worden door aanvallers. Er zijn methoden om de integriteit van de softwaretoeleveringsketen te waarborgen, maar deze worden momenteel niet op grote schaal ingezet, waardoor er een gat ontstaat voor aanvallers.
Misschien wel het meest direct, digitale handtekeningen op software kunnen een grote bijdrage leveren aan het herstel van het vertrouwen in de softwaretoeleveringsketen. De normale MiMi-app was niet ondertekend; zo was de kwaadaardige versie. Bijgevolg konden gebruikers niet verifiëren dat er niet ergens met deze software was geknoeid tijdens het transport. Het Sigstore-project wil hier verandering in brengen door ontwikkelaars en softwaregebruikers een vriendelijke manier te bieden om software te ondertekenen en te verifiëren dat er niet met hun software is geknoeid.
Andere benaderingen zoals TUF, The Update Framework, kunnen software-updatesystemen ook helpen om compromissen te voorkomen. Op deze manier kan de typische softwaregebruiker blijven vertrouwen op de updates die constant via internet naar hun aangesloten apparaten stromen.
Tegenwoordig, wanneer een aanval op de toeleveringsketen van software plaatsvindt, vooral wanneer andere goede apps worden gekaapt en worden omgezet in vectoren van malware, is het eerlijk om te zeggen dat niemand het weet, zelfs de geesten niet. Maar de software van de wereld hoeft niet zo te zijn. Verdedigingswerken zoals digitale handtekeningen kunnen helpen de integriteit van de softwaretoeleveringsketen te waarborgen. Op deze manier zou iedereen het weten als MiMi of een andere applicatie in de toekomst zou worden gehackt, en het enige geheim is waarom de samenleving het ooit anders heeft laten gebeuren.
.
0 Comments