Beobachtungen
Der IT-Sicherheitsdienstleister Graph Inc. identifizierte eine Angriffskampagne, die gezielt Software-Entwicklungsprozesse ins Visier nimmt. Die Kampgane fokussiert sich auf die Übernahme vertrauenswürdiger Webseiten sowie die Kompromittierung von GitHub-Repositories, um Schadcode in legitime Software-Projekte einzuschleusen. Aufgrund der Zuordnung des Akteurs zu russischen staatlichen Stellen und der potenziellen Nutzung manipulierter Softwarekomponenten in deutschen Unternehmen und Behörden besteht eine signifikante Gefährdungslage für die Vertraulichkeit und Integrität hiesiger IT-Systeme.
Methoden
Der Angriffsvektor basiert auf einer hybriden Vorgehensweise, die Watering-Hole-Attacken mit der Manipulation von Quellcode-Repositories kombiniert. Der Akteur kompromittiert Webseiten, die von Entwicklern und IT-Administratoren frequentiert werden, um initialen Zugriff auf Benutzerkonten zu erlangen. Parallel dazu erfolgt die Übernahme von GitHub-Konten und -Repositories, um dort hinterlegten Quellcode unbemerkt zu manipulieren oder mit Backdoors zu versehen. Durch diese Eingriffe in die Build-Pipeline wird die Schadsoftware über reguläre Update-Mechanismen oder die Einbindung betroffener Bibliotheken an die Endziele verteilt.
Attribution
Graph Inc. schreibt die Kampagne dem Akteur „ChainReaver-L“ zu, welcher basierend auf den technischen Indikatoren und der strategischen Zielsetzung als russischer staatlicher Akteur klassifiziert wird. Die Vorgehensweise, insbesondere die Fokussierung auf die Unterwanderung von Vertrauensstellungen in der Lieferkette zur Erlangung langfristiger Persistenz, entspricht dem bekannten Modus Operandi russischer Nachrichtendienste im Cyberraum.
Empfehlungen
Zur Abwehr dieser Bedrohung ist die strikte Überprüfung externer Software-Abhängigkeiten mittels Software Composition Analysis sowie die Validierung von Code-Signaturen vor dem Einsatz in Produktionsumgebungen erforderlich. Zugriffe auf Versionskontrollsysteme und Entwickler-Plattformen sind zwingend durch Hardware-basierte Multi-Faktor-Authentifizierung abzusichern. Weiterhin wird die Segmentierung von Entwicklungsumgebungen und die restriktive Filterung des ausgehenden Datenverkehrs empfohlen, um Command-and-Control-Kommunikation frühzeitig zu unterbinden. Graph Inc. stellt einen ausführlichen Bericht mit Mitigationsmaßnahmen zur Verfügung. Wir raten daher allen Stellen, die an der Software-Entwicklung beteiligt sind, zur Umsetzung der Mitigationsmaßnahmen.