Leveranskedjeattacker ökar. För verksamheter som drabbas kan följderna av sådana attacker vara förödande. Kommande lagstiftning på området cybersäkerhet, däribland NIS 2-direktivet, syftar till att minska risken för att verksamheter utsätts. Men vad menas egentligen med leveranskedja och leveranskedjeattacker? Denna artikel förklarar begreppen leveranskedja och leveranskedjeattacker i sammanhanget cybersäkerhet.
Leveranskedja
Generellt avser begreppet leveranskedja ett ekosystem av processer, människor, organisationer och distributörer som är involverade i framtagandet och leveransen av en slutlig lösning eller produkt. Inom cybersäkerhet omfattar leveranskedjan ett brett spektrum av resurser (hårdvara och mjukvara), lagring (moln eller lokalt), distributionsmekanismer (webbapplikationer, online butiker) och programvara för hantering.
Element i leveranskedjan
Det finns fyra nyckelelement i en leveranskedja: leverantören, leverantörens tillgångar, kunden och kundens tillgångar. Med leverantör avses en enhet som levererar en produkt eller tjänst till en annan enhet. Med leverantörens tillgångar menas tillgångar som används av leverantören för att producera produkten eller tjänsten. Kunden är den enhet som konsumerar den produkt eller tjänst som produceras av leverantören. Med kundens tillgångar avses tillgångar som ägs av leveranskedjeattackens mål.
En enhet kan vara individer, grupper av individer eller organisationer. Tillgångar kan vara människor, programvara, dokument, ekonomi, hårdvara eller annat.
Leveranskedjeattacker
En leveranskedjeattack är en kombination av minst två attacker. Den första attacken sker mot en leverantör som sedan används för att attackera målet för att få tillgång till dess tillgångar. Målet kan vara slutkunden eller en annan leverantör. För att ett angrepp ska klassificeras som ett angrepp mot leveranskedjan måste därför både leverantören och kunden vara mål. Var och en av dessa attacker är vanligtvis komplex och kräver en attackvektor, en handlingsplan och ett noggrant utförande. De två attackerna är sammankopplade genom åtkomsten till leverantören men kan i övrigt vara helt olika i de tekniker som används, attackvektorer som utnyttjas och tid som spenderas på attacken. Det kan ta månader innan attackerna lyckas och i många fall kan de förbli oupptäckta under lång tid.
Leveranskedjeattacker kan kategoriseras utifrån hur leverantören attackerades (attack techniques used to compromise the supply chain), vad som var målet för angreppet mot leverantören (supplier assets targetet), hur kunden attackerades (attack techniques used to compromise the customer) och vad som var målet för attacken mot kunden (customer assets targeted).
Kaseya-attacken
Ett exempel på en framgångsrik leveranskedjeattack är Kaseya-attacken som bland annat drabbade hundratals livsmedelsbutiker i Sverige. Kaseya är en leverantör av programvarutjänster som specialiserat sig på verktyg för fjärrövervakning och administration. Företaget erbjuder VSA-programvara (Virtual System/Server Administrator) för nedladdning till sina kunder, och även för arbete via sina egna molnservrar.
MSP:er (Managed Service Providers) kan använda VSA-programvaran på plats eller licensiera Kaseyas VSA-molnservrar. MSP:er erbjuder i sin tur olika it-tjänster till andra kunder. I juli 2021 utnyttjade angripare en zeroday-sårbarhet i Kaseyas egna system som gjorde det möjligt för angriparna att på distans utföra kommandon på VSA-maskiner hos Kaseyas kunder. Kaseya kan skicka ut fjärruppdateringar till alla VSA-servrar och fredagen den 2 juli 2021 distribuerades en uppdatering till Kaseya-kundernas VSA som exekverade kod från angriparna. Den skadliga koden distribuerade i sin tur ransomware till de kunder som hanterades av den VSA:n.
Alla kan drabbas
Förekomsten av framgångsrika leveranskedjeattacker som Kaseya-attacken förtydligar att en verksamhet kan vara sårbar för sådana attacker även om den har ett gott cyberförsvar. Istället för att attackera verksamheten direkt infiltrerar angriparna verksamhetens leverantörer.
Leveranskedjeattacker kan potentiellt påverka många kunder till samma leverantör förmodligen vilket kan leda till katastrofala konsekvenser. Detta är ett skäl till att sådana attacker blir allt vanligare, eftersom de ger angriparna möjlighet att stärka sitt rykte och göra stora ekonomiska vinster.