Singtel, Solarwinds, Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, en Uber zijn totaal verschillende bedrijven maar ze zijn allemaal de laatste periode geconfronteerd met supply chain attacks. Deze bedrijven vormen daarbij de spits van de ijsberg. Dit soort aanvallen komt namelijk veel vaker voor dan de pers opvalt. Minstens zo belangrijk is dat het totaal geen nieuw verschijnsel is.
Singtel aangevallen
Singtel is het nieuwste slachtoffer van een succesvolle supply chain attack. Het bedrijf dat IP diensten levert in een groot deel van Azië telt in totaal 640 miljoen (!) gebruikers. Een deel van die enorm grote groei gebruikers moet zich zorgen maken. De aanval had ook de klantenbestanden als doel.
De klanten zijn het doelwit
Er zijn inmiddels indicaties dat de aanvallers langs die weg inderdaad toegang tot de data van een selecte groep klanten heeft gekregen. Daarmee is ook weer aangetoond wat dit soort aanvallen zo bijzonder maakt. De aanval richt zich weliswaar op een bedrijf, maar het echte doelwit is elke keer weer een sub set van de klanten. Bij Singtel is nog niet bekend welke groep dat was.
In het geval van Solarwinds was de klantengroep die de aanvallers op het oog hadden heel duidelijk: alle Amerikaanse ministeries en de rechtbanken. Inmiddels is bekend dat de aanval is ingezet via de software waarmee Solarwinds zelf werkt. Suggesties dat Office365 lek is (of: was) waardoor de aanvallers konden toeslaan zijn tegengesproken door Microsoft. Ook is duidelijk dat de aanval op Solarwinds al geruime tijd geleden is ingezet.
Makkelijke aanvallen
Dat dit soort aanvallen soms betrekkelijk makkelijk is uit te voeren hebben de andere genoemde bedrijven moeten vaststellen. Een onderzoeker heeft aangetoond dat het kinderlijk eenvoudig is delen van de software te manipuleren. Het uploaden van files met een gelijke naam is in principe alles dat nodig is.
Grote schaal en niet nieuw
De conclusie dat supply chain attacks op grote schaal voorkomen is dan ook terecht. Wat niet klopt is de aanname dat het een betrekkelijk nieuw verschijnsel is. Deze aanvallen (waarbij de hardware varianten buiten beschouwing worden gelaten) bestaat namelijk al heel lang. Ongeveer alle edities van de jaarlijkse Verizon’s Databreach staan er vanaf het begin al bij stil. Andere security vendoren, ENISA en CERT’s schrijven er ook al heel lang over.
Ergens over schrijven is duidelijk niet voldoende om er ook aandacht voor te krijgen. Zelfs in de IT pers zijn dit soort aanvallen lang afgedaan als exotisch en zelfs theoretisch. Dat op security conferenties elke keer weer het tegendeel is aangetoond viel schijnbaar ook niet op.
Een van de prangende vragen is daarom ook waarom de meervoudige supply chain attacks op Solarwinds voor zoveel ophef en belangstelling hebben gezorgd. Is het de omvang, zijn het de doelwitten? Het soort aanval is echt niet nieuw. Sterker nog, MSP’s worden al langer gewaarschuwd dat zij een aantrekkelijke steppingstone zijn en daarom extra alert moeten zijn.