Cyber Polygon 2021: Angriff auf Lieferketten – und russische Hacker?

Am 9. Juli beginnt die diesjährige 24-stündige Cyberangriff-Simulation Cyber Polygon 2021. Vorgesehen ist die Abwehr eines Supply-Chain-Angriffs. Darunter wird ein Angriff auf die gesamte Lieferkette eines Unternehmens verstanden.

Hacker sehen sich dabei die Lieferkette an und suchen nach Schwachstellen. Das kann beispielsweise eine Buchhaltungssoftware sein, die in einer Branche und Lieferkette von Zulieferern und Zweigstellen im Ausland eingesetzt wird. Die Hacker bleiben bei einem solchen Angriff oft lange unbemerkt. Derartige Angriffe kommen sehr häufig vor. Ist ein Einfallstor gefunden, dann kann ein einziges Teil ausreichen, um das gesamte System zum Einsturz zu bringen – wie ein Dominoeffekt.

Laut der Organisatoren ist die Zahl derartiger Angriffe auf Lieferketten in letzter Zeit sprunghaft angestiegen und gefährden globale Unternehmen und deren Kunden. Der Einzelhandel allein meldete im vierten Quartal 2020 einen Anstieg solcher Angriffe um 56 Prozent.

Cyber Polygon ist eine Initiative von BI.ZONE, eine Tochtergesellschaft der kremlnahen russischen Sberbank, unterstützt vom World Economic Forum Centre for Cybersecurity. Die Sberbank ist die größte Finanzorganisation Russlands und befindet sich überwiegend in Staatsbesitz.

Team Rot (Hacker) gegen Team Blau (Verteidiger)

Die Übung besteht aus zwei Szenarien. Das Konzept wurde auf der Website des Weltwirtschaftsforums veröffentlicht (Link: Konzept Cyber Polygon 2021). Versucht wird zum einen in der Trainingsumgebung der Angriff einer unbekannten Hackergruppe auf ein Netzwerk der Unternehmensinfrastruktur.

Rote Teams werden den Angriff übernehmen und die Blauen Teams versuchen, ihre Segmente des Trainingsszenariums zu schützen. Das erste Szenario wird am 9. Juli um 12 Uhr (UTC+3h) freigeschaltet. Die Blauen Teams haben eine Stunde Zeit, sich vorzubereiten. Anschließend beginnt die Verteidigung.

Dabei ist vorgesehen, dass die Roten zwar keinen Zugriff über den Server erlangen, jedoch große Mengen an Informationen über die in Entwicklung befindliche Anwendung abschöpfen können, inklusive Teile des Quellcodes.

Hauptziel sind die Benutzerdaten, die von der Anwendung verarbeitet werden. Die Hacker planen, die gestohlenen Informationen zu nutzen, um den Entwicklungsprozess zu manipulieren und Hintertüren in die Anwendung einzubauen. Die Gruppe wäre dann in der Lage, im letzten Schritt die Anwendung in der Produktionsumgebung anzugreifen und in den Besitz der gewünschten Daten zu gelangen.

Die Blauen Teams, die von Interessenten aus aller Welt gebildet werden, sollen den Angriff so schnell wie möglich eindämmen und die Sicherheit der Lieferkette gewährleisten.

Ihr Ziel ist, die Menge der abgeschöpften Informationen zu minimieren und die Verfügbarkeit der Ziel-Webanwendung sowie der gesamten Versorgungskette aufrechtzuerhalten. Dabei können die Verteidiger beliebige Methoden und Tools anwenden, um ihre Infrastruktur zu schützen. Sie können auch Systemschwachstellen beheben, indem sie den Servicecode und die Konfiguration verbessern.

Anschließend soll der Vorfall mittels klassischer digitaler Forensik und Threat Hunting-Techniken (Jagd von Bedrohungen, Threat Hunting) untersucht werden.

Zweite Aufgabe: Einen Phishing-Angriff untersuchen

Als Zweites haben die Blauen Teams die Aufgabe, eine große Unternehmensgruppe zu schützen. Dabei meldet ein Workstation-Benutzer der Muttergesellschaft verdächtige Dateien in einem Verzeichnis. Betroffen ist das installierte Update für eine geschäftskritische Anwendung, die von einer Tochtergesellschaft entwickelt wird.

Das Blue Team erhält Zugriff auf die Threat Hunting-Plattform des Mutterunternehmens. Die Teilnehmer haben die Aufgabe, so viele Artefakte des Vorfalls wie möglich zu finden. Außerdem entdeckt das Team, dass die Infrastruktur durch ein modifiziertes Update, das auf einer geschäftskritischen Anwendung installiert wurde, kompromittiert wurde. Das Update wurde von einer für die Softwareentwicklung zuständigen Niederlassung bereitgestellt.

Daher wird der Schwerpunkt der Untersuchung auf die Infrastruktur der Tochtergesellschaft verlagert. Die untergeordnete Organisation setzt keine EDR-Lösung (Lösungen zur Überwachung von Endgeräten) ein. Aus diesem Grund müssen die Teilnehmer auf die klassische Forensik zurückgreifen und so viele Reste der Sicherheitsverletzung wie möglich finden.

Bei beiden Szenarien werden Punkte vergeben, die Gesamtpunktzahl eines Teams ergibt sich aus der Summe der in den beiden Szenarien erzielten Punkte.

Die großen IT-Unternehmen haben schon ihre Teilnahme angekündigt

IBM, Trend Micro, Check Point und Kaspersky Lab haben ihre Teilnahmen an Cyber Polygon 2021 bereits bestätigt. Eine Anmeldung ist hier möglich.

Für die Diskussion zur Sicherheit von Lieferketten haben sich Redner aus globalen IT-Unternehmen angekündigt. Darunter sind Chris McCurdy, Vice President und General Manager IBM Security; Eva Chen, Chief Executive Officer Trend Micro; Dorit Dor, Vice President of Products, Check Point Software Technologies und Eugene Kaspersky, Chief Executive Officer, Kaspersky Lab.

Die Diskussion wird moderiert von Troels Oerting, Chairman, Bullwall Inc. und Vorsitzender des Beirats des World Economic Forum Centre for Cybersecurity (2018-2020).

Eugene Kaspersky erklärt, dass seit März 2020 das Risiko von Cyberangriffen auf kritische Infrastrukturen und Lieferketten erheblich gestiegen ist. „Die moderne Landschaft der Cyberbedrohungen erfordert einen völlig neuen Ansatz: Einen Wechsel von der traditionellen Cybersicherheit zum Konzept der ‚Cyber-Immunität‘ – bei dem die Kosten eines erfolgreichen Cyberangriffs größer sind als der potenzielle Schaden. Informationssysteme müssen so konzipiert und hergestellt werden, dass sie die Ökosysteme schützen, mit denen alles verbunden ist.“

Die großen Unternehmen verfügten meist über umfassende Sicherheitsvorkehrungen, sagt Eva Chen, Chief Executive Officer von Trend Micro. Allerdings gebe es keine Garantie, dass ihre kleineren Partner die gleichen hohen Standards oder das gleiche Budget für Sicherheit hätten.

Außergewöhnlich und heikel: Kreml-nahe Bank richtet das Treffen mit aus

Bemerkenswert an Cyber Polygon ist vor allem der Umstand, dass eine Institution wie die Sberbank, welche sich praktisch im Besitz des Kremls befindet, ein globales Cyberabwehr-Training ohne Aufschrei aus dem Westen ausrichten kann. Russland wird seit Jahren vorgeworfen, westliche Institutionen mit Hackerangriffen zu überziehen.

Unter Leitung des Weltwirtschaftsforums von Klaus Schwab und BI.ZONE, einer Tochtergesellschaft der mächtigsten Bank Russlands, der Sberbank, trainierten im Vorjahr über 100 globale Institutionen aus 29 Ländern Cyberangriffe und die Abwehr dieser. Teilnehmer kamen aus Finanz-, Gesundheits- und Bildungseinrichtungen, Staats- und Strafverfolgungsbehörden, Energieversorgern, Unternehmen aus den Bereichen IT, Metall, Telekommunikation, Chemie, Luft- und Raumfahrttechnik und anderen Sektoren.

Nach Angaben der Website 2020.cyberpolygon.com verfolgten 5 Millionen Menschen aus 57 verschiedenen Ländern die Cyberangriff-Simulation.

BI.ZONE erlangt durch diese Cyber-Simulation einiges an Wissen über die Schwachstellen globaler Institutionen. Es ist anzunehmen, dass dies der Sberbank nützliche Informationen liefert. Die Einbeziehung Russlands in eine so wichtige globale Cybersicherheit-Initiative auf diese Weise ist außergewöhnlich. (ks)