Ist der Angriff auf die SaaS-Plattform ProjectWEB von Fujitsu der nächste große Angriff auf die Lieferkette?

Cyber Security News

Obwohl es noch zu früh ist, sehen einige Forscher den gemeldeten Angriff auf Fujitsus ProjectWEB-Software-as-a-Service (SaaS)-Plattform als einen Angriff eines Nationalstaates an, der dem Angriff auf die SolarWinds-Lieferkette nicht unähnlich ist.

Laut dem japanischen National Center of Incident Readiness and Strategy for Cybersecurity, der Agentur, die den Angriff untersucht, wurde das Eindringen von Fujitsu am Montag, dem 24. Mai, entdeckt. Einen Tag später schaltete der Tech-Riese ProjectWeb vorübergehend ab. Zu den betroffenen Behörden gehören das Ministerium für Land, Infrastruktur, Transport und Tourismus, das Außenministerium, das Kabinettssekretariat und der Flughafen Narita in Toyko.

“Mit dem Näherrücken der Olympischen Spiele wird erwartet, dass mehr Cyberattacken auf die japanische Infrastruktur und Regierungsbehörden abzielen”, sagte Chenxi Wang, Gründer und General Partner von Rain Capital. “Wir wissen nicht, ob dieser Angriff mit den Olympischen Spielen zusammenhängt, aber es ist klar, dass die Angreifer es auf weit verbreitete Plattformen abgesehen haben, ähnlich wie bei dem Angriff auf SolarWinds in den USA. Aus taktischer Sicht sieht dies nicht nach einem wirtschaftlich motivierten Angriff aus. Vielmehr könnte es sich um eine von einem Nationalstaat gesponserte Veranstaltung handeln, die darauf abzielt, kritische Regierungsdaten zu stehlen oder den Betrieb der nationalen Infrastruktur zu stören.”

Forscher von Recorded Future sagten in einem Blog-Post, dass die gestohlenen Daten Dateien enthielten, die von Regierungsmitarbeitern auf ProjectWEB gespeichert wurden, Fujitsus Cloud-basierter Plattform für Unternehmenskollaboration und Dateifreigabe, die von japanischen Regierungsbehörden häufig genutzt wird.

Recorded Future beruft sich auch auf Berichte in der lokalen Presse in Japan, wonach Hacker Dokumente gestohlen haben, die mehr als 76.000 E-Mail-Adressen von Mitarbeitern und Auftragnehmern des Ministeriums für Land, Infrastruktur, Verkehr und Tourismus enthalten, aber Regierungsvertreter haben diese Berichte in einer Pressekonferenz am Mittwoch nicht bestätigt. Es sind noch keine weiteren Details über den Vorfall bekannt, auch nicht, wer die Angreifer sind oder welche Ziele sie verfolgen.

Bis Beamte die forensische Untersuchung abschließen, gibt es noch viele Unbekannte, aber basierend auf Details über die Informationen, auf die es abzielte, und das Fehlen einer Verschlüsselung oder eines entsprechenden Lösegelds, Jeff Barker, Vizepräsident für Cybersicherheit bei Illusive, erwartet, dass der Angriff von einem Nationalstaat verübt wurde. Barker sagte auch, dass Plattformen für die Zusammenarbeit und den Informationsaustausch zwischen Unternehmen typischerweise Informationen von hohem Wert enthalten, die ein Nationalstaat in zukünftigen Operationen ausnutzen könnte.

“Ohne über die Defensivfehler und die erforderlichen Korrekturmaßnahmen spekulieren zu wollen, denke ich, dass es fair ist zu sagen, dass jedes Unternehmen eine gründliche Analyse seiner aktuellen Bedrohungsmodelle und seiner Defense-in-Depth-Strategie durchführen sollte”, sagte Barker. “In welchem Ausmaß sind die meisten Unternehmen jetzt ein Ziel? Gibt es Lücken in Ihren Defense-in-Depth-Kontrollen, insbesondere für die Lateral Movement TTPs, die bei den jüngsten Angriffen von Nationalstaaten und Ransomware vorherrschen?”

Ilia Kolochenko, Gründer von ImmuniWeb und Mitglied des Europol Data Protection Experts Network, stimmte zu, dass der Fujitsu-Vorfall dem SolarWinds-Hack in den USA ähnelt. Er fügte hinzu, dass dieser jüngste Angriff ähnliche Konsequenzen haben könnte, einschließlich verbesserter Cybersicherheitsvorschriften, umfassender Due-Diligence-Prüfungen von staatlichen Auftragnehmern, ähnlich der Cybersecurity Maturity Model Certification des Verteidigungsministeriums in den USA, und wahrscheinlich zusätzliche Mittel für die nationale Cybersicherheit in Japan.

“Die zunehmenden Angriffe auf die Lieferkette mit nationalem Ausmaß und Milliardenverlusten werden wahrscheinlich ähnliche Konsequenzen auf der ganzen Welt auslösen”, sagte Kolochenko. “Mehr auszugeben bedeutet nicht, klüger auszugeben. Gesetzgeber und Regulierungsbehörden sollten eine konsistente, ganzheitliche, von mehreren Interessengruppen getragene und langfristige Cybersicherheitsstrategie als Schlüsselfaktor für regulierte Organisationen betrachten, um Cyberangriffe zu verhindern und Datenverletzungen zu reduzieren. Ad-hoc- oder unstrukturierte Ansätze funktionieren nicht mehr.”

Chuck Everette, Director of Cybersecurity bei Deep Instinct, sagte, dass wir zwar noch nicht wissen, ob sich diese Akteure aufgrund einer Schwachstelle oder eines gezielten Angriffs auf die Lieferkette unbefugten Zugang verschafft haben, aber sie haben es geschafft, sich Zugang zu verschaffen. Everette sagte, dass Unternehmen, die so groß sind wie Fujitsu, verstehen müssen, dass sie für Cyberkriminelle die ultimative Trophäe darstellen. Der beste Schutz gegen Angriffe wie diesen ist ein mehrschichtiger Ansatz, der eine Vielzahl von Lösungen verwendet”, sagte er. Eine “Prevention-first”-Mentalität ist ebenfalls von entscheidender Bedeutung: Angriffe müssen ausgeführt und ausgeführt werden, bevor sie abgefangen und daraufhin überprüft werden, ob sie bösartig sind, was manchmal bis zu 60 Sekunden oder mehr dauert. Wenn man es mit einer unbekannten Bedrohung zu tun hat, sind 60 Sekunden zu lang, um auf eine Analyse zu warten.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com