Supply Chain Compromise

Sub-techniques (3)

ID	Name
T1195.001	Compromise Software Dependencies and Development Tools
T1195.002	Compromise Software Supply Chain
T1195.003	Compromise Hardware Supply Chain

Adversaries may manipulate products or product delivery mechanisms prior to receipt by a final consumer for the purpose of data or system compromise.

Supply chain compromise can take place at any stage of the supply chain including:

Manipulation of development tools
Manipulation of a development environment
Manipulation of source code repositories (public or private)
Manipulation of source code in open-source dependencies
Manipulation of software update/distribution mechanisms
Compromised/infected system images (multiple cases of removable media infected at the factory) ^[1] ^[2]
Replacement of legitimate software with modified versions
Sales of modified/counterfeit products to legitimate distributors
Shipment interdiction

While supply chain compromise can impact any component of hardware or software, attackers looking to gain execution have often focused on malicious additions to legitimate software in software distribution or update channels. ^[3] ^[4] ^[5] Targeting may be specific to a desired victim set ^[6] or malicious software may be distributed to a broad set of consumers but only move on to additional tactics on specific victims. ^[3] ^[5] Popular open source projects that are used as dependencies in many applications may also be targeted as a means to add malicious code to users of the dependency. ^[7]

Angreifer können Produkte oder Produktlieferungsmechanismen manipulieren, bevor sie beim Endverbraucher ankommen, um Daten oder Systeme zu kompromittieren.

Die Kompromittierung der Lieferkette kann auf jeder Stufe der Lieferkette stattfinden:

Manipulation von Entwicklungswerkzeugen
Manipulation einer Entwicklungsumgebung
Manipulation von Quellcode-Repositories (öffentlich oder privat)
Manipulation von Quellcode in Open-Source-Abhängigkeiten
Manipulation von Software-Update-/Verteilungsmechanismen
Kompromittierte/infizierte System-Images (mehrere Fälle von werkseitig infizierten Wechselmedien) (Zitat: IBM Storwize) (Zitat: Schneider Electric USB Malware)
Ersetzen von legitimer Software durch modifizierte Versionen
Verkauf von modifizierten/gefälschten Produkten an rechtmässige Vertriebshändler
Verbot von Sendungen

Während die Kompromittierung der Lieferkette jede Komponente von Hardware oder Software betreffen kann, haben sich Angreifer, die eine Ausführung erreichen wollen, oft auf bösartige Zusätze zu legitimer Software in Softwarevertriebs- oder Update-Kanälen konzentriert. (Zitat: Avast CCleaner3 2018) (Zitat: Microsoft Dofoil 2018) (Zitat: Command Five SK 2011) Die Angreifer können gezielt auf eine bestimmte Gruppe von Opfern zielen (Zitat: Symantec Elderwood Sept 2012) oder bösartige Software kann an eine breite Gruppe von Verbrauchern verteilt werden, aber nur bei bestimmten Opfern zu weiteren Taktiken übergehen. (Zitat: Avast CCleaner3 2018) (Zitat: Command Five SK 2011) Beliebte Open-Source-Projekte, die in vielen Anwendungen als Abhängigkeiten verwendet werden, können auch als Mittel zur Hinzufügung von bösartigem Code für die Benutzer der Abhängigkeit ins Visier genommen werden. (Zitat: Trendmicro NPM Compromise)

Les adversaires peuvent manipuler les produits ou les mécanismes de livraison des produits avant leur réception par un consommateur final dans le but de compromettre les données ou le système.

La compromission de la chaîne d'approvisionnement peut avoir lieu à n'importe quel stade de la chaîne d'approvisionnement, notamment :

Manipulation d'outils de développement
Manipulation d'un environnement de développement
Manipulation de dépôts de code source (publics ou privés)
Manipulation du code source dans les dépendances de sources ouvertes.
Manipulation de mécanismes de mise à jour/distribution de logiciels
Images système compromises/infectées (plusieurs cas de supports amovibles infectés en usine) (Citation : IBM Storwize) (Citation : Schneider Electric USB Malware)
Remplacement de logiciels légitimes par des versions modifiées
Vente de produits modifiés ou contrefaits à des distributeurs légitimes.
Interdiction d'expédition

Alors que la compromission de la chaîne d'approvisionnement peut avoir un impact sur n'importe quel composant du matériel ou du logiciel, les attaquants qui cherchent à gagner l'exécution se sont souvent concentrés sur les ajouts malveillants aux logiciels légitimes dans les canaux de distribution ou de mise à jour des logiciels. (Citation : Avast CCleaner3 2018) (Citation : Microsoft Dofoil 2018) (Citation : Command Five SK 2011) Le ciblage peut être spécifique à un ensemble de victimes souhaité (Citation : Symantec Elderwood Sept 2012) ou le logiciel malveillant peut être distribué à un large ensemble de consommateurs mais ne passer à des tactiques supplémentaires que sur des victimes spécifiques. (Citation : Avast CCleaner3 2018) (Citation : Command Five SK 2011) Les projets open source populaires qui sont utilisés comme dépendances dans de nombreuses applications peuvent également être ciblés comme moyen d'ajouter du code malveillant aux utilisateurs de la dépendance. (Citation : Trendmicro NPM Compromise)

Gli avversari possono manipolare i prodotti o i meccanismi di consegna dei prodotti prima di riceverli da un consumatore finale allo scopo di compromettere i dati o il sistema.

La compromissione della catena di approvvigionamento può avvenire in qualsiasi fase della catena di approvvigionamento, tra cui:

Manipolazione di strumenti di sviluppo
Manipolazione di un ambiente di sviluppo
Manipolazione di repository di codice sorgente (pubblici o privati)
Manipolazione del codice sorgente nelle dipendenze open-source
Manipolazione dei meccanismi di aggiornamento/distribuzione del software
Immagini di sistema compromesse/infettate (molteplici casi di supporti rimovibili infettati in fabbrica) (Citazione: IBM Storwize) (Citazione: Schneider Electric USB Malware)
Sostituzione di software legittimo con versioni modificate
Vendite di prodotti modificati/contraffatti a distributori legittimi
Interdizione delle spedizioni

Mentre la compromissione della catena di approvvigionamento può colpire qualsiasi componente di hardware o software, gli aggressori che cercano di ottenere l'esecuzione si sono spesso concentrati su aggiunte malevole a software legittimo nei canali di distribuzione o aggiornamento del software. (Citazione: Avast CCleaner3 2018) (Citazione: Microsoft Dofoil 2018) (Citazione: Command Five SK 2011) Il targeting può essere specifico per un set di vittime desiderato (Citazione: Symantec Elderwood Sept 2012) o il software dannoso può essere distribuito ad un ampio set di consumatori ma passare solo a tattiche aggiuntive su vittime specifiche. (Citazione: Avast CCleaner3 2018) (Citazione: Command Five SK 2011) Anche progetti open source popolari che vengono usati come dipendenze in molte applicazioni possono essere presi di mira come mezzo per aggiungere codice malevolo agli utenti della dipendenza. (Citazione: Trendmicro NPM Compromise)

Law Assessment

Im Wesentlichen stellen Supply Chain-Angriffe eine Technik dar, die in Soft- und Hardwareprodukten unerwünschte "Zusatzfunktionalität" mitliefert. Solche Angriffe sind extrem schwer abzuwenden und nicht leicht nachzuweisen. Supply Chain-Angriffe werden häufig im Nachhinein festgestellt, nachdem man Spuren aus anderen Aktivitäten der Täterschaft entdeckt hat (vorerst nicht nachvollziehbare Logins, Datentraffic etc.). Oder aber Sicherheitsforscher stossen auf die Manipulationen der Supply Chain. Unter "Zusatzfunktionalität" kann auch die gezielte Schwächung von Sicherheitsmechanismen in Hard- und Software insbesondere bei kryptographischen Funktionen fallen oder das Ermöglichen von Side Channel-Angriffen.

Das Studium diverser Supply Chain-Fälle macht zwei Spielarten von Supply Chain-Angriffen erkennbar: Bei der ersten ist der Supplier selbst der Angreifer. Er liefert Produkte aus, die er auf Grund seiner Kenntnisse über die konkrete Beschaffenheit der Produkte zu einem Angriff ausnutzen kann. Das kann absichtlich geschwächte Kryptologie sein, absichtlich eingebaute Programmierfehler oder auch absichtlich zurückgelassene oder speziell für den späteren Zugriff eingerichtet Zugänge. Geschichtsträchtige Fälle sind die geschwächten Verschlüsselungsgeräte der Crypto AG (wobei hier in der Folge nicht gehackt wurde, sondern die Vertraulichkeit von Kommunikation angegriffen wurde).

Bei der zweiten Spielart wird auf einer bestehenden Supply-Chain quasi huckepack die Zusatzfunktionalität mitgeliefert. Im Jahr 2021 für grosses Aufsehen gesorgt hat der Fall von Solarwinds (siehe dazu den Bericht von SANS). Etwas mehr als ein Jahr zuvor im 2019 manipulierte Berichten zu folge eine chinesische Hackergruppe den Microsoft Visual Studio Compiler (siehe dazu den Bericht von wired.com), damit sich Schadsoftware mit ansonsten legitimer Software mitkompilieren liess. Frühere bekannte Beispiele sind die Manipulation von Cisco Routern durch die NSA im Jahr 2014 (siehe dazu den Blogeintrag von Bruce Schneier sowie den Bericht von theguardian.com), wobei die NSA die Router auf dem Weg zum Besteller abfing und zu Spionagezwecken mit einer Hintertür versah.

Weiterführende Literatur

Hämmerli Bernhard, Wie oft bin ich schon gehackt worden?, in: digma 2015 S. 82
ENISA, July 2021: Threat Landscape for Supply Attacks
CISA (US) Website on Supply Chain Compromise
CERT-UK / CISP - Cyber-security risks in the supply chain (archive.org)

Les attaques de la chaîne d'approvisionnement sont essentiellement une technique qui ajoute des "fonctionnalités supplémentaires" indésirables aux produits logiciels et matériels. Ces attaques sont extrêmement difficiles à contrer et à détecter. Les attaques de la chaîne d'approvisionnement sont souvent détectées a posteriori, après la découverte de traces provenant d'autres activités de l'auteur (logins, trafic de données, etc.). Ou alors, les chercheurs en sécurité découvrent des manipulations de la chaîne d'approvisionnement. La "fonctionnalité supplémentaire" peut également inclure l'affaiblissement ciblé des mécanismes de sécurité dans le matériel et les logiciels, en particulier dans le cas de fonctions cryptographiques, ou la facilitation d'attaques de type "side channel".

L'étude de divers cas de chaînes d'approvisionnement permet d'identifier deux types d'attaques de la chaîne d'approvisionnement : dans le premier cas, le fournisseur lui-même est l'attaquant. Il livre des produits qu'il peut exploiter pour lancer une attaque sur la base de sa connaissance de la nature concrète des produits. Il peut s'agir d'une cryptologie délibérément affaiblie, d'erreurs de programmation délibérément intégrées ou encore d'accès délibérément laissés ou spécialement configurés pour un accès ultérieur. Les cas historiques sont les dispositifs de cryptage affaiblis de Crypto AG (bien qu'il n'y ait pas eu de piratage par la suite, mais une attaque contre la confidentialité des communications).

Dans le deuxième cas de figure, la fonctionnalité supplémentaire est fournie sur une chaîne d'approvisionnement existante, quasiment sur le dos. En 2021, le cas de Solarwinds a fait grand bruit (voir à ce sujet le rapport de SANS). Un peu plus d'un an auparavant, en 2019, un groupe de pirates chinois a manipulé le compilateur Microsoft Visual Studio (voir le rapport de wired.com) pour permettre la compilation de logiciels malveillants avec des logiciels par ailleurs légitimes. Parmi les exemples connus, on peut citer la manipulation des routeurs Cisco par la NSA en 2014 (voir le blog de Bruce Schneier et le rapport de theguardian.com), où la NSA a intercepté les routeurs sur le chemin de l'acheteur et les a équipés d'une porte dérobée à des fins d'espionnage.

Littérature complémentaire.

Hämmerli Bernhard, Combien de fois ai-je déjà été piraté ?, in : digma 2015 p. 82
ENISA, July 2021 : Threat Landscape for Supply Attacks
Site web de la CISA (US) sur la compromission de la chaîne d'approvisionnement.
CERT-UK / CISP - Cyber-security risks in the supply chain (archive.org)

In sostanza, gli attacchi alla catena di approvvigionamento sono tecniche che includono funzionalità indesiderate "add-on" in prodotti software e hardware. Tali attacchi sono estremamente difficili da evitare e non facili da individuare. Gli attacchi alla catena di approvvigionamento vengono spesso rilevati dopo il fatto, dopo che sono state scoperte tracce di altre attività dei perpetratori (login inizialmente irrintracciabili, traffico dati, ecc.). O i ricercatori di sicurezza scoprono la manipolazione della catena di approvvigionamento. La "funzionalità aggiuntiva" può anche includere l'indebolimento mirato dei meccanismi di sicurezza nell'hardware e nel software, specialmente nelle funzioni crittografiche, o l'abilitazione di attacchi di canali laterali.

Lo studio di vari casi di catena di approvvigionamento rivela due tipi di attacchi alla catena di approvvigionamento: nel primo caso, il fornitore stesso è l'attaccante. Consegna prodotti che può sfruttare per attaccare in base alla sua conoscenza della natura specifica dei prodotti. Può trattarsi di una crittografia intenzionalmente indebolita, di errori di programmazione intenzionalmente incorporati o anche di punti di accesso intenzionalmente lasciati o appositamente impostati per un accesso successivo. Casi storici sono i dispositivi di crittografia indeboliti della Crypto AG (anche se in questo caso la riservatezza delle comunicazioni è stata attaccata piuttosto che violata).

Nel secondo tipo di gioco, su una catena di rifornimento esistente, la funzionalità aggiuntiva è virtualmente piggybacked. Nel 2021 il caso di Solarwinds ha fatto molto scalpore (veda il rapporto di SANS). Poco più di un anno prima, nel 2019, un gruppo di hacker cinesi avrebbe manipolato il compilatore Microsoft Visual Studio (si veda il rapporto wired.com) per permettere la compilazione di malware con software altrimenti legittimo. Esempi ben noti in precedenza includono la manomissione dei router Cisco da parte della NSA nel 2014 (veda il blog post di Bruce Schneier e il rapporto di theguardian.com), dove la NSA intercettava i router sulla strada per l'acquirente e aggiungeva una backdoor a scopo di spionaggio.

Altra lettura.

Hämmerli Bernhard, How often have I been hacked?, in: digma 2015 p. 82
ENISA, Luglio 2021: Threat Landscape for Supply Attacks
CISA (US) Website on Supply Chain Compromise
CERT-UK / CISP - Cyber-security risks in the supply chain (archive.org)

In essence, supply chain attacks represent a technique that includes unwanted "add-on" functionality in software and hardware products. Such attacks are extremely difficult to avert and not easy to detect. Supply chain attacks are often detected after the fact, after traces from other activities of the perpetrator have been discovered (initially untraceable logins, data traffic, etc.). Or, security researchers stumble upon the supply chain manipulations. "Additional functionality" can also include the targeted weakening of security mechanisms in hardware and software, especially in cryptographic functions, or enabling side channel attacks.

The study of various supply chain cases reveals two types of supply chain attacks: In the first, the supplier himself is the attacker. He delivers products that he can exploit to attack based on his knowledge of the specific nature of the products. This can be intentionally weakened cryptology, intentionally built in programming errors or even intentionally left behind or specially set up access points for later access. History-making cases are the weakened encryption devices of Crypto AG (although in this case, the result was not hacking, but an attack on the confidentiality of communications).

In the second type of game, on an existing supply chain, the additional functionality is virtually piggybacked. In 2021, the case of Solarwinds caused a big stir (see SANS report). Just over a year earlier in 2019, a Chinese hacker group reportedly manipulated the Microsoft Visual Studio compiler (see wired.com report) to allow malware to compile with otherwise legitimate software. Earlier well-known examples include the NSA's tampering with Cisco routers in 2014 (see the blog post by Bruce Schneier and the report from theguardian.com), where the NSA intercepted routers on their way to the purchaser and added a backdoor for spying purposes.

Further reading.

Hämmerli Bernhard, How often have I been hacked?, in: digma 2015 p. 82.
ENISA, July 2021: Threat Landscape for Supply Attacks
CISA (US) Website on Supply Chain Compromise
CERT-UK / CISP - Cyber-security risks in the supply chain (archive.org)

Article	Assessment
Art. 143 Abs. 1 StGB (Datenbeschaffung) Contribution Details Last update: 2021-11-9 Autoren: Roman Kost ⓘ	En principe, rien n'est effacé lors des attaques de la chaîne d'approvisionnement. La détérioration de données prévue par l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque. Negli attacchi alla catena di approvvigionamento non si cancella nulla per principio. La corruzione dei dati secondo l'Art. 144bis SCC non è rilevante per questa tecnica di attacco. In supply chain attacks, nothing is deleted as a matter of principle. Data corruption according to Art. 144bis SCC is not relevant for this attack technique. Bei Supply Chain-Angriffen wird grundsätzlich nichts gelöscht. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.
Art. 143^bis Abs. 1 StGB (Hacking) Contribution Details Last update: 2021-11-13 Autoren: Roman Kost, Viola Kost ⓘ	On peut se demander si les deux types d'attaques de la chaîne d'approvisionnement (voir ci-dessus) constituent un piratage punissable. Dans le premier cas, où le fabricant fournit lui-même une porte dérobée, la question se pose de savoir si le critère de sécurité particulière est rempli. Si l'auteur accède à un appareil configuré de manière sûre (c'est-à-dire que les mots de passe par défaut ont au moins été remplacés) par le biais des installations de traitement des données, mais qu'il utilise pour cela une autre possibilité d'accès déjà existante et inconnue de la personne lésée, il est douteux qu'un accès soit effectivement contourné. D'un point de vue technique, il est évident qu'il ne s'agit pas de contourner une sécurité, mais simplement d'en utiliser une autre. Du point de vue de la personne concernée, la situation est différente, car elle n'est pas consciente des possibilités d'accès supplémentaires et, de son point de vue, la sécurité d'accès qu'elle a spécialement mise en place est contournée. Mais se baser sur le point de vue de la victime ne peut pas être une solution. Cela se heurte déjà, à juste titre, au principe de légalité et étendrait excessivement la punissabilité. En ce sens, il devrait y avoir une lacune dans la punissabilité de l'article 143bis CP dans les cas où le fabricant fournit intentionnellement des portes dérobées dans ses propres produits. Si l'on considère l'objectif de l'article 143bis, paragraphe 1 du Code pénal, à savoir la protection de la paix informatique, il serait souhaitable que les deux types d'attaques de la chaîne d'approvisionnement soient punissables. - On peut se demander si les deux types d'attaques de la chaîne d'approvisionnement (voir ci-dessus) constituent un piratage punissable. Dans le premier cas, où le fabricant fournit lui-même une porte dérobée, la question se pose de savoir si le critère de sécurité particulière est rempli. Si l'auteur accède à un appareil configuré de manière sûre ... + È discutibile se entrambi i tipi (vedi sopra) di attacchi alla catena di approvvigionamento costituiscano hacking criminale. Nel caso del primo tipo, in cui il produttore stesso fornisce una backdoor, si pone la questione se il criterio di sicurezza speciale è soddisfatto. Se l'esecutore accede ad un dispositivo che di per sé è configurato in modo sicuro (cioè sono state sostituite almeno le password standard) attraverso i sistemi di elaborazione dati, ma utilizza a tale scopo un'altra possibilità di accesso già esistente e non nota al danneggiato, è dubbio che l'accesso sia effettivamente aggirato. Da un punto di vista tecnico, è abbastanza chiaro che non si sta aggirando un dispositivo di sicurezza, ma che semplicemente se ne sta usando un altro. Dal punto di vista dell'interessato, la situazione è diversa, dato che non è nemmeno a conoscenza delle possibilità di accesso aggiuntive e, dal suo punto di vista, la protezione di accesso che ha istituito viene aggirata. Tuttavia, non può essere una soluzione concentrarsi sulla prospettiva della parte lesa. Questo viola correttamente il principio di legalità ed espanderebbe eccessivamente la responsabilità penale. In questo senso, è probabile che ci sia una lacuna nella responsabilità penale rispetto all'art. 143bis SCC nei casi in cui il produttore include intenzionalmente backdoor nei propri prodotti. Considerando la spinta dell'Art. 143bis comma 1 SCC, cioè la protezione della pace del computer, sarebbe auspicabile la punibilità di entrambi i tipi di attacchi alla catena di approvvigionamento. - È discutibile se entrambi i tipi (vedi sopra) di attacchi alla catena di approvvigionamento costituiscano hacking criminale. Nel caso del primo tipo, in cui il produttore stesso fornisce una backdoor, si pone la questione se il criterio di sicurezza speciale è soddisfatto. Se l'esecutore accede ad un dispositivo che di per sé è configurato in ... + It is questionable whether both types (see above) of supply chain attacks constitute criminal hacking. In the case of the first type, in which the manufacturer itself supplies a backdoor, the question arises as to whether the criterion of special security is met. If the perpetrator accesses a device that is in itself securely configured (i.e., at least the default passwords have been replaced) via data processing equipment, but uses another already existing access option for this purpose that is not known to the damaged person, it is doubtful whether access is effectively circumvented. In a technical view, it is quite clear that here not a security is bypassed, but simply another one is used. From the point of view of the person concerned, the matter is different, since he is not even aware of the additional access possibilities and, from his point of view, his access security, which he has set up specifically, is being bypassed. However, it cannot be a solution to focus on the view of the injured party. This would already fail because of the principle of legality and would extend criminal liability excessively. In this sense, a criminal liability loophole with respect to Art. 143bis SCC is likely to exist in cases where the manufacturer intentionally includes backdoors in its own products. Considering the thrust of Art. 143bis para. 1 SCC, namely the protection of computer peace, the punishability of both types of supply chain attacks would be desirable. - It is questionable whether both types (see above) of supply chain attacks constitute criminal hacking. In the case of the first type, in which the manufacturer itself supplies a backdoor, the question arises as to whether the criterion of special security is met. If the perpetrator accesses a device that is in itself securely configured ... + Es ist fraglich, ob beide Arten (dazu siehe oben) der Supply-Chain-Angriffe strafbares Hacking darstellen. Bei der ersten Spielart, in welcher der Hersteller gleich selber eine Hintertür mitliefert, stellt sich die Frage, ob das Kriterium der besonderen Sicherung gegeben ist. Greift die Täterschaft auf dem Wege der Datenverarbeitungsanlagen auf ein an sich sicher konfiguriertes Gerät zu (d.h. es wurden mindestens die Standardpasswörter ersetzt), benutzt dazu aber eine andere bereits existierende Zugriffsmöglichkeit, die der geschädigten Person nicht bekannt ist, ist es zweifelhaft, ob effektiv ein Zugang umgangen wird. In einer technischen Betrachtung ist es völlig klar, dass hier nicht eine Sicherung umgangen wird, sondern einfach eine andere benutzt wird. Aus Sicht des Betroffenen, liegt die Sache anders, da er sich der zusätzlichen Zugriffsmöglichkeiten gar nicht bewusst ist und aus seiner Sicht seine von ihm eigens eingerichtete Zugriffssicherung umgangen wird. Es kann aber keine Lösung sein, auf die Sicht der Geschädigten abzustellen. Das scheitert richtiger weise bereits am Legalitätsprinzip und würde die Strafbarkeit übermässig ausweiten. In diesem Sinne dürfte eine Strafbarkeitslücke hinsichtlich Art. 143bis StGB bestehen in Fällen, in denen der Hersteller in den eigenen Produkten absichtlich Hintertüren mitliefert. Betrachtet man die Stossrichtung, welche Art. 143bis Abs. 1 StGB verfolgt, nämlich den Schutz des Computerfriedens, so wäre die Strafbarkeit beider Spielarten der Supply Chain-Angriffe wünschenswert. - Es ist fraglich, ob beide Arten (dazu siehe oben) der Supply-Chain-Angriffe strafbares Hacking darstellen. Bei der ersten Spielart, in welcher der Hersteller gleich selber eine Hintertür mitliefert, stellt sich die Frage, ob das Kriterium der besonderen Sicherung gegeben ist. Greift die Täterschaft auf dem Wege der Datenverarbeitungsanlagen auf ein an sich sicher konfiguriertes Gerät zu ... +
Art. 144^bis Ziff. 1 StGB (Datenbeschädigung) Contribution Details Last update: 2021-11-13 Autoren: Roman Kost ⓘ	En principe, rien n'est effacé lors des attaques de la chaîne d'approvisionnement. La détérioration de données selon l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque. Negli attacchi alla catena di approvvigionamento non si cancella nulla per principio. Il danno ai dati secondo l'Art. 144bis SCC non è rilevante per questa tecnica di attacco. In supply chain attacks, nothing is deleted as a matter of principle. Data corruption according to Art. 144bis SCC is not relevant for this attack technique. Bei Supply Chain-Angriffen wird grundsätzlich nichts gelöscht. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.

Forensics

Forensic Domain	Assessment
None assessed	There could be a forensic assessment of a subtechnique.

ID: T1195

Sub-techniques: T1195.001, T1195.002, T1195.003

ⓘ

Tactic: Initial Access

ⓘ

Platforms: Linux, Windows, macOS

ⓘ

CAPEC ID: CAPEC-437, CAPEC-438, CAPEC-439

Contributors: Veeral Patel

Version: 1.2

Created: 18 April 2018

Last Modified: 06 January 2021

Translations: DE FR IT EN

Schweizerisches Strafgesetzbuch (StGB)

Relevant Articles:

Art. 143 Abs. 1 StGB (Datenbeschaffung)

Art. 143^bis Abs. 1 StGB (Hacking)

Art. 144^bis Ziff. 1 StGB (Datenbeschädigung)

Relevant Forensic Domains:

Provided by LAYER 8

Mitigations

ID	Mitigation	Description
M1051	Update Software	A patch management process should be implemented to check unused dependencies, unmaintained and/or previously vulnerable dependencies, unnecessary features, components, files, and documentation.
M1016	Vulnerability Scanning	Continuous monitoring of vulnerability sources and the use of automatic and manual code review tools should also be implemented as well.^[8]

Detection

Use verification of distributed binaries through hash checking or other integrity checking mechanisms. Scan downloads for malicious signatures and attempt to test software and updates prior to deployment while taking note of potential suspicious activity. Perform physical inspection of hardware to look for potential tampering.

Verwenden Sie die Überprüfung von verteilten Binärdateien durch Hash-Prüfung oder andere Mechanismen zur Integritätsprüfung. Scannen Sie Downloads auf bösartige Signaturen und versuchen Sie, Software und Updates vor der Bereitstellung zu testen, wobei Sie auf mögliche verdächtige Aktivitäten achten. Führen Sie eine physische Inspektion der Hardware durch, um nach möglichen Manipulationen zu suchen.

Utilisez la vérification des binaires distribués par le biais de la vérification du hachage ou d'autres mécanismes de vérification de l'intégrité. Analysez les téléchargements pour détecter les signatures malveillantes et essayez de tester les logiciels et les mises à jour avant le déploiement tout en prenant note des activités suspectes potentielles. Procédez à une inspection physique du matériel pour rechercher une éventuelle altération.

Utilizzare la verifica dei binari distribuiti attraverso il controllo dell'hash o altri meccanismi di controllo dell'integrità. Esegua la scansione dei download alla ricerca di firme dannose e cerchi di testare il software e gli aggiornamenti prima dello spiegamento, prendendo nota di potenziali attività sospette. Esegua un'ispezione fisica dell'hardware per cercare potenziali manomissioni.