Het beveiligingsbedrijf Bit9 dat onlangs bekende gehackt te zijn, was al sinds juli 2012 door aanvallers geïnfiltreerd. Dat blijkt uit de malware die de aanvallers tegen de klanten van Bit9 gebruikten.Het bedrijf maakt whitelisting-software waardoor alleen bepaalde software op systemen is toegestaan. Alle overige software kan niet worden geïnstalleerd of is bij voorbaat verdacht.

Het bedrijf had naar eigen zeggen de eigen software niet geïnstalleerd waardoor aanvallers toegang tot het netwerk kregen. Eenmaal op het netwerk wisten de aanvallers toegang te krijgen tot één van de certificaten waarmee Bit9 code signeert. Andere software weet hierdoor dat het om legitieme Bit9 software gaat. De aanvallers signeerden er echter malware mee.

Bit9 wilde niet zeggen welke klanten met de gesigneerde malware waren aangevallen. Wel verstrekte het een lijst met de hashes van 33 bestanden die de aanvallers met het Bit9 certificaat hadden gesigneerd. Die malware blijkt in juli 2012 te zijn gemaakt en gebruikt voor het aanvallen van defensiebedrijven.

SQL Injectie
Tegenover IT-journalist Brian Krebs bevestigt Bit9 dat het vorig jaar al was gecompromitteerd. De aanvallers hadden via SQL Injectie toegang tot een webserver gekregen. Via de aanval werd de HiKit-rootkit geïnstalleerd, waarmee een backdoor werd geopend. In augustus van vorig jaar werd er al voor de HiKit-root gewaarschuwd.

De problemen begonnen volgens het beveiligingsbedrijf toen een werknemer een virtual machine startte die van een ouder Bit9 certificaat was voorzien, wat sinds januari 2012 niet meer actief was gebruikt om bestanden te signeren.

Het is onduidelijk waarom de aanvallers zolang hebben gewacht met het gebruik van de gestolen certificaten. De ongeautoriseerde virtual machine van Bit9 was de overige maanden van het jaar uitgeschakeld, maar werd begin januari weer ingeschakeld. Morgen zal Bit9 meer details op het eigen blog publiceren.