image

Aanvallers Kaspersky gebruikten certificaat Foxconn

maandag 15 juni 2015, 17:10 door Redactie, 9 reacties

De aanvallers die het interne netwerk van anti-virusbedrijf Kaspersky Lab infiltreerden gebruikten een geldig digitaal certificaat van het Chinese bedrijf Foxconn om hun malware te signeren. Foxconn is de grootste elektronicafabrikant ter wereld en produceert onder andere producten voor Apple, Dell en Cisco.

Vorige week maakte Kaspersky Lab bekend dat aanvallers erin waren geslaagd om malware op het interne netwerk te krijgen. Het ging om een nieuwe variant van de zeer geavanceerde Duqu-malware, genaamd Duqu 2.0. Duqu 2.0 verbergt zich in het geheugen van besmette computers. Als de machine wordt herstart en de malware daardoor verdwijnt, wordt de computer via een gehackte server weer opnieuw geïnfecteerd. Hiervoor gebruiken de aanvallers speciale drivers.

Tijdens de operaties installeerden de aanvallers deze drivers op firewalls, gateways en andere servers met een directe toegang tot het internet aan één kant en toegang tot het bedrijfsnetwerk aan de andere kant. Op deze manier wisten de aanvallers verschillende doelen te bereiken, zoals het benaderen van de interne infrastructuur vanaf het internet, voorkomen dat ze in de logbestanden van de proxyservers verschenen en computers permanent konden besmetten.

Certificaten

Voor 64-bit Windowsversies is het verplicht dat drivers digitaal gesigneerd zijn. Onderzoekers van Kaspersky Lab keken dan ook vreemd op toen ze zagen dat een van de ontdekte drivers via een geldig certificaat van Foxconn was ondertekend. Hetzelfde certificaat was in februari 2013 nog door de fabrikant gebruikt voor het signeren van verschillende drivers voor Dell laptops. Het gebruik van geldige digitale certificaten is niet nieuw. Eerder werd dit ontdekt bij Stuxnet en de eerste versie van Duqu.

"Het stelen van digitale certificaten en signeren van malware in naam van legitieme bedrijven is een beproefde methode van de Duqu-aanvallers", aldus onderzoekers van Kaspersky Lab. Hoe de aanvallers het Foxconn-certificaat wisten te bemachtigen is onbekend. Wel stellen de onderzoekers dat aanvallers een voorkeur voor hardwarefabrikanten lijken te hebben, aangezien er bij Stuxnet en Duqu 1.0 certificaten van Realtek en Jmicron werden gebruikt.

Vertrouwen

Wat verder opvalt is dat de aanvallers hetzelfde certificaat niet twee keer gebruikten. Iets wat ook bij de eerste Duqu-versie al het geval was. "Als dit het geval is, betekent dit dat de aanvallers mogelijk voldoende alternatieve digitale certificaten van andere fabrikanten hebben gestolen die klaar zijn om bij de volgende gerichte aanval te worden gebruikt", aldus de onderzoekers. Die waarschuwen dat dit zeer verontrustend zou zijn, aangezien dit het vertrouwen in digitale certificaten ondermijnt. Inmiddels zouden zowel certificaatuitgever Verisign als Foxconn over het certificaat in kwestie zijn ingelicht.

Reacties (9)
15-06-2015, 17:29 door [Account Verwijderd]
[Verwijderd]
15-06-2015, 17:43 door karma4 - Bijgewerkt: 15-06-2015, 17:47
Door Anak Krakatau: hoef mij geen zorgen te maken, is exe-bestand.werkt alleen op windows.
Je hoeft je geen zorgen te maken over een gerichte aanval omdat je te interessant bent. Be happy....

Gateways firewalls en andere apparaten net een poot Intranet Internet dmz aanpak. Dat zijn geen desktops of Windows machines. Die zijn omgevallen, hebben gefaald. Daar kun je, nee hoor je, je zorgen over te maken in een serieuze omgeving.

Het kenmerk van deze aanvallen is dar elke te os dat er bij betrokken is omvalt. Daar maak ik een punt van.
15-06-2015, 18:20 door Anoniem
Door karma4:
Door Anak Krakatau: hoef mij geen zorgen te maken, is exe-bestand.werkt alleen op windows.
Je hoeft je geen zorgen te maken over een gerichte aanval omdat je te interessant bent. Be happy....

Gateways firewalls en andere apparaten net een poot Intranet Internet dmz aanpak. Dat zijn geen desktops of Windows machines. Die zijn omgevallen, hebben gefaald. Daar kun je, nee hoor je, je zorgen over te maken in een serieuze omgeving.

Het kenmerk van deze aanvallen is dar elke te os dat er bij betrokken is omvalt. Daar maak ik een punt van.

Dat laatste klopt helemaal, niets is veilig. Bij deze aanvallen gaat het echter niet vaak over gateways/firewalls, vooral omdat het niet nodig is: bij de meeste organisaties staat uitgaand HTTP/HTTPS wagenwijd open.

Zorg dat desktops niet rechtstreeks naar Internet kunnen en je hebt al een groot gat gedicht. Dit is te realiseren door een browser in een terminal sessie beschikbaar te stellen. Het is niet foolproof, maar wel een stuk beter dan default gateways naar Internet of proxies.
15-06-2015, 20:27 door Rolfieo
Door Anak Krakatau: hoef mij geen zorgen te maken, is exe-bestand.
werkt alleen op windows.

Als je aan gevalt wordt door dit soort malware, dan maakt je OS niet meer uit. Je hebt dan niet meer met de hacker op de hoek te maken. Dit zijn zware professionals. OS doet er dan niet meer toe. Linux, Unix of MAC in alles zitten fouten, en die weten deze professionals perfect te vinden.
15-06-2015, 21:56 door Anoniem
Door Rolfieo:
Door Anak Krakatau: hoef mij geen zorgen te maken, is exe-bestand.
werkt alleen op windows.

Als je aan gevalt wordt door dit soort malware, dan maakt je OS niet meer uit. Je hebt dan niet meer met de hacker op de hoek te maken. Dit zijn zware professionals. OS doet er dan niet meer toe. Linux, Unix of MAC in alles zitten fouten, en die weten deze professionals perfect te vinden.

Heeft iemand de Donald Duck gezien?
Net lag ie er nog.
15-06-2015, 22:58 door [Account Verwijderd]
Door Anak Krakatau: hoef mij geen zorgen te maken, is exe-bestand.
werkt alleen op windows.

Fijn dat je iedereen laat weten dat je bij Kasperski werkt en dus toegang hebt tot dat lokale netwerk.
16-06-2015, 07:33 door FACdelang
Dit doet mij denken aan het artikel van F-Secure, zie http://www.f-secure.com/weblog/archives/Jarno_Niemela_its_signed.pdf
16-06-2015, 12:52 door Anoniem
Door Anoniem:
Door Rolfieo:
Door Anak Krakatau: hoef mij geen zorgen te maken, is exe-bestand.
werkt alleen op windows.

Als je aan gevalt wordt door dit soort malware, dan maakt je OS niet meer uit. Je hebt dan niet meer met de hacker op de hoek te maken. Dit zijn zware professionals. OS doet er dan niet meer toe. Linux, Unix of MAC in alles zitten fouten, en die weten deze professionals perfect te vinden.

Heeft iemand de Donald Duck gezien?
Net lag ie er nog.

Net welk kwik, kwek en kwak..... Of Pluto.... Of zocht je die niet?
16-06-2015, 13:42 door Anoniem
Door Anak Krakatau: hoef mij geen zorgen te maken, is exe-bestand.
werkt alleen op windows.

Hoe kom jij aan exe? Het is een dll of sys file.
Een exe is een applicatie met gui, geen driver of onderdeel van een driver.. Wel even goed lezen in het vervolg.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.