De aanvallers die certificaatautoriteit DigiCert wisten te hacken maakten gebruik van een malafide screensaver-bestand. Dat heeft het bedrijf in een incidentrapport laten weten. Bij de aanval werden 27 certificaten gestolen die worden gebruikt voor het signeren van code. De aanvallers gebruikten deze certificaten vervolgens om hun malware mee te signeren. Uiteindelijk besloot DigiCert zestig certificaten in te trekken.
Het incident begon op 2 april, toen de aanvaller een helpdeskmedewerker via een chatkanaal benaderde. Daarbij verstuurde de aanvaller een zip-bestand, dat zogenaamd een screenshot zou zijn. Het zip-bestand bevatte een .scr-bestand. Scr-bestanden zijn screensaver-bestanden, maar ook uitvoerbare bestanden. In dit geval bleek het bestand een malicious payload te bevatten. De beveiligingssoftware die DigiCert gebruikte blokkeerde vier infectiepogingen. Bij een vijfde poging werd de machine van een support-analist geïnfecteerd.
DigiCert detecteerde de infectie en startte vervolgens een onderzoek. De conclusie was dat het incident onder controle was. Elf dagen later wees verder onderzoek uit, na te zijn getipt door een externe onderzoeker, dat ook een tweede machine van een andere analist op dezelfde manier besmet was geraakt. De beveiligingssoftware op dit systeem werkte niet naar behoren, waardoor de infectie niet tijdens het eerdere onderzoek werd opgemerkt.
Via de tweede besmette machine kreeg de aanvaller toegang tot de interne support-portal van DigiCert. Via dit portaal kunnen DigiCert-medewerkers beperkte toegang tot klantaccounts krijgen. Via het portaal kreeg de aanvaller toegang tot codes voor bestelde en nog niet geleverde code signing certificaten, van een beperkt aantal klantaccounts. Met de code en goedgekeurde bestelling kon de aanvaller vervolgens de code signing certificaten in handen krijgen. Op basis van het onderzoek en de gecompromitteerde accounts besloot DigiCert zestig certificaten in te trekken, waarvan er 27 door de aanvallers waren gebruikt.
Volgens DigiCert gingen er verschillende zaken verkeerd, waaronder de controle op bestandstypes binnen de gebruikte supportkanalen. Daarnaast was de endpoint detection en response (EDR)-dekking inconsistent en onvolledig, waardoor er een blinde vlek was. Verder waren de initialisatiecodes van de code signing certificaten niet goed beveiligd. Verder stelt de certificaatautoriteit dat het mazzel had. Een externe onderzoeker ontdekte het misbruik van de certificaten en waarschuwde DigiCert, waarop de tweede besmette machine werd ontdekt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
