Chinese cyberspionage-bootcamps leiden rekruten al tien jaar op in aanvallen op de software supply chain

Chinese hackers richten zich op certificaten voor ondertekening van softwarecode

| Venafi | 3 min | 18 november 2021 14:39
Afbeelding: Waargenomen gebruik van certificaten voor codeondertekening uit het FireEye-rapport | Copyright: Venafi
Venafi, gespecialiseerd in het beschermen van machine-identiteiten, heeft een rapport gepubliceerd waarin de aanvalspatronen worden geanalyseerd van de door de staat gesteunde Chinese hackersgroep APT41 (ook bekend als de Winnti Groep). Uit het onderzoek, ‘APT41 Perfects Code Signing Abuse to Escalate Supply Chain Attacks’, blijkt onder andere dat:
  • APT41 onderscheidt zich van andere Chinese hackersgroepen door gebruik te maken van speciaal ontwikkelde niet-openbare malware. Deze is geschikt voor spionageactiviteiten voor financieel gewin, waarschijnlijk buiten het bereik van door de staat gesponsorde missies.
  • APT41 heeft van sleutels en certificaten voor het ondertekenen van softwarecode - oftewel machine-identiteiten waarmee code wordt geverifieerd - het belangrijkste doelwit gemaakt voor het succes van hun aanvalsmethode.
  • Gecompromitteerde code signing-certificaten worden benut als een gedeelde bron voor grote teams, omdat ze de kracht van aanvallen vermenigvuldigen en de kans op succes flink vergroten.
  • Deze strategische lange termijn focus is een primaire factor in het vermogen van APT41 om met succes meerdere waardevolle doelwitten in verschillende markten aan te vallen, waaronder zorgverleners, buitenlandse overheden, de farmaceutische industrie, luchtvaartmaatschappijen, telecommunicatie- en softwareleveranciers.
Venafi waarschuwt dat het succes van APT41 ertoe kan leiden dat hun gebruik van gecompromitteerde identiteiten van code ondertekenende machines en aanvallen op de software supply chain door andere hackersgroepen gekopieerd kan worden. Daarom is het verstandig dat bedrijven en andere organisaties zich voorbereiden op meer hackersgroepen van natiestaten die gecompromitteerde identiteiten van code ondertekenende machines gaan benutten.

High profile aanvallen

"APT41 heeft herhaaldelijk gebruik gemaakt van code signing machine identiteiten voor high-profile aanvallen die China's economische, militaire en politieke lange termijn doelstellingen ondersteunen," zegt Yana Blachman, Threat Intelligence Specialist bij Venafi. "Met code signing machine identiteiten kan kwaadaardige code authentiek lijken en beveiligingscontroles omzeilen. Het succes van cyberaanvallen met deze methode in het afgelopen decennium heeft een blauwdruk opgeleverd voor geavanceerde aanvallen die bijzonder moeilijk te detecteren zijn. Sinds het doelwit in 2018 de Windows-software CCleaner was en in 2019 de ASUS LiveUpdate, zijn de methoden van APT41 voortdurend verbeterd. Elke softwareleverancier moet zich bewust zijn van deze dreiging en stappen ondernemen om hun ontwikkelomgevingen te beschermen."

Één van de voorkeursmethoden van APT41 is het compromitteren van de toeleveringsketen van een commerciële softwareleverancier. Hierdoor kunnen ze zich efficiënt richten op een groep bedrijven die deze commerciële software gebruiken om toegang te krijgen tot zorgvuldig gekozen slachtoffers. APT41 gebruikt vervolgens secundaire malware om alleen die doelwitten te infecteren die interessant zijn voor cyberspionagedoeleinden. Na een malware-infectie kan APT41 verder penetreren in de netwerken van slachtoffers met behulp van gestolen referenties en een verscheidenheid aan verkenningstools. APT41 gebruikt unieke malware om waardevolle intellectuele eigendommen en klantgerelateerde gegevens van deze specifieke doelwitten te stelen.

Bibliotheek van code ondertekende certificaten en sleutels

Identiteiten van code ondertekenende machines zijn zo cruciaal voor de aanvalsmethoden van APT41 dat de groep actief een bibliotheek beheert van code ondertekenende certificaten en sleutels die zijn gestolen of gekocht op dark web marktplaatsen en andere Chinese aanvalsgroepen om de voorraad aan te vullen. Eerder onderzoek van Venafi heeft al aangetoond dat code signing-certificaten eenvoudig te koop zijn op het dark web, waar ze tot wel $1.200 per stuk kosten.

"Tegenwoordig zijn hackers bijzonder vaardige en gedisciplineerde softwareontwikkelaars, die dezelfde tools en technieken gebruiken als de good guys", zegt Kevin Bocek, Vice-President Security Strategy & Threat Intelligence van Venafi. "Ze weten dat kwetsbaarheden in de softwareomgeving gemakkelijk zijn uit te buiten en hebben jaren besteed aan het ontwikkelen, testen en verfijnen van de tools die nodig zijn om identiteiten van machines die code ondertekenen te stelen. Dit onderzoek zou alarmbellen moeten doen rinkelen bij elke leidinggevende en directie, want elk bedrijf is tegenwoordig ook een softwareontwikkelaar. We moeten veel serieuzer werk maken van de bescherming van code signing machine identiteiten."

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Marktplaats item
In aanvulling op dit artikel is het onderstaande item tijdelijk op de marktplaats beschikbaar.
Over Venafi
Venafi is marktleider in het beschermen van de identiteiten van apparatuur en machines en het beveiligen van de communicatie en verbindingen daartussen. Ze beschermen alle typen identiteiten door het orkestreren van cryptografische sleutels en digitale certificaten voor SSL/TLS, IoT, mobiel en SSH. Venafi maakt zowel identiteiten als daaraan gerelateerde risico’s wereldwijd inzichtelijk, binnen het eigen bedrijfsnetwerk en alle mobiele, virtuele, cloud- en IoT-apparatuur. Gebaseerd op intelligentie en een geautomatiseerde aanpak van risico’s op het gebied van beveiliging en beschikbaarheid, door zwakke of gecompromitteerde apparatuur. Verder wordt de communicatie tussen alle betrouwbare apparatuur effectief beschermd en met onbetrouwbare apparatuur voorkomen.
Meer over Venafi
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20191030101402.jpg
De grootste Nederlandse site over Android
20191030103431.png
Conference by app developers, for app developers!
20191029200614.jpg
Drive value with data
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.