Aanvallers Kaspersky gebruikten certificaat Foxconn
De aanvallers die het interne netwerk van anti-virusbedrijf Kaspersky Lab infiltreerden gebruikten een geldig digitaal certificaat van het Chinese bedrijf Foxconn om hun malware te signeren. Foxconn is de grootste elektronicafabrikant ter wereld en produceert onder andere producten voor Apple, Dell en Cisco.
Vorige week maakte Kaspersky Lab bekend dat aanvallers erin waren geslaagd om malware op het interne netwerk te krijgen. Het ging om een nieuwe variant van de zeer geavanceerde Duqu-malware, genaamd Duqu 2.0. Duqu 2.0 verbergt zich in het geheugen van besmette computers. Als de machine wordt herstart en de malware daardoor verdwijnt, wordt de computer via een gehackte server weer opnieuw geïnfecteerd. Hiervoor gebruiken de aanvallers speciale drivers.
Tijdens de operaties installeerden de aanvallers deze drivers op firewalls, gateways en andere servers met een directe toegang tot het internet aan één kant en toegang tot het bedrijfsnetwerk aan de andere kant. Op deze manier wisten de aanvallers verschillende doelen te bereiken, zoals het benaderen van de interne infrastructuur vanaf het internet, voorkomen dat ze in de logbestanden van de proxyservers verschenen en computers permanent konden besmetten.
Certificaten
Voor 64-bit Windowsversies is het verplicht dat drivers digitaal gesigneerd zijn. Onderzoekers van Kaspersky Lab keken dan ook vreemd op toen ze zagen dat een van de ontdekte drivers via een geldig certificaat van Foxconn was ondertekend. Hetzelfde certificaat was in februari 2013 nog door de fabrikant gebruikt voor het signeren van verschillende drivers voor Dell laptops. Het gebruik van geldige digitale certificaten is niet nieuw. Eerder werd dit ontdekt bij Stuxnet en de eerste versie van Duqu.
"Het stelen van digitale certificaten en signeren van malware in naam van legitieme bedrijven is een beproefde methode van de Duqu-aanvallers", aldus onderzoekers van Kaspersky Lab. Hoe de aanvallers het Foxconn-certificaat wisten te bemachtigen is onbekend. Wel stellen de onderzoekers dat aanvallers een voorkeur voor hardwarefabrikanten lijken te hebben, aangezien er bij Stuxnet en Duqu 1.0 certificaten van Realtek en Jmicron werden gebruikt.
Vertrouwen
Wat verder opvalt is dat de aanvallers hetzelfde certificaat niet twee keer gebruikten. Iets wat ook bij de eerste Duqu-versie al het geval was. "Als dit het geval is, betekent dit dat de aanvallers mogelijk voldoende alternatieve digitale certificaten van andere fabrikanten hebben gestolen die klaar zijn om bij de volgende gerichte aanval te worden gebruikt", aldus de onderzoekers. Die waarschuwen dat dit zeer verontrustend zou zijn, aangezien dit het vertrouwen in digitale certificaten ondermijnt. Inmiddels zouden zowel certificaatuitgever Verisign als Foxconn over het certificaat in kwestie zijn ingelicht.
Gateways firewalls en andere apparaten net een poot Intranet Internet dmz aanpak. Dat zijn geen desktops of Windows machines. Die zijn omgevallen, hebben gefaald. Daar kun je, nee hoor je, je zorgen over te maken in een serieuze omgeving.
Het kenmerk van deze aanvallen is dar elke te os dat er bij betrokken is omvalt. Daar maak ik een punt van.
Gateways firewalls en andere apparaten net een poot Intranet Internet dmz aanpak. Dat zijn geen desktops of Windows machines. Die zijn omgevallen, hebben gefaald. Daar kun je, nee hoor je, je zorgen over te maken in een serieuze omgeving.
Het kenmerk van deze aanvallen is dar elke te os dat er bij betrokken is omvalt. Daar maak ik een punt van.
Dat laatste klopt helemaal, niets is veilig. Bij deze aanvallen gaat het echter niet vaak over gateways/firewalls, vooral omdat het niet nodig is: bij de meeste organisaties staat uitgaand HTTP/HTTPS wagenwijd open.
Zorg dat desktops niet rechtstreeks naar Internet kunnen en je hebt al een groot gat gedicht. Dit is te realiseren door een browser in een terminal sessie beschikbaar te stellen. Het is niet foolproof, maar wel een stuk beter dan default gateways naar Internet of proxies.
werkt alleen op windows.
Als je aan gevalt wordt door dit soort malware, dan maakt je OS niet meer uit. Je hebt dan niet meer met de hacker op de hoek te maken. Dit zijn zware professionals. OS doet er dan niet meer toe. Linux, Unix of MAC in alles zitten fouten, en die weten deze professionals perfect te vinden.
werkt alleen op windows.
Als je aan gevalt wordt door dit soort malware, dan maakt je OS niet meer uit. Je hebt dan niet meer met de hacker op de hoek te maken. Dit zijn zware professionals. OS doet er dan niet meer toe. Linux, Unix of MAC in alles zitten fouten, en die weten deze professionals perfect te vinden.
Heeft iemand de Donald Duck gezien?
Net lag ie er nog.
werkt alleen op windows.
Fijn dat je iedereen laat weten dat je bij Kasperski werkt en dus toegang hebt tot dat lokale netwerk.
werkt alleen op windows.
Als je aan gevalt wordt door dit soort malware, dan maakt je OS niet meer uit. Je hebt dan niet meer met de hacker op de hoek te maken. Dit zijn zware professionals. OS doet er dan niet meer toe. Linux, Unix of MAC in alles zitten fouten, en die weten deze professionals perfect te vinden.
Heeft iemand de Donald Duck gezien?
Net lag ie er nog.
Net welk kwik, kwek en kwak..... Of Pluto.... Of zocht je die niet?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
