Door: Redactie - 19 november 2021 |
Venafi, gespecialiseerd in het beschermen van machine-identiteiten, heeft een rapport gepubliceerd waarin de aanvalspatronen worden geanalyseerd van de door de staat gesteunde Chinese hackersgroep APT41 (ook bekend als de Winnti Groep).
Uit het onderzoek, ‘APT41 Perfects Code Signing Abuse to Escalate Supply Chain Attacks’, blijkt onder andere dat:
Venafi waarschuwt dat het succes van de Chinese hackersgroep APT41 ertoe kan leiden dat hun gebruik van gecompromitteerde identiteiten van code ondertekenende machines en aanvallen op de software supply chain door andere hackersgroepen gekopieerd kan worden. Daarom is het verstandig dat bedrijven en andere organisaties zich voorbereiden op meer hackersgroepen van natiestaten die gecompromitteerde identiteiten van code ondertekenende machines gaan benutten.
“APT41 heeft herhaaldelijk gebruik gemaakt van code signing machine identiteiten voor high-profile aanvallen die China’s economische, militaire en politieke lange termijn doelstellingen ondersteunen,” zegt Yana Blachman, Threat Intelligence Specialist bij Venafi. “Met code signing machine identiteiten kan kwaadaardige code authentiek lijken en beveiligingscontroles omzeilen. Het succes van cyberaanvallen met deze methode in het afgelopen decennium heeft een blauwdruk opgeleverd voor geavanceerde aanvallen die bijzonder moeilijk te detecteren zijn. Sinds het doelwit in 2018 de Windows-software CCleaner was en in 2019 de ASUS LiveUpdate, zijn de methoden van APT41 voortdurend verbeterd. Elke softwareleverancier moet zich bewust zijn van deze dreiging en stappen ondernemen om hun ontwikkelomgevingen te beschermen.”
Één van de voorkeursmethoden van APT41 is het compromitteren van de toeleveringsketen van een commerciële softwareleverancier. Hierdoor kunnen ze zich efficiënt richten op een groep bedrijven die deze commerciële software gebruiken om toegang te krijgen tot zorgvuldig gekozen slachtoffers. APT41 gebruikt vervolgens secundaire malware om alleen die doelwitten te infecteren die interessant zijn voor cyberspionagedoeleinden. Na een malware-infectie kan APT41 verder penetreren in de netwerken van slachtoffers met behulp van gestolen referenties en een verscheidenheid aan verkenningstools. APT41 gebruikt unieke malware om waardevolle intellectuele eigendommen en klantgerelateerde gegevens van deze specifieke doelwitten te stelen.
Identiteiten van code ondertekenende machines zijn zo cruciaal voor de aanvalsmethoden van APT41 dat de groep actief een bibliotheek beheert van code ondertekenende certificaten en sleutels die zijn gestolen of gekocht op dark web marktplaatsen en andere Chinese aanvalsgroepen om de voorraad aan te vullen. Eerder onderzoek van Venafi heeft al aangetoond dat code signing-certificaten eenvoudig te koop zijn op het dark web, waar ze tot wel $ 1.200 per stuk kosten.
“Tegenwoordig zijn hackers bijzonder vaardige en gedisciplineerde softwareontwikkelaars, die dezelfde tools en technieken gebruiken als de good guys”, zegt Kevin Bocek, Vice-President Security Strategy & Threat Intelligence van Venafi. “Ze weten dat kwetsbaarheden in de softwareomgeving gemakkelijk zijn uit te buiten en hebben jaren besteed aan het ontwikkelen, testen en verfijnen van de tools die nodig zijn om identiteiten van machines die code ondertekenen te stelen. Dit onderzoek zou alarmbellen moeten doen rinkelen bij elke leidinggevende en directie, want elk bedrijf is tegenwoordig ook een softwareontwikkelaar. We moeten veel serieuzer werk maken van de bescherming van code signing machine identiteiten.”
Lees meer over de onderzoeksresultaten en -onderbouwing in het Venafi whitepaper
Venafi is gespecialiseerd in het beschermen van de identiteiten van apparatuur en machines en het beveiligen van de communicatie en verbindingen daartussen. Ze beschermen alle typen identiteiten door het orkestreren van cryptografische sleutels en digitale certificaten voor SSL/TLS, SSH, code signing, mobiel en IoT. Venafi maakt zowel identiteiten als daaraan gerelateerde risico’s wereldwijd inzichtelijk, binnen het eigen bedrijfsnetwerk en alle mobiele, virtuele, cloud- en IoT-apparatuur. Gebaseerd op intelligentie en een geautomatiseerde aanpak van risico’s op het gebied van beveiliging en beschikbaarheid, door zwakke of gecompromitteerde apparatuur. Tevens wordt de communicatie tussen betrouwbare apparatuur effectief beschermd en met onbetrouwbare apparatuur voorkomen.
Met ruim 30 patenten levert Venafi innovatieve oplossingen voor ‘s werelds meest veeleisende, veiligheidsbewuste Global 5000 organisaties. Tot hun klantenkring behoren de top vijf ziektekostenverzekeraars in de Verenigde Staten, de top vijf luchtvaartmaatschappijen in de VS, de vier grootste creditcardbedrijven, drie van de vier grootste accountancybedrijven, vier van de top vijf retailers in de VS en de grootste banken in de Verenigde Staten, het Verenigd Koninkrijk, Australië en Zuid-Afrika.
Lees ook:
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.