zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Chinese cyberspionage-bootcamps leiden rekruten al tien jaar op in aanvallen op de software supply chain

Chinese hackers richten zich op certificaten voor ondertekening van softwarecode

7 december 2021 - Venafi heeft een rapport gepubliceerd waarin de aanvalspatronen worden geanalyseerd van de door de staat gesteunde Chinese hackersgroep APT41 (ook bekend als de Winnti Groep). Uit het onderzoek, ‘APT41 Perfects Code Signing Abuse to Escalate Supply Chain Attacks’, blijken een aantal zaken.

- APT41 onderscheidt zich van andere Chinese hackersgroepen door gebruik te maken van speciaal ontwikkelde niet-openbare malware. Deze is geschikt voor spionageactiviteiten voor financieel gewin, waarschijnlijk buiten het bereik van door de staat gesponsorde missies.


- APT41 heeft van sleutels en certificaten voor het ondertekenen van softwarecode - oftewel machine-identiteiten waarmee code wordt geverifieerd - het belangrijkste doelwit gemaakt voor het succes van hun aanvalsmethode.
- Gecompromitteerde code signing-certificaten worden benut als een gedeelde bron voor grote teams, omdat ze de kracht van aanvallen vermenigvuldigen en de kans op succes flink vergroten.
- Deze strategische lange termijn focus is een primaire factor in het vermogen van APT41 om met succes meerdere waardevolle doelwitten in verschillende markten aan te vallen, waaronder zorgverleners, buitenlandse overheden, de farmaceutische industrie, luchtvaartmaatschappijen, telecommunicatie- en softwareleveranciers.Venafi waarschuwt dat het succes van APT41 ertoe kan leiden dat hun gebruik van gecompromitteerde identiteiten van code ondertekenende machines en aanvallen op de software supply chain door andere hackersgroepen gekopieerd kan worden. Daarom is het verstandig dat bedrijven en andere organisaties zich voorbereiden op meer hackersgroepen van natiestaten die gecompromitteerde identiteiten van code ondertekenende machines gaan benutten.

High profile aanvallen
"APT41 heeft herhaaldelijk gebruik gemaakt van code signing machine identiteiten voor high-profile aanvallen die China's economische, militaire en politieke lange termijn doelstellingen ondersteunen," zegt Yana Blachman, Threat Intelligence Specialist bij Venafi. "Met code signing machine identiteiten kan kwaadaardige code authentiek lijken en beveiligingscontroles omzeilen. Het succes van cyberaanvallen met deze methode in het afgelopen decennium heeft een blauwdruk opgeleverd voor geavanceerde aanvallen die bijzonder moeilijk te detecteren zijn. Sinds het doelwit in 2018 de Windows-software CCleaner was en in 2019 de ASUS LiveUpdate, zijn de methoden van APT41 voortdurend verbeterd.  Elke softwareleverancier moet zich bewust zijn van deze dreiging en stappen ondernemen om hun ontwikkelomgevingen te beschermen."
Één van de voorkeursmethoden van APT41 is het compromitteren van de toeleveringsketen van een commerciële softwareleverancier. Hierdoor kunnen ze zich efficiënt richten op een groep bedrijven die deze commerciële software gebruiken om toegang te krijgen tot zorgvuldig gekozen slachtoffers. APT41 gebruikt vervolgens secundaire malware om alleen die doelwitten te infecteren die interessant zijn voor cyberspionagedoeleinden. Na een malware-infectie kan APT41 verder penetreren in de netwerken van slachtoffers met behulp van gestolen referenties en een verscheidenheid aan verkenningstools. APT41 gebruikt unieke malware om waardevolle intellectuele eigendommen en klantgerelateerde gegevens van deze specifieke doelwitten te stelen.

Bibliotheek van code ondertekende certificaten en sleutels
Identiteiten van code ondertekenende machines zijn zo cruciaal voor de aanvalsmethoden van APT41 dat de groep actief een bibliotheek beheert van code ondertekenende certificaten en sleutels die zijn gestolen of gekocht op dark web marktplaatsen en andere Chinese aanvalsgroepen om de voorraad aan te vullen. Eerder onderzoek van Venafi heeft al aangetoond dat code signing-certificaten eenvoudig te koop zijn op het dark web, waar ze tot wel $1.200 per stuk kosten.
"Tegenwoordig zijn hackers bijzonder vaardige en gedisciplineerde softwareontwikkelaars, die dezelfde tools en technieken gebruiken als de good guys," zegt Kevin Bocek, Vice-President Security Strategy & Threat Intelligence van Venafi. "Ze weten dat kwetsbaarheden in de softwareomgeving gemakkelijk zijn uit te buiten en hebben jaren besteed aan het ontwikkelen, testen en verfijnen van de tools die nodig zijn om identiteiten van machines die code ondertekenen te stelen. Dit onderzoek zou alarmbellen moeten doen rinkelen bij elke leidinggevende en directie, want elk bedrijf is tegenwoordig ook een softwareontwikkelaar. We moeten veel serieuzer werk maken van de bescherming van code signing machine identiteiten."

Lees meer over de onderzoeksresultaten en -onderbouwing in het Venafi whitepaper


 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Citrix onderzoek toont verdeeldheid over werken op kantoor
 Werknemer worstelt met lastige IT-beveiligingsprotocollen
 Gefragmenteerde informatie staat optimale customer experience in de weg
 

Gerelateerde nieuwsitems

 Risicomanagement moet na Covid-19 pandemie de grote veranderingen in top tien bedreigingen aanpakken
 Bedrijven in de vitale sector moeten mensen centraal stellen in hun beveiligingsstrategie
 Crisisoefeningen: bent u klaar voor een cyberaanval?
 Meerderheid bedrijven vreest gevolgen cyberaanval
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
In welke gevallen moet je aan de slag met een BAV
reacties
Nederlanders willen vooral buiten kantoor kunnen werken (1) 
Drie eenvoudige tips tegen SIM-swapping (1) 
Nederlander bang voor misleidende online reviews (1) 
Werknemer wil fiets in arbeidsvoorwaardenpakket (1) 
Nederland positieve uitschieter: 62 procent vertrouwt op huidige pensioenstelsel (1) 
Het grote verschil tussen weten en kunnen (1) 
Onderweg naar meer bevlogenheid  (1) 
top10
Sterk gestegen hypotheekrente zorgt voor impasse op woningmarkt
‘Extended reality’ brengt hybride werkers weer naar kantoor
Koffie op kantoor: dit komt er allemaal bij kijken
Risicofactoren voor bedrijfssucces in een wereld na de pandemie
Onderzoek onthult bloeiende ransomware-marktplaats op het dark web
Kennismigranten buiten EU zijn interessant arbeidspotentieel voor schaarste arbeidsmarkt
Een inclusieve werkplek: vier tips om de volgende stappen te zetten
Een ambitieuze bedrijfscultuur realiseren: 'Succes hangt af van ongeduld'
Diverse organisatie trekt accounting talent aan
Werknemer die moeilijk rondkomt, zoekt naar manieren om extra te werken
meer top 10