Newsletter Abonnieren
Newsletter
,

Angriffe auf Lieferketten

Chinesische Hackergruppen zielen auf Lieferketten ab

Ein Bericht von Venafi zeigt, dass chinesische Hacker-Gruppen gezielt Code Signing-Zertifikate für Angriffe auf Software Supply Chains einsetzen.

Bild: Venafi
Bild: Venafi

Der Identitymanagement-Spezialist Venafi hat die Angriffsmuster der staatlich unterstützten chinesischen Hackergruppe APT41, auch bekannt als Winnti-Gruppe, analysiert. Aus der Untersuchung geht hervor:

APT41 ist unter den in China ansässigen Bedrohungsgruppen einzigartig, so die Venafi-Spezialisten, da sie speziell entwickelte, nicht-öffentliche Malware einsetzt, die normalerweise für Spionageaktivitäten mit finanzieller Gewinnorientierung genutzt wird und wahrscheinlich nicht in den Bereich der staatlich geförderten Aktivitäten fällt.

Entscheidend für den Erfolg dieser Angriffsmethode sei, so die Venafi-Spezialisten, dass APT41 Code Signing-Schlüssel und -Zertifikate, die als Maschinenidentitäten zur Authentifizierung von Code dienen, zu einem Hauptziel gemacht habe.

Kompromittierte Code Signing-Zertifikate werden als gemeinsame Ressource für große Teams von Angreifern verwendet, da sie als Angriffsmultiplikator fungieren und die Erfolgsaussichten drastisch erhöhen.

Dieser strategische, langfristige Fokus ist ein Hauptfaktor für die Fähigkeit von APT41, ein breites Spektrum an hochwertigen Zielen in verschiedenen Branchen erfolgreich zu kompromittieren, darunter das Gesundheitswesen, ausländische Regierungen, Pharmaunternehmen, Fluggesellschaften, Telekommunikations-Unternehmen und Softwareanbieter.

Venafi warnt davor, dass der Erfolg der Gruppe bedeuten könnte, dass ihre Nutzung von kompromittierten Code Signing-Maschinenidentitäten und Angriffen auf die Lieferkette zur bevorzugten Methode anderer Bedrohungsgruppen wird – und dass sich Unternehmen auf weitere nationalstaatliche Angriffsgruppen einstellen müssen, die kompromittierte Code Signing-Maschinenidentitäten nutzen könnten.

„APT41 hat wiederholt Code Signing-Maschinenidentitäten verwendet, um eine Reihe von hochkarätigen Angriffen zu inszenieren, die Chinas langfristige wirtschaftliche, politische und militärische Ziele unterstützen“, kommentiert Yana Blachman, Threat Intelligence Specialist bei Venafi. „Code Signing-Maschinenidentitäten ermöglichen es bösartigen Codes, authentisch zu erscheinen und Sicherheitskontrollen zu umgehen. Der Erfolg von Angriffen, die dieses Modell in den letzten zehn Jahren verwendet haben, hat eine Blaupause für ausgeklügelte Angriffe geschaffen, die sehr erfolgreich waren, weil sie sehr schwer zu erkennen sind. Seit dem Angriff auf das Windows-Softwareprogramm CCleaner im Jahr 2018 und das ASUS LiveUpdate im Jahr 2019 werden die Hacking-Methoden von APT41 immer besser. Jeder Softwareanbieter sollte sich dieser Bedrohung bewusst sein und Maßnahmen zum Schutz seiner Softwareentwicklungsumgebungen ergreifen.“

Eine der bevorzugten Einstiegsmethoden von APT41 ist die Kompromittierung der Lieferkette eines kommerziellen Softwareanbieters. Auf diese Weise können sie eine Reihe von Unternehmen angreifen, die die kommerzielle Software verwenden, um Zugang zu sorgfältig ausgewählten Opfern zu erhalten. APT41 verwendet dann sekundäre Malware, um nur die Ziele zu infizieren, die für Cyberspionagezwecke von Interesse sind. Nach der Infizierung breitet sich APT41 mithilfe gestohlener Zugangsdaten und einer Reihe von Erkundungstools über die Netzwerke der Opfer aus.

Laut Venafi verwaltet die Gruppe aktiv eine Bibliothek von Code Signing-Zertifikaten und -Schlüsseln, die sie von Dark Web-Marktplätzen und anderen chinesischen Angriffsgruppen gestohlen oder gekauft hat, um ihre Vorräte aufzustocken. Frühere Venafi-Recherchen hätten gezeigt, dass Code Signing-Zertifikate im Dark Web für bis zu 1.200 US$ pro Stück verkauft werden.

Autoren: Venafi
News

News

das könnte sie auch interessieren