Venafi, Anbieter von maschinellem Identitätsmanagement, veröffentlicht einen neuen Bericht, der die Angriffsmuster der staatlich unterstützten chinesischen Hackergruppe APT41 (auch bekannt als Winnti-Gruppe) analysiert.
Die Untersuchung „APT41 Perfects Code Signing Abuse to Escalate Supply Chain Attacks“ zeigt:
- APT41 ist unter den in China ansässigen Bedrohungsgruppen einzigartig, da sie speziell entwickelte, nicht-öffentliche Malware einsetzt, die normalerweise für Spionageaktivitäten mit finanzieller Gewinnorientierung genutzt wird und wahrscheinlich nicht in den Bereich der staatlich geförderten Aktivitäten fällt.
- Entscheidend für den Erfolg dieser Angriffsmethode ist, dass APT41 Code Signing-Schlüssel und -Zertifikate – die als Maschinenidentitäten zur Authentifizierung von Code dienen – zu einem Hauptziel gemacht hat.
- Kompromittierte Code Signing-Zertifikate werden als gemeinsame Ressource für große Teams von Angreifern verwendet, da sie als Angriffsmultiplikator fungieren und die Erfolgsaussichten drastisch erhöhen.
- Dieser strategische, langfristige Fokus ist ein Hauptfaktor für die Fähigkeit von APT41, ein breites Spektrum an hochwertigen Zielen in verschiedenen Branchen erfolgreich zu kompromittieren, darunter das Gesundheitswesen, ausländische Regierungen, Pharmaunternehmen, Fluggesellschaften, Telekommunikations-Unternehmen und Softwareanbieter.
Venafi warnt davor, dass der Erfolg von APT41 bedeutet, dass ihre einzigartige Nutzung von kompromittierten Code Signing-Maschinenidentitäten und Angriffen auf die Lieferkette zur bevorzugten Methode anderer Bedrohungsgruppen werden wird – und dass sich Unternehmen auf weitere nationalstaatliche Angriffsgruppen einstellen müssen, die kompromittierte Code Signing-Maschinenidentitäten nutzen.
„APT41 hat wiederholt Code Signing-Maschinenidentitäten verwendet, um eine Reihe von hochkarätigen Angriffen zu inszenieren, die Chinas langfristige wirtschaftliche, politische und militärische Ziele unterstützen“, kommentiert Yana Blachman, Threat Intelligence Specialist bei Venafi. „Code Signing-Maschinenidentitäten ermöglichen es bösartigen Codes, authentisch zu erscheinen und Sicherheitskontrollen zu umgehen. Der Erfolg von Angriffen, die dieses Modell in den letzten zehn Jahren verwendet haben, hat eine Blaupause für ausgeklügelte Angriffe geschaffen, die sehr erfolgreich waren, weil sie sehr schwer zu erkennen sind. Seit dem Angriff auf das Windows-Softwareprogramm CCleaner im Jahr 2018 und das ASUS LiveUpdate im Jahr 2019 werden die Hacking-Methoden von APT41 immer besser. Jeder Softwareanbieter sollte sich dieser Bedrohung bewusst sein und Maßnahmen zum Schutz seiner Softwareentwicklungsumgebungen ergreifen.“
Kommerzielle Softwareanbieter im Fokus
Eine der bevorzugten Einstiegsmethoden von APT41 ist die Kompromittierung der Lieferkette eines kommerziellen Softwareanbieters. Auf diese Weise können sie eine Reihe von Unternehmen angreifen, die die kommerzielle Software verwenden, um Zugang zu sorgfältig ausgewählten Opfern zu erhalten. APT41 verwendet dann sekundäre Malware, um nur die Ziele zu infizieren, die für Cyberspionagezwecke von Interesse sind. Nach der Infizierung breitet sich APT41 mithilfe gestohlener Zugangsdaten und einer Reihe von Erkundungstools über die Netzwerke der Opfer aus. APT41 setzt einzigartige Malware ein, um wertvolles geistiges Eigentum und kundenbezogene Daten nur von diesen sehr spezifischen Zielen zu stehlen.
Code Signing-Maschinenidentitäten sind für die Angriffsmethoden von APT41 so wichtig, dass die Gruppe aktiv eine Bibliothek von Code Signing-Zertifikaten und -Schlüsseln verwaltet, die sie von unterirdischen Dark Web-Marktplätzen und anderen chinesischen Angriffsgruppen gestohlen oder gekauft hat, um ihre Vorräte aufzustocken. Frühere Venafi-Recherchen haben gezeigt, dass Code Signing-Zertifikate im Dark Web für bis zu 1.200 US-Dollar pro Stück verkauft werden.
„Heutzutage sind Angreifer zugleich disziplinierte, hochqualifizierte Softwareentwickler, die dieselben Tools und Techniken verwenden“, erklärt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „Sie haben erkannt, dass Schwachstellen in der Softwareentwicklungsumgebung leicht auszunutzen sind. Über die Jahre haben sie die Tools entwickelt, getestet und verfeinert, die für den Diebstahl von Maschinenidentitäten zur Codesignierung erforderlich sind. Unsere Ergebnisse sollten bei allen Führungskräften und Vorständen Alarm auslösen, denn jedes Unternehmen beschäftigt heute auch Softwareentwickler. Wir müssen den Schutz der Identitäten von Code Signing Machines viel ernster nehmen.“
www.venafi.com