Beveiligingsonderzoeker en journalist Brian Krebs heeft ontdekt dat de hack bij Bit9, die negin deze maand bekend werd, zes maanden lang onopgemerkt is gebleven. Via een SQL-injectie hebben de hackers afgelopen zomer reeds toegang gekregen tot de webserver van het getroffen beveiligingsbedrijf. Daarbij is de geavanceerde rootkit HiKit gebruikt. De hackers stalen beveiligingscertificaten, maar gebruikten die lange tijd niet.

Bit9 heeft de ontdekking van Krebs bevestigd, alsmede het door hem genoemde aantal van drie klanten dat door met de gestolen certificaten gesigneerde malware is aangevallen, maar doet op dit moment geen mededelingen over de bedrijven die zijn getroffen. “Onze focus ligt bij het onderzoeken van het incident en communicatie met onze klanten", reageert communicatiedirecteur Kevin Flanagan van Bit9 op vragen van Webwereld.

Whitelisten van malware

De opmerkelijke hack kwam pas begin februari aan het licht. Met het gestolen certificaat van beveiliger Bit9 bleek malware op de whitelist gezet en werd het dus niet als zodanig herkend. Volgens Bit9 was de aanval mogelijk doordat eigen medewerkers het beveiligingsprotocol niet hadden gevolgd.

Direct werd gevreesd voor een grote impact. Beveiliger Bit9 beschikt over een groot aantal internationale klanten, waaronder ook de Amerikaanse regering. Op de eigen website heeft Bit9 het over “1000 wereldwijde organisaties" uit uiteenlopende industrieën. Bit9 biedt verschillende beveiligingsproducten, waaronder ook cloudservices.

Impact wordt ontkracht

Maar Bit9 zegt dat van een grote impact geen sprake is. CTO Harry Sverdlove laat tegenover Krebs weten dat het gaat om “drie instanties met een niet-kritische infrastructuur." Het bedrijf beseft dat het als springplank is gebruikt omdat hun klanten niet direct konden worden gehackt.

Onderzoeker Brian Krebs noemt het niettemin een harde klap voor Bit9. “Ik denk dat het zeer goed mogelijk dat er meer dan drie klanten zijn getroffen. De eerste blogpost [geplaatst op 8 februari - red] was zeer prematuur. Als zij een bredere impact ontdekken zou mij dat niet verbazen. Een harde klap voor Bit9. Maar ik denk niet dat dit het einde is van het bedrijf, zoals sommigen suggereren", aldus Krebs in een reactie aan Webwereld.

Exeptioneel slimme rootkit

Onduidelijk blijft waarom de aanvallers maandenlang geen gebruik hebben gemaakt van de gestolen certificaten. De op de server aangetroffen virtuele machine is volgens Bit9 offline gebleven tussen augustus en december, en werd pas in januari geactiveerd.

Wel is zeker dat HiKit is gebruikt. Deze rootkit is in augustus 2012 voor het eerst ontdekt door securityfirma Mandaint, dat de malware exceptioneel slimme mechanismen toedicht. Uit de eerste analyse bleek direct hoe goed HitKit verborgen blijft op een host en welke uitgebreide mogelijkheden - zoals het onzichtbaar maken van andere malware - hackers ermee hebben.