Het beveiligingsbedrijf F-Secure stuitte op malware die gebruik maakt van een geldig certificaat, ondertekend door een Maleisische overheidsinstantie. De cybercriminelen braken hiervoor in op computers van het Maleisische Agricultuur Research en Development Instituut.

Unieke malware

“Het komt niet vaak voor om ondertekende malware te vinden. Het is nog zeldzamer dat het ondertekend is met een officiële sleutel die aan de overheid toebehoort", schrijft Mikko Hypponen, chef onderzoek officier, van F-Secure.

Doordat de malware een geldig ondertekend certificaat met zich meedroeg glipte het voorbij beveiligingen in besturingssystemen als Microsoft Windows en beveiligingssoftware. Hierdoor werden geen waarschuwingen gegeven wanneer de malware werd geïnstalleerd en uitgevoerd.

'Redelijk lang geleden' gestolen

Het certificaat was ondertekend met anjungnet.mardi.gov.my, dat de Maleisische overheid gebruikt ter ondertekening. De overheidsinstantie gaf na onderzoek aan dat de Windows server gehackt is. Het certificaat is volgens de certificaatautoriteit 'redelijk lang geleden' gestolen, meldt Hypponen.

Om het certificaat aan te maken is door de digitale inbrekers ook een wachtwoord buitgemaakt. Alleen de geheime sleutel is volgens Hypponen onvoldoende voor het creëren van een nieuw certificaat. Volgens hem is het mogelijk dat de criminelen het wachtwoord achterhaalden door een keylogger-programma te installeren op één van de pc's binnen de overheidsinstantie.

Het certificaat verliep eind september en inmiddels is de geheime sleutel ingetrokken. Hierdoor glipt de malware niet meer langs ingebouwde beveiligingen in besturingssystemen.

Malafide backdoor trojan

De malware is een backdoor trojan die in staat is informatie te stelen of andere malafide software te installeren. De malware is verspreid via een pdf-bestand dat gebruik maakt van een oud lek in Adobe Reader 8.

De malware downloadde volgens Hypponen aanvullende kwaadaardige componenten van een server genaamd worldnewsmagazines.org. “Sommige van die componenten zijn ook ondertekend, alleen deze keer door een entiteit genaamd www.esuplychain.com.tw", blogt Hypponen.

Onveilige certificaten

Het valse certificaat is onderetekend door de Maleisische certificaatautoriteit Digicert. Dit bedrijf kwam begin deze maand in opspraak, nadat bleek dat er 22 slecht beveiligde certificaten waren uitgegeven, die eenvoudig te misbruiken waren door kwaadwillenden.

Microsoft en Mozilla besloten daarop om alle certificaten van Digicert in de ban te doen. Dit bedrijf is overigens niet gelieerd aan de Amerikaanse certificaatgigant Digicert Inc.

Vernedering certificaatsysteem

De hack is een nieuwe klap voor het gehele certificaatsysteem waarmee gebruikers op een veilige manier websites kunnen bezoeken. In Nederland werd certificaatautoriteit Diginotar gehackt, waardoor de hackers valse certificaten uitschreven om onder meer e-mails van Iraanse dissidenten te onderscheppen.

Ook KPN Corporate, leverancier van PKI Overheidscertificaten, staakte begin november pardoes met de uitgifte van certificaten nadat een DDoS-tool op hun webserver werd gevonden. KPN is inmiddels weer gestart met de uitgifte na een audit van KPMG.