Chinese cyberspionage-bootcamps leiden rekruten voor aanvallen op software supply chain

Venafi, gespecialiseerd in het beschermen van machine-identiteiten, heeft een rapport gepubliceerd waarin de aanvalspatronen worden geanalyseerd van de door de staat gesteunde Chinese hackersgroep APT41 (ook bekend als de Winnti Groep). Uit het onderzoek, ‘APT41 Perfects Code Signing Abuse to Escalate Supply Chain Attacks’, blijkt onder andere dat:

• APT41 onderscheidt zich van andere Chinese hackersgroepen door gebruik te maken van speciaal ontwikkelde niet-openbare malware. Deze is geschikt voor spionageactiviteiten voor financieel gewin, waarschijnlijk buiten het bereik van door de staat gesponsorde missies.
• APT41 heeft van sleutels en certificaten voor het ondertekenen van softwarecode - oftewel machine-identiteiten waarmee code wordt geverifieerd - het belangrijkste doelwit gemaakt voor het succes van hun aanvalsmethode.
• Gecompromitteerde code signing-certificaten worden benut als een gedeelde bron voor grote teams, omdat ze de kracht van aanvallen vermenigvuldigen en de kans op succes flink vergroten.
• Deze strategische lange termijn focus is een primaire factor in het vermogen van APT41 om met succes meerdere waardevolle doelwitten in verschillende markten aan te vallen, waaronder zorgverleners, buitenlandse overheden, de farmaceutische industrie, luchtvaartmaatschappijen, telecommunicatie- en softwareleveranciers.

Venafi waarschuwt dat het succes van APT41 ertoe kan leiden dat hun gebruik van gecompromitteerde identiteiten van code ondertekenende machines en aanvallen op de software supply chain door andere hackersgroepen gekopieerd kan worden. Daarom is het verstandig dat bedrijven en andere organisaties zich voorbereiden op meer hackersgroepen van natiestaten die gecompromitteerde identiteiten van code ondertekenende machines gaan benutten.

High profile aanvallen
"APT41 heeft herhaaldelijk gebruik gemaakt van code signing machine identiteiten voor high-profile aanvallen die China's economische, militaire en politieke lange termijn doelstellingen ondersteunen," zegt Yana Blachman, Threat Intelligence Specialist bij Venafi. "Met code signing machine identiteiten kan kwaadaardige code authentiek lijken en beveiligingscontroles omzeilen. Het succes van cyberaanvallen met deze methode in het afgelopen decennium heeft een blauwdruk opgeleverd voor geavanceerde aanvallen die bijzonder moeilijk te detecteren zijn. Sinds het doelwit in 2018 de Windows-software CCleaner was en in 2019 de ASUS LiveUpdate, zijn de methoden van APT41 voortdurend verbeterd.  Elke softwareleverancier moet zich bewust zijn van deze dreiging en stappen ondernemen om hun ontwikkelomgevingen te beschermen."

Één van de voorkeursmethoden van APT41 is het compromitteren van de toeleveringsketen van een commerciële softwareleverancier. Hierdoor kunnen ze zich efficiënt richten op een groep bedrijven die deze commerciële software gebruiken om toegang te krijgen tot zorgvuldig gekozen slachtoffers. APT41 gebruikt vervolgens secundaire malware om alleen die doelwitten te infecteren die interessant zijn voor cyberspionagedoeleinden. Na een malware-infectie kan APT41 verder penetreren in de netwerken van slachtoffers met behulp van gestolen referenties en een verscheidenheid aan verkenningstools. APT41 gebruikt unieke malware om waardevolle intellectuele eigendommen en klantgerelateerde gegevens van deze specifieke doelwitten te stelen.

Bibliotheek van code ondertekende certificaten en sleutels
Identiteiten van code ondertekenende machines zijn zo cruciaal voor de aanvalsmethoden van APT41 dat de groep actief een bibliotheek beheert van code ondertekenende certificaten en sleutels die zijn gestolen of gekocht op dark web marktplaatsen en andere Chinese aanvalsgroepen om de voorraad aan te vullen. Eerder onderzoek van Venafi heeft al aangetoond dat code signing-certificaten eenvoudig te koop zijn op het dark web, waar ze tot wel $1.200 per stuk kosten.

"Tegenwoordig zijn hackers bijzonder vaardige en gedisciplineerde softwareontwikkelaars, die dezelfde tools en technieken gebruiken als de good guys", zegt Kevin Bocek, Vice-President Security Strategy & Threat Intelligence van Venafi. "Ze weten dat kwetsbaarheden in de softwareomgeving gemakkelijk zijn uit te buiten en hebben jaren besteed aan het ontwikkelen, testen en verfijnen van de tools die nodig zijn om identiteiten van machines die code ondertekenen te stelen. Dit onderzoek zou alarmbellen moeten doen rinkelen bij elke leidinggevende en directie, want elk bedrijf is tegenwoordig ook een softwareontwikkelaar. We moeten veel serieuzer werk maken van de bescherming van code signing machine identiteiten."

Lees meer over de onderzoeksresultaten en -onderbouwing in het Venafi whitepaper