Cyberkriminelle signieren Malware

Cyberspionage-Gruppen brauchen vermehrt gestohlene Zertifikate, um damit ihre Schad-Software und Hacking-Tools zu signieren. Dadurch sehen sie nach aussen aus wie legitime Software.

Das jüngste Beispiel ist eine in China anzusiedelnde Hackergruppe, die in den letzten zwei Jahren weltweit erfolgreich Firmen und Regierungsstellen ganz gezielt angegriffen hat. Ende 2015 ist Symantec den Aktivitäten der Gruppe, von den Security-Experten Suckfly getauft, auf die Schliche gekommen. Dabei ist Symantec aufgefallen, dass die Cyberspione ein digital signiertes Hacking-Werkzeug benutzt hatten, um einen der Kunden des IT-Sicherheitsunternehmens anzugreifen.

Das Tool war mit einem Zertifikat signiert, das einem Entwickler mobiler Software aus Südkorea gehörte. Für die Security-Experten war klar, dass da etwas nicht stimmen kann, da das Werkzeug Windows-Server scannen sollte, also kaum von einem mobilen Entwickler stammen dürfte. Weitere Untersuchungen ergaben, dass weitere Programme und Hacking-Tools mit dem Zertifikat signiert wurden. Schlussendlich konnte aufgrund der verwendeten IP-Adressen erkannt werden, dass die Gruppe wohl im chinesischen Chengdu angesiedelt sein muss.

Schlussendlich konnten neun gestohlene digitale Zertifikate identifiziert werden, die alle Firmen aus Südkorea gehörten.

Details zu den Angriffen haben die Symantec-Researcher dieser Tage in einem Blog-Post veröffentlicht.