Kaspersky: Malware wurde mit gestohlenen Sony-Zertifikaten signiert

SicherheitVirus
Kaspersky Lab (Bild: Kaspersky)

Bei der Schadsoftware handelt es sich um eine Variante des Trojaners Destover. Dieser wurde ebenso für den Angriff auf Sony Pictures eingesetzt. Das aus diesem Einbruch stammende digitale Zertifikat besitzt Destover allerdings erst seit dem 5. Dezember.

Kasperksy warnt vor einer neuen Variante der Malware Destover. Trojaner dieser Familie wurden demnach bereits mehrfach für zielgerichtete Attacken eingesetzt, zuletzt nach Angaben von Kaspersky auch für den Angriff auf Sony Pictures. Die aktuelle Schadsoftware-Variante besitzt jetzt ein gültiges Zertifikat von Sony. Laut einer Analyse von Kaspersky wurde die Datei im Juli 2014 kompiliert, kursierte seither allerdings ohne ein digitales Zertifikat. Die jetzige Signatur verwende der Trojaner erst seit dem 5. Dezember. An den Funktionen des Schädlings hat sich dadurch aber nichts geändert. Er enthält eine Hintertür und nimmt abwechselnd Kontakt zu zwei Befehlsservern in den Vereinigten Staaten und Thailand auf.

kaspersky-sony-destover (Screenshot: Kaspersky)
Kaspersky hat vor einer Variante des Trojaners Destover gewarnt, die mit einem digitalen Zertifikat von Sony Pictures signiert wurde (Screenshot: Kaspersky).

“Was bedeutet das nun? Die gestohlenen Sony-Zertifikate können benutzt werden, um weitere Schadsoftware zu signieren. Die kann im Gegenzug für weitere Angriffe eingesetzt werden”, heißt es in einem Blogeintrag des Global Research and Analysis Team von Kaspersky Lab. “Da Sicherheitslösungen den digitalen Sony-Zertifikaten vertrauen, werden die Angriffe effektiver.” Schon früher sei signierte Malware eingesetzt worden, um weiße Listen für Software (Whitelisting) zu umgehen und Sicherheitsrichtlinien auszuhebeln.

Kaspersky hat die gestohlenen Zertifikate eigenen Angaben zufolge auch schon den Zertifizierungsstellen Comodo und Digicert gemeldet. “‘Wir hoffen, dass sie schon bald gesperrt werden.”

Bislang wurde die digital signierte Destover-Variante laut dem Sicherheitsanbieter jedoch noch nicht für Attacken genutzt. Das vorliegende Muster sei an einen Online-Malware-Scanner übermittelt worden. “Die Existenz des Musters zeigt jedoch, dass der private Schlüssel öffentlich ist. In dem Moment wussten wir, dass wir es mit einer sehr gefährlichen Situation zu tun haben, egal wer für die Signierung der Malware verantwortlich ist.”

Die Destover-Signierung mit dem Sony-Zertifikat war Medienberichten zufolge “nur ein Scherz zwischen Forschern”. Unter anderem sollte dadurch erreicht werden, dass den Zertifikaten das Vertrauen entzogen wird.

Laut Kaspersky ist jedoch unklar, wieviele Zertifikatsdateien entwendet worden sind. “Bisher wurden Dutzende PFX-Dateien veröffentlicht”, ergänzt Kaspersky in einem Nachtrag zu seinem Blogeintrag. “PFX-Dateien beinhalten den benötigten privaten Schlüssel und das Zertifikat. Solche Dateien sind passwortgeschützt, aber die Passwörter können erraten oder geknackt werden.” Die Rücknahme der betroffenen Zertifikate habe nun oberste Priorität.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen