Duqu 2.0-malware gebruikte gestolen certificaat van Foxconn

De geavanceerde malware die beveiligingsbedrijf Kaspersky Labs dit jaar trof, en waar het bedrijf onder de noemer Duqu 2.0 naar verwijst, maakte gebruik van een gestolen digitaal certificaat van Foxconn bij de infectie.

Kaspersky heeft meer details gepubliceerd over de werking van Duqu 2.0, de geraffineerde malware waarmee het bedrijf besmet bleek. Ook de ict-infrastructuur van hotels waar westerse landen met Iran diplomatieke onderhandelingen voerde, werd getroffen, waardoor gedacht wordt aan een spionagetool van staatshackers.

De 64bit-driver die Duqu 2.0 gebruikte voor de heimelijke installatie maakte gebruik van een geldig digitaal certificaat dat in februari 2015 ondertekend was door Hon Hai Precision Industry. Een geldig certificaat is verplicht voor drivers op de 64bit-versies van Windows. Hon Hai is het bedrijf dat onder de naam Foxconn hardware maakt voor tal van grote computer-, tablet- en smartphonefabrikanten als Apple, Microsoft, Dell en HP. Eerder gebruikten de aan Duqu 2.0 verwante malware Stuxnet- en Duqu 1.0-certificaten van de Taiwanese bedrijven Jmicron en Realtek voor infecties.

Kaspersky tekent aan dat de aanvallers tot nu toe nog geen certificaten twee keer gebruikt hebben, waardoor de vrees bestaat dat ze genoeg alternatieven hebben. Digitale certificaten worden als handtekening gebruikt om de authenticiteit van software te bevestigen en diefstal en misbruik ervan ondermijnt het vertrouwen in de authenticatiemethode.

De Duqu-malware wist ervoor te zorgen dat drivers zich op firewalls, gateways en servers die bedrijfsnetwerken met internet verbonden, konden nestelen. Na invoering van een geheim codewoord, 'romanian.antihacker', konden de drivers remotedesktop- en smb-verkeer doorsluizen en dit er als https-verkeer uit laten zien. Ook maakte Duqu 2.0 gebruik van poort 47012, waarvan bij Kaspersky geen eerdere voorbeelden bekend zijn.