F-Secure vindt malware met certificaat van Maleisische overheid

Beveiligingsfirma F-Secure heeft nieuwe malware ontdekt die voorzien is van een certificaat dat ondertekend lijkt met een sleutel van de Maleisische overheid. Het certificaat, dat inmiddels is verlopen, zou door onbekenden zijn gestolen.

Volgens F-Secure hebben de malwaremakers een certificaat gebruikt dat ondertekend is door het in Maleisië gevestigde Agricultural Research and Development Institute. Het certificaat zou bij deze overheidsinstantie al 'enige tijd geleden' zijn gestolen, zo meldt het beveiligingsbedrijf op basis van informatie vanuit de Maleisische overheid.

De malware, die in gemanipuleerde pdf-bestanden is aangetroffen en 'W32/Agent.DTIW' heet, zou gebruik proberen maken van een kwetsbaarheid in Adobe Reader 8. Ook poogt het na besmetting diverse onderdelen te downloaden die weer zijn voorzien van certificaten met 'esupplychain.com.tw' als bron. De malware zou echter inmiddels niet meer volop kunnen profiteren van het dragen van een certificaat, zoals een ongehinderde installatie in Windows, omdat het Maleisische certificaat sinds 29 september niet langer geldig is.

Terwijl het relatief zeldzaam is dat malware voorzien is van een certificaat, komt het toepassen van certificaten die ondertekend zijn door overheidsinstanties nog minder vaak voor, zo stelt F-Secure. Desondanks wisten geavanceerde malware als Stuxnet en het recente Duqu misbruik te maken van vervalste certificaten, terwijl in Nederland de geruchtmakende Diginotar-zaak voor veel onrust zorgde.

Door Dimitri Reijerman

Redacteur

Feedback • 14-11-2011 20:17 19

14-11-2011 • 20:17

19

Lees meer

13 mrt 2012

De zwakste schakel van https

68
Microsoft waarschuwt voor toename diefstal van certificaten
Microsoft waarschuwt voor toename diefstal van certificaten Nieuws van 16 december 2013
'Wiper-virus is vermoedelijk verwant aan Stuxnet'
'Wiper-virus is vermoedelijk verwant aan Stuxnet' Nieuws van 29 augustus 2012
Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten
Nieuwe geavanceerde trojan verschijnt in het Midden-Oosten Nieuws van 29 mei 2012
Nieuwe Duqu-variant duikt op in Iran
Nieuwe Duqu-variant duikt op in Iran Nieuws van 21 maart 2012
Mysterieuze programmeertaal Duqu blijkt 'C-dialect'
Mysterieuze programmeertaal Duqu blijkt 'C-dialect' Nieuws van 19 maart 2012
'Duqu-trojan deels geschreven in onbekende programmeertaal'
'Duqu-trojan deels geschreven in onbekende programmeertaal' Nieuws van 8 maart 2012
Nieuwe worm steelt inloggegevens van 45.000 Facebook-gebruikers
Nieuwe worm steelt inloggegevens van 45.000 Facebook-gebruikers Nieuws van 5 januari 2012
Shell vreest cyberaanvallen op olie- en gasinstallaties
Shell vreest cyberaanvallen op olie- en gasinstallaties Nieuws van 12 december 2011
Fox-IT: elf gegenereerde RSA 512-certificaten al lang misbruikt
Fox-IT: elf gegenereerde RSA 512-certificaten al lang misbruikt Nieuws van 22 november 2011
Terrorismebestrijder: reactie overheid op DigiNotar niet adequaat
Terrorismebestrijder: reactie overheid op DigiNotar niet adequaat Nieuws van 15 november 2011
'Iran bestrijdt Duqu-virus met eigen software'
'Iran bestrijdt Duqu-virus met eigen software' Nieuws van 14 november 2011
'Duqu-variant bespioneerde wellicht Iraans kernprogramma'
'Duqu-variant bespioneerde wellicht Iraans kernprogramma' Nieuws van 7 november 2011
Symantec ontdekt spionage via malware in Nederland en België
Symantec ontdekt spionage via malware in Nederland en België Nieuws van 4 november 2011
Symantec: Stuxnet-makers brengen nieuwe malware in circulatie
Symantec: Stuxnet-makers brengen nieuwe malware in circulatie Nieuws van 19 oktober 2011
'VS overwoog cyberaanval uit te voeren op Libië'
'VS overwoog cyberaanval uit te voeren op Libië' Nieuws van 18 oktober 2011
'Cyberaanval treft belangrijke fabrikant van legeronderdelen Japan'
'Cyberaanval treft belangrijke fabrikant van legeronderdelen Japan' Nieuws van 19 september 2011
'Iran wordt opnieuw aangevallen door virus'
'Iran wordt opnieuw aangevallen door virus' Nieuws van 25 april 2011
Nucleair agentschap Iran poogt Stuxnet te stoppen
Nucleair agentschap Iran poogt Stuxnet te stoppen Nieuws van 27 september 2010
VeriSign start met scannen naar malware op sites
VeriSign start met scannen naar malware op sites Nieuws van 20 juli 2010
Malware met Realtek-signatuur gebruikt nieuwe Windows-exploit
Malware met Realtek-signatuur gebruikt nieuwe Windows-exploit Nieuws van 16 juli 2010
Meer producten en artikelen
Internettoegang Netwerk en systeembeheer Beveiliging Malware

Reacties (19)

-Moderatie-faq
19
19
13
2
0
4
Wijzig sortering
the_stickie 14 november 2011 20:30
Het hele certificatensysteeem is gebaseerd op vertrouwen: jij vertouwt die en die, ik vertrouw jou, dus die en die zijn te vertrouwen.
Ik ben geen analist oid, maar mij lijkt het dat in de nabije toekomst certificaten, zoals nu gebruikt, aan vertrouwen (en dus nut) moeten inboeten doordat er steeds meer misbruik bekend wordt. Dat bekend worden hoeft zelfs geen zwakheid in het systeem te impliceren. Eén geldig, maar gestolen certificaat (of zelfs CA, zie diginotar) kan immers een enorme impact hebben als zo'n website of applicatie ten onrechte vertrouwd wordt. Meerdere van dat soort incidenten zal op termijn(volgens mij!) het vertrouwen in CA's zo sterk beschadigen dat men nieuwe mechanismen zal moeten zoeken naast de bestaande revocation lists om het vertrouwen te versterken.
The Zep Man
@the_stickie14 november 2011 21:34
Het hele certificatensysteeem is gebaseerd op vertrouwen: jij vertouwt die en die, ik vertrouw jou, dus die en die zijn te vertrouwen.
Je omschrijving neigt meer naar een web of trust en niet naar een public key infrastructure, waar dit artikel over gaat. Een PKI is meer een hiërarchie van top (root certificate authority) naar bodem (eindgebruiker). In een PKI worden certificaten, ondertekende public keys, alleen uitgegeven van boven naar beneden door een (vaak intermediate) certificate authority.
Ik ben geen analist oid, maar mij lijkt het dat in de nabije toekomst certificaten, zoals nu gebruikt, aan vertrouwen (en dus nut) moeten inboeten doordat er steeds meer misbruik bekend wordt.
Het gevaar is niet zozeer dat een CA geheime sleutel gestolen en/of misbruikt is, maar dat dit niet of te laat bekend wordt gemaakt, zoals in het geval van DigiNotar. Als het op tijd bekend is, is het enige dat gedaan moet worden het betreffende CA certificaat op een certificate revocation list zetten en deze verspreiden, een nieuw CA certificaat genereren en voor alle benadeelde en legitieme partijen nieuwe certificaten genereren. Dit is tijdrovend, tenzij de processen hierop van te voren zijn ingericht. Voor een enkel certificaat dat wellicht per ongeluk ondertekend is door een vertrouwde partij (wat wellicht het geval is in het nieuwsartikel) is het alleen maar nodig om het certificaat op een CRL te zetten en die te verspreiden.
Eén geldig, maar gestolen certificaat (of zelfs CA, zie diginotar) kan immers een enorme impact hebben als zo'n website of applicatie ten onrechte vertrouwd wordt. Meerdere van dat soort incidenten zal op termijn(volgens mij!) het vertrouwen in CA's zo sterk beschadigen dat men nieuwe mechanismen zal moeten zoeken naast de bestaande revocation lists om het vertrouwen te versterken.
Alternatieven zijn er al, vaak gebaseerd op het eerder genoemde web of trust: bepaal zelf wie je vertrouwd en beslis de hoeveelheid verificatie die vereist is om een dienst als 'vertrouwelijk' te bestempelen.

Een voorbeeld is dat van elke drie partijen die je kent er minstens twee moeten zijn die een dienst als vertrouwd moeten categoriseren voordat jij die dienst ook vertrouwd. Op die manier ben je niet afhankelijk van een enkel oordeel van één partij.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:28]

the_stickie @The Zep Man15 november 2011 12:42
Je omschrijving neigt meer naar een web of trust en niet naar een public key infrastructure, waar dit artikel over gaat
Een PKI is wel deglijk gebaseerd op vertrouwen: ik vertrouw de CA, dus ik vertrouw alles wat die CA gesigned heeft.
Het gevaar is niet zozeer dat een CA geheime sleutel gestolen en/of misbruikt is, maar dat dit niet of te laat bekend wordt gemaakt, zoals in het geval van DigiNotar
Zelfs na het bekendworden heeft het nog meerder dagen (weken?) geduurd voor het merendeel van de browser deze certificaten ontweken. in het geval hierboven, is het pas aan het licht gekomen nadat het certificaat verlopen was (en dus wellicht een foutmelding veroorzaakte). in theorie is de impact dus beheersbaar klein, in de praktijk (ongekend) groot!
Alternatieven zijn er al
..maar worden vooralsnog niet toegepast voor de beveiliging van websites of applicaties.
The Zep Man
@the_stickie15 november 2011 17:48
[...]
Een PKI is wel deglijk gebaseerd op vertrouwen: ik vertrouw de CA, dus ik vertrouw alles wat die CA gesigned heeft.
Ik zeg nergens dat een PKI niet gebaseerd is op vertrouwen.

[qupte]Zelfs na het bekendworden heeft het nog meerder dagen (weken?) geduurd voor het merendeel van de browser deze certificaten ontweken.[/quote]Dat komt door de politieke invloed die hierop werd gedrukt. Technisch gezien is een CRL verspreiden geen probleem.
in theorie is de impact dus beheersbaar klein, in de praktijk (ongekend) groot!
De impact kan beheersbaar klein zijn, maar alleen als het proces daarop is ingericht. Dat is het zeker niet in veel gevallen.
..maar worden vooralsnog niet toegepast voor de beveiliging van websites of applicaties.
Onwaar. Als een website maar een SSL certificaat heeft om zichzelf uniek te identificeren, kan het al gebruikt worden in een web of trust. Wat voor PKI chain daarbovenop zit is in dat geval niet interessant. Er zijn al praktische implementaties hiervan, zoals Convergence. Ook zijn er implementaties die op alle soorten websites werken, zoals WOT.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:28]

Anoniem: 126610 14 november 2011 20:47
In het artikel wordt in het ene geval gesproken van gestolen certificaten, en in andere gevallen van vervalste certificaten. Zit daar verschil tussen?
darkfader @Anoniem: 12661014 november 2011 21:35
Gestolen: Overheid heeft een certifiaat aangemaakt maar heeft de sleutel niet netjes opgeborgen.
Vervalst: Een nieuw certificaat is aangemaakt en de CA die het moest controleren heeft niet goed opgelet (denk aan social engineering) of de CA is zelf gehackt.
Natuurlijk kan er ook worden vervalst d.m.v. een gestolen sleutel(certificaat) maar dat komt niet zo vaak voor denk ik.
Sando 14 november 2011 20:22
Maleisië is ook target geweest van Anonymous een tijdje terug, waarbij sites bestookt werden omdat Maleisië aan internetsensuur zou doen. Zou dat wat met elkaar te maken hebben gehad?

Het losse deel van het losvaste groepje kan er natuurlijk een eigen agenda op na houden.

-edit-

Linkje

[Reactie gewijzigd door Sando op 23 juli 2024 18:28]

Weyland @Sando14 november 2011 20:23
Tuurlijk maar ik denk niet dat andere leden van Anonymous dit zomaar zouden laten gebeuren. Ik geloof nog steeds dat het white-hat hackers zijn met daar tussen een paar black-hat.

Zo is het nou eenmaal. Een geloof kan ook niet zonder een paar extremisten.
Weyland 14 november 2011 20:22
Zo zie je maar hoe achterhaald het hele certificaten systeem is geworden. Er moet een nieuwe manier van server validatie komen dat niet is gebaseerd op dit soort hack-gevoelige informatie.

Zou iemand mij meer kunnen uitleggen over DNSSEC? Zou dit niet de opvolger moeten worden van CA validatie of is dit weer een nieuwe 'zone' in het CA.
the_stickie @Weyland14 november 2011 20:40
DNSSEC is een beveilige versie van DNS. Met DNSSEC kan niemand je meer wijsmaken dat je favoriete webbank op een ander IP gehost wordt.
Dit heeft iéts te maken met certificaten, in die zin dat gegevens van de webstie gecontroleerd worden, maar ook weer niet, aangezien het hebben van een beveiligd DNS record nog niet wil zeggen dat je site te vertrouwen is (wat wel de bedoeling is van certificaten)
Overigens komen certificaten niet alleen op (https) websites voor, maar is dat ook de technologie die gebruikt wordt , bijvoorbeeld, om drivers te signen voor Windows en voor authenticatie/authorisatie (van gebruikers, maar ook van apparaten). Voor beide voorbeelden biedt dnssec duidelijk geen alternatief.
dieselross 14 november 2011 20:22
Zo blijkt maar weer eens dat de overheden constant moeite hebben met veiligheid.
Dat het certificaat verlopen is is toch een kleine meevaller.
Anoniem: 426974 14 november 2011 21:20
Dit gaat nergens meer over, is dit nou toch echt 'hét nieuwe cyberoorlog' wat mensen noemen?

Ik zie dat meer landen nu problemen krijgen online, Iran, Amerika, Nederland, Maleisië en zo kan ik er wel nog meer opnoemen. Volgens mij gaan mensen denken dat zij het baas zijn op internet en op illegale wijzen dingen doen en met die certificaat op het land afschuiven.

Ik vind dat ze toch voor de certificaten ook net zoals IAEA moeten maken, met het controleren van certificaten, voordat je het weet loopt dit uit de hand.
The Inquisitor 14 november 2011 22:35
Er moet eens kritisch worden gekeken naar het huidige certificatensysteem. Tevens moeten overheden toch eens goed kijken naar hun beveiliging...
grimlock 14 november 2011 20:21
Grappig, steeds meer nieuwe aanvallen die pogen iets te ondernemen op je systeem, totdat er eentje komt die veel schade aan gaat richten. 2012 wordt het jaar van de waarheid voor de beveiliging van het internet. Ik denk dat het een grote FAIL gaat worden.
Anoniem: 404775 @grimlock14 november 2011 20:46
was dat niet altijd al zo geweest?, ik geloof niet zo in judgementday. het is erg genoeg dat malware zo geavanceerd word, maar we leren er wel van.
zwimmiz 14 november 2011 20:38
Nou snap ik waarom het Mal Ware heet...
smeetsmeister 15 november 2011 09:57
Gaat zo wel erg de verkeerde kant op natuurlijk. Vraag me af als developer van een 'systeem' wat veilig moet zijn, je uberhaubt nog gebruik kunt maken van certificaten. En naar mijn mening moet er ook een soort van 'red button alarm' komen, certificaat gehackt, alle apps werken niet meer die gebruik maken van dit certificaat, en krijgen netjes een foutmelding te zien.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq