Sicherheitsfirma Bit9 gehackt

Unbekannte haben ein Code-Signing-Zertifikat von Bit9 missbraucht, um damit Malware zu signieren. Laut der Sicherheitsfirma gelang der Zugriff auf das Zertifikat, weil die eigene Schutzsoftware nicht auf allen Rechnern im Unternehmensnetz installiert war.

In Pocket speichern vorlesen Druckansicht 55 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Unbekannte sind in das Netzwerk der Sicherheitsfirma Bit9 eingedrungen und haben sich so Zugriff auf ein Code-Signing-Zertifikat des Unternehmens verschafft. Anschließend missbrauchten es die Eindringlinge zum Signieren von Malware, die an Kunden von Bit9 verteilt wurde. Der Angriff gelang, weil Bit9 nach eigenen Angaben daran scheiterte, auf einigen Rechnern im Unternehmensnetz das eigene Schutzprogramm zu installieren.

Bit9 schützt Unternehmensnetze, indem es das Prinzip konventioneller Virenschutzprogramme auf den Kopf stellt: Statt mit einer Blacklist das Ausführen bekanntermaßen bösartigen Codes zu verhindern, lassen sich nur Anwendungen ausführen, die zuvor geprüft wurden (Whitelist). Der elementare Bestandteil dieses Schutzkonzepts ist das Vertrauen in den Anbieter, da dieser entscheidet, was auf der Whitelist landet.

Dieses Vertrauen dürfte bei einigen Kunden nun jedoch erschüttert worden sein, da es Hackern gelang, auf das Netz von Bit9 zuzugreifen und dabei ein Code-Signing-Zertifikat zu entwenden. Das Zertifikat wurde anschließend genutzt, um Malware zu signieren, die auch tatsächlich bei drei Kunden von Bit9 gefunden wurde. Wie die Sicherheitsfirma in ihrem Blog erklärt, war die eigene Schutzsoftware auf "einer Handvoll Computer" im Unternehmensnetz nicht installiert, wodurch die bislang unbekannten Täter ins Netzwerk eindringen und schließlich auf das Zertifikat zugreifen konnten.

Die Vermutung liegt nahe, dass der Einbruch bei Bit9 nur Mittel zum Zweck war, um gezielt ein Unternehmen zu attackieren, welches seine Systeme mit der Bit9-Software schützt. Dass Cyber-Kriminelle dazu bereit sind, größere Hürden zu überwinden, zeigte sich vor rund zwei Jahren an einem Hackerangriff auf den Rüstungskonzern Lockheed Martin: Vor dem Angriff auf Lockheed brachen die Hacker bei RSA ein, um geheime Informationen über die von der Rüstungsfirma eingesetzten SecurID-Tokens zu stehlen. Anschließend wurden die Informationen zum Angriff auf Lockheed Martin genutzt.

Bit9 übt sich nun in Schadensbegrenzung. Unter anderem wurde das missbrauchte Zertifikat für ungültig erklärt und ein Patch für die Schutzsoftware entwickelt, der das Ausführen des illegal signierten Codes verhindern soll. (rei)