Cybercriminelen registreren security certificaten met gestolen gegevens van bedrijven

Cybercriminelen creëren voor klanten tegen betaling security certificaten met behulp van gestolen identiteiten van bedrijven. Deze digitale certificaten worden vervolgens ingezet om malafide code en websites te ondertekenen, wat detectie bemoeilijkt.

Hiervoor waarschuwt beveiligingsbedrijf Recorded Future. Softwarebedrijven kunnen hun software ondertekenen met behulp van een digitaal certificaat om de authenticiteit van hun software aan te tonen. Gebruikers die de software installeren weten hierdoor zeker dat de software veilig is. Recorded Future meldt echter een sterke toename in het misbruik van dergelijke digitale certificaten om malware te ondertekenen. Deze werkwijze maakt detectie van malware moeilijker en tast daarnaast het vertrouwen in de certificaten aan.

Geregistreerd met behulp van gestolen zakelijke identiteiten

"Vaak wordt gedacht dat security certificaten die circuleren in het criminele circuit zijn gestolen van legitieme eigenaren voordat zij gebruikt worden in kwaadaardige campagnes. We kunnen echter veel zekerheid bevestigen dat de certificaten op verzoek voor specifieke kopers worden gecreëerd en geregistreerd met behulp van gestolen zakelijke identiteiten, wat traditionele netwerk security appliances minder effectief maakt", schrijft Recorded Future in een blogpost.

Misbruik van dergelijke valse certificaten is niet nieuw. Sinds 2011 is bekend dat dergelijke certificaten worden misbruikt door cybercriminelen. Dergelijke certificaten worden sinds 2015 tegen betalingen aangeboden op ondergrondse marktplaatsen. Recorded Future's Insikt Group heeft sinds 2011 vier bekende verkopers van dergelijke producten geïdentificeerd. Twee hiervoor bieden op dit moment diensten aan aan Russischtalige cybercriminelen.

Afgegeven door betrouwbare bedrijven

De certificaten die door deze verkopers worden aangeboden worden afgegeven door betrouwbare bedrijven, zoals Comodo, Thawte en Symantec. Recorded Future meldt dat de valse certificaten zeer effectief zijn gebleken in het verbergen van malware en de betrouwbaarheid van traditionele security appliances ondermijnen. Ook stelt Recorded Future dat eigenaren van legitieme bedrijven zich doorgaans niet bewust zijn dat hun gegevens worden misbruikt voor illegale activiteiten.

De valse certificaten worden over het algemeen voor fors hogere bedragen aangeboden dan legitieme certificaten. Zo wordt de meest vertrouwde variant van een EV-certificaat afgegeven door Symantec aangeboden voor 1.599 dollar, wat maar liefst 230% hoger is dan de prijs voor een authentieke variant van een dergelijk certificaat. Geauthentificeerde domeinnamen met EV SSL encryptie en code signing mogelijkheden worden aangeboden voor 1.799 dollar. Doordat de certificaten op verzoek voor klanten worden geregistreerd neemt de levering van de valse certificaten enige tijd in beslag. Gemiddeld kunnen de certificaten binnen twee tot vier werkdagen worden afgeleverd door de verkopers.

Niet op grote schaal gebruikt

Recorded Future verwacht dat dit soort diensten niet op grote schaal zullen worden gebruikt door cybercriminelen, vooral door de relatief hoge kosten die verbonden zijn aan een vals digitaal certificaat. Het bedrijf stelt dat de certificaten met name gericht zijn op geavanceerde aanvallers en staatshackers die zich bezig houden met gerichte aanvallen op doelwitten en meer geld over hebben voor het verborgen houden van hun malware of malafide website.

Meer informatie is beschikbaar in de analyse die Recorded Future heeft gepubliceerd.