Supply-Chain-Angriff auf Vietnams Zertifizierungsstelle

Publiziert am 17. Dezember 2020 von Günter Born

Sicherheitsforscher von ESET haben einen neuen Supply-Chain-Angriff auf die die vietnamesische Zertifizierungsstelle (Vietnam Government Certification Authority, VGCA) aufgedeckt. Bei dem Angriff wurde das digitale Signatur-Toolkit der Behörde kompromittiert, um eine Backdoor auf den Systemen der Opfer zu installieren.

Anzeige

Vietnam nutzt digitale Signaturen

In Vietnam sind digitale Signaturen sehr verbreitet, da digital signierte Dokumente den gleichen Grad an Durchsetzbarkeit haben wie von Hand unterschriebene Schriftstücke. Gemäß dem Dekret Nr. 130/2018 müssen die kryptografischen Zertifikate, die zum Signieren von Dokumenten verwendet werden, von einem der autorisierten Zertifikatsanbieter ausgestellt werden, zu denen auch die VGCA gehört, die Teil des Government Cipher Committee ist. Dieses Komitee wiederum untersteht dem Ministerium für Information und Kommunikation.

Neben der Ausstellung von Zertifikaten entwickelt und vertreibt die VGCA ein Toolkit für digitale Signaturen. Es wird von der vietnamesischen Regierung und wahrscheinlich auch von privaten Unternehmen verwendet, um digitale Dokumente zu signieren. Die Kompromittierung einer Zertifizierungsstellen-Website ist eine lukrative Sache für APT-Gruppen. Denn die Besucher dieser Seiten bringen einer staatlichen Organisation, die für digitale Signaturen zuständig ist, wahrscheinlich ein hohes Vertrauen entgegen. Das VGCA ist wohl so etwas wie das Gegenstück zur Bundesdruckerei, bei der Ausweise ausgestellt werden.

Die Operation SignSight

ESET-Sicherheitsforscher haben nun Anfang Dezember 2020 eine Supply-Chain-Angriff auf die vietnamesische Zertifizierungsstelle (Vietnam Government Certification Authority, VGCA) ca.gov.vn entdeckt. Die Angreifer haben zwei der auf dieser Website zum Download bereitgestellten Software-Installationsprogramme modifiziert und eine Backdoor hinzugefügt, um Benutzer der legitimen Anwendung zu kompromittieren.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Aktuell gehen die ESET-Sicherheitsforscher davon aus, dass die Website seit Ende August 2020 keine kompromittierten Software-Installationsprogramme mehr ausliefert. Die Telemetriedaten von ESET deuten auch nicht darauf hin, dass die kompromittierten Installationsprogramme an anderer Stelle verbreitet werden. Nachdem ESET die kompromittierte Organisation und das VNCERT informierte, bestätigte die Zertifizierungsbehörde der vietnamesischen Regierung, dass sie bereits vorher von dem Angriff wusste. Die Behörde gibt an, dass sie und die Benutzer, die die trojanisierte Software heruntergeladen hatten, benachrichtigte. ESET hat das Ganze mit weiteren Details in diesem Blog-Beitrag veröffentlicht.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.