Digitale Signaturen sind ein übliches Mittel zum Schutz vor Schadsoftware. Das Rootkit FiveSys hat einen Weg gefunden, diese zu überlisten.
Ein Bericht des Cybersicherheitsunternehmens Bitdefender zeigt, dass Kriminelle ein Rootkit mit der Bezeichnung „FiveSys“ verwenden. Dieses erhielt kurioserweise eine digitale Signatur von Microsoft.
Unbegrenzte Privilegien durch FiveSys
Cybersecurity-Forscher von Bitdefender haben detailliert beschrieben, wie Cyberkriminelle FiveSys nutzen. Dabei handelt es sich um ein Rootkit, das es irgendwie durch den Zertifizierungsprozess von Microsoft geschafft hat. Das Schadprogramm ermöglichte den Angreifern offenbar nahezu unbegrenzte Privilegien auf den betroffenen Systemen. Hacker nutzen es unter anderem, um Anmeldedaten von Gamern zu stehlen.
Den Forschern zufolge ist es durchaus möglich, dass FiveSys auch für andere Arten des Datendiebstahls eingesetzt werden könnte. Derzeit zielen die Angriffe auf Gamer in China ab – von wo aus die Forscher auch glauben, dass die Angreifer operieren. Es ist bekannt, dass Cyberkriminelle gestohlene digitale Zertifikate verwenden, aber in diesem Fall ist es ihnen gelungen, ein gültiges Zertifikat zu erwerben.
Rootkits und digitale Signaturen
Rootkits ermöglichen Kriminellen einen verlängerten Zugang zu einem bestimmten Server oder Gerät. Mit einem Rootkit kann ein Angreifer für lange Zeit in einem bestimmten Computer eingebettet bleiben, ohne dass das Betriebssystem des Geräts oder dessen Malware-Schutzmaßnahmen dies bemerken. Außerdem geben sie Angreifern in der Regel ein hohes Maß an Kontrolle über ein bestimmtes System oder Gerät.
Bei digitalen Signaturen handelt es sich im Grunde um Algorithmen, die von Unternehmen zu Sicherheitszwecken verwendet werden. Signaturen erstellen einen virtuellen Fingerabdruck, der mit bestimmten Entitäten verbunden ist und deren Vertrauenswürdigkeit verifizieren soll. So verwendet Microsoft ein digitales Signierverfahren. Eigentlich soll dies als Sicherheitsmaßnahme dienen, um Programme abzuwehren, die nicht aus vertrauenswürdigen Quellen zu stammen scheinen.
Die Sicherheitsprotokolle des Unternehmens scheinen jedoch dem „FiveSys“-Rootkit und seinen cyberkriminellen Handlangern nicht gewachsen gewesen zu sein. Immerhin schafften sie es, ihre Schadsoftware mit dem „digitalen Prüfsiegel“ von Microsoft zu signieren. Es ist zum gegenwärtigen Zeitpunkt nicht klar, wie ihnen dies gelang.
Nachdem Bitdefender Microsoft kontaktierte, hat das Unternehmen die Signatur des Rootkits widerrufen, was bedeutet, dass das Programm keinen Zugriff mehr auf Systeme hat.