Glemte å ta egen medisin

Hackere overtok sikkerhetssertifikat. USA og forsvarsbransjen kan være berørt.

Minst 20 amerikanske føderale etater, etterretning og departementer er kunder av Bit9. Hvem som er berørt av angrepet mot IT-sikkerhetsselskapet i skrivende stund ikke kjent.
Minst 20 amerikanske føderale etater, etterretning og departementer er kunder av Bit9. Hvem som er berørt av angrepet mot IT-sikkerhetsselskapet i skrivende stund ikke kjent. Bilde: Wikimedia commons/digi.no
11. feb. 2013 - 09:50

Amerikanske Bit9 er et IT-sikkerhetsselskap, som leverer produkter blant annet til landets myndigheter og minst 30 av USAs 100 største bedrifter.

Fredag røpet selskapet at de har vært utsatt for et kyberangrep. Hendelsen går rett i hjertet på firmaets kjerneprodukt: Bekjempelse av skadevare og datainnbrudd.

– I korte trekk så hadde vi glemt å installere vårt eget produkt på en håndfull datamaskiner i eget nettverk, skriver administrerende direktør Patrick Morley.

Det han kaller «en ondsinnet tredjepart» skal ha brutt seg inn og skaffet midlertidig kontroll med deres digitale sertifikat for kodesignering. Dette visste hackerne å utnytte.

– De brukte dette til å ulovlig signere skadevare, erkjenner Morley.

I motsetning til tradisjonell antivirus, leverer Bit9 teknologi for såkalt hvitlisting av godkjente, presumptivt trygge applikasjoner.

Kunder angrepet

Minst tre av kundene deres ble angrepet av skadevare med falske sertifikater. Det fremgår ikke hvem som er rammet, hva slags skadevare som er brukt eller hvilke konsekvenser dette fikk for de berørte.

Privateide Bit9 oppgir å ha rundt 1.000 virksomheter på kundelisten, deriblant føderale amerikanske myndigheter, etterretningsorganer og flere større forsvarsleverandører.

Angriperne har benyttet Bit9 sine egne krypteringsnøkler til å digitalt signere skadevare, trolig som ledd i et mer avansert angrep.

– Dette er ekstremt viktig (...) Utfallet av dette angrepet er at datamaskiner med Bit9 sine hvitlister kjører og stoler blindt på alt som er signert av Bit9, skriver sikkerhetsekspert Brian Krebs.

Fremgangsmåten minner uhyggelig om sikkerhetsbruddet og det sofistikerte angrepet mot RSA Security i 2011. Det kom senere fram at RSA-angrepet ble brukt for å stjele forsvarshemmeligheter fra kampflyprodusenten Lockheed Martin.

Bit9-sjefen understreker at det ikke er funnet tegn på at innbruddet skyldes svakheter i selskapets produkter. – Vi fulgte simpelthen ikke beste praksis-rådene vi selv anbefaler våre kunder, om å sørge for at produktene våre er installert på alle interne fysiske og virtuelle maskiner, skriver en etterpåklok Patrick Morley.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.