Digitale Zertifikate sind unter Cyberkriminellen begehrt, jedoch ist es neu, dass sie sogar größere Umsätze erzielen und im Darknet einfacher zu finden sind als Ransomware-Kampagnen.
Maschinenidentitäten wie digitale Zertifikate und kryptographische Schlüssel sind und werden auch weiterhin die Grundlage für das Vertrauen zwischen Maschinen im Internet sein. In den vergangenen Jahren konnten vermehrt Angriffe mit gefälschten Zertifikaten ausgemacht werden. Der Missbrauch nimmt zu und auch die Möglichkeiten diese zu nutzen. Das Risiko Opfer eines Cyberangriffs zu werden, steigt zum einen mit der Anzahl der im Unternehmen oder der Organisation verwendeten Zertifikate exponentiell, zum anderen aber auch, weil immer mehr Cyberkriminelle hier investieren. Doch auch Fehler schleichen sich immer wieder ein und gefährden Unternehmen. Ein schwerwiegender Betriebsfehler bei GoDaddy, Apple und Google hat erst jüngst zur Ausgabe von mindestens einer Million browsergesicherten digitalen Zertifikaten geführt, die nicht den verbindlichen Branchenvorschriften entsprechen. IT-Sicherheitsverantwortliche müssen nun aufräumen und die zurückgerufenen Zertifikate mühsam manuell ersetzen, wenn sie keine Automatismen implementiert haben. Die Anzahl der nichtkonformen Zertifikate könnte sogar doppelt so hoch sein wie die Anzahl der Zertifikate, und es ist wahrscheinlich, dass auch andere vertrauenswürdige Zertifizierungsstellen betroffen sind.

Im Jahr 2018 wurde über 70 Prozent des Internetverkehrs verschlüsselt. IT-Experten gehen davon aus, dass die Zahl dieses Jahr auf 80 Prozent steigen wird. Zur Verschlüsselung sind die beiden Zertifikate Secure Sockets Layer (SSL, ein älterer Standard) und Transport Layer Security (TLS, ein neuerer Standard) unerlässlich. Sie autorisieren die gesamte verschlüsselte Kommunikation zwischen den Maschinen. SSL/TLS-Zertifikate sind deshalb entscheidend für den Schutz der Privatsphäre und die Verbesserung der IT-Sicherheit, indem sie jeder Maschine eine eindeutige Maschinenidentität geben. Sie steuern den Verkehr sensibler Daten an autorisierte Maschinen und werden in allen Bereichen eingesetzt, von Website-Transaktionen, Cloud-Umgebungen, DevOps und mobilen Geräten bis hin zu Smart City-Initiativen, Robotern, Algorithmen im Bereich der künstlichen Intelligenz und Containern in der Cloud.

In einer gemeinsamen Untersuchung der Evidence-based Cybersecurity Research Group an der Andrew Young School of Policy Studies der Georgia State University sowie der University of Surrey im Jahr 2019 wurden blühende Marktplätze für TLS-Zertifikate aufgedeckt. Auf den Schwarzmärkten Dream Market, Wall Street Market, BlockBooth, Nightmare Market and Galaxy3 werden einzelne Zertifikate verkauft und mit einer breiten Palette von cyberkriminellen Services angeboten. Zusammen bieten diese Dienste Maschinenidentitäten als Service für Cyberkriminelle, beispielsweise um Websites zu fälschen, in verschlüsselten Datenverkehr zu lauschen, Man-in-the-Middle-Angriffe durchführen und sensible Daten zu stehlen.

TLS-Zertifikate öfter angeboten als Ransomware

Die Recherche über diese fünf Marktplätze ergab 2.943 Erwähnungen für „SSL“ und 75 für „TLS“. Im Vergleich dazu gab es nur 531 Erwähnungen für „Ransomware“ und 161 für „Zero Day“. Es zeigte sich auch, dass sich einige Marktplätze – wie Dream Market – auf den Verkauf von TLS-Zertifikaten zu spezialisieren scheinen und Maschinenidentität-as-a-Service-Produkte anbieten. Darüber hinaus fanden Forscher heraus, dass Zertifikate oft mit anderen Services von Cyberkriminellen, einschließlich Ransomware, kombiniert und angeboten werden.

Die Preise für Zertifikate variieren im Darknet zwischen 260 und 1.600 US-Dollar, je nach Art des angebotenen Zertifikats und dem Umfang der zusätzlichen Dienstleistungen. Die aufgerufenen Preise verdeutlichen, dass die Maschinenidentitäten wichtiger sind, als beispielsweise digitale Identitäten. Die Forscher haben nun auch erstmals erweiterte Validierungszertifikate (Extended-Validation EV-Zertifikate) gefunden, die mit Diensten zur Unterstützung bösartiger Websites wie Google-indexierte „alte“ Domains, After-Sale-Support, Webdesign-Services und die Integration mit einer Reihe von Zahlungsabwicklern – einschließlich Stripe, PayPal und Square – ausgestattet sind. Mindestens ein Anbieter auf BlockBooth verspricht darüber hinaus, Zertifikate von renommierten Zertifizierungsstellen zusammen mit gefälschten Firmenunterlagen – einschließlich Data Universal Numbering System (DUNS)-Nummern – auszustellen. Dieses Paket von Produkten und Dienstleistungen ermöglicht es Angreifern, sich für weniger als 2.000 US-Dollar glaubwürdig als vertrauenswürdiges US- oder britisches Unternehmen zu präsentieren.

SSL- und TLS-Zertifikate, die von vertrauenswürdigen Zertifizierungsstellen ausgestellt werden, dienen als Maschinenidentitäten und gewährleisten eine vertrauliche Kommunikation zwischen Servern und Clients. Vor der Ausstellung dieser Zertifikate, insbesondere vor der Ausstellung von Extended-Validation (EV)-Zertifikaten, sind die Zertifizierungsstellen verpflichtet, einen strengen Satz von Validierungsdaten des Antragstellers zur Überprüfung ihrer Identität zu verwenden. Eingesetzt werden die Zertifikate vor allem, um Webanwendungen mit HTTPS abzusichern. Eingesetzt werden sie zumeist beim Online-Banking, um Phishing-Angriffe zu vermeiden. Obwohl frühere Untersuchungen Möglichkeiten zur Erkennung gefälschter SSL- und TLS-Zertifikate sowie deren Nutzung zur Generierung von Angriffen vorgeschlagen haben, gab es bislang keine wissenschaftlichen Beweise für gefälschte und gestohlene Zertifikatsmärkte im Darknet. Die Ergebnisse der Untersuchung belegen daher die Existenz eines Online-Untergrundmarktes für TLS-Zertifikate. Besonders interessant sind Anbieter auf Online-Untergrundmärkten, die versprechen, EV-Zertifikate für US-amerikanische und britische Unternehmen für weniger als 2.000 US-Dollar auszustellen. Allerdings scheint es einfacher zu sein, solche Zertifikate und verbundene Services für US-amerikanische Firmen, wenn für britische Firmen bereitzustellen.

Forschungsdesign und Methodik

Um die Forschungsziele zu erreichen, tauchten die Forscher in Online-Märkte und Hackerforen ein, die von Oktober 2018 bis Januar 2019 im Tor-Netzwerk, I2P und Freenet aktiv waren, und suchten nach „zum Verkauf stehenden“ Anzeigen von kompromittierten und gefälschten TLS-Zertifikaten. Während dieser Zeit führte das Forschungsteam 16 wöchentliche Recherchen durch und entdeckte fast 60 relevante Online-Markt-Webseiten auf Tor und 17 Webseiten auf I2P. Die Forscher überprüften die Angebote im Detail und führten in einigen Fällen Gespräche mit den Verkäufern, um ein besseres Verständnis der zu verkaufenden Waren und Dienstleistungen zu erlangen.

Fazit

Die Recherche zeigt zweierlei auf, zum einen, dass sich Cyberkriminelle wieder verstärkt versuchen im Verborgenen zu arbeiten und zum anderen, dass es relativ einfach auch für Laien ist, diese Zertifikate zu kaufen und die verbundenen Services zu nutzen. Maschinenidentitäten sind im Darknet eine wichtigere und heißere Ware als digitale Identitäten wie Passwörter und E-Mailadressen oder Ransomware. TLS-Zertifikate und besonders die Validierungszertifikate, die als vertrauenswürdige Maschinenidentitäten fungieren, sind eindeutig ein wichtiger Bestandteil der Toolkits von Cyberkriminellen – genauso wie Bots, Ransomware und Spyware. In Zukunft gilt es noch viel mehr Forschungsarbeit in diesem Bereich zu leisten. Unternehmen und Organisation sollten sich jedoch schon heute darüber sorgen, dass die Zertifikate, die zur Einrichtung und Aufrechterhaltung von Vertrauen und Privatsphäre im Internet verwendet werden, nun als Darknet-Ware an Cyberkriminelle verkauft werden und das bereits heute ein florierender Markt aufgebaut wurde. Die Forschung wird das ganze Jahr über fortgeführt und die Ergebnisse unter anderem hier veröffentlicht werden.