{"id":130,"date":"2026-06-19T08:38:33","date_gmt":"2026-06-19T08:38:33","guid":{"rendered":"https:\/\/shattered.io\/dk\/2026\/06\/19\/digicert-hack-60-certifikater-2026\/"},"modified":"2026-06-19T08:41:03","modified_gmt":"2026-06-19T08:41:03","slug":"digicert-hack-60-certifikater-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/dk\/digicert-hack-60-certifikater-2026\/","title":{"rendered":"DigiCert: 60 Certifikater Kapret af Zhong Stealer [2026]"},"content":{"rendered":"\n

Den 2. april 2026 sendte en ukendt trusselsakt\u00f8r en ZIP-fil til DigiCerts kundesupport via live chat. Filen s\u00e5 ud som et sk\u00e6rmbillede. Den var det ikke. Inden for 15 dage havde angriberen udstedt 60 gyldige EV-kodesigneringscertifikater<\/strong> fra en af verdenens st\u00f8rste certifikatmyndigheder, og mindst 11 af dem var allerede i brug til at signere Zhong Stealer-malware rettet mod kryptovaluta-brugere. DigiCert tilbagekaldte alle ber\u00f8rte certifikater inden den 17. april og offentliggjorde h\u00e6ndelsen den 4. maj 2026. Det er den alvorligste kompromittering af en global certifikatmyndigheds udstedelsesinfrastruktur siden DigiNotar-katastrofen i 2011.<\/p>\n\n\n\n

Hvad er DigiCert, og hvorfor betyder det noget?<\/h2>\n\n\n\n

DigiCert er en af verdenens tre st\u00f8rste certifikatmyndigheder (CA’er) og udsteder TLS\/SSL-certifikater, kodesigneringscertifikater og dokumentsigneringscertifikater til virksomheder i mere end 100 lande. Browserudviklere som Google, Mozilla og Microsoft stoler implicit p\u00e5 DigiCerts rodcertifikater, hvilket betyder, at software signeret med et gyldigt DigiCert-certifikat som udgangspunkt anses for at komme fra en legitim, verificeret kilde.<\/p>\n\n\n\n

Extended Validation (EV) kodesigneringscertifikater er det mest trov\u00e6rdige niveau i hierarkiet. For at f\u00e5 et EV-certifikat skal en virksomhed normalt igennem en manuel identitetsbekr\u00e6ftelse, virksomhedsvalidering og fysisk verifikation. Det er pr\u00e6cis disse certifikater, angriberne form\u00e5ede at skaffe. N\u00e5r en Windows-computer ser et program signeret med et EV-kodesigneringscertifikat, vises afsenderens firmanavn, og SmartScreen-filteret behandler filen som trov\u00e6rdig. Det er det, angriberne udnyttede.<\/p>\n\n\n\n

Den 24. februar 2026 begyndte DigiCert at begr\u00e6nse gyldigheden af nye kodesigneringscertifikater til maksimalt 459 dage, ned fra de tidligere to til tre \u00e5r. Det var en proaktiv reaktion p\u00e5 branchens krav om kortere certifikatlevetider. Den reform kom seks uger inden angrebets start og viser, at PKI-industrien aktivt arbejder p\u00e5 at reducere angrebsvinduerne. Ironisk nok kunne kortere certifikatlevetider ikke forhindre dette angreb, der handlede om udstedelsesprocessen, ikke certifikatets levetid.<\/p>\n\n\n\n

Angrebets tidslinje: 15 dage med uhindret adgang<\/h2>\n\n\n\n

H\u00e6ndelsesforl\u00f8bet er rekonstrueret ud fra DigiCerts officielle h\u00e6ndelsesrapport, arkiveret som fejlrapport 2033170 i Mozillas CA-overensstemmelsessporing, samt uafh\u00e6ngige analyser fra Black Swan Cybersecurity og ThreatLocker.<\/p>\n\n\n\n

Dato<\/th>H\u00e6ndelse<\/th><\/tr><\/thead>
2. april 2026<\/td>Angriberen kontakter DigiCert-support via live chat og sender ZIP-fil forkl\u00e6dt som sk\u00e6rmbillede (k3.exe, en .scr-fil). ENDPOINT1 kompromitteres.<\/td><\/tr>
4. april 2026<\/td>ENDPOINT2 kompromitteres. CrowdStrike-sensor fejlede, kompromitteringen forbliver uopdaget.<\/td><\/tr>
4.\u201313. april 2026<\/td>Angriberen tilg\u00e5r intern supportportal via proxy-funktion og henter initialiseringskoder for godkendte EV-certifikatordrer.<\/td><\/tr>
14. april 2026<\/td>Ekstern sikkerhedsforsker opdager Zhong Stealer-malware signeret med \u00e6gte DigiCert-certifikater og rapporterer til DigiCert. Intern unders\u00f8gelse igangs\u00e6ttes.<\/td><\/tr>
17. april 2026<\/td>Alle 60 ber\u00f8rte certifikater tilbagekaldes inden for 24 timer. Afventende ordrer annulleres.<\/td><\/tr>
30. april 2026<\/td>Microsoft Defender Intelligence Update 1.449.377.0 klassificerer fejlagtigt gyldige DigiCert-certifikater som malware og begynder at fjerne dem fra Windows-systemer.<\/td><\/tr>
3. maj 2026<\/td>Microsoft udgiver rettet signaturdefinition (1.449.431.0). Fejlpositiverne stoppes efter tre dages driftsforstyrrelse.<\/td><\/tr>
4. maj 2026<\/td>DigiCert offentligg\u00f8r h\u00e6ndelsesrapporten. SecurityWeek og Help Net Security publicerer d\u00e6kning.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Social engineering: s\u00e5dan narrede angriberne DigiCerts support<\/h2>\n\n\n\n

Angrebsmetoden var simpel men effektiv. Angriberen tog kontakt til DigiCerts kundesupport via den officielle chatkanal og udgav sig for at v\u00e6re en legitim kunde med et teknisk problem. I chatforl\u00f8bet sendte angriberen en ZIP-fil, der angiveligt indeholdt et sk\u00e6rmbillede til illustration af problemet.<\/p>\n\n\n\n

Filen k3.exe<\/code> var i realiteten en .scr<\/code>-fil, et Windows-screensaver-format, der kan udf\u00f8re vilk\u00e5rlig kode direkte fra brugerens kontekst. Da supportmedarbejderen \u00e5bnede filen, kompromitteredes ENDPOINT1 straks. To dage senere ramte en lignende teknik ENDPOINT2. Den anden maskines sikkerhedsoverv\u00e5gning var defekt (CrowdStrike-sensor ikke korrekt installeret), hvilket bet\u00f8d, at kompromitteringen forblev uopdaget i n\u00e6sten to uger, trods aktiv angriberaktivitet p\u00e5 netv\u00e6rket.<\/p>\n\n\n\n

Det kritiske trin kom, da angriberne udnyttede en supportportalfunktion, der tillader medarbejdere at se kundernes konti fra kundens perspektiv (proxy-funktionalitet). Via denne funktion fik angriberne adgang til initialiseringskoder<\/strong> for godkendte men endnu ikke udstedte EV-certifikatordrer.<\/p>\n\n\n\n

DigiCert forklarede mekanismen i deres officielle rapport: “Besiddelse af en initialiseringskode, kombineret med en godkendt ordre, er tilstr\u00e6kkelig til at hente det tilsvarende certifikat. Da trusselsakt\u00f8ren var i stand til at skaffe disse to oplysninger for et begr\u00e6nset antal godkendte ordrer, kunne de hente EV-kodesigneringscertifikater p\u00e5 tv\u00e6rs af et s\u00e6t kundekonti og CA’er.”<\/em><\/p>\n\n\n\n

Det er et l\u00e6rebogeksempel p\u00e5, hvad sikkerhedseksperter kalder en privilegeret st\u00f8ttekanaludnyttelse<\/em>: angriberen beh\u00f8vede aldrig at bryde DigiCerts kryptografiske infrastruktur. Det var nok at narre en menneskelig supportmedarbejder. Angrebets simplificitet er selve pointen.<\/p>\n\n\n\n

Zhong Stealer: malwaren bag kryptotyverierne<\/h2>\n\n\n\n

De stj\u00e5lne certifikater var ikke et m\u00e5l i sig selv. De var et middel til at distribuere Zhong Stealer, en avanceret informationstyvende malware-familie med dokumenteret fokus p\u00e5 kryptovaluta-brugere og fintech-platforme. Malwaren er forbundet med kinesisk cyberkriminel aktivitet og er designet til at operere s\u00e5 stille som muligt, mens den eksfiltrerer data over tid.<\/p>\n\n\n\n

Zhong Stealer fungerer prim\u00e6rt ved at:<\/p>\n\n\n\n