EnlargeEset
Наскоро престъпниците откраднаха сертификати за подписване на код от рутер и производител на камери D-Link и друга тайванска компания и ги използва за да предадете злонамерен софтуер, който краде пароли и компютри на заден план, a изследователят каза в понеделник.
Сертификатите бяха използвани за криптографска проверка на това легитимен софтуер е издаден от D-Link и Промяна на информация Technology. Microsoft Windows, macOS на Apple и повечето други операционните системи разчитат на криптографските подписи, произведени от такива сертификати, които да помогнат на потребителите да гарантират, че изпълними файлове прикачени към имейли или изтеглени на уебсайтове са разработени от доверени компании, а не злонамерени актьори, маскирани като тези доверени компании.
По някакъв начин членовете на напреднала хакерска група известен като BlackTech получи сертификатите, принадлежащи на D-Link и Промяна на информационните технологии, изследователя с антивирус заяви Eset в публикация в блога. След това нападателите използвали сертификати за подписване на две части злонамерен софтуер, един отдалечен контролирана задна врата и другият свързан кражба на парола. И двете части от зловреден софтуер се наричат Plead и се използват в кампании за шпионаж срещу цели, разположени в Източна Азия. Япония Наскоро екипът на компютърната спешна реакция документира пледоарията зловреден софтуер тук. AV доставчикът Trend Micro наскоро писа за BlackTech тук.
„Способността да се компрометират няколко базирани в Тайван технологии компании и използват повторно своите сертификати за подписване на код в бъдеще атаки показва, че тази група е висококвалифицирана и фокусирана върху това регион “, пише изследователят на Есет Антон Черепанов в понеделник пост.
Не опитвайте това у дома
В съобщение за подкрепа, служителите на D-Link казаха, че двама отделни сертификати за подписване на код бяха наскоро присвоени от “силно активна група за кибер шпионаж.” Публиката каза най-много D-Link клиентите няма да бъдат засегнати от кражбата, но тя също предложи някои хора могат да изпитат грешки при гледане на mydlink IP камери в уеб браузърите. Фирмените инженери са в процес на пускане на актуализиран фърмуер за отстраняване на грешките. Хората, използващи mydlink мобилните приложения не са засегнати.
Както D-Link, така и променящите се информационни технологии са отменени откраднати сертификати. До излизането на D-Link фърмуера, съобщението за поддръжка на компанията е да съветва хората, които искат да използват браузъри, за да преглеждат временно засегнатите от тях D-Link камери игнорирайте предупрежденията за отмяна на сертификата. Това е лош съвет може да се злоупотребява с оператори на зловреден софтуер. Потребителите трябва да пренебрегнат то.
Най-известният пример за злонамерен софтуер, който злоупотребява с откраднато сертификатите за подписване на код бяха червеят Stuxnet, който насочи иранските страни ядрена програма за обогатяване преди почти десетилетие. Използваният зловреден софтуер законни сертификати, принадлежащи на RealTek и JMicron, които са и двете, като D-Link и Променящите се информационни технологии, известни технологични компании със седалище в Тайван.
Допълнителна информация
Подписването на код в стил Stuxnet е по-широко разпространено от всички Мислите миналата година, изследователите публикуват изследвания, които показват това злонамерен софтуер, подписан от сертифицирани за OS сертификати за подписване на код, беше повече често срещано, отколкото повечето хора предполагаха, с първата известна инстанция възникнали през 2003 г. По-рано тази година изследователите документираха няколко подземни услуги, които продаваха подправени подписи идентификационни данни, които са уникални за всеки купувач. Отчетени са кражбите Понеделник са индикация, че присвоените сертификати остават a широко използвана техника за прикриване на злонамерен софтуер.
