Исследователи: Вредоносные программы с цифровой подписью встречаются все чаще

Крупные компании, занимающиеся обеспечением безопасности в сети, среди которых Symantec, «Лаборатория Касперского», BitDefender и прочие, недавно обнаружили ряд вредоносных программ, которые используют украденные цифровые сертификаты для подписи своих компонентов. Это позволяет вредоносному ПО избежать обнаружения и обойти защиту Windows.

Червь Stuxnet, который в 2010 году нанес урон ядерной промышленности Ирана, использовал руткит компонет, подписанный цифровой подписью с помощью украденных у компаний Realtek Semiconductor и JMicron сертификатов.

Тогда эксперты по безопасности предсказывали, что в будущем другие вирусописатели будут разрабатывать технику таким образом, чтобы обойти требования обязательного использования подписей для 64-битной версий Windows Vista и Windows 7.

Бэкдор, обнаруженный компанией Symantec в декабре, устанавливал драйвер руткита, подписанный цифровым сертификатом, который был украден у компании, название которой не раскрывается. Сертификат был аннулирован компанией VeriSign по просьбе владельца спустя девять дней.

«Нападающие будут оставаться незамеченными чуть дольше, в связи с тем, что операционные системы редко проверяют или не проверяют вообще список отозванных сертификатов», - сообщил в блоге главный инженер-программист компании Symantec.

По словам руководителя центра глобальных исследований и анализа угроз ЛК Костина Райю, даже если Windows будет проверять эти списки регулярно, это не повлияет на вредоносные программы, которые уже были подписаны отозванными сертификатами, поскольку блокирование таких файлов является нецелесообразным. В качестве примера он упомянул украденный сертификат компании Realtek. «Если Microsoft блокировал бы загрузку всех известных файлов, подписанных этим сертификатом, вероятно миллионы пользователей аппаратного обеспечения RealTek по всему миру обнаружили бы, что их материнские платы, сетевые карты и т.д. недействующие. Таким образом, Microsoft не может блокировать выполнение или загрузку файлов, подписанных украденными сертификатами».

Различные компоненты вредоносных программ, обнаруженных исследователями ЛК в течение последних нескольких дней, были подписаны сертификатом, похищенным у швейцарской компании Conpavi AG. «Эта компания работает с государственными органами Швейцарии — муниципалитетами, кантонами и т.д.», - говорится в блоге ЛК.

Эксперты ЛК и BitDefender подтвердили отмечающийся рост числа вредоносных угроз с цифровой подписью компонентов за последние 24 месяца. По словам аналитики компании BitDefender, многие вредоносные угрозы используют поддельные купленные сертификаты, однако использование украденных сертификатов также встречается.