11 Июля, 2018

Украденные тайваньские сертификаты, используются в кибератаках.

Владимир Безмалый

Исследователи безопасности обнаружили еще одну кампанию кибер-атак с использованием украденных сертификатов для обхода традиционных средств безопасности.

По словам ведущего исследователя вредоносного ПО «ESET» Антона Черепанова, эта тактика использовалась для запуска дистанционно управляемого бэкдора, получившего имя Plead и предназначенного для хищения паролей.

В конце прошлого года исследователи признали, что BlackTech атакует цели в Восточной Азии, в том числе в Гонконге, Японии и на Тайване, и, вероятно, может быть объектом поддержки в Пекине.

Для подписи вредоносного ПО использовались два сертификата, один из которых принадлежал тайваньской компании по безопасности «Changing Information Technology», а другой — D-Link.

«Мы заметили эту вредоносную кампанию, когда наши системы отметили несколько файлов как подозрительные. Интересно, что отмеченные файлы были подписаны цифровой подписью, используя действительный сертификат подписи кода корпорации D-Link. Тот же самый сертификат использовался для подписи не вредоносного программного обеспечения D-Link; поэтому сертификат, скорее всего, был украден », — пояснил Черепанов .

После уведомления об обнаружении D-Link отозвал сертификат на прошлой неделе, добавил он.

Тем не менее, BlackTech по-прежнему использует сертификат изменения информационных технологий несмотря на то, что он также был отозван на прошлой неделе.

Кевин Бочек, главный офицер по кибербезопасности в   Venafi ё, отметил, что использование украденных сертификатов не новость и на самом деле популяризировано авторами Stuxnet.