Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

Вирус с легальной подписью. DigiCert взломали, и теперь «проверено антивирусом» — это не гарантия

leer en español

9605
DigiCert взлом сертификат zip поддержка
Вирус с легальной подписью. DigiCert взломали, и теперь «проверено антивирусом» — это не гарантия
DigiCert взлом сертификат zip поддержка

DigiCert изменила правила передачи файлов в чатах после хакерской атаки.

image

Обычный файл в чате поддержки обернулся для DigiCert серьёзной проблемой. Злоумышленник выдал вредоносный архив за «скриншот клиента» и сумел добраться до систем, которые используют для выпуска цифровых сертификатов.

Инцидент описан в отчёте компании DigiCert. Атака началась 2 апреля 2026 года. Неизвестный связался с сотрудником поддержки через чат и несколько раз отправлял ZIP-архив. Внутри скрывался исполняемый файл с вредоносной нагрузкой. Защитные механизмы остановили четыре попытки, но пятая сработала, и один из рабочих компьютеров оказался заражён.

Через день проблему заметили и изолировали заражённую систему. Тогда посчитали, что угрозу устранили. Позже выяснилось, что злоумышленник успел закрепиться ещё на одном компьютере, где защита работала некорректно и не зафиксировала вторжение.

Получив доступ к внутреннему порталу поддержки, атакующий воспользовался служебной функцией. С её помощью сотрудники могут входить в аккаунты клиентов, чтобы помогать с настройкой. Управлять учётными записями или оформлять заказы через эту функцию нельзя, но оказалось, что там доступны специальные коды инициализации для сертификатов подписи кода.

Такие коды вместе с уже одобренным заказом позволяют получить готовый сертификат. Злоумышленник воспользовался этой возможностью и выпустил несколько сертификатов от имени клиентов. Часть из них затем применили для подписи вредоносных программ семейства Zhong Stealer.

Всего DigiCert отозвала 60 сертификатов. Из них 27 напрямую связали с действиями атакующего, остальные аннулировали на всякий случай. Все сертификаты признали недействительными в течение суток после обнаружения, причём датой отзыва указали момент выпуска.

Проблема оказалась не в самой системе выпуска сертификатов, а в сочетании нескольких факторов. На одном из компьютеров не работала защита уровня конечной точки, портал поддержки показывал чувствительные данные сотрудникам без ограничений, а коды инициализации не считались полноценными учётными данными и не скрывались.

Дополнительно выяснилось, что канал поддержки позволял отправлять файлы без строгих ограничений. Такой механизм фактически стал удобной точкой входа для атаки.

Компания уже внесла изменения. Доступ к кодам инициализации закрыли, требования к многофакторной аутентификации ужесточили, а передачу файлов в чатах ограничили. Также проверяют настройки защитных систем, чтобы избежать «слепых зон», как в случае со вторым заражённым компьютером.

В DigiCert утверждают, что злоумышленник не получил доступ к другим системам и не вмешивался в процессы проверки клиентов. Однако история показывает, что даже вспомогательные инструменты внутри компании могут стать критической точкой, если через них проходит путь к выпуску цифровых сертификатов.