Украденные сертификаты D-Link использовали для воровства паролей

Недавно группа хакеров завладела сертификатами компаний-производителей сетевого оборудования, среди которых D-Link. Сертификаты использовались в создании ПО, способного “подсматривать” пароли учетных записей пользователей.

Антивирусное ПО, благодаря сертификатам, не блокировало вредоносные программы злоумышленников из группировки BlackTech. Сертификаты были нужны для подписания двух элементов одного вредоноса. Один элемент — удаленно управляемый бэкдор, второй — «вор паролей». Вредное ПО “маскировалось” благодаря использованию сертификатов RealTek и Jmicron.

Компания Eset классифицирует зловред как Plead. Этот софт используется для проведения кибершпионских атак в Восточной Азии.

Представители компании D-Link подтвердили наличие проблемы в официальном посте, где назвали атакующих «весьма активной группой киберпреступников». При этом, компания поспешила заявить, что ее клиенты не затронуты кражей. Действительно, те, кто работает с мобильными приложением, с проблемами не сталкиваются. Однако, другие клиенты могут видеть ошибками при попытке работать с IP камерами с использованием браузера. Сейчас инженеры D-Link работают над созданием прошивки, чтобы решить проблему.

Две атакованные компании, D-Link и Changing Information Technology, уже отозвали украденные сертификаты. Но до момента выхода обновлений прошивки устройств браузеры будут сообщать о проблемных сертификатах и «легальным» пользователям. Кроме того, злоумышленники могут создавать фальшивые сообщения о проблемах с сертификатами, чтобы при клике пользователя на активной кнопке перевести его на фишинговый ресурс или же предложить ему загрузить какое-либо «лечебное» ПО. Компания просит всех удержаться от подобных предложений.

Воровство сертификатов с целью подписания ими шпионского ПО — довольно известный способ. О первом таком случае стало известно в 2003 году. Существуют целые магазины сертификатов, которые кто-то взламывает, а кто-то — покупает. Цель — та же, что и у злоумышленников из группы BlackTech — подписание своего ПО легитимным сертификатом.

Компания Recorder Future опубликовала отчет, в котором указывается, что востребованность украденных сертификатов «белых» провайдеров безопасности стабильно растет. У киберпреступников есть даже доступы к аккаунтам в компаниях, которые формируют сертификаты. И по запросу они могут создать необходимый сертификат «под заказ».

Источник: habr