Киберпреступники использовали сертификаты для подписи кода, чтобы замаскировать вредоносное программное обеспечение.
Новую киберкомпанию удалось обнаружить разработчику антивирусного ПО ESET. Специалистам удалось обнаружить несколько подозрительных файлов, подписанных действительным сертификатом D-Link Corporation. Отмечается, что он же использовался в легитимном ПО компании.
Кроме того, ESET нашла и другие вредоносные образцы, но подписаны они были сертификатом другой тайваньской технологической компании — Changing Information Technology Inc. Оба сертификата отозвали в начале месяца.
Таким образом хакеры распространяли два вредоноса: первый позволял удалённо управлять заражённым компьютером, а второй собирал пароли из Google Chrome, Internet Explorer, Microsoft Outlook и Mozilla Firefox. По мнению экспертов, за атакой стоит кибершпионская группа BlackTech, атакующая цели в Восточной Азии.
ESET отметила, что киберпреступники часто используют для операций цифровые сертификаты, так как они позволяют маскировать вредоносные программы и выдавать их за лицензионные. Метод реализован, в частности, в 2010 году в Stuxnet — первом кибероружии, ориентированном на критическую инфраструктуру.
Ранее News.ru рассказал об опросе ESET, в ходе которого выяснилось, что 75% организаций в России игнорируют меры защиты корпоративной информации.