info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

جاسوس‌افزار با گواهی معتبر!

خلاصه: گواهی‌های دیجیتال که توسط مراکز صدور قابل اعتماد صادر می‌شوند، به منظور امضای برنامه‌ها به کار می‌روند و برنامه‌ها را از دید سیستم‌ها قابل اعتماد می‌کنند. برنامه‌هایی که با این گواهی‌ها امضا شده‌اند مورد اعتماد سیستم بوده و اقدامات آن‌ها توسط مکانیزم‌های امنیتی بررسی نمی‌شود! حال یک گروه هکری با سرقت گواهی دیجیتال دو شرکت تایوانی دی‌لینک و changing Information Technology اقدام به توزیع بدافزار‌های امضا شده با گواهی دیجیتال این دو شرکت نموده است.

 

محققان یک کمپین بدافزاری را کشف نموده‌اند که گواهی‌های دیجیتال معتبری را از شرکت‌های تایوانی به سرقت برده‌اند و اقدام به توزیع بد‌افزار‌هایی با امضاهای معتبر نموده‌اند.

همانطور که می‌دانید گواهی‌های دیجیتال توسط مراکز معتبر صدور گواهی (CA)‌ها صادر می‌شوند و برای امضا نمودن برنامه‌ها و وب‌سایت‌ها مورد استفاده قرار می‌گیرند و نشان دهنده اعتبار آن برنامه و اصالت آن است. برنامه‌هایی که توسط گواهی‌های صادر شده توسط مراکز صدور گواهی مورد اعتماد امضا شده باشد، برای کامپیوتر مورد اعتماد بوده و بدون هیچ‌گونه اخطار امنیتی اجرا می‌شود و کنترل‌های امنیتی روی آن انجام نخواهد شد.

در طول سال‌های مختلف هکر‌ها تلاش نموده‌اند با سرقت و یا ایجاد گواهی‌های معنبر و امضای بدافزار‌های خود، به سادگی اعمال خرابکارانه خود را انجام دهند. در واقع گواهی‌های دیجیتال راهی مناسب برای دور زدن مکانیزم‌های امنیتی سیستم‌ها و دستیابی به اهداف خرابکارانه است. همچنین با امضا نمودن بدافزار‌ها توسط گواهی‌های دیجیتال، احتمال کشف آن‌ها بسیار پایین می‌آید.

این اولین بار نیست که با استفاده از گواهی‌های معتبر و امضای بدافزار‌ها، سیستم‌ها آلوده شده‌اند. بدافزار معروف استاکس‌نت که تاسیسات هسته‌ای ایران را در سال ۲۰۰۳ هدف قرار داده بود با استفاده از یک گواهی دیجیتال معتبر امضا شده بود.

اکنون محققان شرکت ESET دو خانواده بدافزار را کشف نموده‌اند که قبلا مرتبط با گروه هکری BlackTech بوده‌اند. این بدافزار‌ها با گواهی‌های دیجیتال دو شرکت تایوانی تولید محصولات شبکه دی‌لینک و شرکت امنیتی Changing Information Technology امضا نموده‌اند.

بدافزار اول با نام Plead یک درب پشتی را از راه دور کنترل نموده و اسناد شخصی را به سرقت برده و از قربانیان خود جاسوسی می‌کند. بدافزار دوم کلمات عبور ذخیره شده کاربر روی گوگل‌کروم، اینترنت اکسپلورر، آوت‌لوک و فایرفاکس را به سرقت می‌برد.

محققان دو شرکتی را که گواهی آن‌ها به سرقت رفته مطلع نموده‌اند و آن‌ها در پاسخ گواهی‌های دیجیتال خود را باطل نموده‌اند. اما از آن‌جایی که بسیاری از آنتی‌ویروس‌ها اصالت گواهی‌های دیجیتال را بررسی نمی‌کنند، این گروه هکری هنوز از این دو گواهی دیجیتال برای امضای بدافزار‌های خود استفاده می‌کند.