گواهی‌نامه‌ی به سرقت رفته‌‌ی D-Link برای امضای بدافزار جاسوسی استفاده شده است

 

در سال‌های اخیر، بدافزارهای دارای امضای دیجیتالی به‌منظور پنهان کردن اهداف مخرب بسیار رایج شده‌اند. محققان امنیتی پویش بدافزاری جدیدی را شناسایی کرده‌اند که گواهی‌نامه‌های دیجیتالی معتبر به سرقت‌رفته از شرکت‌های فناوری تایوانی، از جمله D-Link، را برای امضای بدافزارهای خود و مشابه کردن آن‌ها به برنامه‌های قانونی، مورد استفاده قرار می‌دهد.


همان‌طور که می‌دانید، گواهی‌نامه‌های دیجیتالی که توسط یک صادرکننده‌ی گواهی‌نامه‌ی امنیتی (CA) قابل اعتماد صادر می‌شوند، برای رمزنگاری امضای برنامه‌ها و نرم‌افزارهای کامپیوتر استفاده شده و برای اجرای برنامه‌هایی بدون هیچ‌گونه پیام هشدار، مورد اعتماد رایانه‌ی شما هستند. با این حال، نویسندگان بدافزار و نفوذگران که همیشه در جستجوی روش‌های پیشرفته برای دور زدن راه‌حل‌های امنیتی هستند، در سال‌های اخیر از گواهی‌نامه‌های دیجیتالی قابل اعتماد بهره‌برداری می‌کنند. 

 

نفوذگران از گواهی‌نامه‌های امضای کد آسیب‌دیده‌ی وابسته به فروشندگان نرم‌افزار قابل اعتماد استفاده می‌کنند تا کد مخرب خود را امضا کرده و بدین ترتیب، احتمال شناسایی بدافزار آن‌ها در شبکه‌های سازمانی هدف و دستگاه‌های مصرف‌کننده کاهش می‌یابد. محققان امنیتی ESET، اخیرا دو خانواده‌ی بدافزاری را شناسایی کرده‌اند که پیش از این، به گروه جاسوسی BlackTech نسبت داده شده و با استفاده از گواهی‌نامه‌های دیجیتالی معتبر متعلق به تولیدکننده‌ی تجهیزات شبکه‌ی D-Link و یک شرکت امنیتی تایوانی دیگر به نام Changing Information Technology امضا شده‌اند.


اولین بدافزار که Plead نامیده می‌شود، یک دربِ پشتی کنترل‌شده از راه دور است که برای سرقت اسناد محرمانه و جاسوسی بر روی کاربران طراحی شده است. دومین بدافزار نیز یک به سرقت برنده‌ی رمز عبور است که برای جمع‌آوری کلمات عبور ذخیره‌شده از گوگل کروم، اینترنت اکسپلورر مایکروسافت، آوت‌لوت مایکروسافت و فایرفاکس موزیلا طراحی شده است. محققان هر دو تولیدکننده‌ی D-link و Changing Information Technology را از وجود این بدافزارها آگاه ساخته و این شرکت‌ها نیز به‌ترتیب در تاریخ‌های ۳ و ۴ ژوئیه‌ی ۲۰۱۸، گواهی‌نامه‌های دیجیتالی آسیب‌دیده را باطل کردند.


از آنجایی‌که بیشتر نرم‌افزارهای ضدبدافزار نمی‌تواند اعتبار گواهی‌نامه‌ها را بررسی کنند (حتی اگر شرکت‌ها، امضای گواهی‌نامه‌های خود را لغو کرده باشند)، نفوذگران BlackTech همچنان از همان گواهی‌نامه‌ها برای امضای بدافزارهای خود استفاده می‌کنند. این اولین بار نیست که نفوذگران از گواهی‌نامه‌های معتبر برای امضای بدافزار خود استفاده کرده‌اند. 


کرم مخرب Stuxnet که در سال ۲۰۰۳ میلادی، تاسیسات پردازش هسته‌ای ایران را مورد هدف قرار داده بود نیز، از گواهی‌های دیجیتالی معتبر استفاده می‌کرد. همچنین، نفوذ CCleaner در سال ۲۰۱۷ میلادی، که در آن نفوذگران نرم‌افزار اصلی CCleaner را با دانلودهای مخرب جایگزین کرده بودند، به‌دلیل به‌روزرسانی نرم‌افزاری که به‌صورت دیجیتالی امضا شده بود، امکان‌پذیر شد.
 

منبع

پست‌های مشابه

Leave a Comment