در سالهای اخیر، بدافزارهای دارای امضای دیجیتالی بهمنظور پنهان کردن اهداف مخرب بسیار رایج شدهاند. محققان امنیتی پویش بدافزاری جدیدی را شناسایی کردهاند که گواهینامههای دیجیتالی معتبر به سرقترفته از شرکتهای فناوری تایوانی، از جمله D-Link، را برای امضای بدافزارهای خود و مشابه کردن آنها به برنامههای قانونی، مورد استفاده قرار میدهد.
همانطور که میدانید، گواهینامههای دیجیتالی که توسط یک صادرکنندهی گواهینامهی امنیتی (CA) قابل اعتماد صادر میشوند، برای رمزنگاری امضای برنامهها و نرمافزارهای کامپیوتر استفاده شده و برای اجرای برنامههایی بدون هیچگونه پیام هشدار، مورد اعتماد رایانهی شما هستند. با این حال، نویسندگان بدافزار و نفوذگران که همیشه در جستجوی روشهای پیشرفته برای دور زدن راهحلهای امنیتی هستند، در سالهای اخیر از گواهینامههای دیجیتالی قابل اعتماد بهرهبرداری میکنند.
نفوذگران از گواهینامههای امضای کد آسیبدیدهی وابسته به فروشندگان نرمافزار قابل اعتماد استفاده میکنند تا کد مخرب خود را امضا کرده و بدین ترتیب، احتمال شناسایی بدافزار آنها در شبکههای سازمانی هدف و دستگاههای مصرفکننده کاهش مییابد. محققان امنیتی ESET، اخیرا دو خانوادهی بدافزاری را شناسایی کردهاند که پیش از این، به گروه جاسوسی BlackTech نسبت داده شده و با استفاده از گواهینامههای دیجیتالی معتبر متعلق به تولیدکنندهی تجهیزات شبکهی D-Link و یک شرکت امنیتی تایوانی دیگر به نام Changing Information Technology امضا شدهاند.
اولین بدافزار که Plead نامیده میشود، یک دربِ پشتی کنترلشده از راه دور است که برای سرقت اسناد محرمانه و جاسوسی بر روی کاربران طراحی شده است. دومین بدافزار نیز یک به سرقت برندهی رمز عبور است که برای جمعآوری کلمات عبور ذخیرهشده از گوگل کروم، اینترنت اکسپلورر مایکروسافت، آوتلوت مایکروسافت و فایرفاکس موزیلا طراحی شده است. محققان هر دو تولیدکنندهی D-link و Changing Information Technology را از وجود این بدافزارها آگاه ساخته و این شرکتها نیز بهترتیب در تاریخهای ۳ و ۴ ژوئیهی ۲۰۱۸، گواهینامههای دیجیتالی آسیبدیده را باطل کردند.
از آنجاییکه بیشتر نرمافزارهای ضدبدافزار نمیتواند اعتبار گواهینامهها را بررسی کنند (حتی اگر شرکتها، امضای گواهینامههای خود را لغو کرده باشند)، نفوذگران BlackTech همچنان از همان گواهینامهها برای امضای بدافزارهای خود استفاده میکنند. این اولین بار نیست که نفوذگران از گواهینامههای معتبر برای امضای بدافزار خود استفاده کردهاند.
کرم مخرب Stuxnet که در سال ۲۰۰۳ میلادی، تاسیسات پردازش هستهای ایران را مورد هدف قرار داده بود نیز، از گواهیهای دیجیتالی معتبر استفاده میکرد. همچنین، نفوذ CCleaner در سال ۲۰۱۷ میلادی، که در آن نفوذگران نرمافزار اصلی CCleaner را با دانلودهای مخرب جایگزین کرده بودند، بهدلیل بهروزرسانی نرمافزاری که بهصورت دیجیتالی امضا شده بود، امکانپذیر شد.