Duqu 2.0 izkoriščal ukraden certifikat

Objavljeno: 16.6.2015 19:00 | Teme: vdor

Minuli teden je ugledno rusko podjetje za računalniško varnost Kaspersky Lab sporočilo, da so v svojih omrežjih zaznali napadalno kodo Duqu 2.0, s katero so napadalci pridobili dostop do računalnikov. Isti kos kode so uporabili tudi za prisluškovanje srečanjem Varnostnega sveta Združenih narodov. Danes je znano več.

Predvsem je razkrita skrivnost, kako so se prebili v sicer dobro varovana računalniška omrežj. Uporabili so veljaven, podpisan certifikat, ki je bil podeljen kitajskemu podjetju Foxconn, ki ga poznamo kot največjega proizvajalca oziroma sestavljavca strojne opreme na svetu. Podpisan certifikat iz leta 2013 je Foxconn uporabljal, da je posodabljal gonilnike na računalnikih, saj nove verzije Windows ne dovoljujejo nameščanja nepodpisane sistemske opreme.

Očitno so napadalci pridobili dostop do teh certifikatov, torej so nekako vdrli v Foxconn. To je že tretjič, da so bili certifikati zlorabljeni za nameščanje zlonamerne programske opreme. Spomnimo, da je Stuxnet izrabljal gonilnike podjetje Realtek, kasneje pa so zlorabili še Jmicronove certifikate.

Duqu 2.0 je potreboval certifikat, da se je namestil na sisteme, ki so bili v stiku z omrežjem in javnim delom interneta. Po internem omrežju je komuniciral v obliki mrežnega protokola za Windows, gonilnik na usmerjevalniku pa je potem ta promet zašifriral in posredoval v internet piscem programa. Šlo je tudi v drugo smer, saj je poslušal za ključnimi besedami (romanian.antihacker in ugly.gorilla), s katerimi so napadalci lahko kontaktirali okužene sisteme. Sicer je namreč Duqu 2.0 v celoti gostoval v pomnilniku, da ga je bilo teže odkriti, v računalnik pa se je po vsakem ponovnem zagonu vnovič prikradel kar z omrežja. Skrit je bil tudi na usmerjevalniki in požarnih zidovih, zato tudi ponovni zagon vseh računalnikov ne bi deloval.

Da so napadalci uporabili podpisan certifikat, je precej logično. Zanašanje izključno na neodkrite ranljivost (zero-day vulnerability) je namreč precej tvegano, saj se ves čas odkrivajo in krpajo, medtem ko podpisan certifikat predstavlja avtocesto v računalniški sistem. Hkrati so bili dovolj pametni, da istega certifikata niso uporabljali v različnih verzijah virusov. To daje slutiti, da jih imajo na zalogi (tako virusov kakor certifikatov) še precej.

Kaspersky Lab.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

Komentirajo lahko le prijavljeni uporabniki