Исследователи безопасности обнаружили еще одну кампанию кибер-атак с использованием украденных сертификатов для обхода традиционных средств безопасности.
По словам ведущего исследователя вредоносного ПО «ESET» Антона Черепанова, эта тактика использовалась для запуска дистанционно управляемого бэкдора, получившего имя Plead и предназначенного для хищения паролей.
В конце прошлого года исследователи признали, что BlackTech атакует цели в Восточной Азии, в том числе в Гонконге, Японии и на Тайване, и, вероятно, может быть объектом поддержки в Пекине.
Для подписи вредоносного ПО использовались два сертификата, один из которых принадлежал тайваньской компании по безопасности «Changing Information Technology», а другой — D-Link.
«Мы заметили эту вредоносную кампанию, когда наши системы отметили несколько файлов как подозрительные. Интересно, что отмеченные файлы были подписаны цифровой подписью, используя действительный сертификат подписи кода корпорации D-Link. Тот же самый сертификат использовался для подписи не вредоносного программного обеспечения D-Link; поэтому сертификат, скорее всего, был украден », — пояснил Черепанов .
После уведомления об обнаружении D-Link отозвал сертификат на прошлой неделе, добавил он.
Тем не менее, BlackTech по-прежнему использует сертификат изменения информационных технологий несмотря на то, что он также был отозван на прошлой неделе.
Кевин Бочек, главный офицер по кибербезопасности в Venafi ё, отметил, что использование украденных сертификатов не новость и на самом деле популяризировано авторами Stuxnet.
