Хакеры активно используют фальшивые цифровые сертификаты

08 ноября 2017 г., среда

Фальшивые цифровые сертификаты более не являются «призрачной угрозой» для рядовых пользователей, утверждают специалисты по компьютерной безопасности университета Мэриленд. Ученые проанализировали данные с 11 миллионов устройств и обнаружили 72 поддельные сигнатуры. Скорее всего, эти сигнатуры использовали для установки вредоносного ПО.

В докладе, который исследователи представили на конференции CCS в Техасе, утверждается, что как минимум две трети таких сертификатов все еще без проблем проходят аутентификацию, а значит, представляют реальную угрозу для компьютерных систем. Ранее считалось, что поддельные сигнатуры можно использовать только для атак глобального масштаба — например, внедрения червя Stuxnet в систему управления иранской ядерной программой. Однако новые данные указывают на то, что теперь проблема коснется и обычных пользователей: фальшивые цифровые сертификаты широко представлены на сайтах даркнета по средней цене 1200 долларов США.

Помимо поддельных идентификационных файлов, ученые обнаружили также почти три десятка скомпрометированных действующих сигнатур подставных компаний, не имеющих отношения к разработке программного обеспечения. Так, один из сертификатов, использованный для внедрения эксплойта, принадлежал логистической компании из Южной Кореи. Этот факт ставит под сомнение работоспособность нынешней системы аутентификации компьютерных программ. «Судя по всему, у нас существует значительный подпольный рынок сертификатов. Это заставляет нас усомниться в надежности нынешних систем аутентификации. Нам необходимы новые способы противодействия неправильному использованию цифровых сертификатов», — считает Питер Уоррен, директор Cyber Security Research Institute.

Зачастую злоумышленникам даже не нужно покупать фальшивый сертификат — достаточно просто скопировать идентификационный код из действительного образца. Такая система идентификации не будет полностью валидной, но часть антивирусных систем, протестированных специалистами из Мэриленда, проигнорировали эту угрозу.

Не далее как в сентябре при помощи фальшивого сертификата подписи кода хакерам удалось внедрить вредоносный код в дистрибутив популярной программы CСleaner. Информация, обнародованная американскими исследователями, показывает, что вероятность повторения подобных угроз в будущем остается весьма высокой.

Threatpost