El otro día se
supo que un grupo de atacantes confiscó los certificados válidos de D-Link, un conocido fabricante de equipos de red. Además, se robaron certificados de otra empresa taiwanesa. Los certificados obtenidos se utilizaron para crear software que roba las contraseñas de las cuentas de las víctimas.
Se necesitaban certificados para que el software antivirus aceptara programas maliciosos como software legítimo y no los bloqueara. Sucedió porque Microsoft Windows y MacOS, incluidos muchos otros sistemas operativos, verifican la seguridad del software mediante el certificado con el que está firmado. En el caso de D-Link, el "nivel de confianza" del software de seguridad para dichos programas es muy alto.
En cuanto a los atacantes, pertenecen al grupo BlackTech. La segunda compañía, cuyos certificados no se quitan, se llama Changing Information Technology. Todo esto lo
contó un
especialista en seguridad de la información de Eset. Los atacantes necesitaban certificados para firmar dos elementos del mismo malware. Un elemento es una puerta trasera controlada de forma remota, y el segundo es un limpiador de contraseñas.
Eset clasifica el malware como Plead. Este software se utiliza para realizar campañas de ciberespionaje en el este de Asia. Ya se ha escrito mucho sobre este malware. Entonces, Japan Computer Emergency Response describió Plead
aquí , y Trend Micro lo describió
aquí .
Según los expertos en seguridad de la información, el hecho de que los atacantes lograron robar certificados de dos compañías taiwanesas a la vez, y luego también crear software para robar contraseñas firmado con certificados legales, demuestra la considerable experiencia del equipo de hackers que lo revirtió.
Los representantes de D-Link confirmaron el problema. Una
publicación oficial dice que los certificados fueron robados por "un grupo muy activo de cibercriminales". La compañía también se apresuró a declarar que sus clientes no fueron afectados por el robo. Sin embargo, algunos de ellos pueden encontrar problemas: errores al intentar trabajar con cámaras IP utilizando un navegador. Ahora los ingenieros de D-Link están trabajando en la creación de firmware que resuelva el problema. Aquellos usuarios que trabajan con una aplicación móvil no encuentran problemas.
D-Link y Changing Information Technology ya han revocado los certificados robados. Es cierto que hasta el lanzamiento de las actualizaciones de firmware del dispositivo, los navegadores informarán los certificados de problemas y los usuarios "legales", como se mencionó anteriormente. A su vez, los atacantes pueden crear mensajes falsos sobre problemas con los certificados, de modo que cuando un usuario hace clic en el botón activo, lo transfieren a un recurso de phishing u ofrecen la posibilidad de descargar algún tipo de software "curativo". La compañía pide a todos que se abstengan de tales ofertas.
El truco que usaron los atacantes no es nuevo en absoluto. Muchos grupos lo han usado antes, pero el caso más famoso es
Stuxnet . Durante mucho tiempo, el spyware pasó desapercibido mediante el uso de los certificados RealTek y Jmicron.
El robo de certificados con el propósito de firmar spyware es un ataque más común de los atacantes de lo que comúnmente se piensa. El primer caso se conoció en 2003. Ahora incluso hay tiendas de certificados que alguien quita y alguien compra. El objetivo es el mismo que el de los atacantes del grupo BlackTech: firmar su software con un certificado legítimo.
Uno de estos servicios ha funcionado sin problemas desde 2011. Y si se supo de él, esto no significa que otras "empresas comerciales" similares se conozcan en un futuro próximo. No, continuarán trabajando y demostrando su valía solo por casualidad. Y cada vez tienen más demanda. Recorder Future ha publicado un informe que indica que la demanda de certificados robados de proveedores de seguridad "blancos"
solo está
creciendo . En algunos casos, los ciberdelincuentes tienen acceso a cuentas en empresas que generan certificados. Y previa solicitud, pueden crear el certificado necesario "a pedido".