Beberapa hari kemudian
diketahui bahwa sekelompok penyerang mengambil sertifikat D-Link yang sah, produsen peralatan jaringan yang terkenal. Selain itu, sertifikat dicuri dari perusahaan Taiwan lainnya. Sertifikat yang diperoleh digunakan untuk membuat perangkat lunak yang mencuri kata sandi akun korban.
Diperlukan sertifikat agar perangkat lunak anti-virus dapat menerima program jahat sebagai perangkat lunak yang sah dan tidak memblokirnya. Itu terjadi karena Microsoft Windows dan MacOS, termasuk banyak sistem operasi lain, memeriksa keamanan perangkat lunak dengan sertifikat yang ditandatangani. Dalam kasus D-Link, "tingkat kepercayaan" perangkat lunak keamanan untuk program semacam itu sangat tinggi.
Adapun penyerang, mereka milik kelompok BlackTech. Perusahaan kedua, yang sertifikatnya tidak diambil, disebut Mengubah Teknologi Informasi. Semua ini
diceritakan oleh
spesialis keamanan informasi dari Eset. Penyerang membutuhkan sertifikat untuk menandatangani dua elemen dari malware yang sama. Satu elemen adalah backdoor yang dikendalikan dari jarak jauh, dan yang kedua adalah penyapu kata sandi.
Eset mengklasifikasikan malware sebagai Plead. Perangkat lunak ini digunakan untuk melakukan kampanye spionase dunia maya di Asia Timur. Sudah banyak yang ditulis tentang malware ini. Jadi, Tanggap Darurat Komputer Jepang menjelaskan Plead di
sini , dan Trend Micro menjelaskannya di
sini .
Menurut para pakar keamanan informasi, fakta bahwa para penyerang berhasil mencuri sertifikat dari dua perusahaan Taiwan sekaligus, dan kemudian juga membuat perangkat lunak pencuri kata sandi yang ditandatangani dengan sertifikat legal, bersaksi atas pengalaman yang cukup besar dari tim peretas yang membalikkan semuanya.
Perwakilan D-Link mengkonfirmasi masalah ini. Sebuah
pos resmi mengatakan bahwa sertifikat itu dicuri oleh "kelompok penjahat cyber yang sangat aktif." Perusahaan juga cepat-cepat menyatakan bahwa pelanggannya tidak terpengaruh oleh pencurian. Namun, beberapa dari mereka mungkin mengalami masalah - kesalahan saat mencoba bekerja dengan kamera IP menggunakan browser. Sekarang para insinyur D-Link sedang bekerja untuk menciptakan firmware yang menyelesaikan masalah. Pengguna yang bekerja dengan aplikasi seluler tidak mengalami masalah.
D-Link dan Mengubah Teknologi Informasi telah mencabut sertifikat yang dicuri. Benar, hingga rilis pembaruan firmware perangkat, browser akan melaporkan sertifikat masalah dan pengguna "legal", seperti yang disebutkan di atas. Pada gilirannya, penyerang dapat membuat pesan palsu tentang masalah dengan sertifikat, sehingga ketika pengguna mengklik tombol aktif, mereka memindahkannya ke sumber daya phishing atau menawarinya untuk mengunduh beberapa jenis perangkat lunak "kuratif". Perusahaan meminta semua orang untuk menahan diri dari penawaran tersebut.
Trik yang digunakan penyerang bukanlah hal baru sama sekali. Banyak kelompok telah menggunakannya sebelumnya, tetapi kasus yang paling terkenal adalah
Stuxnet . Untuk waktu yang lama, spyware tidak diketahui melalui penggunaan sertifikat RealTek dan Jmicron.
Pencurian sertifikat untuk tujuan menandatangani spyware adalah serangan yang lebih umum oleh penyerang daripada yang diperkirakan. Kasus pertama diketahui pada tahun 2003. Sekarang bahkan ada toko sertifikat yang diambil seseorang, dan seseorang membeli. Tujuannya sama dengan penyerang dari kelompok BlackTech - menandatangani perangkat lunak mereka dengan sertifikat yang sah.
Salah satu layanan ini telah bekerja tanpa masalah sejak 2011. Dan jika diketahui tentangnya, ini tidak berarti bahwa "perusahaan komersial" serupa lainnya akan dikenal dalam waktu dekat. Tidak, mereka akan terus bekerja dan membuktikan diri hanya secara kebetulan. Dan mereka menjadi semakin banyak diminati. Recorder Future telah menerbitkan laporan yang menyatakan bahwa permintaan untuk sertifikat keamanan "putih" yang dicuri
semakin meningkat . Dalam beberapa kasus, penjahat cyber memiliki akses ke akun di perusahaan yang menghasilkan sertifikat. Dan atas permintaan, mereka dapat membuat sertifikat yang diperlukan "sesuai pesanan".