Хакери използват сертификати за подписване на кодове, за да избегнат защитите

Изследователите по сигурността установиха, че хакерите все по-често използват сертификати за подписване на кодове, за да пробият по-лесно системите за сигурност на набелязаните жертви.

Ново проучване на Insikt Group, група за изследвания в сферата на сигурността към технологичната компания Recorded Future, установява, че хакери и други злонамерени актьори получават легитимни сертификати от отговорните органи, с които подписват зловреден код.

Прочетете още: Новият Android ще спира достъпа на зловредни приложения до камерата на устройствата?

Това опровергава широко разпространената теза, че в повечето случаи сертификатите биват откраднати от компании и разработчици, след което преправяни от хакерите с цел легитимация на злонамерен софтуер.

Сертификатите за подписване на кода са предназначени да осигурят на софтуера или мобилното приложение нужното ниво на сигурност, като доказват автентичност. Всеки път, когато отворите дадено приложение, подписано с код, то ви съобщава кой е разработчикът и удостоверява, че не е било преправяно по никакъв начин. Повечето съвременни операционни системи изпълняват по подразбиране само кодово подписани приложения. Именно заради това зловредните приложения, подписани с код, са много по-трудни за откриване от системите за мрежова защита. Според изследователите хардуерът, който използва дълбоко инспектиране на пакети (DPI) за сканиране на мрежовия трафик, "става по-малко ефективен, когато легитимният трафик на сертификати се инициира от злонамерен имплант".

Екипът на Insikt Group твърди, че хакерите използват сертификати на реномирани източници като Comodo, Symantec и Thawte, а, не на последно място, и на Apple.

"В света на Apple не можете да изпълнявате програма, която не е подписана с код. Въпреки това обаче, има много начини да си набавите такъв", коментира Амит Серпер, главен изследовател по сигурността в Cybereason и специалист по злонамерен софтуер за Mac, и добавя: "За да получите такъв, трябва просто да си създадете профил на разработчик, да платите на Apple 99 долара и да им дадете основание да ви издадат сертификат. Тъй като целта на компанията е да печели пари и да има повече разработчици, които да се включат в различните програми, получаването на сертификат е невероятно лесно".

"Много зловреден софтуер и адуер (рекламен софтуер) за Mac e маркиран със законни сертификати за подписване на кодове, предоставени от Apple", добавя Серпер.

Специалистът неотдавна предупреди за Pirrit, адуер, който инжектира реклами направо в браузъра, като по думите му актуализацията на въпросния софтуер е подписана с код, което улеснява изтеглянето на допълнително злонамерено съдържание.

От Apple и Comodo отказват коментар за момента, но изследователите смятат, че сертифициращите органи не знаят, че данните им са използвани по този начин. Андрей Барисевич, директор в Recorded Future, е категоричен пред ZDNet, че хакерите "получават сертификатите директно от лицензионните органи, като използват откраднати корпоративни входни данни, които им позволяват да получат достъп до мрежата”.

"Ние сме уверени, че не се използва помощ от вътрешни лица във въпросните компании", добавя той.