Скомпрометированные сертификаты подлинности ПО становятся ходовым товаром

Специалисты Университета Мэриленда провели исследование, посвященное распространению фальшивых и скомпрометированных цифровых сертификатов подлинности ПО. Эти сертификаты служат для удостоверения подлинности программ и приложений. Сверяясь с ними, операционные системы и защитные решения позволяют установку того или иного программного обеспечения. Исследователи изучили собранные Symantec данные 11 миллионов хостов и выявили 72 скомпрометированных сертификата.

Само по себе использование скомпрометированных сертификатов для распространения зловредов и осуществления кибератак не является новостью. В частности, именно так была осуществлена атака Stuxnet, которая вывела из строя системы управления иранскими центрифугами для обогащения урана. Однако исследователи из Мэриленда показали, что скомпрометированные сертификаты используются в атаках, организуемых не только правительственными спецслужбами, но и обычными киберпреступниками. «Две трети известных зловредов, подписанных выявленными нами скомпрометированными сертификатами, успешно проходят проверку и не вызывают подозрений», – отметил один из авторов исследования Тудор Дамитрас.

Для получения сертификатов злоумышленники идут на самые разные ухищрения. Они не только копируют цифровые подписи подлинных продуктов и вставляют их во вредоносное ПО (такая подпись автоматически становится недействительной, и, тем не менее, подлог не распознается многими защитными решениями). 27 выявленных сертификатов были получены киберпреступниками якобы от имени вполне легитимных компаний. Дело, однако, в том, что эти компании не имеют никакого отношения к разработке ПО (среди них, например, фигурирует корейский сервис курьерской доставки), а потому им попросту нечего подписывать. Одновременно ученые Исследовательского института кибербезопасности (Cyber Security Research Institute – CSRI) опубликовали информацию о том, что неустановленные сертификаты подлинности выставлены на продажу в «темной сети» по цене порядка 1200 долларов. Все это свидетельствует о том, что киберпреступный бизнес проявляет все более пристальный интерес к сертификатам подлинности и намерен активнее использовать их для распространения вредоносного ПО.