Ukradli D-Linkowi certyfikaty służące do podpisu binarek. Podpisują nim malware…

ESET donosi o ostatniej aktywności grupy Blacktech. Panowie (i być może panie) z tej ekipy nie przebierają w środkach – byli w stanie przeniknąć do infrastruktury D-Linka (i jeszcze jednej tajwańskiej firmy) / wykraść stosowne certyfikaty (zwierające klucze prywatne i być może jeszcze kolejne dane – klucze symetryczne do kluczy prywatnych). Wszystko w celu przygotowania „zaufanego” malware wykradającego hasła z przeglądarek / Outlooka:

The signed Plead malware samples are highly obfuscated with junk code, but the purpose of the malware is similar in all samples: it downloads from a remote server or opens from the local disk a small encrypted binary blob (…) The password stealer tool is used to collect saved passwords.

Dla przypomnienia – jedna z głośniejszych akcji bazujących na wykradzionych certyfikatach umożliwiających podpis binarek miała miejsce przy okazji Stuxneta.

D-Link unieważnił certyfikaty, pokazując jednocześnie jak ignorować weryfikację unieważnienia (gdyby ktoś jednak chciał używać ich sprzętu a nie martwić się jakimiś dziwnymi alertami security ;)

–ms