- Новости
- Продукты
- Компания
- » О компании
- » История
- » Форум
- » Контактная информация
- Работа
Новости компании
24.10.2023
31.12.2022
Duqu, возможно, атаковал центры сертификации ради ключей шифрования
20 октября, 2011
Дальнейший анализ последней версии Stuxnet говорит о том, что червь Duqu мог атаковать центры сертификации, чтобы заполучить легальные ключи и замаскироваться под доверенное приложение.
Пока Symantec продолжает анализ Duqu, новейшего зловреда, атаковавшего фирмы промышленного контроля и базирующегося на черве Stuxnet, другие исследователи считают, что центры сертификации также могли попасть в число его жертв.
Компания Symantec опубликовала предварительный анализ Duqu 18 октября. Похоже, что Duqu сосредотачивается на системах промышленного контроля, но, в отличие от Stuxnet, его целью является сбор информации, а не поломка оборудования. Однако пара исследователей из McAfee заметили, что команда, стоящая за Duqu, могла попутно навредить и центрам сертификации.
Исследователи из компании McAfee, Гиллерме Венерэ и Питер Зор уверены, что Duqu был создан для шпионажа и запуска нацеленных атак на центры сертификации. При том, что в Symantec рассказали о нескольких компаниях из Европы, которые стали жертвами Duqu, команда Symantec Security Response не смогла представить ни каких-либо подробностей об этих компаниях, ни примеров информации, которая могла быть украдена.
Основываясь на своем собственном анализе, Венерэ и Зор утверждают, что Duqu использовался в “профессиональных, нацеленных атаках” на различные центры сертификации в Европе, на Среднем Востоке, в некоторых регионах Азии и Северной Африки.
“Скорее всего, ключ, как и в предыдущих двух случаях, не был украден, а вместо этого был напрямую сгенерирован от имени компаний в центре сертификации в ходе прямой атаки”, - написали Венерэ и Зор, заметив, что Stuxnet тоже использовал два цифровых сертификата, принадлежащих компаниям в Тайване.
В McAfee Labs посоветовали центрам сертификации “тщательно проверить” свои системы, чтобы удостовериться, что они не подверглись влиянию Duqu или других “вариаций”. Согласно McAfee, цифровой сертификат, который использовался Duqu, принадлежал тайваньской компании C-Media Electronics. Очень вероятно, что его никто не крал, а он просто был законным образом выпущен подвергнутым атаке центром сертификации.
Сомнительный сертификат 14 октября был аннулирован центром сертификации VeriSign, который недавно приобрела компания Symantec. Однако, проведя внутренне расследование, в Symantec заявили, что частный ключ, использованный в сертификатах, был украден у клиентов компании. Согласно Symantec, сертификаты не были получены у VeriSign обманным путем. Компания применяла “корректные процессы” для аутентификации и проверки сертификата по запросу своего законного клиента.
“Корневые и промежуточные центры сертификации компании Symantec не подвергались риску. И также не было никаких трудностей касательно центров сертификации, их посредников, и других брендов и сертификатов VariSign и Thawte”, - сказали в Symantec.
“Полученный преступниками сертификат SSL аутентифицировался и использовался преступниками для подписи файлов драйвера Duqu, согласно Symantec. Это позволило Duqu действовать как доверенное приложение и соединяться с другими системами и приложениями в рамках сети, потому что его компоненты были подписаны “настоящим” сертификатом”, - сказал в интервью eWEEK Джеф Хадсон, президент компании Venafi.
“Организации должны провести полную инвентаризацию всех сертификатов, выпущенных центрами сертификации, проверить их и узнать, какие из них относятся к политике компании. Таким образом администраторы поймут, какие из них не совместимы с политикой и смогут отозвать их”, - добавил Хадсон.
“IT отделам нужно вкладываться в “надежные инфраструктуры регистрации данных”, чтобы замечать связи с неизвестными, иностранными хостами”, - сказал в интервью eWEEK Билл Рот, главный директор по маркетингу компании LogLogic. “Не проверять свои сети с помощью инфраструктуры управления регистрации данных – это то же самое, что покупать для охраны своего дома фальшивые камеры наблюдения. Обязательно обворуют”, - добавил он.
“Дело не только в регистрации данных. Организациям нужно использовать различные инструменты для обнаружения и блокирования подозрительной активности”, - объяснил в интервью eWEEK Джейсон Льюис, главный директор по технологиям компании Lookingglass. “Сюда может включаться веб-прокси для контроля над сайтами, которые посещают работники, firewall и система предотвращения вторжения могут блокировать вредоносный трафик, а двухфакторную аутентификацию лучше всего использовать для защиты аккаунтов и служб, нежели только паролей”, - рассказал Льюис. “Использование всех этих инструментов вкупе значительно увеличивает шансы быстро пресечь вредоносную деятельность”, - добавил он.
Xakep.ru
Мировые события
18.10.2023
Сотрудники заражают систему пытаясь пробиться в социальную сеть
Политика закрытия доступа к социальным сетям, провоцирует сотрудников компании скачивать потенциально опасное ПО....
07.10.2023
Сертификат, украденный у правительства Малайзии, использовался для подписи вредоносного ПО
Исследователи обнаружили свободно циркулирующее вредоносное ПО, которое использует цифровую подпись, принадлежащую правительству Малайзии....
17.09.2023
Арестован румынский хакер, взломавший серверы NASA
Румынские власти арестовали 26-летнего хакера, ответственного за взлом нескольких серверов NASA....