Η ιστορία ενός rootkit που ήταν υπογεγραμμένο από την Microsoft

Τον Ιούλιο, ερευνητές ασφαλείας αποκάλυψαν κάτι απογοητευτικό: εκατοντάδες malware που χρησιμοποιήθηκαν από πολλές hacking ομάδες για να μολύνουν συσκευές με Windows είχαν υπογραφεί ψηφιακά και επικυρώθηκαν σαν ασφαλή από την ίδια τη Microsoft.

rootkit

Την Τρίτη, διαφορετικοί ερευνητές έκαναν μια παρόμοια επίσημη ανακοίνωση: ψηφιακά κλειδιά της Microsoft είχαν κλαπεί για να υπογράψουν ακόμη περισσότερα malware για χρήση από έναν άγνωστο επιτιθέμενο σε μια επίθεση εφοδιαστικής αλυσίδας που μόλυνε περίπου 100 προσεκτικά επιλεγμένα θύματα.

Το κακόβουλο λογισμικό, ανέφεραν ερευνητές από την ομάδα Threat Hunter της Symantec, υπογράφηκε ψηφιακά με που είναι γνωστό ως Microsoft Windows Hardware Developer Program and the Microsoft Windows Hardware Compatibility Program. Το αυτό χρησιμοποιείται για να πιστοποιήσει ότι τα προτα οδήγησης συσκευών (drivers) – το λογισμικό που εκτελείται βαθιά μέσα στον πυρήνα των Windows – συνήθως προέρχεται από μια γνωστή και αξιόπιστη πηγή για την ασφαλή πρόσβαση στις πιο ευαίσθητες περιοχές του λειτουργικού συστήματος. Χωρίς την πιστοποίηση, τα drivers δεν είναι κατάλληλα για εκτέλεση σε Windows.

Κάπως έτσι, τα μέλη αυτής της ομάδας hacking – την οποία η Symantec αποκαλεί Carderbee – κατάφεραν να κάνουν τη Microsoft να υπογράψει ψηφιακά έναν τύπο κακόβουλου λογισμικού γνωστό σαν rootkit. Μόλις εγκατασταθούν, τα rootkits γίνονται μια επέκταση του ίδιου του λειτουργικού συστήματος.

Για να αποκτήσουν αυτό το επίπεδο χωρίς να αποκλειστούν από τα end-point συστήματα ασφαλείας και άλλες άμυνες, οι hackers της Carderbee χρειάστηκαν πρώτα να πάρουν την πιστοποίηση για το rootkit και τη σφραγίδα έγκρισης της Microsoft, την οποία και έλαβαν.

Με το rootkit υπογεγραμμένο, η Carderbee προχώρησε “λίγο” παρακάτω. Με μέσα που δεν είναι ακόμη ξεκάθαρα, η ομάδα επιτέθηκε στην υποδομή της Esafenet, ενός προγραμματιστή λογισμικού με έδρα την Κίνα. Η εταιρεία αναπτύσσει το Cobra DocGuard , για κρυπτογράφηση και αποκρυπτογράφηση λογισμικού, ώστε να μην μπορεί να παραβιαστεί.

Στη συνέχεια, η ομάδα Carderbee προώθησε κακόβουλες ενημερώσεις σε περίπου 2.000 οργανισμούς που ήταν πελάτες της εταιρείας. Μετά από αυτό τα μέλη της hacking ομάδας άρχισαν να διανέμουν το rootkit που ήταν υπογεγραμμένο από τη Microsoft σε περίπου 100 από αυτούς τους οργανισμούς.

“Φαίνεται ξεκάθαρα ότι οι επιτιθέμενοι πίσω από αυτή τη δραστηριότητα ήταν υπομονετικοί και πολύ ικανοί” αναφέρουν οι ερευνητές της Symantec.

“Το γεγονός ότι διανέμουν το rootkit μόνο σε λίγους υπολογιστές, υποδηλώνει σχεδιασμό και αναγνώριση των στόχων εκ μέρους των επιτιθέμενων πίσω από αυτή τη δραστηριότητα”.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).