Τον Ιούλιο, ερευνητές ασφαλείας αποκάλυψαν κάτι απογοητευτικό: εκατοντάδες malware που χρησιμοποιήθηκαν από πολλές hacking ομάδες για να μολύνουν συσκευές με Windows είχαν υπογραφεί ψηφιακά και επικυρώθηκαν σαν ασφαλή από την ίδια τη Microsoft.
Την Τρίτη, διαφορετικοί ερευνητές έκαναν μια παρόμοια επίσημη ανακοίνωση: ψηφιακά κλειδιά της Microsoft είχαν κλαπεί για να υπογράψουν ακόμη περισσότερα malware για χρήση από έναν άγνωστο επιτιθέμενο σε μια επίθεση εφοδιαστικής αλυσίδας που μόλυνε περίπου 100 προσεκτικά επιλεγμένα θύματα.
Το κακόβουλο λογισμικό, ανέφεραν ερευνητές από την ομάδα Threat Hunter της Symantec, υπογράφηκε ψηφιακά με πιστοποιητικό που είναι γνωστό ως Microsoft Windows Hardware Developer Program and the Microsoft Windows Hardware Compatibility Program. Το πρόγραμμα αυτό χρησιμοποιείται για να πιστοποιήσει ότι τα προγράμματα οδήγησης συσκευών (drivers) – το λογισμικό που εκτελείται βαθιά μέσα στον πυρήνα των Windows – συνήθως προέρχεται από μια γνωστή και αξιόπιστη πηγή για την ασφαλή πρόσβαση στις πιο ευαίσθητες περιοχές του λειτουργικού συστήματος. Χωρίς την πιστοποίηση, τα drivers δεν είναι κατάλληλα για εκτέλεση σε Windows.
Κάπως έτσι, τα μέλη αυτής της ομάδας hacking – την οποία η Symantec αποκαλεί Carderbee – κατάφεραν να κάνουν τη Microsoft να υπογράψει ψηφιακά έναν τύπο κακόβουλου λογισμικού γνωστό σαν rootkit. Μόλις εγκατασταθούν, τα rootkits γίνονται μια επέκταση του ίδιου του λειτουργικού συστήματος.
Για να αποκτήσουν αυτό το επίπεδο πρόσβασης χωρίς να αποκλειστούν από τα end-point συστήματα ασφαλείας και άλλες άμυνες, οι hackers της Carderbee χρειάστηκαν πρώτα να πάρουν την πιστοποίηση για το rootkit και τη σφραγίδα έγκρισης της Microsoft, την οποία και έλαβαν.
Με το rootkit υπογεγραμμένο, η Carderbee προχώρησε “λίγο” παρακάτω. Με μέσα που δεν είναι ακόμη ξεκάθαρα, η ομάδα επιτέθηκε στην υποδομή της Esafenet, ενός προγραμματιστή λογισμικού με έδρα την Κίνα. Η εταιρεία αναπτύσσει το Cobra DocGuard Client, για κρυπτογράφηση και αποκρυπτογράφηση λογισμικού, ώστε να μην μπορεί να παραβιαστεί.
Στη συνέχεια, η ομάδα Carderbee προώθησε κακόβουλες ενημερώσεις σε περίπου 2.000 οργανισμούς που ήταν πελάτες της εταιρείας. Μετά από αυτό τα μέλη της hacking ομάδας άρχισαν να διανέμουν το rootkit που ήταν υπογεγραμμένο από τη Microsoft σε περίπου 100 από αυτούς τους οργανισμούς.
“Φαίνεται ξεκάθαρα ότι οι επιτιθέμενοι πίσω από αυτή τη δραστηριότητα ήταν υπομονετικοί και πολύ ικανοί” αναφέρουν οι ερευνητές της Symantec.
“Το γεγονός ότι διανέμουν το rootkit μόνο σε λίγους υπολογιστές, υποδηλώνει σχεδιασμό και αναγνώριση των στόχων εκ μέρους των επιτιθέμενων πίσω από αυτή τη δραστηριότητα”.
