Το κρατικό κακόβουλο λογισμικό που χρησιμοποιήθηκε για το hacking στην ρωσική εταιρεία ασφαλείας Kaspersky Lab, χρησιμοποίησε ένα ψηφιακό πιστοποιητικό που είχε κλαπεί από έναν από τους κορυφαίους κατασκευαστές ηλεκτρονικών συσκευών στον κόσμο: την Foxconn.
Η εταιρεία από την Ταϊβάν κατασκευάζει το hardware για τις περισσότερες και μεγαλύτερες εταιρείας τεχνολογίας, όπως της Apple, της Dell, της Google και της Microsoft.
Κανείς δεν μπορεί να πει με σιγουριά γιατί οι επιτιθέμενοι χρησιμοποίησαν ψηφιακά πιστοποιητικά από εταιρείες της Ταϊβάν, αλλά ίσως να το έκαναν εσκεμμένα, προσπαθώντας να δημιουργήσουν ψευδείς εντυπώσεις ότι οι επιθέσεις πραγματοποιούνται από την Κίνα, αναφέρει ο Costin Raiu, διευθυντής της Global Research and Analysis Team της Kaspersky Lab.
Τα ψηφιακά πιστοποιητικά είναι κάτι σαν διαβατήρια τα οποία οι κατασκευαστές λογισμικού χρησιμοποιούν για να υπογράψουν και να επικυρώσουν τον κώδικα τους.
Για να κρύψει κάποιος κακόβουλο λογισμικό πίσω από ένα νόμιμο ψηφιακό πιστοποιητικό, θα πρέπει πρώτα να το κλέψει παραβιάζοντας την εταιρεία που το χρησιμοποιεί.
Η επίθεση εναντίον της Kaspersky Lab, με το malware που ονομάστηκε Duqu 2.0, θεωρείται ότι έχει πραγματοποιηθεί από τους ίδιους hackers που είναι υπεύθυνοι για τις προηγούμενες επιθέσεις με Duqu που αποκαλύφθηκαν το 2011.
Πάρα πολλοί πιστεύουν επίσης ότι οι ίδιοι hackers έχουν παίξει μεγάλο ρόλο στην διάδοση του Stuxnet, ένα ψηφιακό όπλο που χρησιμοποιήθηκε για επιθέσεις στο πυρηνικό πρόγραμμα του Ιράν.
Ενώ το Stuxnet είναι πιθανό να δημιουργήθηκε από κοινού από ομάδες των ΗΠΑ και του Ισραήλ, πολλοί ερευνητές πιστεύουν ότι το Ισραήλ ανέπτυξε μόνο του το Duqu 1.0 και Duqu 2.0.
Σε όλες τις επιθέσεις του Stuxnet, του Duqu 1.0 και του Duqu 2,0 οι επιτιθέμενοι χρησιμοποιούσαν ψηφιακά πιστοποιητικά από εταιρείες με έδρα την Ταϊβάν.
Δύο ψηφιακά πιστοποιητικά χρησιμοποιήθηκαν από το Stuxnet. Το ένα ήταν από την RealTek Semiconductor και το άλλο από την JMicron. Και οι δύο εταιρείες βρίσκονται στο Hsinchu Science and Industrial Park της Hsinchu City στη Taiwan.
Το Duqu 1,0 χρησιμοποίησε ένα ψηφιακό πιστοποιητικό της C-Media Electronics, μια εταιρεία κατασκευής ψηφιακών κυκλωμάτων ήχου που βρίσκεται στην Taipei της Taiwan.
Το τέταρτο ψηφιακό πιστοποιητικό κλάπηκε από την Foxconn, που έχει την έδρα της στην Tucheng, New Taipei City της Taiwan και βρίσκεται περίπου 40 μίλια μακριά από την RealTek και την JMicron.
Το γεγονός ότι οι εισβολείς φαίνεται να έχουν χρησιμοποιήσει διαφορετικό πιστοποιητικό σε κάθε επίθεση, δείχνει ότι έχουν ένα αρκετά μεγάλο απόθεμα των κλεμμένων certs. Κάτι “που είναι σίγουρα ανησυχητικό”, αναφέρει ο Raiu.
