Napad na Kaspersky Lab prek Foxconnovih ukradenih certifikatov

V Kaspersky Labu so razkrili nekaj več podrobnosti zadnjega napada, ki so ga neznanci izvedli z virusom Duqu 2.0. Ugotovili so, da se je virus v omrežje infiltriral podpisan z ukradenim Foxconnovim certifikatom, s čimer je pretental sistem.

Duqu 2.0 v nevolatilnem pomnilniku vzdržuje minimalno prisotnost, zaradi česar ga je teže odkriti. Na diskih praktično ni zapisan, temveč v celoti ostaja v RAM-u, kamor se po ponovnem zagonu vnovič prekopira kar z omrežja. Vseeno to ne pomeni, da bi sistem lahko očistili z enkratnim sočasnim ponovnim zagonom vseh računalnikov. Del Duqu 2.0, ki skrbi za komunikacijo z zunanjim svetom in prevaja interni promet v šifriran tok za pošiljanje piscem v internet ter hkrati pošilja ključne besede, s katerimi ga pisci lahko kontaktirajo, je shranjen na usmerjevalnikih, prehodih in strežnikih z neposredno povezavo do interneta. Tam skrbi tudi, da dnevniške datoteke prometa ne vsebujejo nobenih podatkov o delovanju virusa. Na te sisteme se pretihotapi kot Foxconnov podpisan gonilnik, zaradi česar ne zazvonijo nobeni alarmi.

Foxconn ima lastne podpisane certifikate, ki jim za zdaj vsi večji overitelji še zaupajo, da lahko na svoje računalnike pri kupcih dostavlja popravke in nove verzije gonilnikov. Napadalci so torej uspeli vdreti v Foxconnov in ukrasti zasebni ključ certifikata za podpisovanje programske opreme, ne da bi Foxconn to vedel. To ni prvi tovrstni primer, saj se je Stuxnet širil z Realtekovim certifikatom, prvotna verzija Duquja pa z Jmicronovim. So pa napadalci zelo potrpežljivi in pametni, saj vsakega uporabijo le enkrat; sklepamo lahko, da jih imajo na zalogi še več.