D-Link hat mit Firmware-Update reagiert
PSW Group: Gestohlene digitale Zertifikate von D-Link klassifizieren Malware als valide
Cyber-Kriminellen ist es offenbar gelungen, Zertifikate von D-Link, Hersteller von Kameras und Routern, zu entwenden. Die erbeuteten Code-Signing-Zertifikate wurden für die Verbreitung von gleich zwei Schädlingsfamilien genutzt: Zum einen für die Schadsoftware "Plead". Dies ist ein ferngesteuertes Backdoor-Programm, mit dessen Hilfe Cyber-Kriminelle aus der Ferne Zugriff auf kompromittierte Rechner erhalten. Von dort können sie Daten stehlen oder weiteren Schadcode einschleusen. Zum anderen für ein Modul, das mit Plead in Verbindung steht und Kennwörter aus Browsern und Outlook entwendet.
Warum diese neue Malware-Welle so tückisch ist, erklärt IT-Sicherheitsexperte Christian Heutger, Geschäftsführer der PSW Group (www.psw-group.de): "Um ihre Angriffe und ihre Cyber-Spionage zu verschleiern, sind gestohlene Zertifikate leider ein beliebtes Mittel. Das Problem ist, dass Sicherheitsmechanismen damit ganz einfach ausgehebelt werden. Gestohlene Signaturen klassifizieren nämlich eine Malware durchaus als valide Software, sodass die Spionage-Aktion gar nicht auffällt."
Bei den entwendeten Daten handelt es sich um sogenannte Code-Signing-Zertifikate. Diese dienen als digitale Signatur, um die Identität des Entwicklers sowie die Integrität des Programmcodes zu bestätigen. Auf diese Weise schafft das Zertifikat mehr Vertrauen in eine Applikation und signalisiert dem Anwender, dass die heruntergeladene Software authentisch ist und nicht manipuliert wurde. So basierten laut der PSW Group die hauseigenen Code-Signing-Zertifikate auf der unabhängigen Zertifizierung des Codes durch eine dritte, vertrauenswürdige Instanz und werden standardmäßig mit dem Unterzeichnungsalgorithmus SHA-2 ausgestellt. "Es ist bemerkenswert, dass es den Angreifern überhaupt gelingen konnte, ein Technologieunternehmen wie D-Link zu kompromittieren und dessen Code-Signing-Zertifikate für Angriffe zu nutzen. Das vermag nicht jeder und zeigt, dass es sich um sehr gut ausgebildete Cyber-Kriminelle handeln muss", so Heutger.
Für die betroffenen Geräte hat D-Link bereits Firmware-Updates herausgegeben. Unter der Adresse "de.mydlink.com/download" finden Betroffene die Updates. Auf die Bedrohung reagierte D-Link zudem mit dem Rückruf der betroffenen Zertifikate.
Weitere Informationen stehen unter: www.psw-group.de/blog/cyberspionage-d-link-zertifikate-verbreiten-malware/6410.
Lesen Sie mehr zum Thema
