D-Link hat mit Firmware-Update reagiert

PSW Group: Gestohlene digitale Zertifikate von D-Link klassifizieren Malware als valide

02. November 2018, 08:00 Uhr   |  Von Dr. Jörg Schröper.

PSW Group: Gestohlene digitale Zertifikate von D-Link klassifizieren Malware als valide

Cyber-Kriminellen ist es offenbar gelungen, Zertifikate von D-Link, Hersteller von Kameras und Routern, zu entwenden. Die erbeuteten Code-Signing-Zertifikate wurden für die Verbreitung von gleich zwei Schädlingsfamilien genutzt: Zum einen für die Schadsoftware "Plead". Dies ist ein ferngesteuertes Backdoor-Programm, mit dessen Hilfe Cyber-Kriminelle aus der Ferne Zugriff auf kompromittierte Rechner erhalten. Von dort können sie Daten stehlen oder weiteren Schadcode einschleusen. Zum anderen für ein Modul, das mit Plead in Verbindung steht und Kennwörter aus Browsern und Outlook entwendet.

crew-heutger1
©

Christian Heutger, Geschäftsführer der PSW Group.

Warum diese neue Malware-Welle so tückisch ist, erklärt IT-Sicherheitsexperte Christian Heutger, Geschäftsführer der PSW Group (www.psw-group.de): "Um ihre Angriffe und ihre Cyber-Spionage zu verschleiern, sind gestohlene Zertifikate leider ein beliebtes Mittel. Das Problem ist, dass Sicherheitsmechanismen damit ganz einfach ausgehebelt werden. Gestohlene Signaturen klassifizieren nämlich eine Malware durchaus als valide Software, sodass die Spionage-Aktion gar nicht auffällt."

Bei den entwendeten Daten handelt es sich um sogenannte Code-Signing-Zertifikate. Diese dienen als digitale Signatur, um die Identität des Entwicklers sowie die Integrität des Programmcodes zu bestätigen. Auf diese Weise schafft das Zertifikat mehr Vertrauen in eine Applikation und signalisiert dem Anwender, dass die heruntergeladene Software authentisch ist und nicht manipuliert wurde. So basierten laut der PSW Group die hauseigenen Code-Signing-Zertifikate auf der unabhängigen Zertifizierung des Codes durch eine dritte, vertrauenswürdige Instanz und werden standardmäßig mit dem Unterzeichnungsalgorithmus SHA-2 ausgestellt. "Es ist bemerkenswert, dass es den Angreifern überhaupt gelingen konnte, ein Technologieunternehmen wie D-Link zu kompromittieren und dessen Code-Signing-Zertifikate für Angriffe zu nutzen. Das vermag nicht jeder und zeigt, dass es sich um sehr gut ausgebildete Cyber-Kriminelle handeln muss", so Heutger.

Für die betroffenen Geräte hat D-Link bereits Firmware-Updates herausgegeben. Unter der Adresse "de.mydlink.com/download" finden Betroffene die Updates. Auf die Bedrohung reagierte D-Link zudem mit dem Rückruf der betroffenen Zertifikate.

Weitere Informationen stehen unter: www.psw-group.de/blog/cyberspionage-d-link-zertifikate-verbreiten-malware/6410.

Dr. Jörg Schröper ist Chefredakteur der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

PSW Group: Auch Vereine müssen DSGVO-Vorgaben einhalten
Linux 4.16 mit Spectre- und Meltdown-Absicherung
PSW Group kritisiert automatischen Login bei Google Chrome V69

Verwandte Artikel

Cyber-Angriff

D-Link

IP-Kamera