Невероятно изощрённые и опытные взломщики, возможно имеющие отношение к
иранскому правительству или другому спонсируемому государством субъекту,
вторглись на административные сервера веб-аутентификации и незаконно скопировали
сертификаты почты Google и шести других важных сервисов, сообщил исполнительный
директор Comodo.
Атака, состоявшаяся 15 марта, распространялась с IP адресов, принадлежащих
иранскому интернет-провайдеру, и некоторые из похищенных учетных данных
тестировались из этой же страны, сообщил Мелих Абдулхайоглу, чья компания
является уполномоченной проверять достоверность учётных данных (certificate
authority). Другими веб-службами, на которые производили атаку, являлись
www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.com, и
login.live.com компании Microsoft.
"Все IP были из Ирана, и это установлено совершенно точно", – сказал
Абдулхайоглу. "Это не было похоже на атаку с применением брутфорса, которую
можно было бы ожидать от обычных киберпреступников. Она была хорошо отлажена и
продумана, можно сказать, хирургически точна, и взломщики определённо точно
знали, что именно им нужно сделать, и насколько быстро им придётся действовать".
Проникновение в систему позволило взломщикам получить ключи шифрования,
требуемые для создания SSL-сертификатов. Атака пришлась примерно на то же самое
время, когда неизвестная
группа людей похитила данные о системе безопасности SecurID компании RSA.
"Компании, занимающиеся аутентификацией, находятся под прямой атакой
правительства", – сообщил Абдулхайоглу. "Все мы реализуем некую степень
безопасности и предоставляем безопасную аутентификацию людям, и нас атакуют.
Причина атак - взломщики хотят получить доступ к каналам связи".
Comodo аннулировала поддельные учетные данные практически сразу после того,
как выяснилось, как они были созданы. Большинство современных браузеров сообщает
о фальсификации данных при их обнаружении. Но старые версии браузеров не
способны на это и проверка может быть отключена, что не исключает возможность
того, что учетные данные, при посещении атакуемых сайтов в незащищённых сетях,
могут быть подменены фиктивными.
Google, громогласно не афишируя, занёс в черный список "небольшое количество
сертификатов" через 2 дня после атаки, Mozilla и Microsoft предприняли
аналогичные действия для Firefox и Internet Explorer до вторника и среды
соответственно.
Абдулхайоглу отказался открывать имя регистратора, который подвергся взлому,
указав только, что он находится в южной Европе. Компания Comodo до сих пор не
знает, как данный registration authority был взломан, но исследователи выяснили,
что учетные записи других партнёрских организаций, не имеющих отношения к
Comodo, были также взломаны примерно в то же самое время.
Абдулхайоглу подчеркнул, что он не может ни подтвердить ни опровергнуть
информацию к кому относилась атака на компанию RSA или кем она была
спонсирована.
