Дальнейший анализ последней версии Stuxnet говорит о том, что
червь Duqu мог атаковать центры
сертификации, чтобы заполучить легальные ключи и замаскироваться под доверенное
приложение.
Пока Symantec продолжает анализ Duqu, новейшего зловреда, атаковавшего фирмы
промышленного контроля и базирующегося на черве Stuxnet, другие исследователи
считают, что центры сертификации также могли попасть в число его жертв.
Компания Symantec опубликовала предварительный анализ Duqu 18 октября.
Похоже, что Duqu сосредотачивается на системах промышленного контроля, но, в
отличие от Stuxnet, его целью является сбор информации, а не поломка
оборудования. Однако пара исследователей из McAfee заметили, что команда,
стоящая за Duqu, могла попутно навредить и центрам сертификации.
Исследователи из компании McAfee, Гиллерме Венерэ и Питер Зор уверены, что
Duqu был создан для шпионажа и запуска нацеленных атак на центры сертификации.
При том, что в Symantec рассказали о нескольких компаниях из Европы, которые
стали жертвами Duqu, команда Symantec Security Response не смогла представить ни
каких-либо подробностей об этих компаниях, ни примеров информации, которая могла
быть украдена.
Основываясь на своем собственном анализе, Венерэ и Зор утверждают, что Duqu
использовался в "профессиональных, нацеленных атаках" на различные центры
сертификации в Европе, на Среднем Востоке, в некоторых регионах Азии и Северной
Африки.
"Скорее всего, ключ, как и в предыдущих двух случаях, не был украден, а
вместо этого был напрямую сгенерирован от имени компаний в центре сертификации в
ходе прямой атаки", - написали Венерэ и Зор, заметив, что Stuxnet тоже
использовал два цифровых сертификата, принадлежащих компаниям в Тайване.
В McAfee Labs посоветовали центрам сертификации "тщательно проверить" свои
системы, чтобы удостовериться, что они не подверглись влиянию Duqu или других
"вариаций". Согласно McAfee, цифровой сертификат, который использовался Duqu,
принадлежал тайваньской компании C-Media Electronics. Очень вероятно, что его
никто не крал, а он просто был законным образом выпущен подвергнутым атаке
центром сертификации.
Сомнительный сертификат 14 октября был аннулирован центром сертификации
VeriSign, который недавно приобрела компания Symantec. Однако, проведя внутренне
расследование, в Symantec заявили, что частный ключ, использованный в
сертификатах, был украден у клиентов компании. Согласно Symantec, сертификаты не
были получены у VeriSign обманным путем. Компания применяла "корректные
процессы" для аутентификации и проверки сертификата по запросу своего законного
клиента.
"Корневые и промежуточные центры сертификации компании Symantec не
подвергались риску. И также не было никаких трудностей касательно центров
сертификации, их посредников, и других брендов и сертификатов VariSign и Thawte",
- сказали в Symantec.
"Полученный преступниками сертификат SSL аутентифицировался и использовался
преступниками для подписи файлов драйвера Duqu, согласно Symantec. Это позволило
Duqu действовать как доверенное приложение и соединяться с другими системами и
приложениями в рамках сети, потому что его компоненты были подписаны "настоящим"
сертификатом", - сказал в интервью eWEEK Джеф Хадсон, президент компании Venafi.
"Организации должны провести полную инвентаризацию всех сертификатов,
выпущенных центрами сертификации, проверить их и узнать, какие из них относятся
к политике компании. Таким образом администраторы поймут, какие из них не
совместимы с политикой и смогут отозвать их", - добавил Хадсон.
"IT отделам нужно вкладываться в "надежные инфраструктуры регистрации
данных", чтобы замечать связи с неизвестными, иностранными хостами", - сказал в
интервью eWEEK Билл Рот, главный директор по маркетингу компании LogLogic. "Не
проверять свои сети с помощью инфраструктуры управления регистрации данных – это
то же самое, что покупать для охраны своего дома фальшивые камеры наблюдения.
Обязательно обворуют", - добавил он.
"Дело не только в регистрации данных. Организациям нужно использовать
различные инструменты для обнаружения и блокирования подозрительной активности",
- объяснил в интервью eWEEK Джейсон Льюис, главный директор по технологиям
компании Lookingglass. "Сюда может включаться веб-прокси для контроля над
сайтами, которые посещают работники, firewall и система предотвращения вторжения
могут блокировать вредоносный трафик, а двухфакторную аутентификацию лучше всего
использовать для защиты аккаунтов и служб, нежели только паролей", - рассказал
Льюис. "Использование всех этих инструментов вкупе значительно увеличивает шансы
быстро пресечь вредоносную деятельность", - добавил он.