Исследователи обнаружили свободно циркулирующее вредоносное ПО, которое
использует цифровую подпись, принадлежащую правительству Малайзии, для того,
чтобы обойти предупреждения о безопасности операционных систем и ПО для
обеспечения безопасности.
Согласно Микко Хиппонену, главному научному сотруднику F-Secure, украденный
сертификат принадлежит Малайскому сельскохозяйственному
научно-исследовательскому институту. Он обнаружил, что сертификат используется
для подписи вредоносных программ, распространяемых путем рассылки
"заминированных" PDF-файлов. Используя официальную подпись для того, чтобы
подтвердить достоверность вредоносного приложения, атакующие имели возможность
обойти предупреждение Microsoft Windows, обычно появляющееся при попытке
пользователя установить неподписанное приложение.
"Вредоносное ПО распространялось с помощью зараженных PDF-файлов и
устанавливалось на компьютер после взлома Adobe Reader 8", - написал Хиппонен в
понедельник в своем
блоге. "Вредоносное ПО загружало дополнительные вредоносные компоненты с
сервера под названием worldnewsmagazines.org. Некоторые из этих компонентов тоже
были подписаны, хотя в этом случае они загружались с сайта под названием
www.esuplychain.com.tw".
Скомпрометированные сертификаты, обнаруженные F-Secure, подписаны
anjungnet.mardi.gov.my. Срок их действия истек в конце сентября. Хиппонен
сообщил, что малайские власти указывают на то, что сертификат был украден
"достаточно давно".
