Специалисты Trend Micro сообщают, что произошло ожидаемое: хакеры начали использовать бесплатные сертификаты Let's Encrypt для доставки малвари на устройства своих жертв.
С самого начала было ясно, что злоумышленникам должен понравиться проект Let’s Encrypt, в рамках которого был создан новый центр сертификации, раздающий цифровые сертификаты для шифрования трафика по HTTPS всем и бесплатно. К сожалению, такие сертификаты не только помогут администраторам сайтов зашифровать трафик пользователей, но и могут послужить отличным прикрытием для распространения малвари.
Сотрудник Trend Micro Джозеф Чен (Joseph Chen) рассказал о первом прецеденте такого рода. В конце декабря 2015 года японские пользователи заразились малварью, которая поставлялась в зашифрованном HTTPS-трафике, с применением сертификата Let's Encrypt. Пораженный сайт распространял небезызвестный Angler Exploit Kit, который предназначен для хищения средств с банковских аккаунтов жертв.
Исследователь пишет, что злоумышленники скомпрометировали некий неназванный веб-сервер, создали на нем собственный поддомен и получили для него бесплатный сертификат. Установив сертификат Let's Encrypt на сервер, хакеры разместили на поддомене вредоносную рекламу, через которую и распространялся Angler. Обычно для проведения подобных атак злоумышленники используют ворованные SSL-сертификаты, покупая их на черном рынке, но теперь у них появилась альтернатива.
Чен считает, что руководству проекта Let's Encrypt нужно предпринимать какие-то меры для предотвращения подобных инцидентов в будущем. Стоит хотя бы проводить более тщательные проверки, а не просто полагаться на данные Safe Browsing API компании Google.
Исполнительный директор Internet Security Research Group Джош Аас (Josh Aas) с этим не согласен. Он сообщил, что руководство Let's Encrypt продолжает придерживаться официальной позиции, которая была описана в официальном блоге еще в октябре минувшего года. Согласно этой записи, проект отказывается даже аннулировать спорные сертификаты.
«Мы считаем, что экосистема сертификатов — неподходящий механизм для контроля фишинга и вредоносного ПО в сети. Другие механизмы, такие как Safe Browsing, SmartScreen или, в данном случае, внутренние системы контроля рекламных сетей, будут более эффективны и подходят для решения данной задачи куда лучше, — прокомментировал Аас изданию The Register. — Перед выдачей сертификата, мы проводим проверку фишингового статуса через Google Safe Browsing API, никаких действий после этого мы не предпринимаем».