Aktuelle Spionage-Malware hat dank geklauten Signaturen freie Bahn

überwachung, Spionage, Feuer, Mittelerde, Auge, Sauron Bildquelle: SELUXKANAUR (CC BY-ND 3.0)
Die Entwickler von Viren müssen sich jetzt nicht einmal mehr darauf verlassen, wirkungsvolle Exploits in der Hand zu haben. In einem aktuellen Fall kann ihre Malware auf den Geräten der Opfer wirken, weil der Router-Hersteller D-Link es nicht nicht geschafft hat, ordentlich auf seine Krypto-Zertifikate aufzupassen.
Geklaute D-Link-ZertifikateMalware mit D-Link-Zertifikat signiert
Es deutet alles darauf hin, dass dem Unternehmen die fraglichen Zertifikate schlicht gestohlen wurden. Und das ist ein gravierendes Problem, da die Firma so durch ihre Fahrlässigkeit nicht mehr nur jene User in Gefahr bringt, die sich einen Router des Herstellers gekauft haben - diese tauchen ja ohnehin häufig genug im Zusammenhang der Berichte über Sicherheitslücken auf.

Die Malware-Analysten des Sicherheitsunternehmens Eset haben jetzt zumindest eine aktuelle Malware-Kampagne entdeckt, bei der die Schadcodes unter anderem mit einem D-Link-Zertifikat signiert waren. Genau die gleiche digitale Unterschrift war in der Vergangenheit an Software angehängt, die wirklich von dem Router-Hersteller stammte.

Entsprechend schwerwiegend ist natürlich das Problem. Denn die Schutzvorrichtungen verschiedener Betriebssysteme vor potenziell schädlichen Codes basieren auf entsprechenden Signaturen. Software ohne entsprechende digitale Unterschrift wird nicht einfach so ausgeführt, sondern nur nach Rücksprache mit dem Anwender beziehungsweise einer anderen Prüfung. Signierte Malware hingegen hat freie Bahn und kann die Security-Schranken passieren.

Freie Bahn für Spionage-Tools

Und das wurde im konkret entdeckten Fall auch gleich umfassend ausgenutzt. Das D-Link-Zertifikat kam in zwei verschiedenen Malware-Samples zum Einsatz - eines öffnete eine Backdoor in infizierte Systeme, ein zweites diente dem Ausspionieren von Passwörtern. Die beiden Viren wurden dabei gezielt gegen Ziele in Asien zum Einsatz gebracht und hinter den Attacken soll die inzwischen schon bekannte Gruppe BlackTech stecken.

Es kann aber natürlich nicht ausgeschlossen werden, dass die Signaturen zukünftig auch von anderen Malwares genutzt werden. Wenn eine Software, die heruntergeladen und installiert werden soll mit einem D-Link-Zertifikat um Erlaubnis fragt, sollte man aktuell doch besser die Finger davon lassen. Gleiches gilt für Zertifikate, die von Changing Information Technology ausgestellt wurden. Die entsprechenden Security-Listen in den Betriebssystemen werden für gewöhnlich spätestens mit dem nächsten Sicherheits-Update um aktualisierte Verzeichnisse ergänzt.

Immer wieder fällt D-Link auf:

überwachung, Spionage, Feuer, Mittelerde, Auge, Sauron überwachung, Spionage, Feuer, Mittelerde, Auge, Sauron SELUXKANAUR (CC BY-ND 3.0)
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 08:55 Uhr TEYADI Extreme Portable SSD 128/256GB, USB 3.1 Gen 2, Super schnelles Lesen und Schreiben, Externer Speicher für Latop, Desktop, MacBook, Tablet, Android PhonesTEYADI Extreme Portable SSD 128/256GB, USB 3.1 Gen 2, Super schnelles Lesen und Schreiben, Externer Speicher für Latop, Desktop, MacBook, Tablet, Android Phones
Original Amazon-Preis
60,99
Im Preisvergleich ab
99,99
Blitzangebot-Preis
48,79
Ersparnis zu Amazon 20% oder 12,20
Im WinFuture Preisvergleich

Video-Empfehlungen

Tipp einsenden