Киберпреступники все чаще используют украденные цифровые сертификаты для подписи вредоносного кода. Действительная подпись помогает им избежать детектирования антивирусами и другим защитным программным обеспечением. Эксперты Kaspersky Lab обнаружили на прошлой неделе, что код трояна Mediyes подписан цифровым сертификатом, выданным Symantec швейцарской фирме Conpavi. Symantec отозвала сертификат Conpavi, которым был подписан Mediyes, и начала процесс расследования произошедшего для принятии мер по недопущению подобных инцидентов в будущем. По оценкам Kaspersky Lab на прошлой неделе около пяти тысяч компьютеров пользователей, в основном в Западной Европе, были инфицированы трояном Mediyes. «Закрытый ключ для Conpavi не был защищён должным образом, — отметил Квентин Лю (Quentin Liu), старший технический директор подразделения Symantec. — Кто-то получил к нему доступ». Для этого типа цифрового сертификата закрытый ключ находится у владельца сертификата, в данном случае — у Conpavi. Пока не известно, был ли закрытый ключ украден инсайдером или в результате атаки Conpavi извне. Но этот инцидент указывает на риски, связанные с закрытыми ключами шифрования и безопасностью их хранения. Symantec развивает метод защиты от вредоносных программ, основанный на оценке риска, учитывающей несколько факторов, чтобы быстро определить, доброкачественный код или злонамеренный. «Цифровая подпись кода в этом методе имеет преимущество, — говорит Лиам О Мурчу (Liam o Murchu), менеджер Symantec. — Если злоумышленники могут выяснить, как обойти обнаружение, эта система должна быть изменена».
Нет комментарий