Cveta trgovina validnim sertifikatima na ruskim hakerskim forumima

Vesti, 17.10.2014, 09:30 AM

Umesto danonoćnog rada na pisanju koda, kriptovanju i izmenama malvera, autori malvera sada mogu da kupe validne digitalne sertifikate na crnom tržištu i tako uštede vreme i trud koji se moraju uložiti da bi njihovi proizvodi izbegli detekciju antivirusa.

U oglasu na jednom ruskom hakerskom forumu nude se na prodaju validni sertifikati jednog od najvećih serifikacionih tela, objavila je svoje otkriće kompanija SenseCy.

Forum na kome se pojavio taj oglas stručnjaci SenseCy prate već neko vreme, kao i druge ruske hakerske forume. Na ovom forumu, koji služi kao platforma za diskusije koji su u vezi sajber kriminala, hakovanja i programiranja, prodaju se finansijski malveri, ukradene baze podataka i exploiti.

Oglas u kome je jedan član foruma ponudio validne digitalne sertifikate objavljen je prvi put pre dva meseca. U prvoj poruci, autor posta je ponudio jedan sertifikat tražeći za njega 1000 dolara. Prema rečima prodavca, sertifikat se može koristiti za potpisivanje exe fajlova. Zainteresovani članovi foruma mogu kontaktirati prodavca putem Jabbera, servisa za razmenu poruka koji je veoma popularan među ruskim sajber kriminalcima.

Sledećeg dana, autor oglasa je objavio još jedan post u kome je rekao da je sertifikat koji je nudio prodat i da je on u mogućnosti da nabavi 1-2 sertifikata nedeljno, i da, ukoliko ima zahteva, može da nabavi i sertifikate za potpisivanje drajvera.

Na forumu su se potom pojavili i komentari kupaca koji su posvedočili da su sertifikati od pomoći za izbegavanje detekcije antivirusa, ali samo za infekcije određenih malvera. U slučaju masovne distribucije malicioznih programa, sertifikat bi bio povučen u roku od nekoliko dana.

Tokom diskusije, prodavac je istakao da se sertifikati mogu koristiti za .exe, .dll, .jar i .doc fajlove, ali ne i za .sys. fajlove (drajveri), kao i da se tako mogu izbeći svi mehanizmi proaktivne detekcije antivirusa, osim jednog.

Za dva meseca prodato je najmanje 7-10 sertifikata, što je prema proceni SenseCy, donelo prodavcu zaradu od oko 10000 dolara.

1000 dolara za validne sertifikate je veoma niska cena, s obzirom na to koliko hakeri mogu da zarade koristeći ovakve sertifikate u napadima, kažu iz SenseCy.

Iako su na forumu objavljeni različiti detalji o “robi” koju nudi ovaj prodavac, zajedno sa komentarima kupaca, nema informacija o tome o čijim je sertifikatima reč i kako je prodavac došao do njih. Ima više objašnjenja za to. Ili je u pitanju kompromitovanje organizacije koja kupuje ili preprodaje sertifikate, ili se radi o nelegalnoj preprodaji legalno kupljenih sertifikata.

SenseCy je upozorio da ćemo u bliskoj budućnosti možda biti svedoci distribucije potpisanih malvera, podsećajući na slučaj DigiNotara, holandske kompanije koja je izdavala sertifikate, čiji je bankrot bio rezultat hakerskog napada u kome je ukradeno na stotine sertifikata koji su između ostalog korišćeni i za špijuniranje korisnika Googleovog email servisa u Iranu.