Kiberbiztonsági kutatók szerint több Iránhoz köthető fenyegetési csoport, köztük a Charming Kitten APT csoport egyik tagja, a Subtle Snail (UNC1549 néven követik nyomon), legitimnek tűnő rosszindulatú programokat terjesztett kódaláíró (code signing) tanúsítványok felhasználásával.
A Check Point és a Prodaft kutatók elemzése szerint a támadók a houstoni székhelyű SSL.com hitelesítés szolgáltató (certificate authority – CA) digitális tanúsítványait használták fel arra, hogy európai szervezeteket célozzanak meg backdoor-okkal és információlopó eszközökkel. A PKI (public key infrastructure) keretrendszerben működő vállalatok (mint például az SSL.com) kötelesek betartani a CA/Browser Forum követelményeket, ezáltal a CA-k által kiállított tanúsítványokat minden rendszer megbízhatónak tekinti, ami jelentősen növeli a támadások sikerességét.
A Prodaft vizsgálata alapján az UNC1549 által használt rosszindulatú bináris fájlok egy holland Insight Digital B.V. nevű cégnek kiállított tanúsítványokkal voltak aláírva. Emellett hasonló tanúsítványokat azonosítottak, melyeket a svédországi RGC Digital AB és a Sevenfeet Software AB nevű cégek részére adtak ki. Viszont a kutatók számára még nem egyértelmű, hogy ezek valós vállalatok, amelyeket kompromittáltak, vagy a támadók által létrehozott fiktív cégek.
A Dark Reading megállapította, hogy az Insight Digital és az RGC Digital weboldalaiban közös, hogy hiányoznak róluk az elérhetőségi adatok (telefonszám, e-mail cím), és ugyanaz a felirat látható rajtuk: “Fejlesztés alatt”. A kutatók kiemelték, hogy nemcsak az UNC1549 csoport él vissza ezekkel a tanúsítványokkal.
A korábban már említett CA/Browser Forum alapkövetelményei szigorúan szabályozzák a tanúsítványkiadást és a visszaélések kezelését. Ha bizonyíték kerül elő jogtalan használatra, a CA-nak 24 órán belül blokkolnia kell, majd öt napon belül vissza kell vonnia a tanúsítványt. A kutatók szerint jelen esetben az UNC1549-hez köthető hamis cégek gyenge online jelenléte és a hiányos adatok intő jelek lehettek volna a CA számára.
Védekezési lehetőségek
Annak ellenére, hogy a digitális tanúsítványokkal aláírt malware-ek nehezen észlelhetők, a szervezetek mégsem védtelenek. A Check Point által publikált kompromittálódási jelzések (hash-ek, domainek) beépíthetők a vállalati detektálási szabályokba, így az aláírás ellenére is azonosítható a kártevő. A Red Canary kutatói szerint a tanúsítvány metaadataiban is lehetnek árulkodó jelek, például a fájlnév és az aláíró közötti eltérések, vagy pedig a verzióinformációk.
