István, Vajk
17 °C
22 °C

Így jutott be a vírus a világ leghíresebb vírusirtó cégéhez

2015.06.17. 11:49

A Kaspersky egy különlegesen kifinomult malware-t fedezett fel a saját rendszerében, melyet az előddel való nagy hasonlósága miatt Duqu 2.0-nak neveztek el. A biztonsági cég volt korábban az egyik, akik kutatták az előd Duqut. A kártevőt 2011-ben a BME-n működő magyar Crysys Lab kutatói írták le elsőként. A Duqu a Stuxxnet egyik elődjének tekinthető, kifinomult kiberfegyver, azok közül is a legösszetettebbek közé tartozik, utódja, a 2.0 pedig még ennél is bonyolultabb, jobban rejtőzködött.

 A szoftver vizsgálata még tart, és a cég vezetője tegnap jelentette be a hivatalos blogon, hogy újabb érdekességre bukkantak: a Duqu 2.0 legális, érvényes tanúsítványokat használt, mégpedig a tajvani „HONHAI PRECISION INDUSTRY CO. LTD.” aláírással – ezt a nagyvállalatot a legtöbben más néven ismerjük: Foxconn Technology Group, vagyis a világ egyik legnagyobb elektronikai gyártójáról van szó – írja az ITCafé.

Mindez azt jelenti, hogy még könnyebb volt terjeszteni a malware-t, mivel a Foxconn tanúsítványait a VeriSign adja ki, így a Windows is teljes mértékben megbízhatónak tartja, és engedi a kód futtatását a 64 bites kernelszinten – ezzel a kártékony program átveheti az irányítást a megfertőzött gép fölött.

A Kaspersky feltételezése szerint a tanúsítványokat a hardvergyártóktól szerezhették meg hekkeléssel – méghozzá nem is keveset, mivel a malware minden akcióhoz másikat használt, egy tanúsítványt csak egyszer vetettek be.

E felfedezésnek igen komoly következményei lehetnek, hiszen megrendítheti a bizalomra épülő tanúsítványi rendszerbe vetett hitet, lerombolhatja a jelenleg alkalmazott eljárás tekintélyét. A Kaspersky a publikálás előtt mind a Foxconnt, mind a VeriSign-t tájékoztatta a vizsgálat eredményéről .