Certificados robados de D-Link utilizados para firmar malware que roba contraseñas

 

Este no es el software de cámara IP que todos creíamos.

Recientemente hackers robaron certificados de firma de código del fabricante de enrutadores y cámaras D-Link y otra empresa taiwanesa, empleándolos para esparcir malware que roba contraseñas y backdoors de PCs, dijeron especialistas en borrado seguro de datos en días pasados.

Los certificados se usaron para verificar criptográficamente que D-Link y Changing Information Technology emitieron software legítimo. Microsoft Windows, macOS de Apple y la mayoría de otros sistemas operativos confían en las firmas criptográficas producidas por dichos certificados para ayudar a los usuarios a garantizar que los archivos ejecutables adjuntos a correos electrónicos o descargados en sitios web hayan sido desarrollados por compañías confiables en lugar de agentes maliciosos disfrazados de otras compañías.

De alguna manera, los miembros de un grupo avanzado de hackers conocido como BlackTech obtuvieron los certificados pertenecientes a D-Link y Changing Information Technology, mencionaron los expertos en borrado seguro de datos. Los atacantes luego usaron los certificados para firmar dos piezas de malware, una de ellas es un backdoor controlado remotamente y la otra es un ladrón de contraseñas. Ambas piezas de malware se conocen como Plead y se usan en campañas de espionaje contra objetivos ubicados en el este de Asia.

Especialistas en borrado seguro de datos recientemente documentaron los ataques con malware Plead. Según informes del Instituto Internacional de Seguridad Cibernética, algunos proveedores de servicios de antivirus han investigado el malware también.

Según reportes especializados, la capacidad de comprometer varias compañías de tecnología y reutilizar sus certificados de firma de códigos en ataques muestra que este grupo es altamente calificado y muestra especial interés en esa región del mundo.

No lo intente en casa

En un comunicado, funcionarios de D-Link dijeron que dos certificados separados de firma de código fueron desviados recientemente por un “grupo de ciberespionaje altamente activo”. Dijeron también que la mayoría de los clientes de D-Link no se verán afectados por el robo, pero también sugirió que algunas personas pueden experimentar errores al ver las cámaras IP de mydlink dentro de los navegadores web. Los ingenieros de la compañía están en el proceso de liberar el firmware actualizado para corregir los errores. Las personas que usan aplicaciones móviles de mydlink no se ven afectadas.

Tanto D-Link como Changing Information Technology han revocado los certificados robados. Hasta que se emita el firmware de D-Link, la compañía recomienda a las personas que desean usar navegadores para ver sus cámaras D-Link afectadas que ignoren temporalmente las advertencias de revocación de certificados. Aunque este podría ser un mal consejo que los operadores de malware podrían abusar.

El ejemplo más conocido de malware que abusaba de los certificados de firma de código robados era el gusano Stuxnet, que atacó el programa de enriquecimiento nuclear de Irán hace casi una década. El malware utilizaba certificados legítimos pertenecientes a RealTek y JMicron que son, como D-Link y Changing Information Technology, empresas de tecnología con sede en Taiwán.

El año pasado, investigadores publicaron documentos que mostraban que el malware firmado por certificados de firma de código confiables era más común de lo que la mayoría de la gente creía. A principios de este año, los investigadores documentaron varios servicios clandestinos que vendieron credenciales de firma falsificada. Los robos reportados son una indicación de que los certificados sustraídos siguen siendo una técnica ampliamente utilizada para ocultar software malicioso.