Kiberbűnözők loptak meg egy biztonsági céget

A kiberbűnözők a biztonsági cégeket sem kímélik, amikor a támadásaikat végrehajtják. Legutóbb pedig ugródeszkaként használtak egy védelmi megoldásokat fejlesztő céget a valódi célpontjaik elleni károkozásaik során.
 

Az elmúlt években már többször beigazolódott, hogy a legnagyobb biztonsági cégek is éppen olyan célpontokká válhatnak, mint az ügyfeleik. A biztonsági réseket ugyanis a kiberbűnözés könyörtelenül kihasználja mit sem törődve azzal, hogy ki vagy mi az áldozat. Erre szolgáltatott példát az az incidens is, amely ezúttal a Bit9 és néhány ügyfele számára okozott kellemetlen perceket.

Az eddigi vizsgálatok szerint a Bit9 elleni támadás során valójában nem is a biztonsági cég volt az elsődleges célpont. A vállalat sokkal inkább ugródeszkaként szolgált az elkövetők számára ahhoz, hogy bizonyos szervezetek IT-infrastruktúrájába be tudják juttatni a nemkívánatos kódjaikat. Az történt ugyanis, hogy a támadóknak a Bit9 rendszeréből sikerült tanúsítványokat, illetve tanúsítványokhoz tartozó hitelesítési adatokat, kulcsokat megszerezniük. Ezeket arra használták fel, hogy a kártékony kódjaikat digitális aláírással lássák el. Ezáltal elérték, hogy az ártalmas programjaik látszólag a Bit9-tól származtak, ami megtéveszthette a védelmi alkalmazásokat. Különösen abban az esetben, ha egy cég alkalmazásbiztonsága nagymértékben épült a tanúsítványalapú fehérlistákra és kontrollokra.

A támadók számítása bejött, ugyanis a Bit9 jelezte, hogy három ügyfelénél sikerült feltárni olyan kódokat, amelyeket az eltulajdonított információk alapján digitális aláírással láttak el. A cég nem kívánta nyilvánosságra hozni az érintett három szervezet nevét. „Bár csak egy nagyon kis részét érintette az ügyfeleinknek az incidens, ha mindez csak egy ügyfelünkre lett volna hatással, az is sok lenne" - ismerte el a cég, amelynek figyelmét elsőként Brian Krebs, a neves biztonsági szakértő hívta fel a rendellenességekre.

Védelmi intézkedések

A Bit9 szerint a biztonsági eseményhez alapvetően egy üzemeltetési hiba járult hozzá, ami abban nyilvánult meg, hogy a hálózatában néhány számítógépre nem kerültek fel a saját termékei. Ez pedig ahhoz vezetett, hogy harmadik személyek hozzáfértek az aláíró tanúsítványokhoz, amiket aztán kártékony programokhoz használtak fel. A cég hangsúlyozta, hogy az incidens közvetlenül nem érintette a termékeit, illetve azok biztonságát.

Patrick Morley, a Bit9 elnök-vezérigazgatójának blogbejegyzéséből az derült ki, hogy a cég szakemberei megtették az ilyenkor szokásos intézkedéseket, és gondoskodtak a tanúsítványok visszavonásáról. Emellett a cég a saját biztonsági termékeihez kiadott egy olyan frissítést, amelynek révén felismerhetővé válhatnak az illetéktelen kezekbe került tanúsítványokkal való visszaélések. "Biztosak vagyunk benne, hogy a megtett lépésekkel sikerült kezelni az incidenst, és biztosítani azt, hogy hasonló problémák ne következhessenek be ismét" - nyilatkozta Morley. Majd hozzátette, hogy ezek az események is azt támasztják alá, hogy a támadások veszélye nagyon is valós, és a támadók rendkívül kifinomultak, ezért mindenkinek ébernek kell lennie.

Történt már ilyen

A Bit9 esete korántsem egyedülálló, hiszen korábban is volt példa tanúsítványokkal való visszaélésekre. Ezek közül az egyik legismertebb eset, amikor a Flame károkozó a Windows Update szolgáltatás mögé igyekezett bújni egy tanúsítvány-manipulációval. A Microsoft ezt követően határozott lépésre szánta el magát.

„A nyilvános kulcsokon alapuló titkosítási algoritmusok hatásossága attól függ, hogy mennyi időbe telik megállapítani találgatásos módszerekkel a titkos kulcsot. Az algoritmus akkor eléggé erős, ha a titkos kulcs visszafejtéséhez szükséges idő mennyisége elriasztónak bizonyul a rendelkezésre álló informatikai erőforrások mellett. A fenyegetettség mértéke egyre nő. Ezért a Microsoft tovább szigorítja az RSA-algoritmusokra vonatkozó követelményeket, és nem engedélyezi az 1024 bitesnél rövidebb kulcsok használatát” - tájékoztatott a Microsoft még a múlt évben.