Fahrlässigkeit des Herstellers gefährdet Nutzer
Wie winfuture.de aktuell informierte deutet alles darauf hin, dass dem Unternehmen die fraglichen Zertifikate schlicht gestohlen wurden. Und das ist ein gravierendes Problem, da die Firma so durch ihre Fahrlässigkeit nicht mehr nur jene User in Gefahr bringt, die sich einen Router des Herstellers gekauft haben - diese tauchen ja ohnehin häufig genug im Zusammenhang der Berichte über Sicherheitslücken auf.
So haben die Sicherheitsexperten von ESET gerade eine Kampagne entdeckt, die Schadcodes beinhaltete, die mit einem D-Link-Zertifikat signiert waren. Genau die gleiche digitale Unterschrift war in der Vergangenheit an Software angehängt, die wirklich von dem Router-Hersteller stammte. Ein schwerwiegendes Problem, dass die Malware-Analysten da entdeckt hatten. Gewährt doch die offizielle Signatur der Malware „freien Zutritt“.
D-Link Zertifikat in zwei Malware-Samples
Wie weiter dazu verlautete kam das D-Link Zertifikat in zwei verschiedenen Malware-Samples zum Einsatz.
- eines öffnete eine Backdoor in infizierte Systeme,
- ein zweites diente dem Ausspionieren von Passwörtern.
Die beiden Viren wurden dabei gezielt gegen Ziele in Asien zum Einsatz gebracht und hinter den Attacken soll die inzwischen schon bekannte Gruppe BlackTech stecken.
Vorsicht bei D-Link Zertifikaten
Es kann aber natürlich nicht ausgeschlossen werden, dass die Signaturen zukünftig auch von anderen Malwares genutzt werden. Wenn eine Software, die heruntergeladen und installiert werden soll mit einem D-Link-Zertifikat um Erlaubnis fragt, sollte man aktuell doch besser die Finger davon lassen. Gleiches gilt für Zertifikate, die von Changing Information Technology ausgestellt wurden, rät winfuture.de. Die entsprechenden Security-Listen in den Betriebssystemen werden für gewöhnlich spätestens mit dem nächsten Sicherheits-Update um aktualisierte Verzeichnisse ergänzt.
Weiterführende Links:
winfuture.de: Aktuelle Spionage-Malware hat dank geklauten Signaturen freie Bahn