Как утверждают ИБ-эксперты из команды Insikt Group компании Recorded Future, хакерами налажена продажа легитимных цифровых сертификатов для подписи вредоносных программ.
С помощью сертификатов разработчики осуществляют цифровую подпись программного обеспечения. Сертификат является гарантией, что код и контент безопасны для загрузки и установки. Современные операционные системы в большинстве своем запускают по умолчанию лишь подписанные приложения.
Приложения, имеющие цифровую подпись, сложно обнаружить, используя решения сетевой безопасности. Как утверждают исследователи, оборудование, которое применяет для сканирования сетевого трафика технологию DPI (deep packet inspection – углубленная проверка пакетов), не так эффективно в случае, если вредоносная программа имеет легитимный сертификат.
Эксперты обнаружили подпольный рынок по продаже легитимных сертификатов. Их стоимость колеблется в диапазоне 300-1600 долларов. Сертификаты расширенной проверки (Extended Validation Certificate, EV) стоят дороже. На продажу выставлены сертификаты, которые были выданы такими центрами сертификации, такими как Apple, Comodo, Symantec и Thawte.
Хакер под псевдонимом C@T начал предлагать сертификаты для вредоносных программ одним из первых. В марте 2015 года C@T выставил на продажу сертификаты Microsoft для подписи 32- и 64-битных версий разных исполняемых файлов, а также Marimba Channel Signing, Microsoft Office, Microsoft VBA и Netscape Object Signing.
Через два года еще три хакера начали продавать сертификаты на русскоязычных подпольных площадках. Двое из них все еще продолжают активно поставлять сертификаты киберпреступникам.