A D-Link nevű ismert router- és webkameragyártótól és egy másik tajvani cégtől, a Changing Information Technologytól lopott tanúsítványokkal aláírt kártevő programokat terjesztett egy ismert hekkercsoport – írja az Ars Technica.

Legitim cégek ilyen tanúsítványokkal szokták igazolni például az operációs rendszerek felé, hogy egy programot valóban ők adtak ki – tehát azok nyugodtan letölthetők és telepíthetők –, és nem csalók próbálnak visszaélni a nevükkel. Az ESET kiberbiztonsági cég viszont kiszúrta, hogy a BlackTech nevű hekkercsoport valahogy megszerezte a két tajvani cég tanúsítványait, amelyekkel két kártevő programot is aláírtak a cégek nevében. Az egyik programmal távoli elérésű hátsó ajtót (titkos hozzáférést biztosító kémprogramot) lehet telepíteni pécékre, a másikkal pedig jelszavakat lehet lopni. A kettőnek együtt a Plead nevet adták a biztonsági kutatók.

A BlackTech egy kiberkémkedésre szakosodott csoport, amely kifejezetten Kelet-Ázsiára, azon belül is különösen Tajvanra, és ritkábban Japánra és Hongkongra összpontosít. A csoport leginkább különböző cégek technológiáinak az ellopásával foglalkozik.

Maga a módszer egyébként nem újdonság. Az első ilyen ismert eset 2003-ban történt, a leghíresebb kártevő pedig, amelyhez lopott tanúsítványt használtak fel, az iráni atomprogramot megbénító hírhedt Stuxnet volt. De egy tavalyi felmérés szerint az operációs rendszerek által megbízhatónak ítélt tanúsítvánnyal aláírt kártevők jóval gyakoribbak, mint gondolnánk. Külön feketepiaca is van a lopott tanúsítványoknak.

A mostani eset felfedezése után a D-Link és a Changing Information Technology is visszavonta az érintett tanúsítványokat, és már készülnek az érintett termékekre a frissítések.