venerdì 30 gennaio 2015

Kaspersky: raddoppiano i certificati digitali falsi per firmare malware


Secondo Kaspersky Lab, nell’ultimo anno è raddoppiato il numero dei certificati non attendibili utilizzati per firmare i software nocivi. Infatti, a fine 2014 il database dell’azienda comprendeva più di 6.000 di questi certificati. Tenendo conto dell’aumento delle minacce legate alla firma di file dannosi, i nostri esperti avvertono gli amministratori di sistema e gli utenti di verificare prima di fidarsi delle firme digitali e di non tenere conto solo della fama che precede la firma. 

“Gli hacker rubano e imitano firme notoriamente affidabili per ingannare gli utenti e le soluzioni antivirus. Kaspersky Lab ha osservato per anni gli attori APT utilizzare questa tecnica” ha commentato Morten Lehn, Managing Director di Kaspersky Lab Italia. Il famigerato worm Stuxnet usava certificati rubati da Realtek e JMicron. Il codice del worm Stuxnet risultava professionale ed elitario e gli esperti hanno trovato prove dell'utilizzo di vulnerabilità zero-day estremamente costose. 

La banda Winnti rubava certificati da aziende gaming compromesse e li riutilizzava per nuovi attacchi.  Il gruppo Winnti si è reso responsabile, a partire dall’anno 2009, di numerosi assalti informatici eseguiti nei confronti di società dedite allo sviluppo e alla pubblicazione di giochi per computer. Nel corso degli anni, il gruppo di cybercriminali in questione si è ugualmente “specializzato” nella sottrazione illecita del codice sorgente relativo a vari progetti di giochi online.

Inoltre, sono stati rilevati esempi degli stessi certificati usati in attacchi lanciati da gruppi di hacker cinesi, il che suggerisce la presenza di un mercato nero. Il gruppo Darkhotel era solito firmare la sua backdoor con certificati digitali e aveva accesso ai codici segreti necessari per creare certificati falsi. I criminali che si celavsno dietro a Darkhotel avevano stabilito un’efficace intromissione nella rete dell’hotel, che, negli anni, ha permesso di accedere anche a sistemi che si pensava fossero privati e sicuri.  

Durante i viaggi,  dovrebbero essere considerate come potenzialmente pericolose tutte le reti, anche quelle semi-private degli hotel. Per ridurre il rischio di avviare nuovi malware che gli antivirus ancora non sono in grado di riconoscere ed evitare che il vostro computer li identifichi come certificati digitali validi, è necessario mantenere un maggior controllo sulle firme dei file con un’adeguata protezione antivirus e rispettare le policy di sicurezza: 

  1. Imporre il divieto di lanciare programmi firmati digitalmente da un vendor di software sconosciuto: la maggior parte dei certificati rubati vengono da piccoli sviluppatori.
  2. Non installare in memoria certificati provenienti da centri di certificazione sconosciuti
  3. Non tenere conto solo della notorietà del certificato quando si acconsente a lanciare un programmi certificato. Controllare anche il numero di serie e la fingerprint del certificato (hash sum).
  4. Installare l’aggiornamento Microsoft MS13-098, elimina l’errore che può includere informazioni aggiuntive sul file firmato senza violarne la firma.
  5. Usare una soluzione antivirus che abbia a disposizione un suo proprio database di certificati affidabili o da evitare.

Per ulteriori informazioni, leggere il blog post disponibile su Securelist.com. Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L’azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 17 anni di storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende Per ulteriori informazioni: www.kaspersky.com/it.



* L'azienda si è posizionata al quarto posto nel, 2013 di IDC.

Nessun commento:

Posta un commento