แฮ็กเกอร์ใช้ Certificate ของ DLink ที่ขโมยมาเพื่อกระจายมัลแวร์

มีรายงานจาก ESET ผู้ให้บริการผลิตภัณฑ์ด้านความมั่นคงปลอดภัยว่าพบกลุ่มแฮ็กเกอร์ชื่อ BlackTech ที่ปฏิบัติการแถบเอเชียตะวันออกโดยเฉพาะไต้หวันได้ขโมย Certificate จาก D-Link และบริษัทด้านความมั่นคงปลอดภัย ชื่อ Changing Information Technology เพื่อนำไปใช้กระจายมัลแวร์ของตน

แคมเปญการกระจาย Plead (ฺBackdoor) ถูกพบมาตั้งแต่ปี 2012 โดยพุ่งเป้าไปที่หน่วยงานรัฐบาลไต้หวันและองค์กรเอกชนต่างๆ ทาง ESET ได้รายงานว่า Certificate ของ D-Link ถูกใช้กับผลิตภัณฑ์แบบปกติของ D-Link เองและพบในมัลแวร์ Plead ด้วยเช่นกัน เมื่อพบเหตุการณ์ดังกล่าวทาง D-Link ได้เรียกคืน Certificate 2 ใบที่ได้รับผลกระทบแต่ยืนยันว่าผู้ใช้งานจะไม่ได้รับผลกระทบครั้งนี้ ทางบริษัทกล่าวว่า “D-Link ได้ตกเป็นเหยื่อของผู้ก่อการร้ายไซเบอร์ที่ใช้มัลแวร์ PLEAD เพื่อขโมยข้อมูลลับจากบริษัทต่างๆ ในเอเชียตะวันออก เช่น ไต้หวัน ญี่ปุ่น และ ฮ่องกง”

จากการศึกษาโค้ดของมัลแวร์พบว่ามีโค้ดขยะปะปนอยู่เพื่อทำให้เกิดความสับสนแต่ทุกผลการกระทำมุ่งไปทางเดียวกันคือมีการดึง Shellcode ที่เข้ารหัสมาจากเซิร์ฟเวอร์ทางไกลหรือภายในดิสก์เพื่อไปดาวน์โหลดโมดูลสุดท้ายของ Plead เข้ามา ผลคือมัลแวร์สามารถขโมยรหัสผ่านจากบราวน์เซอร์หลักๆ ได้ เช่น Chrome, Firefox และ IE รวมถึงโปรแกรมอย่าง Microsoft Outlook และจากการวิเคราะห์ของทาง Trend Micro พบว่า Plead ยังสามารถเรียกแสดงลิสต์ของไดร์ฟ โปรเซส และเปิดหน้าต่างหรือไฟล์ของเครื่องเหยื่อได้ รวมถึงอัปโหลดไฟล์ เปิด Remote Shell และรันแอปพลิเคชันผ่าน ShellExecute API และลบไฟล์ต่างๆ ได้ เช่นกัน

การใช้งาน Code-signing (เป็นกระบวนการเพื่อให้มั่นใจว่าซอฟต์แวร์ที่เราจะนำเข้าไม่ได้มาจากแฮ็กเกอร์สามารถเชื่อถือได้) ในทางที่ผิดนี้ไม่ใช้เรื่องใหม่เพราะมีตัวอย่างให้เห็นมาหลายปีและนี่คือทางหนึ่งที่แฮ็กเกอร์สามารถหาประโยชน์จาก Digital Certificate ที่ถูกขโมยมานั่นเอง

ที่มา : https://www.securityweek.com/hackers-using-stolen-d-link-certificates-malware-signing