Hacker stehlen D-Link-Zertifikate

Cyberkriminellen ist es gelungen, Zertifikate von D-Link, einem Hersteller von Kameras und Routern, zu entwenden. Die erbeuteten Code-Signing-Zertifikate wurden für die Verbreitung von gleich zwei Schädlingsfamilien genutzt.

Zum ist dies die Schadsoftware "Plead", ein ferngesteuertes Backdoor-Programm, mit dessen Hilfe Cyberkriminelle aus der Ferne Zugriff auf kompromittierte Rechner erhalten. Von dort können sie Daten stehlen oder weiteren Schadcode einschleusen. Zum anderen ein Modul, das mit Plead in Verbindung steht und Passwörter aus Browsern und Outlook entwendet.



Bei den entwendeten Zertifikaten handelt es sich um sogenannte Code-Signing-Zertifikate von D-Link [1]. Diese dienen als digitale Signatur, um die Identität des Entwicklers sowie die Integrität des Programmcodes zu bestätigen. Auf diese Weise schafft das Zertifikat mehr Vertrauen in eine Applikation und signalisiert dem Anwender, dass die heruntergeladene Software authentisch ist und nicht manipuliert wurde.



Warum diese neue Malware-Welle so tückisch ist, erklärt IT-Sicherheitsexperte Christian Heutger, Geschäftsführer der PSW GROUP [2]: "Um ihre Angriffe und ihre Cyberspionage zu verschleiern, sind gestohlene Zertifikate leider ein beliebtes Mittel. Das Problem ist, dass Sicherheitsmechanismen damit ganz einfach ausgehebelt werden. Gestohlene Signaturen klassifizieren nämlich eine Malware durchaus als valide Software, sodass die Spionage-Aktion gar nicht auffällt."