卡巴斯基:Duqu2.0病毒使用的數字證書竊取自富士康
責編:mhshi |2015-06-16 17:13:57關于伊朗核問題六方會談、富士康科技
由美國、俄羅斯、中國、英國、法國和德國參加的“P5+1”(伊朗核問題六方會談)會談,一直斷斷續續進行。自去年以來,“P5+1”會談分別在日內瓦、洛桑、慕尼黑和維也納等地舉行。
富士康科技是臺灣鴻海精密集團在大陸投資興辦的高新科技企業,其客戶包括蘋果、黑莓、谷歌、華為以及微軟等多家全球最大的電子制造商。
Duqu病毒家族簡介
攻擊卡巴斯基的病毒是Duqu2.0,疑似和2011年發現的Duqu病毒同屬一個開發者。Duqu最早出現在2011年9月,是繼Stuxnet蠕蟲后最為惡性的一種可竊取信息的蠕蟲。可以說是Stuxnet之子,所以危害程度就不言而喻了。
Stuxnet可能是美國黑客和以色列黑客共同開發的,而Duqu1.0和Duqu2.0可能是以色列獨立自主開發的。而這三種病毒使用的數字證書均來自臺灣。Stuxnet使用2種數字證書:一個來自瑞昱半導體公司,一個來自智微科技;Duqu1.0的數字證書來自于驊訊電子;Duqu2.0的數字證書來自于富士康。
為什么要竊取數字證書?
數字證書是互聯網通訊中標志通訊各方身份信息的一串數字,提供了一種在Internet上驗證通信實體身份的方式,也是電子商務和大規模網上自動化交易的基礎。它會在瀏覽器和電腦操作系統上標記哪些軟件是可信的,所以,如果攻擊者想在目標電腦上安裝惡意軟件而不被發現的話,就需要得到合法數字證書的簽名。
近年來盜竊數字證書的案例愈發頻繁,網絡間諜們會利用盜來的數字證書將惡意軟件偽裝成來自合法電腦的安全軟件,然后實施間諜活動。
卡巴斯基系統遭病毒攻擊時使用的是富士康的證書,而就在幾天前又有人在VirusTotal上上傳了一個驅動文件,而這個驅動文件使用的數字證書也是富士康的證書,也就是說Duqu2.0又找到了一個新的目標。
卡巴斯基在周一的總結報告中稱,“Duqu攻擊者是唯一訪問這些證書的人,這進一步印證,他們侵入硬件制造商的目的是為了獲取這些數字證書。”關于失竊數字證書事宜,目前卡巴斯基已通知了富士康,但富士康尚未發表任何評論。
為什么攻擊者入侵卡巴斯基實驗室非要使用來自富士康的數字證書呢?原因很簡單,因為卡巴斯基所使用的服務器是64位windows服務器,而在服務器上進行惡意操作必須得有效數字證書簽名的驅動,而富士康數字證書在業內很是出名,所以就莫名的躺槍了……
取勝之鑰:入侵驅動
驅動是成功入侵卡巴斯基的關鍵。因為Duqu2.0工具大多存儲在卡巴斯基系統的內存里,一旦受害者的系統重新啟動了,那惡意軟件就會隨之消失,磁盤上也不會留下任何的文件。為了解決這一問題,攻擊者就需要將驅動放到同一網絡下其他的機器上,這樣如果一臺機器重啟了,驅動就會在另一臺未被感染的機器上重新啟動。
有了0day還有必要使用數字證書嗎?
估計所有的人都會發出同樣的疑問,Duqu2.0明明就擁有了3個windows 0day漏洞,無需數字證書照樣可以成功入侵系統,干嘛還多此一舉去盜竊別人的證書呢?研究人員猜想可能是做的第二手準備(Plan B),如果受害者系統上的0day漏洞被修復了,那就可以用第二種方案入侵。戲劇性的是,就是Plan B暴露了他們的行蹤。
至于有些媒體指出的,富士康科技集團是否是被以色列黑客入侵……
下一篇:惡意廣告正在占領荷蘭新聞網站