Włamali się do Opery, opublikowali złośliwą aktualizację

dodał 26 czerwca 2013 o 19:58 w kategorii Włamania, Wpadki, Złośniki  z tagami:
Włamali się do Opery, opublikowali złośliwą aktualizację

Rzadko zdarzają się incydenty tej wagi. Opera Software, producent popularnej przeglądarki, ogłosił właśnie, że padł ofiarą włamania a włamywacze spreparowali, podpisali jego certyfikatem i opublikowali na serwerach firmy fałszywą aktualizację.

Dzisiejszy komunikat Działu Bezpieczeństwa Opera Software nie obfituje w szczegóły, jednak jego treść jest bardzo interesująca. Według opublikowanych informacji 19 czerwca pracownicy firmy odkryli i powstrzymali atak na sieć wewnętrzną. Choć wygląda na to, że dane użytkowników nie zostały ujawnione, to włamywacze uzyskali dostęp do innych krytycznych obszarów sieci.

Choć opis incydentu mówi o „ograniczonych skutkach”, to wydarzenia, które miały miejsce, nie wyglądają dobrze. Po pierwsze, włamywacze zdobyli certyfikat, używany do podpisywania plików przeglądarki Opera. Choć certyfikat był już nieważny, został wykorzystany do podpisania złośliwego oprogramowania, które udawało przeglądarkę.

Szczegóły skradzionego podpisu cyfrowego

Szczegóły skradzionego podpisu cyfrowego

Kolejny fragment wpisu jest jeszcze ciekawszy. Czytamy w nim:

Choć w informacji nie napisano tego wprost, wygląda na to, że włamywacze nie tylko podpisali złośliwy kod certyfikatem Opery, ale także udało im się przejąć kontrolę nad fragmentem infrastruktury firmy odpowiedzialnym za dystrybucję aktualizacji Opery i wymusić automatyczne pobranie i instalację złośliwego oprogramowania. Jeśli to prawda, to bez wątpienia jest to jeden z poważniejszych w skutkach incydentów tego typu. Nie chodzi tu o liczbę zainfekowanych stacji – kilka tysięcy to niewielka liczba w porównaniu z liczbą ofiar popularnych botnetów – lecz o źródło infekcji, którym okazała się firma tak zaufana, że użytkownicy jej produktów zgadzają się na automatyczną instalację aktualizacji jej oprogramowania.

Ważnym elementem incydentu jest także czas i sposób przekazania informacji użytkownikom. Informowanie klientów, że tydzień wcześniej mogli paść ofiarą infekcji, wydaje się być znacznie spóźnione. Z kolei jeśli ten tydzień miał być poświęcony na zebranie rzetelnych informacji o incydencie, to zabrakło ich w bardzo lakonicznym komunikacie. Ciągle nie wiemy, jaka wersja oprogramowania jest złośliwa, jaka jest jej sygnatura czy funkcjonalność. Znamy już sygnaturę oprogramowania  – obecnie wykrywa je 23/47 antywirusów i część z nich wskazuje, że jest to Zbot. Według serwisu VirusTotal plik pierwszy raz zaobserwowano 19 czerwca ok. godziny 11 pod nazwą Opera-12.15-1748.i386.autoupdate.exe. Pozostaje czekać na dalsze wyjaśnienia Opera Software.

PS. Opera nie jest pierwszą dużą firmą, której certyfikat został wykorzystany do podpisania złośliwego oprogramowania – całkiem niedawno opisywaliśmy podobne wpadki Bit9 i Adobe.