Skuteczne włamanie do sieci Opery: fałszywa aktualizacja przeglądarki roznosiła złośliwe oprogramowanie

Opera Software nie ma ostatnio łatwego życia – nie dość, żemusi się ze wszystkiego tłumaczyć swoim wiernym użytkownikom,niezadowolonym dramatycznymi zmianami, do jakich doszło zarówno wwersji mobilnej jak i desktopowej, to teraz musi się tłumaczyć zkonsekwencji ataku wymierzonego w firmową sieć. Mówiąc w skrócie,napastnikom udało się wykraść certyfikat wykorzystywany dopodpisywania aktualizacji przeglądarki i za jego pomocą podpisaćbinarkę, zawierającą całkiem spory zestaw złośliwegokodu. Plik trafił do kanału aktualizacyjnego przeglądarki, i jaktłumaczy Sigbjørn Vik, mógł zakazić kilka tysięcy użytkowników Windows,którzy 19 czerwca, około 3 nad ranem czasu polskiego korzystali zOpery.Zbyt wiele norweska firma o tym co się wydarzyło powiedzieć niechce, tłumacząc się dobrem śledztwa.Falguni Bhuta, menedżer z Opery Software poinformował jedynie, że zaatakiem stoi najprawdopodobniej grupa doświadczonych hakerów, a całasprawa została zgłoszona władzom. Porównał też ten atak do atakówprzeciwko innym dużym webowym firmom, do których dochodziło wostatnich latach. Opera zapewnia jedynie, że firmowe systemy zostałysprawdzone i oczyszczone, nie znaleziono też żadnych dowodów na to,że doszło do przejęcia danych użytkowników. Nie wyjaśniono jednak,dlaczego o incydencie poinformowano dopiero tydzień później. [img=securitybreach_opener]Dystrybucja złośliwegooprogramowania, podpisanego certyfikatem zaufanego wydawcy jestsposobem znanym, choć do tej pory nieczęsto spotykanym. Ze sztuki tejskorzystali m.in. twórcy szpiegowskiego trojanaFlame, którzy zaraził tysiące komputerów na Bliskim Wschodzie,wykorzystując sfałszowany certyfikat, wygenerowany dzięki luce wMicrosoft Terminal Server Licensing Service. Wykorzystanie kanałuaktualizacji przeglądarki to jednak coś zupełnie nowego – imożna się spodziewać, że technika ta wzbudzi zainteresowanie wielucyberprzestępców.SigbjørnVik zapewnia, że wkrótce wydana zostanie nowa wersja Opery, którakorzystać będzie z nowego certyfikatu do podpisywania kodu.Oczywiście to, że naruszony certyfikat został wycofany nie oznacza,że szkodliwej binarki nie można już uruchomić – dlatego lepiejjednak mieć w Windows działające oprogramowanie antywirusowe. Miejmynadzieję, że historia ta też przekona w końcu użytkowników, że to, żedana aplikacja jest podpisana, nie oznacza wcale, że jest bezpieczna.Więcej o możliwościach manipulowania zabezpieczeniami dowiecie się zprezentacjiJarno Niemeli z F-Secure.