Норвежская компания Opera Software завершила чистку своих систем после целевой атаки, в ходе которой был украден просроченный сертификат безопасности. Вредоносная программа, подписанная с его помощью, была доступна пользователям Opera под Windows в течение 36 минут 19 июня.

По словам разработчика Opera Сигбьерна Вика (Sigbjørn Vik), на внутреннюю сеть поставщика веб-браузеров была совершена целевая атака. «Все пока указывает на то, что последствия инцидента имеют ограниченный характер, — комментирует специалист. — Атака позволила [ее инициаторам] распространять зловреда, который неправомерно позиционировался как издание Opera Software, или как браузер Opera».

Вик поведал Threatpost, что целевая атака была купирована очень быстро. Украденный сертификат — единственная выявленная на настоящий момент потеря. Срок его действия истек 29 января 2013 года. Атакованная сеть «очищена», пользовательские данные скомпрометированы не были. Пострадавшая компания проводит расследование, из соображений безопасности подробности незаконного вторжения пока не разглашаются. Для страховки все используемые Opera сертификаты были в начале июля обновлены, а также выпущены внеочередные версии Opera Desktop (12.16) и Opera Mobile Classic для Android (12.1.5) — с новой цифровой подписью.

По оценке Opera, предельное число жертв вредоносной программы с недействительной подписью могло составить порядка 2 тысяч. В роковой день у пользователей Windows было немногим более получаса (с 01.00 до 01.36 UTC), чтобы автоматически загрузить и установить зловреда, маскирующегося под легальное приложение. В настоящее время доля Opera на рынке десктопных браузеров оценивается в 1—3% против 40—45% у лидера Google Chrome.

Судя по результатам проверки на VirusTotal, подписанный сертификатом Opera зловред представляет собой троянский кейлоггер, который по команде отсылает краденые данные своим хозяевам. Антивирусные решения «Лаборатории Касперского» детектируют его как Trojan-PSW.Win32.Tepfer.msdu.

Opera — далеко не первая жертва кражи сертификата, осуществленной с помощью целевой атаки. В сентябре прошлого года аналогичная утечка произошла в Adobe, когда злоумышленники проникли в корпоративную сеть, нашли ключи к серверу разработчиков и отправили с него запрос на цифровую подпись через стандартный протокол Adobe. Они подписали таким образом две вредоносные утилиты; запятнанный сертификат был впоследствии отозван и заменен.

Категории: Хакеры