Certificados digitais da Sony assinaram nova versão do Destover
O passado mês de Novembro foi negro para a Sony. O ataque que sofreu e que resultou no roubo de mais de 100TB de informação tem-se revelado uma verdadeira dor de cabeça para a empresa Nipónica.
Para além de toda a informação roubada, foram também furtados vários certificados digitais, associados a vários domínios que a empresa possui.
A Kaspersky Labs descobriu agora que alguns desses certificados foram usados para assinar novas versões do Destover, a ferramenta usada para penetrar na rede da Sony.
A utilização destes certificados digitais da Sony vem abrir uma brecha de segurança importante e grave pois estes certificados são confiados de forma directa por muitas aplicações, algumas delas dedicadas à segurança, evitando que sejam aplicadas outras medidas de protecção adicionais.
Esta confiança cega vem assim garantir que esta nova versão do Destover possa ser usada sem qualquer validação, levando a uma falsa segurança e ao contornar de muitos anti-vírus e outros softwares de segurança.
A obtenção destes certificados digitais surgiu no mesmo ataque realizado pelo grupo Guardians of Peace (GOP), no final do mês passado. Muita da informação furtada estava relacionada com dados dos funcionários e colaboradores da Sony, mas incluía também estes certificados.
A descoberta desta nova variante do Destover foi feita pela Kaspersky Labs, que detectou uma nova forma deste malware. Uma análise mais detalhada realizada pela própria Kaspersky veio mostrar que os certificados usados provinham da Sony e eram os que tinham antes sido roubados.
Para além do problema que esta nova versão do Destover representa, por ser considerado um software confiável, existem outras formas que podem ser exploradas com a utilização destes certificados.
Será simples criar e assinar novas versões de outros malwares e softwares, bem como para a realização de outros ataques como o que foi feito contra a Sony.
Ainda não se conhece muito sobre esta nova versão do Destover, mas para já foi possível saber que realiza ligações periódicas a dois endereços IP.
O curioso desta situação é que foi o próprio Destover a ferramenta usada para realizar o ataque à Sony e que resultou no roubo de informação com as proporções que se conhecem.
Para além de todos os filmes que foram retirados e de todos os dados dos funcionários e figuras públicas que colaboram com a Sony, existe ainda muita informação pessoal que o grupo Guardians of Peace está a usar para comprometer a própria empresa.
Após a descoberta desta variante do Destover e da forma como os certificados da Sony estão a ser usados, a Kaspersky apressou-se a alertar as entidades certificadoras para a utilização imprópria dos certificados.
Espera-se que estas entidades certificadoras revoguem nos próximos dias estes certificados e que os coloquem nas suas listas negras, quebrando assim o seu grau de confiança, inutilizando-os de imediato.
Este artigo tem mais de um ano
Isto realmente esta complicado para a Sony, vai ter de cancelar todos os seus certificados.
Mas ainda pergunto-me roubar 100TB não é pouca coisa e tem que se ter uma ligação a Internet bastante rápida para fazer esse roubo rapidamente antes de ser detectado… Digo eu…
Estes roubos são sempre feitos com a utilização de poderosos sistemas. Neste caso, suponho que tenham feito cópias directamente para um servidor, garantindo uma transferência em redes alto débito (ligações entre servidores costumam ser bastante rápidas).
Mesmo assim, são 100TB… é muita coisa.
São necessárias muitas horas para copiar esse volume de dados, daí acreditar que teve a cumplicidade de alguem de dentro.
Foram apenas 200Tb… 😛
E sim servidores dedicados pagos com dinheiro irrastreável… não se esqueçam também do tipo de ataque à PSN que além de tudo conseguiu vários cartões de credito..
A sony tem aqui um coelho para resolver, e dos grandes.
A mim parece-me que quando escolhem alguém para massacrar é até chegar ao osso…