O passado mês de Novembro foi negro para a Sony. O ataque que sofreu e que resultou no roubo de mais de 100TB de informação tem-se revelado uma verdadeira dor de cabeça para a empresa Nipónica.
Para além de toda a informação roubada, foram também furtados vários certificados digitais, associados a vários domínios que a empresa possui.
A Kaspersky Labs descobriu agora que alguns desses certificados foram usados para assinar novas versões do Destover, a ferramenta usada para penetrar na rede da Sony.
A utilização destes certificados digitais da Sony vem abrir uma brecha de segurança importante e grave pois estes certificados são confiados de forma directa por muitas aplicações, algumas delas dedicadas à segurança, evitando que sejam aplicadas outras medidas de protecção adicionais.
Esta confiança cega vem assim garantir que esta nova versão do Destover possa ser usada sem qualquer validação, levando a uma falsa segurança e ao contornar de muitos anti-vírus e outros softwares de segurança.
A obtenção destes certificados digitais surgiu no mesmo ataque realizado pelo grupo Guardians of Peace (GOP), no final do mês passado. Muita da informação furtada estava relacionada com dados dos funcionários e colaboradores da Sony, mas incluía também estes certificados.
A descoberta desta nova variante do Destover foi feita pela Kaspersky Labs, que detectou uma nova forma deste malware. Uma análise mais detalhada realizada pela própria Kaspersky veio mostrar que os certificados usados provinham da Sony e eram os que tinham antes sido roubados.
Para além do problema que esta nova versão do Destover representa, por ser considerado um software confiável, existem outras formas que podem ser exploradas com a utilização destes certificados.
Será simples criar e assinar novas versões de outros malwares e softwares, bem como para a realização de outros ataques como o que foi feito contra a Sony.
Ainda não se conhece muito sobre esta nova versão do Destover, mas para já foi possível saber que realiza ligações periódicas a dois endereços IP.
O curioso desta situação é que foi o próprio Destover a ferramenta usada para realizar o ataque à Sony e que resultou no roubo de informação com as proporções que se conhecem.
Para além de todos os filmes que foram retirados e de todos os dados dos funcionários e figuras públicas que colaboram com a Sony, existe ainda muita informação pessoal que o grupo Guardians of Peace está a usar para comprometer a própria empresa.
Após a descoberta desta variante do Destover e da forma como os certificados da Sony estão a ser usados, a Kaspersky apressou-se a alertar as entidades certificadoras para a utilização imprópria dos certificados.
Espera-se que estas entidades certificadoras revoguem nos próximos dias estes certificados e que os coloquem nas suas listas negras, quebrando assim o seu grau de confiança, inutilizando-os de imediato.