D-Link-Zertifikate zur Signatur von Malware missbraucht

Einer Gruppe von Hackern ist es gelungen, in die Systeme von D-Link sowie einem zweiten taiwanischen Unternehmen einzudringen. Dabei haben sie offensichtlich unter anderem Softwarezertifikate entwenden können, wie ein Mitarbeiter des Security-Softwareanbieters Eset in einem Blogpost schreibt.
 
Dem Eset Security-Team ist dies aufgefallen, als sie bei der Analyse von Malware auf von D-Link stammende legitime Signaturen stiessen. Diese Malware, eine Backdoor-Software sowie ein Tool zum Abfangen von Passwörtern, stammt anscheinend von einer professionell vorgehenden Hacker-Gruppe namens BlackTech, die vor allem Ziele in Taiwan aufs Korn nimmt.
 
Eset hat den Netzwerkkomponentenhersteller D-Link und das zweite Unternehmen nach seinem Fund umgehend informiert. Beide habe ihre Zertifikate am 3. Juli für ungültig erklären lassen, so dass die damit erzeugten Signaturen von Computersystemen nicht mehr als legitim erkannt werden.
 
Betriebssysteme und Browser prüfen diese Signaturen, um sicher zu stellen, dass eine Software oder ein Update von einem vertrauenswürdigen Anbieter stammt. Manche Besitzer von D-Link-Geräten haben nun das Problem, dass ihre Browser eine Warnung anzeigen, wenn sie auf die Verwaltungsseite ihres Geräts zugreifen wollen. Dies soll mit einem Firmwareupdate behoben werden.
 
Der Fall zeigt aber ein grundsätzlicheres Problem. Wenn Hacker an legitime Zertifikate von Softwareherstellern herankommen, könnten sie grossen Schaden anrichten, wenn sie beispielsweise Malware damit signieren und als Updates für verbreitete Software tarnen. (hjm)