Миллионы криптографических ключей, используемых в правительстве, уязвимы
Главная » Новости

Миллионы криптографических ключей, используемых в правительстве, уязвимы

Олег Иванов 17 Октября 2017 - 07:46
...
Миллионы криптографических ключей, используемых в правительстве, уязвимы

Критический недостаток в широко используемой библиотеке подорвал безопасность миллионов ключей шифрования, участвующих в очень серьезных схемах, например, выдача национальных удостоверений личности, подпись программного обеспечения и приложения, защищающие правительственные и корпоративные компьютеры.

Брешь позволяет злоумышленникам рассчитать приватную часть любого уязвимого ключа, используя его публичную часть. Затем хакеры могут использовать этот ключ для расшифровки конфиденциальных данных, внедрению вредоносного кода в программное обеспечение с цифровой подписью, а также для обхода защитных мер.

Эта уязвимость вызывает опасения, поскольку находится в коде, соответствующем двум международно признанным стандартам сертификации, которые являются обязательными для многих правительств, подрядчиков и компаний по всему миру. Библиотека была разработана немецким производителем чипов Infineon, она с самого начала генерирует слабые ключи.

Правительство Эстонии в прошлом месяце ссылалось именно на этот недостаток, ставший причиной уязвимости 750 000 удостоверений личности, выпущенных с 2014 года. В правительстве Эстонии сообщили, что закрывают базу данных открытых ключей для предотвращения инцидентов с безопасностью.

Недостаток существует в разработанной Infineon библиотеке RSA версии v1.02.013, в частности, в алгоритме, который она реализует для генерации простых чисел RSA. Библиотека работает на оборудовании Infineon и продается широкому кругу производителей, использующих чипы от Infineon.

Также напомним, что чипсеты Infineon TPM, которые поставляются со многими современными материнскими платами, генерируют небезопасные ключи шифрования RSA, это делает устройства таких производителей, как Acer, ASUS, Fujitsu, HP, Lenovo, LG, Samsung и Toshiba уязвимыми для атаки.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В InfoWatch ARMA Industrial Firewall добавили поддержку Alpha.Link
Новость
В InfoWatch ARMA Industrial Firewall добавили поддержку Alph...
В веб-ресурсах 26% компаний нашли веб-шеллы ещё до запуска сервисов
Новость
В веб-ресурсах 26% компаний нашли веб-шеллы ещё до запуска с...
С атаками дипфейков рискует столкнуться каждый второй россиянин
Новость
С атаками дипфейков рискует столкнуться каждый второй россия...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.