Schädling mit gestohlenem Opera-Zertifikat signiert

Das norwegische Software-Unternehmen Opera Software hat die Desinfektion seiner Systeme nach einer zielgerichteten Attacke abgeschlossen, im Zuge derer ein verfallenes Sicherheitszertifikat gestohlen wurde. Das Schadprogramm, das mit seiner Hilfe signiert wurde, war für Nutzer von Opera unter Windows am 19. Juni für 36 Minuten verfügbar.

Laut Aussage des Opera-Entwicklers Sigbjørn Vik wurde auf das interne Netz des Browser-Anbieters eine zielgerichtete Attacke verübt. „Alles deutet bisher darauf hin, dass die Folgen des Vorfalls überschaubar sind.“, kommentiert der Experte. „Der Angriff ermöglichte es [den Initiatoren] einen Schädling zu verbreiten, der unrechtmäßig als Veröffentlichung von Opera Software positioniert wurde, bzw. als Opera-Browser.“

Vik äußerte Threatpost gegenüber, dass die zielgerichtete Attacke sehr schnell unterbunden werden konnte. Bei dem gestohlenen Zertifikat handelt es sich um den derzeit einzigen festgestellten Verlust. Das Zertifikat ist am 29. Januar 2013 abgelaufen. Das angegriffene Netz wurde „desinfiziert“, Anwenderdaten wurden nicht kompromittiert. Das betroffene Unternehmen führt nun Ermittlungen durch, aus sicherheitstechnischer Sicht sind noch keine Details bekannt. Zur Sicherheit wurden Anfang Juli alle verwendeten Opera-Zertifikate aktualisiert, zudem wurden außerordentlichen Versionen von Opera Desktop (12.16) und Opera Mobile Classic für Android (12.1.5) herausgegeben – mit neuen digitalen Signaturen.

Nach Einschätzung von Opera liegt die Höchstzahl der Opfer des Schadprogramms bei etwa zweitausend. An dem betreffenden Tag bestand für Anwender von Windows etwas mehr als eine halbe Stunde (von 01:00 bis 01:36 UTC) die Gefahr, den Schädling, der sich als legale Anwendung getarnt hatte, automatisch zu laden und zu installieren. Zum gegenwärtigen Zeitpunkt wird der Anteil von Opera auf dem Markt der Desktop-Browser auf 1-3% geschätzt – gegenüber 40-45% Anteil des Marktführers Google Chrome.

Laut Untersuchungsergebnissen auf VirusTotal, handelt es sich bei dem mit dem Opera-Zertifikat signierten Schädling um einen Trojan-Keylogger, der auf Befehl gestohlene Daten an seine Betreiber sendet. Die Antivirus-Lösungen von Kaspersky Lab detektieren ihn als Trojan-PSW.Win32.Tepfer.msdu.

Opera ist bei weitem nicht das erste Opfer von Zertifikatsdiebstahl, der mit Hilfe einer zielgerichteten Attacke umgesetzt wurde. Im September letzten Jahres kam es bei Adobe zu einem ähnlichen Datenleck, als Cyberkriminelle in das Unternehmensnetzwerk eindrangen, den Schlüssel zum Server der Entwickler fanden und von diesem aus eine Anfrage nach einem digitalen Zertifikat über das Standardprotokoll von Adobe verschickten. Auf diese Weise signierten sie zwei schädliche Tools; das verdorbene Zertifikat wurde in der Folge zurückgerufen und ersetzt.

Quelle: Opera

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.