Włamali się do Opery, opublikowali złośliwą aktualizację

w dziale Po godzinach
albatros13 napisał(a):

Rzadko zdarzają się incydenty tej wagi. Opera Software, producent popularnej przeglądarki, ogłosił właśnie, że padł ofiarą włamania a włamywacze spreparowali, podpisali jego certyfikatem i opublikowali na serwerach firmy fałszywą aktualizację.

Dzisiejszy komunikat Działu Bezpieczeństwa Opera Software nie obfituje w szczegóły, jednak jego treść jest bardzo interesująca. Według opublikowanych informacji 19 czerwca pracownicy firmy odkryli i powstrzymali atak na sieć wewnętrzną. Choć wygląda na to, że dane użytkowników nie zostały ujawnione, to włamywacze uzyskali dostęp do innych krytycznych obszarów sieci.

Choć opis incydentu mówi o „ograniczonych skutkach”, to wydarzenia, które miały miejsce, nie wyglądają dobrze. Po pierwsze, włamywacze zdobyli certyfikat, używany do podpisywania plików przeglądarki Opera. Choć certyfikat był już nieważny, został wykorzystany do podpisania złośliwego oprogramowania, które udawało przeglądarkę.

Kolejny fragment wpisu jest jeszcze ciekawszy. Czytamy w nim:

Możliwe, że kilka tysięcy użytkowników systemu Windows, którzy korzystali z Opery 19 czerwca między 1:00 a 1:36 czasu UTC mogło automatycznie pobrać i zainstalować złośliwe oprogramowanie. Aby zapobiec potencjalnym skutkom, wydamy nową wersję Opery, podpisaną nowym certyfikatem.



Choć w informacji nie napisano tego wprost, wygląda na to, że włamywacze nie tylko podpisali złośliwy kod certyfikatem Opery, ale także udało im się przejąć kontrolę nad fragmentem infrastruktury firmy odpowiedzialnym za dystrybucję aktualizacji Opery i wymusić automatyczne pobranie i instalację złośliwego oprogramowania. Jeśli to prawda, to bez wątpienia jest to jeden z poważniejszych w skutkach incydentów tego typu. Nie chodzi tu o liczbę zainfekowanych stacji – kilka tysięcy to niewielka liczba w porównaniu z liczbą ofiar popularnych botnetów – lecz o źródło infekcji, którym okazała się firma tak zaufana, że użytkownicy jej produktów zgadzają się na automatyczną instalację aktualizacji jej oprogramowania.

Ważnym elementem incydentu jest także czas i sposób przekazania informacji użytkownikom. Informowanie klientów, że tydzień wcześniej mogli paść ofiarą infekcji, wydaje się być znacznie spóźnione. Z kolei jeśli ten tydzień miał być poświęcony na zebranie rzetelnych informacji o incydencie, to zabrakło ich w bardzo lakonicznym komunikacie. Ciągle nie wiemy, jaka wersja oprogramowania jest złośliwa, jaka jest jej sygnatura czy funkcjonalność. Znamy już sygnaturę oprogramowania – obecnie wykrywa je 23/47 antywirusów i część z nich wskazuje, że jest to Zbot. Pozostaje czekać na dalsze wyjaśnienia Opera Software.



http://zaufanatrzeciastrona.pl/post/wlamali-sie-do-opery-opublikowali-zlosliwa-aktualizacje/

Medium napisał(a):

Originally posted by weep86:

Dlatego najlepiej mieć wyłączone aktualizacje automatyczne wszystkich programów.

W Next?

pio-76 napisał(a):

Originally posted by Medium:

W Next?


Chyba wystarczy zablokować proces "opera_autoupdate.exe"..

Medium napisał(a):

Originally posted by pio-76:

Chyba wystarczy zablokować proces "opera_autoupdate.exe"..

Ano trzeba spróbować (pomiędzy kolejnymi ręcznymi updatami).

Dodane:
Czytajcie, jak się niektórym do globalizacji śpieszy.

Saskatchewan napisał(a):

Będziemy mieli Operę 12.16: http://my.opera.com/securitygroup/blog/show.dml/65061432#comment109535702

Medium napisał(a):

Na wszelki wypadek warto przeskanować system, jeśli się ma ustawioną automatyczną aktualizację.