Kompanija je upozorila timove za mrežnu bezbjednost da budu na oprezu kada pregledavaju sertifikate za potpisivanje koda, nakon što su uočili pokušaj lažiranja jednog od njihovih sertifikata kako bi se prikrio kibernetički napad.
Emsisoft je u novom blog postu tvrdio da su nakon što su dobili početni pristup mreži korisnika, napadači instalirali proizvod za daljinski pristup dvostruke namjene poznat kao MeshCentral.
Potpisan je sertifikatom pod nazivom “Emsisoft Server Trusted Network CA” u pokušaju da se tim za bezbjednost prevari da povjeruje da je to legitimno, rekao je AV dobavljač.
“Vjerujemo da je ovo učinjeno kako bi bilo kakvo otkrivanje aplikacije izgledalo kao lažno pozitivno” navodi se. “Jedan od naših proizvoda je instaliran i radi na ugroženoj krajnjoj tački, tako da se može vjerovati da je aplikacija koja je navodno bila potpisana Emsisoft sertifikatom sigurna i dozvoljena na listi.”
Emsisoft je rekao da je incident pokazao da organizacije treba da budu posebno oprezne kada odlučuju hoće li dozvoliti nove aplikacije koje su označene njihovim sigurnosnim alatima.
„Ako organizacija ovlasti aplikaciju koja ne bi trebalo da bude dozvoljena, napadač bi mogao da onemogući antivirusnu zaštitu, da se kreće lateralno unutar mreže, eksfiltrira podatke i na kraju primjeni ransomware“.
Ako je porijeklo sertifikata nepoznato, aplikaciju treba staviti u karantin i pregledati i dozvoliti samo ako se može uvjerljivo dokazati da je sigurna i da ju je organizacija legitimno instalirala, savjetuje Emsisoft.
Kevin Bocek, potpredsjednik ekosistema i zajednice u Venafiju, objasnio je da hakeri sve više ciljaju na identitete mašina zbog nivoa povjerenja koji obično imaju unutar mreže.
„Hakeri razumiju da je to što im se odobri povjerljivi pristup sistemu kompanije putem lažnih mašinskih identiteta slično kao uvođenje kroz digitalna ulazna vrata. U ovom slučaju lažni identitet je otkriven i označen, ali se lako mogao previdjeti” dodao je.
„Nastavak usvajanja Cloud izvornih tehnologija stvara ogromne nivoe složenosti oko upravljanja identitetom mašine. Timovima je teže nego ikada da donose odluke o tome šta se može, a šta ne može verovati da će pokrenuti, posebno s obzirom na brzinu razvojnih okruženja.”
Izvor: Infosecurity Magazine