Malware: Hacker missbrauchen Zertifikate von D-Link

Unbekannte haben in der vergangenen Woche unrechtmäßig Zertifikate von D-Link und dem taiwanischen Sicherheitsunternehmen Changing Information Technology erlangt und diese dazu verwendet, Malware zu signieren und gezielt zu verteilen. In einem Security Advisory spricht D-Link von einer "hochaktiven Cyberspionage-Gruppe", die mit Hilfe der Malware Plead versuchten, an geheime Informationen von Unternehmen und Organisationen in Ostasien zu gelangen.

Informationen des Antivirenherstellers Trend Micro zufolge ist die Malware Plead bereits seit 2012 im Umlauf und wurde vor allem von der Cyberspionage-Gruppe Blacktech dazu genutzt, geheime Daten von staatlichen Organisationen in Taiwan abzugreifen. Die Malware enthält demnach Backdoor-Funktionen sowie ein Werkzeug zum unbemerkten Ausleiten von Daten und wird über Spearphishing-E-Mails verteilt. Dabei verschleiere Plead den Dateinamen seiner Installationsroutine per RTLO-Technik (right-to-left-override).

Entdecker informieren D-Link

Aufgefallen war der Missbrauch vergangene Woche der slowakischen IT-Firma Eset. "Wir haben die Malware entdeckt, als unsere Systeme mehrere Dateien als verdächtig gemeldet haben. Interessanterweise waren all diese Dateien mit einem gültigen Zertifikat von D-Link signiert", erklärt Eset in einem Blogeintrag. "Nachdem wir die Bösartigkeit der Dateien bestätigen konnten, haben wir D-Link informiert, die eine eigene Untersuchung starteten, an deren Ende die kompromittierten Zertifikate am 3. Juli zurückgerufen wurden." Auch Changing Information Technology habe die bei ihnen betroffenen Zertifikate aus dem Verkehr gezogen.

Unklar ist scheinbar, wie genau die Hacker an die Zertifikate herankommen konnten. "Die Fähigkeit, mehrere taiwanische Technologieunternehmen zu kompromittieren und ihre Code-Signing-Zertifikate für zukünftige Angriffe zu benutzen zeigt, dass diese Gruppe sehr gut ausgebildet ist und sich auf Ostasien konzentriert", schreiben die Entdecker.

Firmware-Updates angekündigt

Weil viele D-Link-Geräte die betroffenen Zertifikate standardmäßig als gültig akzeptieren, hat der Hersteller Firmware-Updates für die betroffenen Modelle angekündigt. Informationen darüber, welche Geräte genau betroffen sind und wann die angekündigten Firmware-Updates jeweils zur Verfügung stehen werden, ist dem Security Advisory nicht zu entnehmen. Wir haben beim Hersteller nachgefragt und werden diesen Artikel aktualisieren, sobald weitere Informationen vorliegen.

Nachtrag vom 31. Juli 2018, 16:54 Uhr

D-Link hat mitgeteilt, dass aktualisierte Firmware-Versionen für die betroffenen Geräte je nach Modell zwischen Ende Juli und Ende September erscheinen und dann unter der Adresse "de.mydlink.com/download" zur Verfügung stehen sollen.

Laut Hersteller sind die folgenden D-Link-Geräte betroffen:

• DNR-202L
• DNR-312L
• DNR-322L
• DNR-322L
• DNR-2020-04P
• DNR-326
• DCS-935L
• DCS-960L
• DCS-6004L
• DCS-6005L
• DCS-5000L
• DCS-5009L
• DCS-5010L
• DCS-5020L
• DCS-5025L
• DCS-5030L
• DCS-6045L
• DCS-930L
• DCS-930L
• DCS-931L
• DCS-932L
• DCS-932L
• DCS-933L
• DCS-934L