Взлом сервера Adobe привёл к использованию сертификатов для подписи malware

Adobe заявила о том, что неизвестные хакеры скомпрометировали часть серверов, используемых для разработки программного обеспечения компании. В результате хакеры получили возможность генерировать собственные сертификаты безопасности и выдавать malware за продукты Adobe.

«После проверки подлинности подписей мы немедленно отозвали инфраструктуру подписи цифрового кода и инициировали экспертное расследование для того, чтобы определить, как были созданы эти подписи. Нами был обнаружен скомпрометированный сервер сборки с доступом к инфраструктуре подписи кода», — говорится в уведомлении производителя.

Компания также сообщила, что инцидент может повлиять только на те решения Adobe, подписи которых были созданы с помощью скомпрометированного сертификата и работают на платформе Windows, а также на три приложения Adobe AIR, которые работают на Windows и Mac OS X.

В ходе расследования стало известно, что хакеры используют цифровые подписи Adobe для распространения вредоносной программы pwdump7 v7.1. Эта программа извлекает хеши паролей пользователей Windows, а также иногда используется как единый файл, который постоянно подключается к OpenSSL библиотеке libeay32.dll. Исследователями была обнаружена еще одна библиотека myGeeksmail.dll, которая использует подпись Adobe, однако подтверждений ее использования для проведения кибератак у сотрудников компании нет.

Производители антивирусных программ были уведомлены об инциденте, для того, чтобы они смогли добавить скомпрометированные сертификаты Adobe в сигнатуры угроз. До появления нового сертификата, которое состоится 4 октября, легитимные продукты Adobe будут использовать промежуточный сертификат.