През април 2026 г. водещата компания за цифрови сертификати DigiCert съобщи за сериозен инцидент в своята сигурност, свързан с кражба на сертификати за кодово подписване. Анализът на събитието показа, че зад атаката стои подгрупа на китайската хакерска организация GoldenEyeDog, известна още като APT-Q-27, Dragon Breath и Miuuti Group.
Какво се случи?
Според разследването, проведено от експерти по киберсигурност, атаката е извършена от подгрупа, наречена CylindricalCanine, която е част от GoldenEyeDog. Тази група е известна с насочените си атаки към гейминг и хазартния сектор, но този път е успяла да проникне в инфраструктурата на DigiCert и да открадне сертификати за кодово подписване.
Тези сертификати се използват за удостоверяване на легитимността на софтуерни продукти и приложения, което означава, че компрометирането им може да позволи на злонамерени лица да разпространяват зловреден софтуер, маскиран като легитимен.
Защо това е важно?
Кражбата на сертификати за кодово подписване представлява сериозна заплаха за цялата екосистема на софтуерната сигурност. Тъй като DigiCert е един от най-големите доставчици на такива сертификати, компрометирането на неговата инфраструктура може да доведе до широкомащабни злоупотреби и атаки.
Потребителите и компаниите, които разчитат на сертификатите на DigiCert, могат да бъдат изложени на риск от инсталиране на заразен софтуер, което може да доведе до загуба на данни, финансова вреда и нарушаване на доверието в цифровите услуги.
По-широк контекст
GoldenEyeDog е част от нарастващия брой държавно подкрепяни или организирани киберпрестъпни групи, които използват сложни техники за проникване в критични инфраструктури и компании. Техните атаки често са насочени към сектори с висока стойност, като хазарт, гейминг, финансии и технологии.
Този инцидент подчертава уязвимостите в системите за управление на цифрови сертификати и необходимостта от засилване на мерките за сигурност в тази област. Също така показва, че дори водещи компании в киберсигурността не са имунизирани срещу сложни и целенасочени атаки.
Какво може да последва?
След инцидента DigiCert вероятно ще предприеме допълнителни мерки за защита на своите системи и ще засили мониторинга на издаваните сертификати. Други доставчици на сертификати и компании, използващи такива услуги, също ще трябва да преразгледат своите политики за сигурност.
От страна на индустрията, този случай може да ускори развитието на по-строги стандарти и протоколи за управление на цифровите сертификати, както и да стимулира използването на по-сигурни технологии за удостоверяване и подписване на код.
В заключение, инцидентът с DigiCert е предупреждение за всички участници в дигиталната екосистема, че киберзаплахите продължават да еволюират и изискват постоянна бдителност и иновации в областта на киберсигурността.