Kẻ tấn công đứng đằng sau Duqu 2.0 đã sử dụng chữ ký số ăn cắp được để làm mã độc của chúng vượt qua các biện pháp phòng thủ an ninh, và một trong những chứng thư số được sử dụng trong các cuộc tấn công là của Foxconn, một công ty Trung Quốc sản xuất gia công cho Apple, BlackBerry, Dell và một số công ty khác.
Các nhà nghiên cứu của Kasperky Lab, những người đã phát hiện ra chiến dịch Duqu 2.0, đã chia sẻ vào thứ hai ràng chứng thư được sử dụng để ký lên một bộ điều khiển (driver) mà được sử dụng như một phần trong kỹ thuật của chúng để nhận luồng dữ liệu từ bên ngoài của mạng đã bị lây nhiễm mã độc. Bởi vì mã độc Duqu 2.0 không có phương thức cố định, kẻ tấn công sử dụng một vài phương thức để chắc chắn rằng chúng có thể truy cập vào hệ thống mong muốn. Một trong các kĩ thuật đó là kẻ tấn công sẽ cài đặt mã độc lên các bộ điều khiển (driver) trong hệ thống mạng, bao gồm cả Firewall (tường lửa) và sau đó chúng sẽ chuyền hướng luồng dữ liệu qua một cổng đặc biệt đã được thiết lập sẵn. "Điều thú vị khác được phát hiện là bên cạnh những bộ điều khiển Duqu các chuyên gia Kaspersky không phát hiện ra bất kỳ mã độc nào ký với cùng chứng thư. Có thể không phải các chứng thư này bị rò rỉ và được sử dụng bởi nhiều nhóm. Mà dường như chỉ những kẻ tấn công Duqu mới có quyền truy cập vào các chứng thư này, xa hơn nữa có thể đặt giả thuyết rằng chúng đã xâm nhập (hacked) và lấy được các chứng thư từ nhà sản xuất phần cứng này", chuyên gia phân tích của Kaspersky cho biết.
"Cuối cùng, điều thú vị là Duqu đã rất cần thận khi không sử dụng một chứng thư hai lần. Những chứng thư mà Duqu đã thấy từ 2011 đến 2015. Nếu đó là thật, có nghĩa là lần sau kẻ tấn công có thể dùng chứng thư ăn cắp được từ nhà sản xuất khác để sử dụng trong cuộc tấn công kế tiếp. Nó là hồi chuông cảnh báo bởi vì nó ảnh hưởng rất lớn tới việc sử dụng chứng thư số".
Nguồn: http://hackinbox.net/duqu-2-0-attackers-used-stolen-foxconn-certificate-to-sign-driver
