อโดบียกเลิกใบรับรองที่เป็นคีย์ที่ถูกเข้ารหัสบางส่ว นหลังจากได้รับการยืนยันว่าแอพพลิเคชันที่ใช้คีย์นั้ นเป็นมัลแวร์ ซึ่งจากการตรวจสอบนั้นมีความเป็นไปได้ว่าเซิร์ฟเวอร์ ที่ทำหน้าที่ในคอมไพล์และจัดการข้อมูลของบริษัทนั้นถ ูกบุกรุก เนื่องจากเซิร์ฟเวอร์นี้มีการเชื่อมต่อกับระบบที่มีห น้าที่จัดการใบรับรอง ทำให้ผู้โจมตีที่บุกรุกเข้ามาสามารถใช้ระบบนี้ออกใบร ับรองให้กับมัลแวร์ได้
อโดบีกล่าวเพิ่มเติมว่าการบุกรุกเซิร์ฟเวอร์นั้นอาจม ีการใช้วิธี Advanced Persistent Threat (APT) สำหรับมัลแวร์สองตัวที่ได้รับใบรับรองนั้น ตัวแรกเป็นโปรแกรมที่มีชื่อว่า pwdump7 v7.1 ซึ่งใช้สำหรับค้นหารหัสผ่านบนวินโดวส์และมีการเข้าไป ใช้ข้อมูลจาก libeay32.dll ซึ่งเป็นไลบรารี่ของ OpenSSL ด้วย และอีกโปรแกรมคือ myGeeksmail.dll ที่เป็น ISAPI filter โดย filters นี้นั้นเป็นสกุลไฟล์พิเศษของ IIS โดยมันมีความสามารถในการสกัดกั้นการติดต่อสื่อสารระห ว่างผู้ใช้งาน (ผู้อ่านสามารถตรวจสอบ md5 แฮชของทั้งสองไฟล์ได้จากที่นี่ครับ)
จนถึงตอนนี้ทางอโดบียังไม่ได้กล่าวแน่ชัดเกี่ยวกับผู ้โจมตีซึ่งอาจเป็นได้ทั้งองค์กรที่มีทรัพยากรทางบุคล ากรที่สูงระดับประเทศ หรืออาจเป็นคู่แข่งทางการค้าก็ได้ บางทีความพยายามครั้งนี้อาจจะนำไปสู่การสร้างมัลแวร์ อย่างที่ Flame เคยทำไว้ก็ได้นะครับ
ที่มา - Adobe Secure Software Engineering Team (ASSET) Blog via Ars Technica, H-Online


อ่านต่อ...