Microsoft uništio mrežu koja je proizvodila falsifikovane digitalne potpise za malver
Microsoft je zaustavljen mrežu koja je proizvodila lažne digitalne potpise za malver, štiteći hiljade računara od ransomware i kradljivaca podataka.
Šta se desilo?
Microsoft je demantlovao sofisticirani kriminalni servis poznat kao Fox Tempest koji je omogućavao napadačima da prave malver i ransomware izgledati kao legitimni softver. Operacija, nazvana OpFauxSign, zaustavljena je nakon što je tehnološki gigant zaplenio infrastrukturu i blokirao pristup servisima koji su koristili Microsoft Artifact Signing sistem za generisanje lažnih sertifikata. Servis je bio u funkciji najmanje godinu dana i kompromitovao je hiljade računara širom sveta.
Koga pogađa?
Žrtve operacije uključuju zdravstvene ustanove, obrazovne institucije, državne agencije i finansijske servise uglavnom u SAD, Francuskoj, Indiji i Kini. Malver distribuiran preko ovog servisa povezan je sa ransomware familijama kao Rhysida, Qilin, BlackByte i Akira, što znači da su pogođeni korisnici i organizacije u različitim sektorima.
Kako se zaštititi?
- Pazite na preuzimanja od neoficijalne izvore - uvek preuzmite softver sa zvaničnih sajtova
- Proverite digitalne potpise softvera - validirajte autentičnost pre nego što instalirate aplikacije
- Ažurirajte sigurnosne alate - osigurajte da vaš antivirus i bezbedonosni softver prepoznaju najnovije pretnje
- Budite skeptični prema reklamama - ne klikujte na oglase koje ste pronašli pretragom, već idite direktno na zvanični sajt
- Edukujte zaposlene - treniranje zaposlenih je suština zaštite od inženjerskih napada i malvera
Tehnički detalji
Fox Tempest je zloupotrebio Microsoft Artifact Signing (pre Azure Trusted Signing) da generiše kratkoročne sertifikate validne samo 72 sata. Napadač je koristio ukrađene identitete iz SAD i Kanade da se registruje kao legitimna entitet i dobije digitalne akreditive. Servis SignSpace je omogućavao da se maliciozne datoteke potpisuju kao poznate aplikacije (AnyDesk, Microsoft Teams, PuTTY, Cisco Webex). Od februara 2026 napadač je počeo da koristi preconfigurisane virtuelne mašine na infrastrukturi Cloudzy. Cena servisa je varirala između 5.000 i 9.000 dolara po korisniku.
Preporuka Sajber Radara
Ova operacija pokazuje kritičnu važnost verifikacije digitalne autentičnosti softvera. Čak i ako aplikacija izgleda legitimna sa sigurnosnog sertifikata, potrebna je dodatna opreznost. Preporučujemo da sve organizacije sprovode striktne politike preuzimanja softvera i redovno ažuriraju svoje bezbednosne sisteme kako bi detektovali evoluciju ovih napada.