В начале апреля 2026 года группа неизвестных атакующих смогла скомпрометировать инфраструктуру одного из крупнейших удостоверяющих центров мира - DigiCert. Злоумышленники использовали вредоносный файл экранной заставки (.scr) для захвата контроля над компьютером сотрудника службы поддержки. В результате они похитили 60 сертификатов подписи кода расширенной проверки (EV Code Signing), которые впоследствии были применены для подписи вредоносной программы Zhong Stealer.
Инцидент начался с того, что атакующий через чат-канал Salesforce связался с техподдержкой DigiCert. Он несколько раз отправлял ZIP-архив, замаскированный под скриншот с описанием стандартной проблемы клиента. Внутри архива находился исполняемый файл с расширением .scr, содержащий вредоносную полезную нагрузку. Первые четыре попытки доставки вредоноса были заблокированы системами защиты. Однако пятая попытка оказалась успешной: файл загрузки выполнился на рабочей станции аналитика поддержки. На этом конкретном компьютере оказался неисправен сенсор системы CrowdStrike - решение класса EDR не сработало, и при первичном анализе инцидент остался незамеченным.
После получения удаленного доступа к рабочей станции атакующие воспользовались легитимными инструментами внутреннего портала поддержки DigiCert. В частности, они задействовали функцию, позволяющую просматривать учетные записи клиентов "от лица заказчика". Этот доступ не давал злоумышленникам возможности создавать новые заказы или менять пароли, но открыл критическую уязвимость в процессе генерации сертификатов. В интерфейсе портала отображались коды инициализации для сертификатов EV Code Signing, которые были одобрены для выдачи, но еще не доставлены заказчику. Имея на руках эти коды и данные одобренных заказов, атакующие смогли от имени нескольких клиентов нелегитимно получить действующие сертификаты.
Сама по себе техника атаки не нова - использование вредоносных файлов .scr для доставки полезной нагрузки известно десятилетиями. Но в данном случае ключевым фактором стал не технический изъян, а процедурная брешь: коды инициализации не должны были быть доступны сотрудникам поддержки на этапе просмотра. Инцидент обнажает системную проблему - чрезмерно доверенный интерфейс для персонала, работающего с чувствительными данными.
Под ударом оказались сразу четыре различных удостоверяющих центра, входящих в инфраструктуру DigiCert. Злоумышленники выпустили сертификаты на имена известных легитимных технологических компаний: Lenovo, Kingston, Shuttle Inc. и Palit Microsystems. Из 60 украденных сертификатов как минимум 27 были прямо связаны с вредоносной активностью. Специалисты из сообщества ИБ зафиксировали, что эти сертификаты активно применялись для цифровой подписи семейства вредоносных программ Zhong Stealer. Такие сертификаты расширенной проверки (EV) - высшая степень доверия, присваиваемая после тщательной верификации юридического лица. Их компрометация означает, что подписанное ими вредоносное ПО не вызывает предупреждений безопасности у операционных систем и браузеров, так как выглядит как легитимное программное обеспечение от известного вендора.
Как сообщается в материалах Mozilla, один из основных публичных регистраторов сертификатов, DigiCert осознал полный масштаб утечки к середине апреля. Реагирование было быстрым - все 60 скомпрометированных сертификатов отозваны в течение 24 часов после обнаружения. Также отменены все ожидающие заказы сертификатов подписи кода, которые были в обработке в период компрометации. Для предотвращения повторения атаки компания внедрила несколько критических изменений. Были немедленно выпущены патчи для интерфейсов поддержки: коды инициализации скрыты как в пользовательском интерфейсе (веб-портале), так и на уровне API. Кроме того, приостановлены учетные записи затронутых аналитиков, временно отключена функция Okta FastPass (протокол упрощенной аутентификации без пароля) для портала поддержки, а для доступа к чувствительным данным ужесточены требования многофакторной аутентификации (MFA).
Инцидент с DigiCert - не изолированный случай компрометации цепочки поставок цифрового доверия. Он показывает, что даже при наличии продвинутых средств защиты конечных точек (CrowdStrike) человеческий фактор и недостаточная сегментация доступа внутри компании могут свести все усилия на нет. Вопрос в том, насколько быстро отрасль удостоверяющих центров сможет выработать стандарты, исключающие хранение кодов инициализации в зоне доступа операторов техподдержки. Пока же атакующие продемонстрировали, что одной социальной инженерии и слабого звена в инфраструктуре достаточно для девальвации высшей степени доверия к цифровым сертификатам.
