赛门铁克的安全研究人员报告黑客组织 Billbug aka Thrip aka Lotus Blossom 使用多种恶意程序入侵一家 CA 机构。
CA 机构签发的证书对浏览器和操作系统至关重要,用于证明特定应用和服务器的身份。如果黑客获得了对 CA 机构基础设施的控制权,它可以给自己的恶意程序签名,更容易绕过终端防护。此外还可以冒充信任的网站或拦截加密数据。在入侵该 CA 机构过程中,黑客使用了后门程序如 Hannotog 和 Sagerunex,以及大量合法软件如 AdFind、Winmail、WinRAR、Ping、Tracert、Route、NBTscan、Certutil 和 Port Scanner。[阅读原文]