Утечки данных

Взлом портала поддержки DigiCert: похищены 27 сертификатов подписи кода

5 мая 2026 г.5 мин чтения

By Дэвид Накамура — Опыт в разработке инструментов безопасности и full-stack разработке

Взлом портала поддержки DigiCert: похищены 27 сертификатов подписи кода

Взлом одного из наиболее доверенных центров сертификации в интернете поставил серьёзные вопросы о безопасности цепочки поставок программного обеспечения. DigiCert, крупный поставщик цифровых сертификатов, используемых для подтверждения подлинности программ и веб-сайтов, подтвердил, что злоумышленники применили социальную инженерию для компрометации двух сотрудников технической поддержки, получив доступ к внутренним системам и похитив 27 сертификатов подписи кода. Впоследствии эти сертификаты использовались для подписи вредоносного программного обеспечения, прежде чем DigiCert отозвал их.

Этот инцидент напоминает о том, что даже организации, ответственные за поддержание цифрового доверия, не застрахованы от атак, направленных на людей.

Что такое сертификаты подписи кода и почему они важны?

Когда вы загружаете программное обеспечение, операционная система нередко проверяет наличие действительной цифровой подписи. Эта подпись, выданная доверенным центром сертификации, таким как DigiCert, призвана подтвердить, что программа получена из законного источника и не была изменена. Это ключевой элемент того, как современные операционные системы — от Windows до macOS — помогают пользователям отличить надёжное программное обеспечение от вредоносных подделок.

Когда злоумышленники завладевают легитимными сертификатами подписи кода, они могут облачить вредоносное программное обеспечение в покров легитимности. Инструменты безопасности, предупреждения операционной системы и даже некоторые корпоративные системы защиты конечных точек по умолчанию могут считать подписанное программное обеспечение надёжным. У пользователя, загружающего приложение с подписью и верификацией, остаётся меньше визуальных сигналов, предупреждающих о возможной угрозе.

В данном случае 27 похищенных сертификатов активно применялись для подписи вредоносного программного обеспечения до того, как DigiCert обнаружил взлом и отозвал их. Отзыв — правильная мера реагирования, однако он не обеспечивает мгновенной защиты. Проверки отзыва не всегда выполняются в режиме реального времени, и некоторые системы или конфигурации могут не сразу распознать, что ранее действительный сертификат больше не является надёжным.

Как произошла атака: социальная инженерия на службе технической поддержки

Метод, использованный для получения доступа, заслуживает пристального внимания. Злоумышленники не эксплуатировали незакрытую уязвимость в программном обеспечении и не пробивались через межсетевой экран методом перебора. Они атаковали людей. Двое сотрудников технической поддержки были введены в заблуждение и предоставили доступ к внутренним системам — метод, широко известный как социальная инженерия.

Сотрудники службы поддержки часто становятся мишенями подобных атак, поскольку их работа предполагает готовность помочь и оперативно реагировать. Злоумышленники нередко выдают себя за коллег, поставщиков или имитируют срочные внутренние запросы, чтобы вынудить сотрудников поддержки обойти стандартные процедуры проверки.

Эта атака воспроизводит устоявшуюся схему, прослеживающуюся во взломах крупных организаций из разных отраслей. Вывод здесь не в том, что DigiCert проявила исключительную халатность. Вывод в том, что социальная инженерия по-прежнему остаётся одним из наиболее эффективных векторов атаки — вне зависимости от того, насколько совершенна техническая защита цели.

Что это означает для вас

Если вы загружаете программное обеспечение для безопасности, VPN-клиенты или любые другие приложения из интернета, этот инцидент имеет непосредственное отношение к вашим личным практикам безопасности.

Во-первых, загрузка программ исключительно из официальных первичных источников важна как никогда. Сертификат подписи — полезный сигнал, но он не является абсолютной гарантией, как наглядно демонстрирует этот взлом. Избегайте загрузки программного обеспечения из сторонних магазинов приложений, зеркальных сайтов или по ссылкам, распространяемым через социальные сети или электронную почту, если вы самостоятельно не проверили источник.

Во-вторых, регулярное обновление операционной системы и программного обеспечения безопасности гарантирует, что отозванные сертификаты будут распознаваться на вашем устройстве как недействительные. Списки отзыва сертификатов и обновления OCSP (протокол статуса онлайн-сертификата) распространяются через обновления системы и браузера. Устаревшая система может продолжать доверять сертификату, который уже был отозван.

В-третьих, пользователям VPN или программного обеспечения для безопасности в частности рекомендуется периодически проверять источник своих установок и наличие уведомлений о безопасности от поставщика. Авторитетные поставщики раскрывают информацию о проблемах, затрагивающих их цепочку распространения программного обеспечения.

Для организаций этот инцидент подкрепляет необходимость обязательной многофакторной аутентификации для всех сотрудников поддержки и администраторов, внедрения строгих процедур верификации перед предоставлением любого доступа, а также аудита того, какие сотрудники имеют доступ к конфиденциальным системам управления сертификатами.

Практические рекомендации

Загружайте программное обеспечение только с официальных сайтов поставщиков. Избегайте агрегаторов загрузок от третьих сторон — даже для широко известных приложений.
Обновляйте операционную систему и браузеры. Данные об отзыве сертификатов доставляются через обновления. Устаревшая система может не распознать скомпрометированные сертификаты.
Следите за уведомлениями о безопасности от поставщиков. Если вы используете программное обеспечение, подписанное DigiCert, посетите официальную страницу безопасности поставщика, чтобы убедиться, затронуто ли какое-либо из установленных вами приложений.
Скептически относитесь к неожиданным обновлениям программного обеспечения. Если вы получили незапрошенный запрос на обновление приложения, проверьте его через само приложение, а не переходите по внешней ссылке.
Организациям следует проводить аудит хранилищ доверенных сертификатов. Команды безопасности должны проверять, какие сертификаты являются доверенными в их средах, и обеспечивать принудительную проверку отзыва.

Действия DigiCert, включая отзыв скомпрометированных сертификатов, являются надлежащими и ожидаемыми. Однако главный вывод состоит в том, что инфраструктура доверия, лежащая в основе распространения программного обеспечения, в равной мере зависит от человеческих процессов и технических решений. Понимание того, откуда берётся это доверие и где оно может дать сбой, позволяет вам лучше защитить себя.

// FAQ

Сколько сертификатов подписи кода было похищено в результате взлома DigiCert?

В ходе взлома было похищено 27 сертификатов подписи кода. Впоследствии они использовались для подписи вредоносного программного обеспечения до того, как DigiCert отозвал их.

Каким образом злоумышленники получили доступ к системам DigiCert?

Злоумышленники применили социальную инженерию, вынудив двух сотрудников технической поддержки предоставить доступ к внутренним системам. Никаких уязвимостей программного обеспечения или методов перебора при этом задействовано не было.

Что такое сертификат подписи кода и почему он представляет ценность для злоумышленников?

Сертификат подписи кода — это цифровая подпись, выданная доверенным центром сертификации, которая подтверждает, что программное обеспечение получено из законного источника и не было изменено. Злоумышленник, завладевший таким сертификатом, может подписать им вредоносное программное обеспечение, чтобы оно выглядело надёжным для операционных систем и инструментов безопасности.

Обеспечивает ли отзыв похищенных сертификатов немедленную защиту пользователей?

Отзыв является правильной мерой реагирования, однако не обеспечивает мгновенной защиты, поскольку проверки отзыва не всегда выполняются в режиме реального времени. Некоторые системы или конфигурации могут не сразу распознать, что ранее действительный сертификат больше не является надёжным.

Почему сотрудники службы поддержки часто становятся мишенями атак с использованием социальной инженерии?

Сотрудники поддержки нередко становятся мишенями, поскольку их работа предполагает готовность помочь и оперативно реагировать, что делает их более уязвимыми для манипуляций. Злоумышленники, как правило, выдают себя за коллег, поставщиков или имитируют срочные внутренние запросы, чтобы вынудить сотрудников обойти стандартные процедуры проверки.

Взлом портала поддержки DigiCert: похищены 27 сертификатов подписи кода

Что такое сертификаты подписи кода и почему они важны?

Как произошла атака: социальная инженерия на службе технической поддержки

Что это означает для вас

Практические рекомендации

// FAQ

// Похожие