Останніми днями користувачі по всьому світу почали масово отримувати попередження від Microsoft Defender про нібито небезпечний троян під назвою Cerdigent. Повідомлення з’являються як на комп’ютерах із Windows 11, так і на серверних системах, що викликало хвилю занепокоєння серед користувачів і фахівців із кібербезпеки.
Втім, перші результати розслідувань показують: ситуація може бути не такою однозначною. Є підстави вважати, що йдеться не про масову атаку нового шкідливого ПЗ, а про наслідки інциденту з цифровими сертифікатами.
Сліди ведуть до DigiCert — одного з найбільших центрів сертифікації у світі. За інформацією з системи відстеження помилок Bugzilla, зловмисник отримав обмежений доступ до внутрішніх інструментів компанії, зламавши комп’ютер одного зі співробітників служби підтримки. Це дозволило йому отримати спеціальні коди ініціалізації для створення сертифікатів підпису коду.
Такі сертифікати — критично важливий елемент сучасної безпеки. Вони підтверджують, що програмне забезпечення є «довіреним» і не було змінене. Але якщо сертифікат потрапляє до рук зловмисників, ситуація різко змінюється: шкідливі програми можуть маскуватися під легітимні.
Саме це і сталося. Використовуючи скомпрометовані сертифікати, хакери підписували шкідливе ПЗ, зокрема сімейство крадіїв даних Zhong Stealer. У результаті антивірусні системи почали реагувати на такі файли як на потенційно небезпечні.
У відповідь DigiCert відкликала 60 сертифікатів, частина з яких прямо пов’язана з діяльністю зловмисників, а інші — заблоковані «про всяк випадок». Проблема в тому, що навіть після відкликання такі інциденти можуть спричиняти хвилю помилкових спрацювань.
Саме тому багато попереджень про Cerdigent можуть бути хибними. У базі загроз Microsoft цей об’єкт описаний доволі загально — як потенційна загроза, здатна виконувати різні дії за командою зловмисника. Але конкретних доказів масового зараження наразі немає.
Ситуація добре показує слабке місце сучасної кібербезпеки: коли під загрозою опиняється сама система довіри, навіть легітимні інструменти можуть працювати некоректно. Межа між «безпечним» і «небезпечним» програмним забезпеченням тимчасово розмивається.
Якщо ви бачите подібні попередження, не варто панікувати. Найкраща стратегія — стежити за оновленнями від розробників антивірусів. У випадках масових помилкових спрацювань такі проблеми зазвичай виправляються досить швидко через оновлення баз сигнатур.
Поки що історія з Cerdigent виглядає більше як технічний збій і наслідок інциденту з сертифікатами, ніж як нова масштабна кібератака. Але вона ще раз нагадує: навіть найнадійніші системи безпеки не є абсолютно захищеними.
