Невероятно изощрённые и опытные взломщики, возможно имеющие отношение к иранскому правительству или другому спонсируемому государством субъекту, вторглись на административные сервера веб-аутентификации и незаконно скопировали сертификаты почты Google и шести других важных сервисов, сообщил исполнительный директор Comodo.

Атака, состоявшаяся 15 марта, распространялась с IP адресов, принадлежащих иранскому интернет-провайдеру, и некоторые из похищенных учетных данных тестировались из этой же страны, сообщил Мелих Абдулхайоглу, чья компания является уполномоченной проверять достоверность учётных данных (certificate authority). Другими веб-службами, на которые производили атаку, являлись www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.com, и login.live.com компании Microsoft.

"Все IP были из Ирана, и это установлено совершенно точно", – сказал Абдулхайоглу. "Это не было похоже на атаку с применением брутфорса, которую можно было бы ожидать от обычных киберпреступников. Она была хорошо отлажена и продумана, можно сказать, хирургически точна, и взломщики определённо точно знали, что именно им нужно сделать, и насколько быстро им придётся действовать".

Проникновение в систему позволило взломщикам получить ключи шифрования, требуемые для создания SSL-сертификатов. Атака пришлась примерно на то же самое время, когда неизвестная группа людей похитила данные о системе безопасности SecurID компании RSA.

"Компании, занимающиеся аутентификацией, находятся под прямой атакой правительства", – сообщил Абдулхайоглу. "Все мы реализуем некую степень безопасности и предоставляем безопасную аутентификацию людям, и нас атакуют. Причина атак - взломщики хотят получить доступ к каналам связи".

Comodo аннулировала поддельные учетные данные практически сразу после того, как выяснилось, как они были созданы. Большинство современных браузеров сообщает о фальсификации данных при их обнаружении. Но старые версии браузеров не способны на это и проверка может быть отключена, что не исключает возможность того, что учетные данные, при посещении атакуемых сайтов в незащищённых сетях, могут быть подменены фиктивными.

Google, громогласно не афишируя, занёс в черный список "небольшое количество сертификатов" через 2 дня после атаки, Mozilla и Microsoft предприняли аналогичные действия для Firefox и Internet Explorer до вторника и среды соответственно.

Абдулхайоглу отказался открывать имя регистратора, который подвергся взлому, указав только, что он находится в южной Европе. Компания Comodo до сих пор не знает, как данный registration authority был взломан, но исследователи выяснили, что учетные записи других партнёрских организаций, не имеющих  отношения к Comodo, были также взломаны примерно в то же самое время.

Абдулхайоглу подчеркнул, что он не может ни подтвердить ни опровергнуть информацию к кому относилась атака на компанию RSA или кем она была спонсирована.