{"id":6410,"date":"2018-10-16T16:07:19","date_gmt":"2018-10-16T14:07:19","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=6410"},"modified":"2026-01-08T14:46:45","modified_gmt":"2026-01-08T13:46:45","slug":"cyberspionage-d-link-zertifikate-verbreiten-malware","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/cyberspionage-d-link-zertifikate-verbreiten-malware\/","title":{"rendered":"Cyberspionage: D-Link Zertifikate verbreiten Malware"},"content":{"rendered":"<p>Cyberkriminellen ist es gelungen, Zertifikate von D-Link zu entwenden. Sicherheitsforscher identifizierten diese neue Malware-Angriffswelle. Das Problem dabei: Software, die mit solchen Zertifikaten signiert ist und m\u00f6glicherweise Malware enth\u00e4lt, umgeht Sicherheitsmechanismen ziemlich einfach.<\/p>\n<h2>Wie die Malware bei D-Link eingeschleust wurde<\/h2>\n<p>Die Sicherheitsforscher von ESET sp\u00fcrten die <a href=\"https:\/\/www.welivesecurity.com\/deutsch\/2018\/07\/09\/plead-malware-gestohlene-d-link-zertifikate\/\" target=\"_blank\" rel=\"noopener\">Malware<\/a> auf. Dem Bericht zufolge sei es Cyberkriminellen gelungen, die Zertifikate von D-Link, einem Hersteller von Kameras und Routern, zu entwenden. Diese erbeuteten Zertifikate wurden f\u00fcrs Verbreiten von zwei Sch\u00e4dlingsfamilien genutzt. Zum einen die Schadsoftware mit dem Namen &#8222;Plead&#8220;, ein ferngesteuertes Backdoor-Programm. Zum anderen ein Modul, das mit Plead in Verbindung steht und Passw\u00f6rter aus Browsern und Outlook entwendet.<\/p>\n<p>Auf infizierten Rechnern \u00f6ffnet Plead eine Backdoor, die sich aus der Ferne ausnutzen l\u00e4sst. Es werden Daten gestohlen und weiterer Schadcode eingeschleust. Daf\u00fcr kommuniziert die Malware mit einem Steuerserver. Dieser versorgt sie mit weiteren Instruktionen. Es gelingt Hackern also, die digitalen Zertifikate des Herstellers D-Link f\u00fcr Cyberspionage einzusetzen. <a href=\"https:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/following-trail-blacktech-cyber-espionage-campaigns\/\" target=\"_blank\" rel=\"noopener\">Trend Micro<\/a> berichtete, dass die Malware Plead schon seit 2012 im Umlauf sei. Sie wurde von der Cyberspionage-Gruppe BlackTech dazu verwendet, staatlichen Organisationen in Taiwan geheime Daten zu entwenden.<\/p>\n<a href=\"https:\/\/www.psw-group.de\/blog\/wp-content\/uploads\/2018\/10\/dlink-zertifikate-malware.png\"><figure id=\"attachment_6434\" aria-labelledby=\"figcaption_attachment_6434\"  class=\"wp-caption alignleft\" style=\"width: 310px\"><noscript><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-6434 size-medium\" src=\"https:\/\/www.psw-group.de\/blog\/wp-content\/uploads\/2018\/10\/dlink-zertifikate-malware-300x191.png\" alt=\"D-Link Zertifikate verbreiten Malware\" width=\"300\" height=\"191\" srcset=\"https:\/\/www.psw-group.de\/blog\/wp-content\/uploads\/2018\/10\/dlink-zertifikate-malware-300x191.png 300w, https:\/\/www.psw-group.de\/blog\/wp-content\/uploads\/2018\/10\/dlink-zertifikate-malware-768x489.png 768w, https:\/\/www.psw-group.de\/blog\/wp-content\/uploads\/2018\/10\/dlink-zertifikate-malware.png 811w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/noscript><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-6434 size-medium\" src=\"transparent.gif\" data-src=\"https:\/\/www.psw-group.de\/blog\/wp-content\/uploads\/2018\/10\/dlink-zertifikate-malware-300x191.png\" alt=\"D-Link Zertifikate verbreiten Malware\" width=\"300\" height=\"191\" \/><figcaption id=\"figcaption_attachment_6434\" class=\"wp-caption-text\"><div><span>Zum vergr\u00f6\u00dfern Bild anklicken | \u00a9 welivesecurity<\/span><\/div><\/figcaption><\/figure><\/a>\n<h2>Warum der Fall zu t\u00fcckisch ist<\/h2>\n<p>Neben den Backdoor-Funktionen enth\u00e4lt die Malware ein Werkzeug, mit dem Daten unbemerkt ausgeleitet und \u00fcber Spearphishing-E-Mails verteilt werden k\u00f6nnen. Plead verschleiert mittels RTLO-Technik (right-to-left-override) den Dateinamen seiner Installationsroutine.<\/p>\n<p>F\u00fcr ESET scheint unklar, wie die Hacker \u00fcberhaupt an die Zertifikate herankommen konnten: &#8222;Die F\u00e4higkeit, mehrere taiwanische Technologieunternehmen zu kompromittieren und ihre Code-Signing-Zertifikate f\u00fcr zuk\u00fcnftige Angriffe zu benutzen zeigt, dass diese Gruppe sehr gut ausgebildet ist und sich auf Ostasien konzentriert.&#8220;<\/p>\n<p>Um ihre Angriffe und ihre Cyberspionage zu verschleiern, sind gestohlene Zertifikate leider ein beliebtes Mittel. Gestohlene Signaturen klassifizieren eine Malware durchaus als valide Software, sodass die Spionage-Aktion gar nicht auff\u00e4llt.<\/p>\n<h3>Wof\u00fcr wurde die Malware verwendet?<\/h3>\n<p>Zwei Sch\u00e4dlingsfamilien verwenden die gestohlenen Zertifikate von D-Link. Zum einen &#8222;Plead&#8220;, das ferngesteuerte Backdoor-Programm, zum anderen das damit in Verbindung stehende Modul. Letzteres wird f\u00fcr den Diebstahl von Passw\u00f6rtern verwendet. Abgegriffen werden die Zugangsdaten in Outlook oder in Browsern, die gespeicherte Zugangsdaten enthalten.<\/p>\n<h2>Welche D-Link-Ger\u00e4te sind von der Malware betroffen?<\/h2>\n<p>Die folgenden Ger\u00e4te von D-Link sind von der Malware betroffen. Updates wurden bereits ab Ende Juli ausgerollt.<\/p>\n<ul>\n<li>DNR-202L<\/li>\n<li>DNR-312L<\/li>\n<li>DNR-322L<\/li>\n<li>DNR-2020-04P<\/li>\n<li>DNR-326<\/li>\n<li>DCS-935L<\/li>\n<li>DCS-960L<\/li>\n<li>DCS-6004L<\/li>\n<li>DCS-6005L<\/li>\n<li>DCS-5000L<\/li>\n<li>DCS-5009L<\/li>\n<li>DCS-5010L<\/li>\n<li>DCS-5020L<\/li>\n<li>DCS-5025L<\/li>\n<li>DCS-5030L<\/li>\n<li>DCS-6045L<\/li>\n<li>DCS-930L<\/li>\n<li>DCS-931L<\/li>\n<li>DCS-932L<\/li>\n<li>DCS-933L<\/li>\n<li>DCS-934L<\/li>\n<\/ul>\n<h3>Was kann ich tun, wenn ich eines der Ger\u00e4te besitze?<\/h3>\n<p>F\u00fcr die betroffenen Ger\u00e4te hat D-Link bereits Firmware-Updates herausgegeben. Unter der Adresse &#8222;de.mydlink.com\/download&#8220; finden Betroffene die Updates. Auf die Bedrohung reagierte D-Link zudem mit dem R\u00fcckruf der betroffenen Zertifikate. Es waren auch Zertifikate betroffen, die bereits seit einem Jahr abgelaufen waren. Offenbar spekulierten die Angreifer darauf, dass Nutzer die Warnungen ignorieren.<\/p>\n<h2>Sicherheit mit Zertifikaten der PSW GROUP<\/h2>\n<p>Code-Signing-Zertifikate dienen als digitale Signatur, um die Identit\u00e4t des Entwicklers sowie die Integrit\u00e4t des Programmcodes zu best\u00e4tigen. Unsere <a href=\"https:\/\/www.psw-group.de\/code-signing\/\">Code-Signing-Zertifikate<\/a> basieren auf der unabh\u00e4ngigen Zertifizierung des Codes durch eine dritte vertrauensw\u00fcrdige Instanz. Deshalb k\u00f6nnen Sie darauf vertrauen, dass die Zertifikate der PSW GROUP sicher sind.<\/p>\n<p>Haben Sie Fragen oder m\u00f6chten Sie sich zu Code-Signing-Zertifikaten informieren? Dann kontaktieren Sie uns \u2013 wir freuen uns auf den <a href=\"https:\/\/www.psw-group.de\/kontakt\/\">Kontakt<\/a> mit Ihnen!<\/p>\n<div class=\"shariff\"><ul class=\"shariff-buttons theme-default orientation-horizontal buttonsize-medium\"><li class=\"shariff-button facebook shariff-nocustomcolor\" style=\"background-color:#4273c8\"><a href=\"https:\/\/www.facebook.com\/sharer\/sharer.php?u=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcyberspionage-d-link-zertifikate-verbreiten-malware%2F\" title=\"Bei Facebook teilen\" aria-label=\"Bei Facebook teilen\" role=\"button\" rel=\"nofollow\" class=\"shariff-link\" style=\"; background-color:#3b5998; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 18 32\"><path fill=\"#3b5998\" d=\"M17.1 0.2v4.7h-2.8q-1.5 0-2.1 0.6t-0.5 1.9v3.4h5.2l-0.7 5.3h-4.5v13.6h-5.5v-13.6h-4.5v-5.3h4.5v-3.9q0-3.3 1.9-5.2t5-1.8q2.6 0 4.1 0.2z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button twitter shariff-nocustomcolor\" style=\"background-color:#595959\"><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcyberspionage-d-link-zertifikate-verbreiten-malware%2F&text=Cyberspionage%3A%20D-Link%20Zertifikate%20verbreiten%20Malware\" title=\"Bei X teilen\" aria-label=\"Bei X teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#000; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 24 24\"><path fill=\"#000\" d=\"M14.258 10.152L23.176 0h-2.113l-7.747 8.813L7.133 0H0l9.352 13.328L0 23.973h2.113l8.176-9.309 6.531 9.309h7.133zm-2.895 3.293l-.949-1.328L2.875 1.56h3.246l6.086 8.523.945 1.328 7.91 11.078h-3.246zm0 0\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button xing shariff-nocustomcolor\" style=\"background-color:#29888a\"><a href=\"https:\/\/www.xing.com\/spi\/shares\/new?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcyberspionage-d-link-zertifikate-verbreiten-malware%2F\" title=\"Bei XING teilen\" aria-label=\"Bei XING teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#126567; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 25 32\"><path fill=\"#126567\" d=\"M10.7 11.9q-0.2 0.3-4.6 8.2-0.5 0.8-1.2 0.8h-4.3q-0.4 0-0.5-0.3t0-0.6l4.5-8q0 0 0 0l-2.9-5q-0.2-0.4 0-0.7 0.2-0.3 0.5-0.3h4.3q0.7 0 1.2 0.8zM25.1 0.4q0.2 0.3 0 0.7l-9.4 16.7 6 11q0.2 0.4 0 0.6-0.2 0.3-0.6 0.3h-4.3q-0.7 0-1.2-0.8l-6-11.1q0.3-0.6 9.5-16.8 0.4-0.8 1.2-0.8h4.3q0.4 0 0.5 0.3z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button linkedin shariff-nocustomcolor\" style=\"background-color:#1488bf\"><a href=\"https:\/\/www.linkedin.com\/sharing\/share-offsite\/?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcyberspionage-d-link-zertifikate-verbreiten-malware%2F\" title=\"Bei LinkedIn teilen\" aria-label=\"Bei LinkedIn teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#0077b5; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 27 32\"><path fill=\"#0077b5\" d=\"M6.2 11.2v17.7h-5.9v-17.7h5.9zM6.6 5.7q0 1.3-0.9 2.2t-2.4 0.9h0q-1.5 0-2.4-0.9t-0.9-2.2 0.9-2.2 2.4-0.9 2.4 0.9 0.9 2.2zM27.4 18.7v10.1h-5.9v-9.5q0-1.9-0.7-2.9t-2.3-1.1q-1.1 0-1.9 0.6t-1.2 1.5q-0.2 0.5-0.2 1.4v9.9h-5.9q0-7.1 0-11.6t0-5.3l0-0.9h5.9v2.6h0q0.4-0.6 0.7-1t1-0.9 1.6-0.8 2-0.3q3 0 4.9 2t1.9 6z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><\/ul><\/div>","protected":false},"excerpt":{"rendered":"<p>Cyberkriminellen ist es gelungen, Zertifikate von D-Link zu entwenden. Sicherheitsforscher identifizierten diese neue Malware-Angriffswelle. Das Problem dabei: Software, die mit solchen Zertifikaten signiert ist und m\u00f6glicherweise Malware enth\u00e4lt, umgeht Sicherheitsmechanismen ziemlich einfach. Wie die Malware bei D-Link eingeschleust wurde Die Sicherheitsforscher von ESET sp\u00fcrten die Malware auf. Dem Bericht zufolge sei es Cyberkriminellen gelungen, die Zertifikate von D-Link, einem Hersteller von Kameras und Routern, zu entwenden. Diese erbeuteten Zertifikate wurden [&hellip;]<\/p>\n","protected":false},"author":64,"featured_media":6442,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[379],"tags":[724],"class_list":["post-6410","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","tag-informationssicherheit"],"_links":{"self":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/6410","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/comments?post=6410"}],"version-history":[{"count":10,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/6410\/revisions"}],"predecessor-version":[{"id":6443,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/6410\/revisions\/6443"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media\/6442"}],"wp:attachment":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media?parent=6410"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/categories?post=6410"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/tags?post=6410"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}