Hackers hebben bij duizenden Opera-gebruikers automatisch een valse update geïnstalleerd die een variant van de Zeus-malware bevat. Dit is mogelijk nadat de daders eerst het netwerk van de browsermaker hadden gepenetreerd. Daarbij hebben ze een oud beveiligingscertificaat gestolen en daarmee de Trojan ondertekend.

Week stilgehouden

Het ziet er naar uit dat ook de update-servers van Opera zijn gehackt en misbruikt, maar de melding van het bedrijf is zeer summier. Wel weet het bedrijf dat er ‘mogelijk’ een automatische update met malware is gepusht naar ‘enkele duizenden’ gebruikers van de Windows-versie van Opera. De hack, het certificaatmisbruik en de malwarepush zijn al op 19 juni gebeurd, maar worden nu pas bekendgemaakt.

Alhoewel er nog heel veel vragen openstaan, wil een woordvoerder van Opera niet meer details geven. Hij verwijst slechts naar de summiere melding op Opera's website. Volgens security-onderzoeker en hacker Rickey Gevers is het duidelijk een heftige hack.

Downplayen

“Ik ben blij dat Opera het meldt, maar ze zijn het wel zwaar aan het downplayen. Dit is echt een serieuze hack. De hackers hebben blijkbaar toegang gehad tot de update-servers en hebben toen malware, ondertekend met het gestolen certificaat, uitgerold naar gebruikers", aldus Gevers in een reactie aan Webwereld.

De hack doet denken aan de inbraak bij de Nederlandse certificaatverstrekker DigiNotar, waar ook een geldig certificaat is buitgemaakt en vervolgens misbruikt. Opera meldt dat het bij hun gestolen certificaat verlopen was. Het is onduidelijk waarom het dan toch kan zijn gebruikt om malware te ondertekenen en te verspreiden. Mogelijk is de status van verlopenheid niet goed gedistribueerd wat controlelijsten voor certificaten betreft.

Update beloofd

Een andere associatie voor deze cyberinbraak is supermalware Flame. Die heeft met gestolen certificaten het update-mechanisme van Microsoft nagebootst. Opera komt nog met een update voor alle gebruikers, maar die kan reeds geïnfecteerde computers niet uit de brand helpen.