Stolen
government certificate signed malware
14 November 2011, 19:29
Theo:
http://www.h-online.com/security/news/item/Stolen-government-certificate-signed-malware-1378914.html
Bài được đưa lên
Internet ngày: 14/11/2011
Lời
người dịch: Sau vụ việc cơ quan chứng thực DigiNotar và
cả thẩy 5 cơ quan chứng thực bị tấn công lấy đi các
chứng thực số, trong đó có cả của chính phủ Hà Lan,
thì nay tới lượt phần mềm độc hại được ký số
bằng chứng thực chính thức của chính phủ Malaysia mà
hãng an ninh F-Secure đã phát hiện ra, dù thời hạn của
chứng thực đã hết kể từ ngày 29/09/2011. Tuy nhiên đây
vẫn là một lời cảnh báo tới các cơ quan cấp chứng
thực toàn cầu, trong đó Việt Nam không là một ngoại
lệ. Xem thêm [01],
[02].
Một chứng thực số
của chính phủ đã bị sử dụng để ký cho phần mềm
độc hại. Theo báo cáo của F-Sucure, chứng thực này đã
được sử dụng để ký cho một mẩu phần mềm độc
hại đã được lan truyền thông qua các tệp PDF độc
hại, đã được tung ra sau khi một khai thác của Acrobat
Reader 8 đã xảy ra. Nó đã được ký với
"anjungnet.mardi.gov.my" – mardi.gov.my là Viện Nghiên
cứu và Phát triển Nông nghiệp Malaysia. Để đánh cắp
được một chứng thực có khả năng ký, một kẻ tấn
công có thể cần tới không chỉ chứng thực mà còn cả
mật khẩu; điều này có thể đã bị ăn cắp bằng việc
sử dụng một trình nghe bàn phím.
Các nhà chức trách
Malaysia đã nói với F-Secure rằng chứng thực đó đã bị
đánh cắp “một thời gian trước đó”; nó đã là hợp
lệ từ 29/09/2009 tới 29/09/2011 và vì thế bây giờ đã
hết hạn, loại bỏ quyền ưu tiên mà phần mềm độc
hại giành được với chữ ký số được ký ngay từ đầu
- các ứng dụng không được ký sản sinh ra một cảnh
báo khi người sử dụng tải chúng về từ web, nhưng các
ứng dụng được ký hợp lệ thì không. Tuy nhiên, vẫn
rất hãn hữu để thấy phần mềm độc hại được ký
với một khóa mà chính thức thuộc về một chính phủ.
A
governmental digital certificate has been used to sign malware.
According to a report
by F-Secure, the certificate was used to sign a piece of malware
which has been spread through malicious PDF files, dropped after an
Acrobat Reader 8 exploit had taken place. It has been signed by
"anjungnet.mardi.gov.my" – mardi.gov.my is the Malaysian
Agricultural Research and Development Institute. To steal a
certificate capable of signing, an attacker would need not just the
certificate but also a passphrase; this could have been stolen by use
of a key-logger.
The
Malaysian authorities told F-Secure that the certificate had been
stolen "quite some time ago"; it was valid from 29
September 2009 to 29 September 2011 and has therefore now expired,
removing the advantage gained by the malware in being digitally
signed in the first place – unsigned applications produce a warning
when the user downloads them from the web, but valid signed
applications do not. However, it is still very rare to find malware
signed with a key that officially belongs to a government.
(djwm)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.