Phần mêm độc hại được ký bằng chứng thức bị ăn cắp của chính phủ

Stolen government certificate signed malware

14 November 2011, 19:29

Theo: http://www.h-online.com/security/news/item/Stolen-government-certificate-signed-malware-1378914.html

Bài được đưa lên Internet ngày: 14/11/2011

Lời người dịch: Sau vụ việc cơ quan chứng thực DigiNotar và cả thẩy 5 cơ quan chứng thực bị tấn công lấy đi các chứng thực số, trong đó có cả của chính phủ Hà Lan, thì nay tới lượt phần mềm độc hại được ký số bằng chứng thực chính thức của chính phủ Malaysia mà hãng an ninh F-Secure đã phát hiện ra, dù thời hạn của chứng thực đã hết kể từ ngày 29/09/2011. Tuy nhiên đây vẫn là một lời cảnh báo tới các cơ quan cấp chứng thực toàn cầu, trong đó Việt Nam không là một ngoại lệ. Xem thêm [01], [02].

Một chứng thực số của chính phủ đã bị sử dụng để ký cho phần mềm độc hại. Theo báo cáo của F-Sucure, chứng thực này đã được sử dụng để ký cho một mẩu phần mềm độc hại đã được lan truyền thông qua các tệp PDF độc hại, đã được tung ra sau khi một khai thác của Acrobat Reader 8 đã xảy ra. Nó đã được ký với "anjungnet.mardi.gov.my" – mardi.gov.my là Viện Nghiên cứu và Phát triển Nông nghiệp Malaysia. Để đánh cắp được một chứng thực có khả năng ký, một kẻ tấn công có thể cần tới không chỉ chứng thực mà còn cả mật khẩu; điều này có thể đã bị ăn cắp bằng việc sử dụng một trình nghe bàn phím.

Các nhà chức trách Malaysia đã nói với F-Secure rằng chứng thực đó đã bị đánh cắp “một thời gian trước đó”; nó đã là hợp lệ từ 29/09/2009 tới 29/09/2011 và vì thế bây giờ đã hết hạn, loại bỏ quyền ưu tiên mà phần mềm độc hại giành được với chữ ký số được ký ngay từ đầu - các ứng dụng không được ký sản sinh ra một cảnh báo khi người sử dụng tải chúng về từ web, nhưng các ứng dụng được ký hợp lệ thì không. Tuy nhiên, vẫn rất hãn hữu để thấy phần mềm độc hại được ký với một khóa mà chính thức thuộc về một chính phủ.

A governmental digital certificate has been used to sign malware. According to a report by F-Secure, the certificate was used to sign a piece of malware which has been spread through malicious PDF files, dropped after an Acrobat Reader 8 exploit had taken place. It has been signed by "anjungnet.mardi.gov.my" – mardi.gov.my is the Malaysian Agricultural Research and Development Institute. To steal a certificate capable of signing, an attacker would need not just the certificate but also a passphrase; this could have been stolen by use of a key-logger.

The Malaysian authorities told F-Secure that the certificate had been stolen "quite some time ago"; it was valid from 29 September 2009 to 29 September 2011 and has therefore now expired, removing the advantage gained by the malware in being digitally signed in the first place – unsigned applications produce a warning when the user downloads them from the web, but valid signed applications do not. However, it is still very rare to find malware signed with a key that officially belongs to a government.

(djwm)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com