US
Department of Defense smartcards attacked
16 January 2012, 13:55
Theo:
http://www.h-online.com/security/news/item/US-Department-of-Defense-smartcards-attacked-1413522.html
Bài được đưa lên
Internet ngày: 16/01/2012
Lời
người dịch: Nếu sử dụng thẻ thông minh với các số
mã cá nhân PIN làm công cụ xác thực an ninh trong hệ điều
hành Windows, thì bạn phải cẩn thận. “Theo hãng an ninh
Mỹ Alienault, một biến thể trojan đã tồn tại từ
tháng 03/2011 đang ăn cắp các số mã cá nhân PINs của các
thẻ thông minh được sử dụng trong Bộ Quốc phòng Mỹ.
Các thẻ thông minh được sử dụng cho việc lưu nhật ký
trong các máy tính hoặc các webisites như một phần của
“sự xác thực 2 yếu tố”. Hãng an ninh này đã
bổ sung rằng các module của phần mềm độc hại sau đó
có thể đọc được các nội dung bộ nhớ của chứng
chỉ Windows, nơi mà các chứng thực của một thẻ
thông minh được sao chép khi thẻ thông minh được chèn
vào trong một đầu đọc. Các nhà nghiên cứu cũng
thấy rằng trojan này có chứa mã nguồn để tải một
thư viện động ActivIdentity (nhận dạng tích cực). Theo
Alienvault, ActivIdentity cung cấp thư viện này cùng với
các đầu đọc thẻ thông minh cho các nhà chức trách Mỹ
như Bộ Quốc phòng và Bộ An ninh Nội địa... Nghi ngờ
rằng những cuộc tấn công này khởi nguồn từ các máy
chủ của Trung Quốc.
Theo hãng an ninh Mỹ
Alienault, một biến thể trojan đã tồn tại từ tháng
03/2011 đang ăn cắp các số mã cá nhân PINs của các thẻ
thông minh được sử dụng trong Bộ Quốc phòng Mỹ. Các
thẻ thông minh được sử dụng cho việc lưu nhật ký
trong các máy tính hoặc các webisites như một phần của
“sự xác thực 2 yếu tố”. Báo cáo nói rằng phần mềm
độc hại được cài đặt khi mở một tệp gắn kèm
PDF, và rằng những kẻ tấn công khai thác một lỗ hổng
ngày số 0 còn chưa được phân loại trong Adobe Reader. Chỗ
bị tổn thương này theo yêu cầu có thể là một lỗi
trong mã nguồn cho việc xử lý các hình đồ họa trong
định dạng Universal 3D (3 chiều vạn năng) được phát
hiện vào đầu tháng 12/2011.
Alienvault nói rằng
trojan này có chứa một trình đọc bàn phím viết tất cả
các đầu vào của bàn phím, và tên của cửa sổ, tới
một tệp ở dạng văn bản thô. Hình như, nó cũng trích
các nội dung trong bộ nhớ tạm (clipboard) của người sử
dụng... Hãng an ninh này đã bổ sung
rằng các module của phần mềm độc hại sau đó có thể
đọc được các nội dung bộ nhớ của chứng chỉ
Windows, nơi mà các chứng thực của một thẻ thông minh
được sao chép khi thẻ thông minh được chèn vào trong
một đầu đọc.
Các
nhà nghiên cứu cũng thấy rằng trojan này có chứa mã
nguồn để tải một thư viện động ActivIdentity (nhận
dạng tích cực). Theo Alienvault, ActivIdentity cung cấp thư
viện này cùng với các đầu đọc thẻ thông minh cho các
nhà chức trách Mỹ như Bộ Quốc phòng và Bộ An ninh Nội
địa. Tuy nhiên, vì tất cả các thiết bị “Omnikey”
này xuất xưởng mà không có một bàn phím nào, nên mức
an ninh của chúng là thấp. Trong những môi trường như
vậy, PIN cho việc xác thực một thẻ thông minh phải được
đưa vào trong bàn phím của máy tính, làm cho nó trở
thành một mục tiêu dễ dàng cho trình đọc bàn phím.
Alienvault nói rằng
trong khi thẻ thông minh được chèn vào đầu đọc thẻ,
thì trojan theo yêu cầu có thể sử dụng một cách bí mật
PINs thu hoạch được và các chứng chỉ để đăng nhập
vào như một người sử dụng hợp pháp. Nghi
ngờ rằng những cuộc tấn công này khởi nguồn từ các
máy chủ của Trung Quốc. Hãng an ninh này nói rằng
hãng đã xác định được cùng gốc gác khi điều tra một
cuộc tấn công tương tự vào tháng 12/2011.
According
to US security firm Alienvault, a trojan variant that has existed
since March 2011 is stealing the PINs of smartcards that are
used by the US Department of Defense. Smartcards are used for logging
into computers or web sites as part of "2-factor
authentication". The report says that the malware is installed
when opening a PDF attachment, and that the attackers exploit an
unspecified zero-day hole in Adobe Reader. The vulnerability in
question could be the flaw in the code for processing graphics in
Universal 3D format that was
disclosed in early December 2011.
Alienvault
said that the trojan contains a keylogger that writes all keyboard
inputs, and the name of the window, to a file in plain text.
Apparently, it also extracts the user's clipboard contents. The
security firm added that further malware modules can read the
contents of the Windows
certificate memory, where a smartcard's certificates are copied
when the smartcard is inserted into a reader.
The
researchers also found that the trojan contains code to load a
dynamic ActivIdentity
library. According to Alienvault, ActivIdentity supplies this library
together with smartcard
readers to US authorities such as the Department of Defense and
the Department of Homeland Security. However, since all of these
"Omnikey" devices ship without a keyboard, their security
level is low anyway. In such environments, the PIN for authenticating
a smartcard must be entered on the computer keyboard, making it an
easy target for keyloggers.
Alienvault
says that while the smartcard is inserted in the reader, the trojan
in question can secretly use the harvested PINs and certificates to
log in as the legitimate user. It is suspected that these attacks
originate from servers in China. The security firm said that it has
already identified the same origin
when investigating a similar attack in December 2011.
(ehe)
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.