Thẻ thông minh của Bộ Quốc phòng Mỹ bị tấn công

US Department of Defense smartcards attacked

16 January 2012, 13:55

Theo: http://www.h-online.com/security/news/item/US-Department-of-Defense-smartcards-attacked-1413522.html

Bài được đưa lên Internet ngày: 16/01/2012

Lời người dịch: Nếu sử dụng thẻ thông minh với các số mã cá nhân PIN làm công cụ xác thực an ninh trong hệ điều hành Windows, thì bạn phải cẩn thận. “Theo hãng an ninh Mỹ Alienault, một biến thể trojan đã tồn tại từ tháng 03/2011 đang ăn cắp các số mã cá nhân PINs của các thẻ thông minh được sử dụng trong Bộ Quốc phòng Mỹ. Các thẻ thông minh được sử dụng cho việc lưu nhật ký trong các máy tính hoặc các webisites như một phần của “sự xác thực 2 yếu tố”. Hãng an ninh này đã bổ sung rằng các module của phần mềm độc hại sau đó có thể đọc được các nội dung bộ nhớ của chứng chỉ Windows, nơi mà các chứng thực của một thẻ thông minh được sao chép khi thẻ thông minh được chèn vào trong một đầu đọc. Các nhà nghiên cứu cũng thấy rằng trojan này có chứa mã nguồn để tải một thư viện động ActivIdentity (nhận dạng tích cực). Theo Alienvault, ActivIdentity cung cấp thư viện này cùng với các đầu đọc thẻ thông minh cho các nhà chức trách Mỹ như Bộ Quốc phòng và Bộ An ninh Nội địa... Nghi ngờ rằng những cuộc tấn công này khởi nguồn từ các máy chủ của Trung Quốc.

Theo hãng an ninh Mỹ Alienault, một biến thể trojan đã tồn tại từ tháng 03/2011 đang ăn cắp các số mã cá nhân PINs của các thẻ thông minh được sử dụng trong Bộ Quốc phòng Mỹ. Các thẻ thông minh được sử dụng cho việc lưu nhật ký trong các máy tính hoặc các webisites như một phần của “sự xác thực 2 yếu tố”. Báo cáo nói rằng phần mềm độc hại được cài đặt khi mở một tệp gắn kèm PDF, và rằng những kẻ tấn công khai thác một lỗ hổng ngày số 0 còn chưa được phân loại trong Adobe Reader. Chỗ bị tổn thương này theo yêu cầu có thể là một lỗi trong mã nguồn cho việc xử lý các hình đồ họa trong định dạng Universal 3D (3 chiều vạn năng) được phát hiện vào đầu tháng 12/2011.

Alienvault nói rằng trojan này có chứa một trình đọc bàn phím viết tất cả các đầu vào của bàn phím, và tên của cửa sổ, tới một tệp ở dạng văn bản thô. Hình như, nó cũng trích các nội dung trong bộ nhớ tạm (clipboard) của người sử dụng... Hãng an ninh này đã bổ sung rằng các module của phần mềm độc hại sau đó có thể đọc được các nội dung bộ nhớ của chứng chỉ Windows, nơi mà các chứng thực của một thẻ thông minh được sao chép khi thẻ thông minh được chèn vào trong một đầu đọc.

Các nhà nghiên cứu cũng thấy rằng trojan này có chứa mã nguồn để tải một thư viện động ActivIdentity (nhận dạng tích cực). Theo Alienvault, ActivIdentity cung cấp thư viện này cùng với các đầu đọc thẻ thông minh cho các nhà chức trách Mỹ như Bộ Quốc phòng và Bộ An ninh Nội địa. Tuy nhiên, vì tất cả các thiết bị “Omnikey” này xuất xưởng mà không có một bàn phím nào, nên mức an ninh của chúng là thấp. Trong những môi trường như vậy, PIN cho việc xác thực một thẻ thông minh phải được đưa vào trong bàn phím của máy tính, làm cho nó trở thành một mục tiêu dễ dàng cho trình đọc bàn phím.

Alienvault nói rằng trong khi thẻ thông minh được chèn vào đầu đọc thẻ, thì trojan theo yêu cầu có thể sử dụng một cách bí mật PINs thu hoạch được và các chứng chỉ để đăng nhập vào như một người sử dụng hợp pháp. Nghi ngờ rằng những cuộc tấn công này khởi nguồn từ các máy chủ của Trung Quốc. Hãng an ninh này nói rằng hãng đã xác định được cùng gốc gác khi điều tra một cuộc tấn công tương tự vào tháng 12/2011.

According to US security firm Alienvault, a trojan variant that has existed since March 2011 is stealing the PINs of smartcards that are used by the US Department of Defense. Smartcards are used for logging into computers or web sites as part of "2-factor authentication". The report says that the malware is installed when opening a PDF attachment, and that the attackers exploit an unspecified zero-day hole in Adobe Reader. The vulnerability in question could be the flaw in the code for processing graphics in Universal 3D format that was disclosed in early December 2011.

Alienvault said that the trojan contains a keylogger that writes all keyboard inputs, and the name of the window, to a file in plain text. Apparently, it also extracts the user's clipboard contents. The security firm added that further malware modules can read the contents of the Windows certificate memory, where a smartcard's certificates are copied when the smartcard is inserted into a reader.

The researchers also found that the trojan contains code to load a dynamic ActivIdentity library. According to Alienvault, ActivIdentity supplies this library together with smartcard readers to US authorities such as the Department of Defense and the Department of Homeland Security. However, since all of these "Omnikey" devices ship without a keyboard, their security level is low anyway. In such environments, the PIN for authenticating a smartcard must be entered on the computer keyboard, making it an easy target for keyloggers.

Alienvault says that while the smartcard is inserted in the reader, the trojan in question can secretly use the harvested PINs and certificates to log in as the legitimate user. It is suspected that these attacks originate from servers in China. The security firm said that it has already identified the same origin when investigating a similar attack in December 2011.

(ehe)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com