Phần mêm độc hại được ký bằng chứng thức bị ăn cắp của chính phủ

Stolengovernment certificate signed malware

14 November 2011, 19:29

Theo:http://www.h-online.com/security/news/item/Stolen-government-certificate-signed-malware-1378914.html

Bài được đưa lênInternet ngày: 14/11/2011

Lờingười dịch: Sau vụ việc cơ quan chứng thực DigiNotar vàcả thẩy 5 cơ quan chứng thực bị tấn công lấy đi cácchứng thực số, trong đó có cả của chính phủ Hà Lan,thì nay tới lượt phần mềm độc hại được ký sốbằng chứng thực chính thức của chính phủ Malaysia màhãng an ninh F-Secure đã phát hiện ra, dù thời hạn củachứng thực đã hết kể từ ngày 29/09/2011. Tuy nhiên đâyvẫn là một lời cảnh báo tới các cơ quan cấp chứngthực toàn cầu, trong đó Việt Nam không là một ngoạilệ. Xem thêm [01],[02].

Một chứng thực sốcủa chính phủ đã bị sử dụng để ký cho phần mềmđộc hại. Theo báo cáo của F-Sucure, chứng thực này đãđược sử dụng để ký cho một mẩu phần mềm độchại đã được lan truyền thông qua các tệp PDF độchại, đã được tung ra sau khi một khai thác của AcrobatReader 8 đã xảy ra. Nó đã được ký với"anjungnet.mardi.gov.my" – mardi.gov.my là Viện Nghiêncứu và Phát triển Nông nghiệp Malaysia. Để đánh cắpđược một chứng thực có khả năng ký, một kẻ tấncông có thể cần tới không chỉ chứng thực mà còn cảmật khẩu; điều này có thể đã bị ăn cắp bằng việcsử dụng một trình nghe bàn phím.

Các nhà chức tráchMalaysia đã nói với F-Secure rằng chứng thực đó đã bịđánh cắp “một thời gian trước đó”; nó đã là hợplệ từ 29/09/2009 tới 29/09/2011 và vì thế bây giờ đãhết hạn, loại bỏ quyền ưu tiên mà phần mềm độchại giành được với chữ ký số được ký ngay từ đầu- các ứng dụng không được ký sản sinh ra một cảnhbáo khi người sử dụng tải chúng về từ web, nhưng cácứng dụng được ký hợp lệ thì không. Tuy nhiên, vẫnrất hãn hữu để thấy phần mềm độc hại được kývới một khóa mà chính thức thuộc về một chính phủ.

Agovernmental digital certificate has been used to sign malware.According to a reportby F-Secure, the certificate was used to sign a piece of malwarewhich has been spread through malicious PDF files, d-ropped after anAcrobat Reader 8 exploit had taken place. It has been signed by"anjungnet.mardi.gov.my" – mardi.gov.my is the MalaysianAgricultural Research and Development Institute. To steal acertificate capable of signing, an attacker would need not just thecertificate but also a passphrase; this could have been stolen by useof a key-logger.

TheMalaysian authorities told F-Secure that the certificate had beenstolen "quite some time ago"; it was valid f-rom 29September 2009 to 29 September 2011 and has therefore now expired,removing the advantage gained by the malware in being digitallysigned in the first place – unsigned applications produce a warningwhen the user downloads them f-rom the web, but valid signedapplications do not. However, it is still very rare to find malwaresigned with a key that officially belongs to a government.

(djwm)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com