Thẻ thông minh của Bộ Quốc phòng Mỹ bị tấn công

USDepartment of Defense smartcards attacked

16 January 2012, 13:55

Theo:http://www.h-online.com/security/news/item/US-Department-of-Defense-smartcards-attacked-1413522.html

Bài được đưa lênInternet ngày: 16/01/2012

Lờingười dịch: Nếu sử dụng thẻ thông minh với các sốmã cá nhân PIN làm công cụ xác thực an ninh trong hệ điềuhành Windows, thì bạn phải cẩn thận. “Theo hãng an ninhMỹ Alienault, một biến thể trojan đã tồn tại từtháng 03/2011 đang ăn cắp các số mã cá nhân PINs của cácthẻ thông minh được sử dụng trong Bộ Quốc phòng Mỹ.Các thẻ thông minh được sử dụng cho việc lưu nhật kýtrong các máy tính hoặc các webisites như một phần của“sự xác thực 2 yếu tố”. Hãng an ninh này đãbổ sung rằng các module của phần mềm độc hại sau đócó thể đọc được các nội dung bộ nhớ của chứngchỉ Windows, nơi mà các chứng thực của một thẻthông minh được sao chép khi thẻ thông minh được chènvào trong một đầu đọc. Các nhà nghiên cứu cũngthấy rằng trojan này có chứa mã nguồn để tải mộtthư viện động ActivIdentity (nhận dạng tích cực). TheoAlienvault, ActivIdentity cung cấp thư viện này cùng vớicác đầu đọc thẻ thông minh cho các nhà chức trách Mỹnhư Bộ Quốc phòng và Bộ An ninh Nội địa... Nghi ngờrằng những cuộc tấn công này khởi nguồn từ các máychủ của Trung Quốc.

Theo hãng an ninh MỹAlienault, một biến thể trojan đã tồn tại từ tháng03/2011 đang ăn cắp các số mã cá nhân PINs của các thẻthông minh được sử dụng trong Bộ Quốc phòng Mỹ. Cácthẻ thông minh được sử dụng cho việc lưu nhật kýtrong các máy tính hoặc các webisites như một phần của“sự xác thực 2 yếu tố”. Báo cáo nói rằng phần mềmđộc hại được cài đặt khi mở một tệp gắn kèmPDF, và rằng những kẻ tấn công khai thác một lỗ hổngngày số 0 còn chưa được phân loại trong Adobe Reader. Chỗbị tổn thương này theo yêu cầu có thể là một lỗitrong mã nguồn cho việc xử lý các hình đồ họa trongđịnh dạng Universal 3D (3 chiều vạn năng) được pháthiện vào đầu tháng 12/2011.

Alienvault nói rằngtrojan này có chứa một trình đọc bàn phím viết tất cảcác đầu vào của bàn phím, và tên của cửa sổ, tớimột tệp ở dạng văn bản thô. Hình như, nó cũng tríchcác nội dung trong bộ nhớ tạm (clipboard) của người sửdụng... Hãng an ninh này đã bổ sungrằng các module của phần mềm độc hại sau đó có thểđọc được các nội dung bộ nhớ của chứng chỉWindows, nơi mà các chứng thực của một thẻ thông minhđược sao chép khi thẻ thông minh được chèn vào trongmột đầu đọc.

Cácnhà nghiên cứu cũng thấy rằng trojan này có chứa mãnguồn để tải một thư viện động ActivIdentity (nhậndạng tích cực). Theo Alienvault, ActivIdentity cung cấp thưviện này cùng với các đầu đọc thẻ thông minh cho cácnhà chức trách Mỹ như Bộ Quốc phòng và Bộ An ninh Nộiđịa. Tuy nhiên, vì tất cả các thiết bị “Omnikey”này xuất xưởng mà không có một bàn phím nào, nên mứcan ninh của chúng là thấp. Trong những môi trường nhưvậy, PIN cho việc xác thực một thẻ thông minh phải đượcđưa vào trong bàn phím của máy tính, làm cho nó trởthành một mục tiêu dễ dàng cho trình đọc bàn phím.

Alienvault nói rằngtrong khi thẻ thông minh được chèn vào đầu đọc thẻ,thì trojan theo yêu cầu có thể sử dụng một cách bí mậtPINs thu hoạch được và các chứng chỉ để đăng nhậpvào như một người sử dụng hợp pháp. Nghingờ rằng những cuộc tấn công này khởi nguồn từ cácmáy chủ của Trung Quốc. Hãng an ninh này nói rằnghãng đã xác định được cùng gốc gác khi điều tra mộtcuộc tấn công tương tự vào tháng 12/2011.

Accordingto US security firm Alienvault, a trojan variant that has existedsince March 2011 is stealing the PINs of smartcards that areused by the US Department of Defense. Smartcards are used for logginginto computers or web sites as part of "2-factorauthentication". The report says that the malware is installedwhen opening a PDF attachment, and that the attackers exploit anunspecified zero-day hole in Adobe Reader. The vulnerability inquestion could be the flaw in the code for processing graphics inUniversal 3D format that wasdisclosed in early December 2011.

Alienvaultsaid that the trojan contains a keylogger that writes all keyboardinputs, and the name of the window, to a file in plain text.Apparently, it also extracts the user's clipboard contents. Thesecurity firm added that further malware modules can read thecontents of the Windowscertificate memory, whe-re a smartcard's certificates are copiedwhen the smartcard is in-serted into a reader.

Theresearchers also found that the trojan contains code to load adynamic ActivIdentitylibrary. According to Alienvault, ActivIdentity supplies this librarytogether with smartcardreaders to US authorities such as the Department of Defense andthe Department of Homeland Security. However, since all of these"Omnikey" devices ship without a keyboard, their securitylevel is low anyway. In such environments, the PIN for authenticatinga smartcard must be entered on the computer keyboard, making it aneasy target for keyloggers.

Alienvaultsays that while the smartcard is in-serted in the reader, the trojanin question can secretly use the harvested PINs and certificates tolog in as the legitimate user. It is suspected that these attacksoriginate f-rom servers in China. The security firm said that it hasalready identified the same originwhen investigating a similar attack in December 2011.

(ehe)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com