Zespół zabezpieczeń wykrył złośliwe oprogramowanie przechwytujące karty inteligentne USB

Zespół naukowców stworzył próbną wersję złośliwego oprogramowania, które może umożliwić atakującym kontrolowanie czytników kart USB podłączonych do zainfekowanego komputera z systemem Windows przez Internet.

Szkodnik instaluje na zainfekowanym komputerze specjalny sterownik, który umożliwia udostępnianie podłączonych do niego urządzeń USB przez Internet za pośrednictwem komputera atakującego.

W przypadku czytników kart inteligentnych USB, osoba atakująca może użyć oprogramowania warstwy pośredniej dostarczonego przez producenta karty inteligentnej do wykonywania operacji na karcie ofiary, tak jakby była ona podłączona do własnego komputera, powiedział Paul Rascagneres, konsultant ds. bezpieczeństwa IT w luksemburskim audycie bezpieczeństwa g i firma konsultingowa Itrust Consulting, w zeszłym tygodniu. Rascagneres jest także założycielem i liderem projektu analizy złośliwego oprogramowania i złośliwego oprogramowania o nazwie malware.lu, którego zespół zaprojektował to złośliwe oprogramowanie do udostępniania USB.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Istnieją już udokumentowane przypadków złośliwego oprogramowania, które przechwytuje urządzenia kart inteligentnych na komputerze lokalnym i używa ich za pośrednictwem interfejsu API (interfejsu programowania aplikacji) dostarczonego przez producenta.

Jednak szkodliwe oprogramowanie typu proof-of-concept opracowane przez zespół malware.lu podejmuje ten atak jeszcze dalej i udostępnia urządzenie USB przez TCP / IP w "surowej" formie, powiedział Rascagneres. Inny sterownik zainstalowany na komputerze atakującego sprawia, że ​​wygląda tak, jakby urządzenie było podłączone lokalnie.

Rascagneres ma pokazać, jak atak działa na konferencji bezpieczeństwa MalCon w New Delhi, w Indiach, 24 listopada.

Threatens smart ochrona karty

Karty inteligentne są używane do różnych celów, ale najczęściej do uwierzytelniania i podpisywania dokumentów w formie cyfrowej. Niektóre banki oferują swoim klientom karty inteligentne i czytniki do bezpiecznego uwierzytelniania za pomocą swoich systemów bankowości internetowej. Niektóre firmy używają kart inteligentnych do zdalnego uwierzytelniania pracowników w sieciach korporacyjnych. Ponadto w niektórych krajach wprowadzono elektroniczne dowody tożsamości, z których obywatele mogą korzystać w celu uwierzytelniania i wykonywania różnych operacji na rządowych stronach internetowych.

Zespół Rascagneres i zespół malware.lu przetestowali prototyp złośliwego oprogramowania za pomocą krajowej elektronicznej karty identyfikacyjnej (eID) używanej w Belgia i niektóre karty inteligentne używane przez banki belgijskie. Belgijski elektroniczny dokument tożsamości pozwala obywatelom składać podatki w Internecie, podpisywać cyfrowe dokumenty, składać skargi na policję itp.

Teoretycznie funkcja udostępniania urządzeń USB w szkodliwym oprogramowaniu powinna działać z każdym typem inteligentnej karty i czytnika kart USB, badacz powiedział.

W większości przypadków karty inteligentne są używane razem z kodami PIN lub hasłami. Prototyp złośliwego oprogramowania opracowany przez zespół malware.lu zawiera komponent keyloggera, który wykradnie te referencje, gdy użytkownicy wprowadzą je przez klawiaturę.

Jeśli jednak czytnik kart inteligentnych zawiera fizyczną klawiaturę do wprowadzania kodu PIN, wówczas ten typ atak nie zadziała, powiedział Rascagneres.

Sterowniki stworzone przez naukowców nie są podpisane cyfrowo z ważnym certyfikatem, więc nie można ich zainstalować w wersjach systemu Windows, które wymagają podpisania zainstalowanych sterowników, takich jak wersje 64-bitowe systemu Windows 7. Prawdziwy napastnik może jednak podpisać sterowniki ze skradzionymi certyfikatami przed dystrybucją tego szkodliwego oprogramowania.

Ponadto, szkodliwe oprogramowanie, takie jak TDL4, może wyłączyć strategię podpisywania sterowników w 64-bitowych wersjach systemu Windows 7 przez przy użyciu bootkryckiego komponentu rootkit-bootkit, który działa przed załadowaniem systemu operacyjnego.

Atak jest prawie całkowicie przezroczysty dla użytkownika, ponieważ nie przeszkadza im w normalnym korzystaniu z karty inteligentnej, powiedział Rascagneres. Jedynym plukiem może być mrugająca aktywność prowadzona na czytniku kart inteligentnych, gdy atakujący ma do niego dostęp.