Tietoturvaryhmä havaitsee haittaohjelmia, joka kaappaa USB-älykortit

Tutkijaryhmä on luonut todisteena haittaohjelmia, jonka avulla hyökkääjät voivat hallita USB-älykortinlukijoita, jotka on liitetty tartunnan saaneeseen Windows-tietokoneeseen

haittaohjelma asentaa erityisen kuljettajan tartunnan saaneelle tietokoneelle, jonka avulla siihen liitetyt USB-laitteet voidaan jakaa Internetin kautta hyökkääjän tietokoneen kanssa.

USB-älykortinlukijoiden tapauksessa hyökkääjä voi käyttää älykortin valmistajan tarjoamaa väliohjelmistoa suorittamaan uhrin kortin toimintaa ikään kuin se olisi liitetty omaan tietokoneeseensa, sanoi Luxemburgin turvallisuusvalvonnan IT-turvallisuuskonsultti Paul Rascagneres g ja konsulttiyritys Itrust Consulting viime viikolla.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Järjestelmä on jo dokumentoitu haittaohjelmat, jotka kaappaavat älykorttilaitteet paikalliselta tietokoneelta ja käyttävät niitä valmistajan tarjoaman sovellusohjelmaliittymän kautta.

Malware.lu-tiimin kehittämä todenmukaisuus-haittaohjelma kuitenkin vie tämän hyökkäyksen vieläkin enemmän ja jakaa USB-laitteen TCP / IP: n yli "raakana", Rascagneres sanoi.

Rascagneresin on määrä esitellä miten hyökkäys toimii Malconin turvallisuuskonferenssissa New Delhissä Intiassa 24. marraskuuta.

Threatens smart kortin turvallisuus

Älykortteja käytetään useisiin tarkoituksiin, mutta useimmiten asiakirjojen todentamiseen ja allekirjoittamiseen digitaalisesti. Jotkut pankit tarjoavat asiakkailleen älykortteja ja lukijoita turvalliseen todentamiseen verkkopankkijärjestelmissään. Jotkut yritykset käyttävät älykortteja etätyöntekijöiden tunnistamiseen työntekijöissään yritysverkoissaan. Lisäksi jotkin maat ovat ottaneet käyttöön sähköisen henkilökortin, jonka kansalaiset voivat käyttää todentamaan ja suorittamaan erilaisia ​​operaatioita valtion verkkosivustoilla.

Rascagneres ja malware.lu-ryhmä testasivat haittaohjelmatyyppinsä kansallisella sähköisellä henkilökortilla (eID), jota käytetään Belgia ja jotkut belgialaisten pankkien käyttämät älykortit. Belgian eID antaa kansalaisille mahdollisuuden verottaa verkkojaan verkossa, allekirjoittaa digitaalisia asiakirjoja, tehdä valituksia poliisille ja muille.

Teoriassa haittaohjelmien USB-laitteen jakamisen toimivuus on kuitenkin käytävä kaikenlaisten älykorttien ja USB-älykortinlukijan, tutkija sanoi.

Useimmissa tapauksissa älykortteja käytetään yhdessä PIN-koodien tai salasanojen kanssa. Haittaohjelmien prototyyppi, jonka malware.lu-tiimi on kehittänyt, on keylogger-komponentin varastamaan nämä käyttöoikeudet, kun käyttäjät syöttävät ne näppäimistöjen kautta.

Jos älykortinlukija sisältää fyysisen näppäimistön PIN-koodin kirjoittamiseksi, tämän tyyppinen hyökkäys ei toimi, Rascagneres sanoi.

Tutkijoiden luomia ohjaimia ei ole allekirjoitettu digitaalisesti voimassa olevan sertifikaatin kanssa, joten niitä ei voi asentaa Windows-versioihin, jotka vaativat asennettuja ohjaimia, kuten 64-bittiset versiot mutta todellinen hyökkääjä voi allekirjoittaa kuljettajat varastetuilla varmenteilla ennen tällaisten haittaohjelmien levittämistä.

Lisäksi haittaohjelmien, kuten TDL4: n, tiedetään pystyvän poistamaan kuljettajan allekirjoituskäytännön 64-bittisissä Windows 7 -versioissa käyttämällä käynnistysvaiheen rootkit-bootkit -komponenttia, joka toimii ennen kuin käyttöjärjestelmä on ladattu.

Hyökkäys on lähes täysin avoin käyttäjälle, koska se ei estä heitä käyttämästä älykorttia tavalliseen tapaan, Rascagneres sanoi. Ainoa lahja voi olla älykortinlukijaan johtava vilkkuva aktiviteetti, kun hyökkääjä käyttää korttia, hän sanoi.