Một chủng mới của phần mềm độc hại Sykipot đang được một nhóm tội phạm mạng Trung Quốc dùng để đánh cắp thông tin từ các thẻ thông minh của Bộ Quốc phòng Mỹ (DoD).
Phần mềm độc hại này được thiết kế để dùng đầu đọc thẻ thông minh chạy ActivClient – một ứng dụng khách của hãng ActivIdentity – theo thông tin từ hệ thống bảo mật SIEM (security information and event management) của công ty AlienVault.
Thẻ thông minh của ActivIdentity đã được tiêu chuẩn hóa cho Bộ Quốc phòng và một số cơ quan chính phủ khác của Mỹ. Các thẻ này được sử dụng để nhận biết các quân nhân chính quy, quân nhân dự bị, các nhân viên dân sự, và khối nhà thầu.
Như với các chủng Sykipot trước đây, những kẻ tấn công sử dụng hệ thống e-mail để dụ các mục tiêu bấm vào một liên kết và máy của họ sẽ bị cài đặt phầm mềm độc hại Sykipot.
Sau khi xác định các máy tính nào có đầu đọc thẻ thông minh, những kẻ tấn công cài đặt phần mềm gián điệp để ghi nhận các thao tác trên bàn phím và ăn cắp mã PIN của các thẻ thông minh.
Jaime Blasco, quản lý phòng thí nghiệm của AlienVault giải thích: “Khi thẻ được đưa vào đầu đọc, phần mềm độc hại hoạt động giống như người sử dụng đã xác thực và có thể truy cập những thông tin nhạy cảm. Malware sau đó được điều khiển bởi những kẻ tấn công để ăn cắp các dữ liệu nào mà chúng muốn”.
Đến nay, AlienVault đã phát hiện các cuộc tấn công vào các hệ thống thẻ thông minh chạy phầm mềm Windows Native x509, vốn đang sử dụng phổ biến trong một số cơ quan chính phủ Mỹ và đồng minh.
Chủng mới này được cho là có nguồn gốc từ các tác giả Trung Quốc, những người từng tạo ra một phiên bản của Sykipot vào năm 2011 và đã phát đi hàng loạt thư rác chứa thông tin về thế hệ tiếp theo của máy bay không người lái “drones” do không lực Hoa Kỳ phát triển.
Trong một cuộc điều tra căng thẳng vào năm ngoái, Blasco cho rằng các nhóm đứng sau Sykibot đã tiếp cận một “danh sách mua sắm” của đối tượng bị tấn công, bao gồm chất bán dẫn, y tế và công nghệ hàng không vũ trụ.
Trong một báo cáo từ cách đây ít nhất năm, cơ quan tư vấn về bảo mật Mandiant đã xác định vài trường hợp hợp kẻ tấn công có thể xâm nhập vào các máy tính hoặc mạng sử dụng phương thức đăng nhập bằng thẻ thẻ thông minh và mật khẩu. Mandiant đã gọi kỹ thuật này là “smart card proxy”.
Khải Huỳnh
(Theo pcworld)