AlienVault: Новый троян похищает данные смарт-карт Минобороны США

AlienVaultСпециалисты ИТ-компании AlienVault обнаружили варианта трояна Sykipot, ориентированного на похищение данных о смарт-картах сотрудников Министерства обороны США с целью получения несанкционированного доступа к ограниченным ресурсам. Специалистом по ИТ-безопасности AlienVault Джейми Бласко был обнаружен тот же код Sykipot с функциями, позволяющими этому трояну похищать данные о смарт-картах работников Минобороны США.

Новый вариант кода был скомпилирован еще в марте 2011 года, но до сих пор в широком хождении он не был замечен, что означает лишь одно: либо он был оружием в высоко таргетированных атаках, либо он пока не использовался.

В Минобороны США смарт-карты используются для хранения цифровых сертификатов работников и их PIN-кодов, применяемых для аутентификации.

Оригинальный код Sykipot был использован в ряде APT-атак (advanced persistent threat), однако вариант, обнаруженный AlienVailt, имеет функционал для обслуживания новых команд, связанных с захватом данных о смарт-картах и деталях получения доступа к защищенным ресурсам. Одна из новых функциональностей трояна связана с возможностью взаимодействия с программным обеспечением ActivIdentity ActivClient, работающим со смарт-картами, соответствующими стандартам безопасности Минобороны США. Согласно имеющимся данным, Пентагон использует спецификации Common Access Card (CAC), с помощью которых осуществляется проверка данных для работы с сетями, определенными ресурсами, электронной почтой и т д.

Новый вариант трояна способен перехватывать данные о сертификатах, а при помощи встроенного кейлоггера снимать данные о вводимых PIN-кодах. После перехвата указанных данных Sylipot переправляет краденую информацию на специальные защищенные ресурсы.

Эксперты отмечают, что обнаруженные ими серверы, отвечающие за прием информации, расположены в Китае, однако данный момент еще не говорит о том, что получатели информации находятся в КНР.


Обновлено (14.01.2012 10:10)