Angriffe auf Smartcards des US-Verteidigungsministeriums

Ein bereits im März 2011 entstandener Trojaner soll nach Angaben des US-Sicherheitsunternehmens Alienvault die PINs von Smartcards stehlen, die das US-Verteidigungsministerium verwendet. Smartcards dienen bei der "2-Faktor-Authentifizierung" zum Anmelden an Rechnern oder Webseiten. Die Software werde durch das Öffnen eines PDF-Anhangs installiert, dabei nutzten die Angreifer eine nicht näher bezeichnete Zero-Day-Lücke in Adobes Reader aus. Damit könnte der Anfang Dezember 2011 bekannt gewordene Fehler beim Verarbeiten von Grafiken im Format Universal 3D gemeint sein.

Der Trojaner enthalte einen Keylogger, der alle Tastendrücke sowie den Namen des Fensters im Klartext in eine Datei schreibe. Außerdem werde der Inhalt des Clipboards ausgelesen. Weitere Module der Schadsoftware könnten den Inhalt des Windows-Zertifikatspeichers auslesen, in den die auf der Smartcard vorhandenen Zertifikate beim Einstecken in den Leser kopiert werden.

Schließlich haben die Alienvault-Mitarbeiter im Trojaner Code gefunden, der eine von der Sicherheitsfirma ActiveIdentity bereitgestellte dynamische Bibliothek lädt. Das Unternehmen liefert sie samt Smartcard-Lesern laut Alienvault an US-Behörden wie das Verteidigungs- und das Heimatschutzministerium. Da sämtliche dieser Geräte der Marke Omnikey offenbar ohne eigene Tastatur kommen, ist ihr Sicherheitsniveau allerdings ohnehin niedrig. Denn die PIN zur Freischaltung der Smartcard muss bei so einer Umgebung immer auf der Rechnertastatur eingegeben werden und kann deshalb leicht zum Opfer von Keyloggern werden.

Laut Alienvault könne sich der beschriebene Trojaner, solange die Smartcard im Leser steckt, mit den belauschten PINs und Zertifikaten unbemerkt als der jeweilige Anwender anmelden. Die beschriebenen Angriffe sollen von Servern in China ausgehen. Diese Quelle hatte die Firma bereits bei einer ähnlichen Attacke im Dezember 2011 aufgedeckt. (ck)