Een Trojaans paard dat zich voornamelijk richt tegen Amerikaanse defensiebedrijven, kaapt smartcards om toegang tot afgeschermde en beveiligde netwerken te krijgen. Dat ontdekte Jaime Vasco van Alien Vault Labs. Steeds meer bedrijven gebruiken extra authenticatie om gebruikers in te laten loggen. Met name bij Amerikaanse defensiebedrijven zouden PC/SC x509 smartcards veelvuldig als authenticatiemiddel worden ingezet.

In het verleden zorgden de smartcards ervoor dat aanvallers naar een andere aanvalsvector moesten zoeken, aldus Vasco. Die tijd is nu voorbij, want de onderzoeker ontdekte een variant van de Sykipot Trojan met een aantal nieuwe features, waardoor het smartcards van het Amerikaanse ministerie van Defensie en Windows kan kapen. De variant die in maart 2011 voor het eerst gecompileerd zou zijn, werd het afgelopen jaar veelvuldig bij aanvallen aangetroffen.

PDF-document
Om het Trojaanse paard op de computer te krijgen, gebruiken de aanvallers een spear-phishing campagne. Het doelwit ontvangt een PDF met daarin een exploit verstopt. Begin december waren verschillende Amerikaanse defensiebedrijven het doelwit van zo'n campagne, waarbij er een zero-day beveiligingslek in Adobe Reader werd gebruikt om de Sykipot Trojan te installeren.

In tegenstelling tot voorgaande versies van de malware, kan de 'smartcard-variant' de pincode van de smartcard stelen. Zodra de smartcard in de lezer wordt gestopt, doet de malware zich als de geauthenticeerde gebruiker voor en kan zo gevoelige informatie benaderen. De malware wordt door de aanvallers via het command & control center bestuurd.

Twee-factor
De aanvallers kijken daarbij ook naar de certificaten die op de geïnfecteerde computer geïnstalleerd zijn. "Door de pincode via een keylogger module te stelen, gebruiken ze vervolgens deze informatie om op bronnen in te loggen die met certificaten/smartcards beschermd zijn", aldus Vasco. Om de aanval uit te voeren moet de kaart wel in de kaartlezer blijven zitten. Dit lijkt misschien een nadeel, maar zorgt er ook voor dat de ongeautoriseerde activiteit lastig is op te merken, aangezien de gebruiker op dat moment gewoon achter zijn computer zit.

De onderzoeker merkt op dat Trojaanse paarden die smartcards aanvallen niet nieuw zijn, maar dat het een logische stap is om een bepaald smartcardsysteem aan te vallen dat door het Amerikaanse ministerie van Defensie en andere overheidsinstanties wordt gebruikt. "Hoewel smartcards ontworpen zijn om een twee-factor systeem van 'chip en pin' te bieden, zien we dat echte twee-factor authenticatie niet mogelijk is zonder een fysieke component die niet digitaal toegankelijk is."