• Tweet

Una variante de Sykipot actúa como proxy de tarjeta inteligente para acceder a recursos protegidos.

Una variante del caballo de Troya Sykipot secuestra tarjetas inteligentes del Departamento de Defensa (DoD) de EU para acceder a recursos restringidos.

"Recientemente descubrimos una variante de Sykipot con algunas características nuevas e interesantes que le permiten apropiarse de manera efectiva de las tarjetas inteligentes del Departamento de Defensa y de Windows", dijo Jaime Blasco, un investigador de seguridad de AlienVault, en un blog. "Esta variante, que parece que se ha compilado en marzo de 2011, se ha visto en docenas de muestras de ataque con respecto al año pasado".

La interfaz de las tarjetas inteligentes con las computadoras se lleva a cabo a través de un lector especial. Utilizan certificados digitales y códigos PIN para la autenticación.

Sykipot se utiliza comúnmente en ataques de amenaza persistente avanzada (APT). Según Blasco, la variante Sykipot recientemente analizada por AlienVault contiene varios comandos para capturar información de tarjetas inteligentes y la utiliza para acceder a los recursos de seguridad.

Una de las rutinas de la variante está diseñada para trabajar con ActivIdentity ActivClient, un software de autenticación compatible con la especificación de las Tarjetas de Acceso Común (CAC, por sus siglas en inglés) del Departamento de Defensa.

El CAC permite el acceso a las computadoras del Departamento de Defensa, las redes, y algunas instalaciones. Permite a los usuarios cifrar y firmar digitalmente los correos electrónicos y facilita el uso de la infraestructura de clave pública (PKI) para la autenticación.

Esta variante de Sykipot lee los certificados de tarjeta inteligente registrados en el equipo de la víctima, le roba el número PIN de la tarjeta utilizando un módulo de keylogger, y utiliza la información para acceder a los recursos protegidos, siempre y cuando la tarjeta se quede dentro del lector, dijo Blasco. En esencia, se convierte en un sustituto de tarjetas inteligentes.

"Aunque los troyanos que se dirigen a las tarjetas inteligentes no son nuevos, hay un significado obvio para orientar en particular un amplio despliegue hacia el sistema de tarjetas inteligentes del Departamento de Defensa de EU y otras agencias gubernamentales, en particular dada la naturaleza de la información a la que los atacantes parecen estar dirigiendo la exfiltración", dijo Blasco.

Sykipot fue distribuido el mes pasado como parte de un ataque de APT en contra de las empresas de los sectores de telecomunicaciones, manufactura, equipos de cómputo, productos químicos y las industrias de defensa haciendo objetivo particular en las agencias federales de los EU. De acuerdo con AlienVault, el centro de comando principal del troyano y los servidores de control están situados en China, aunque sus creadores en algún momento utilizaron servidores con base en EUA orientados al robo de información con el fin de evitar la detección.