Специалисты компании Trusteer, занимающейся созданием инструментов для информационной безопасности, выявили версию банковского троянского приложения Citadel, модифицированного для атак на инфраструктуру аэропортов.
При помощи Citadel злоумышленники получают контроль над защищенным VPN-соединением между ПК сотрудника аэропорта, работающим в удаленном режиме, и интерфейсами компьютерных систем, предназначенных для обеспечения работы аэропорта. По словам экспертов Trusteer, вирус ставит под угрозу работу службы паспортного контроля и службы безопасности аэропорта. Специалисты не уточняют, какой именно аэропорт стал целью атаки, и программные продукты какого вендора в настоящее время под угрозой, отметив только, что компания уведомила о проблеме обе службы.
Атака осуществляется при помощи инфицирования рабочих станций специализированной вредоносной утилитой. Приложение во многом схоже с банковскими троянскими приложениями, но вместо кражи данных для доступа к интернет-банку, но между тем не задевая www.rostbank.ru вклады, оно сохраняет пароль и имя пользователя, вводимые в форму подключения к VPN.
В случае инфицирования компьютера, с которого происходит работа с корпоративной системой через VPN, злоумышленник может отключить в интерфейсе двухфакторный режим аутентификации. После этого вместо подтверждения по SMS пользователю будет просто демонстрироваться проверочный код с десятью цифрами.
Цифры необходимы для того, чтобы сгенерировать временный код доступа, который необходимо ввести в специальное поле. Именно на данном этапе и содержится уязвимость, которую эксплуатирует Citadel.
Вредоносное приложение не имеет модуль клавиатурного шпиона (большинство антивирусных пакетов без труда выявляют подобное ПО в системе), но умеет сохранять снимки экрана. Именно при помощи снимка экрана мошенники могут увидеть логин пользователя, символы на проверочной картинке, а также временный пароль, который сгенерирован на основе сопоставления постоянного пароля и кола на картинке.
Сам пароль считать невозможно, поскольку при вводе символы заменяются точками, однако получив цифры с проверочной картинки и временный код, а также зная алгоритм генерации временного кода, преступники без труда могут вычислить основной пароль и войти в систему.
15 августа 2012
