Znane vse podrobnosti napada na RSA
Matej Huš
27. avg 2011 ob 11:54:53
EMC oziroma njegova divizija RSA, ki je proizvajalec sistema SecurID za preverjanje pristnosti, je bil 3. marca napaden. Sprva je RSA zatrjevala, posledic za uporabnike ne bo, a se je kasneje izkazalo, da so bili žetoni za SecurID kompromitirani. Na lastni koži je to izkusil Lockheed Martin, v katerega so na ta način uspešno vdrli, kar je RSA prisililo v zamenjavo večine žetonov. Nekaj mesecev po napadu je postalo znanih že več podrobnosti o njegovem poteku, sedaj pa je F Secure pridobil še dejanske datoteke, s katerimi je bil napad izpeljan. V resnici so jih imeli že dlje časa, le vedeli niso zanje, saj jih je nek uporabnik prijavil prek spletnega protivirusnika VirusTotal.
Kot je znano, so neznani napadalci manjši skupini zaposlenih v RSA poslali dvoje različnih elektronskih sporočil. V obeh, ki sta imeli mimogrede ponarejen zapis v polju Od, je bila zgolj vrstica ali dve besedila, priložena pa je bila priponka z naslovom 2011 Recruitment plan.xls. Čeprav je programska oprema to avtomatično razvrstila v predal spam, je nekdo izmed zaposlenih sporočilo rešil iz vic in ga odprl. S tem pa je odprl pot za napad.
Ko je priponko odprl, je videl le prazno Excelovo datoteko, v kateri je bil le en znak X. To je tudi edini indic, da je vsebovala zlonamerno Flashevo datoteko, ki je izkoristila ranljivost CVE-2011-0609. Omenjena ranljivost je bila v času napada neznana (zero-day), zato se proti njej ni bilo mogoče zaščititi. S tem je imela zlobna koda proste roke, da na računalnik namesti program Poison Ivy, ki omogoča oddaljen nadzor. Tako so napadalci pridobili popoln dostop do delovne postaje in vseh omrežnih pogonov, do katerih je ta lahko dostopila.
Napad sam po sebi torej ni bil nič kaj zapleten. Potrebno je bilo zgolj najti nedokumentirano in nezakrpano luknjo v Flashu ter računati na človeški faktor. Še vedno pa ni znano, kdo stoji za napadom. Trenutno raziskovalci predvidevajo, da je bil pravi cilj Lockheed Martin da je bil RSA zgolj vmesna postaja. To bi postavilo vir v kakšno izmed držav na ameriški osi zla.