Kutatók megtalálták, mi volt az RSA elleni támadás kiindulópontja

Amióta tavaly márciusban föltörték az RSA biztonsági cég rendszerét, kutatók folyamatosan próbáltak hozzájutni a támadáshoz használt kártékony szoftver egy másolatához, hogy megvizsgálják. Az RSA azonban ebben nem működött velük együtt, ahogy a támadás kivizsgálására felbérelt szakértők sem.

A múlt héten a finn F-Secure biztonsági cég fölfedezte, hogy a fájl végig az orruk előtt volt. Valaki – a cég szerint valószínűleg az RSA vagy az anyavállalatának (EMC) egy alkalmazottja – feltöltötte egy online víruskereső weboldalra március 19-én, egy kicsivel több, mint két héttel az RSA feltörésének vélt időpontja, március 3-a, után. Az online víruskereső, a VirusTotal, a feltöltött mintákat megosztja a biztonsági cégekkel és kutatókkal.

Ezt a feltöltött emailt találták most meg. Az email egy munkaközvetítő weboldal nevében érkezett és egy beágyazott Flash tartalommal rendelkező Excel fájl volt a csatolmánya. A fájl megnyitásakor a Flash kód lefutott és elhelyezett egy hátsó kaput a rendszeren. Ez a Poison Ivy volt, ami ezek után csatlakozott egy távoli szerverre, a good.mincesur.com-ra (az F-Secure szerint ezt használták más kém támadásoknál is), és távoli hozzáférést biztosított az EMC rendszeréhez. A támadók ezután jutottak hozzá a keresett adatokhoz.

Bár a küldött email és a hátsó kapu nem utal komoly támadásra, egy 0-day (javítással még nem rendelkező) Flash hiba kihasználása, és az, hogy megtámadták az RSA-t, hogy utána a Lockheed Martin és más katonai beszállítók ellen sikeres támadást indíthassanak, ennek az ellenkezőjét bizonyítja.

http://www.wired.com/threatlevel/2011/08/how-rsa-got-hacked/

Címkék

RSA