Letos v březnu padla za oběť neznámým hackerům elitní bezpečnostní společnost RSA, která dodává bezpečnostní řešení národním vládám, korporacím a také největším americkým zbrojovkám. Jak ukázal čas, právě zbrojařské firmy byly důvodem zájmu hackerů o RSA.
Tři měsíce po průniku do RSA zaútočili hackeři na zbrojovky Lockheed Martin, L-3 Communications a Northrop Grumman a také na servery Mezinárodního měnového fondu. Útok byl veden falešnými klíči, které těmto firmám dodává RSA v rámci svého bezpečnostního systému SecurID.
RSA své "vykradení" přiznala, odmítla je však komentovat. Podle serveru Wired se o informace z analýzy útoku firma nepodělila ani s antivirovými a bezpečnostními firmami z branže. Finská společnost F-Secure ovšem zjistila, že pár dní po útoku na RSA nahrál někdo (zřejmě zaměstnanec RSA nebo mateřské firmy EMC) útočný malware na server VirusTotal, který shromažďuje vzorky nebezpečného kódu od bezpečnostních firem a porovnává je.
Lidský faktor
Podle dostupných informací útočníci použili pro útok dva druhy e-mailů, které odeslali čtyřem zaměstnancům RSA. Přílohu e-mailů tvořil Excel dokument, ve kterém byl ukryt škodlivý kód, využívající neobjevenou díru (zero-day exploit) v aplikacei Flash. Pomocí této díry instalovali útočníci do systému počítače malware, tzv. backdoor, tedy další kus nebezpečného kódu, který jim umožnil vzdálený přístup do sítě RSA.
Ve stručném komentáři na svém blogu, kterým RSA průnik do svých systémů přiznala, popsali jeji zástupci, že "nakažený e-mail byl natolik zručně napodoben, že oklamal jednoho ze zaměstnanců, který jej otevřel".
Zručná napodobenina
Ukázalo se ovšem, že "zručná napodobenina" spočívala v jedné větě textu. Jak píše Wired, e-mail od "webmastera" serveru na zprostředkování práce obsahoval jedinou větu: "Přeposílám vám tento soubor k posouzení. Otevřete jej a prohlédněte." Zaměstnanci jedné z nejprestižnějších bezpečnostních firem planety výzvy uposlechli. V Excelu se jim pak objevila tabulka s jediným viditelným znakem "X", po kliknutí na něj byl systém nakažen backdoorem Poison Ivy.
Skrze backdoor počítač během chvíle začal komunikovat s doménou Mincesur.com, která byla podle F-Secure již dříve použita ke špionážním kyberútokům. Podle analytika F-Secure, Timo Hirvonena, stál břežnový průnik EMC 66 milionů dolarů.
Takto vypadalo otevření e-mailu s nakaženou přílohou. (Zdroj: F-Secure)
