Слабое звено

Как оказалось, кража технологических секретов RSA, которая заставила изрядно поволноваться всех клиентов крупнейшего производителя средств интернет-защиты, обязана своим успехом сотруднику компании, открывшему вредоносный файл, полученный в спаме.

По свидетельству экспертов, это был яркий пример целевой атаки, использующей приемы социальной инженерии и эксплойт нулевого дня. Неизвестные злоумышленники отослали ряд спам-сообщений, адресованных разным группам служащих RSA среднего звена. По всей видимости, этому предшествовал сбор личной информации сотрудников, опубликованной в интернете ― в первую очередь, в социальных сетях. Авторам целевой спам-рассылки удалось заинтриговать лишь одного из получателей, но и этого оказалось достаточно. «План расширения кадрового состава в 2011 году» с аттачем был извлечен из мусорной корзины, куда его направил защитный спам-фильтр, и зараженная xls-таблица открыта.

В результате отработки эксплойта, внедренного в файл Excel (тогда еще не пропатченная уязвимость CVE-2011-0609), в систему был установлен бэкдор ― один из вариантов Poison Ivy. Чтобы не светить командный трафик, программа удаленного администрирования сама подключалась к центру управления для получения дальнейших инструкций. Проникнув во внутреннюю сеть RSA через эту брешь, хакеры начали поиск нужной информации и сотрудников с соответствующим уровнем доступа.

Все, что удалось скопировать из корпоративных хранилищ, киберворы вывели по ftp-каналам на сторонние (взломанные) сервера, скачали и замели следы. Следует отметить, что с момента проникновения во внутреннюю сеть RSA незваные гости действовали очень оперативно. Защитные механизмы компании зафиксировали кибератаку, но оказались не в состоянии предотвратить кражу.

RSA не преминула поставить клиентов в известность о неприятном инциденте и начатом расследовании, а также заверить их, что принимает все надлежащие меры по усилению защиты своей ИТ-инфраструктуры. Представитель компании пояснил, что украденная информация касается технологии, заложенной в линейку продуктов SecurID ― генераторов одноразовых паролей, карт персонального доступа к защищенным данным и прочих средств многоуровневой аутентификации. По мнению экспертов, последствия в виде целевых атак против систем SecurID на местах маловероятны. Тем не менее, похищенные данные потенциально могут быть использованы для подавления конкретного механизма двухуровневой авторизации в ходе комплексной кибератаки.