Кража исходных значений токенов RSA SecurID нарушила кибербезопасность тысяч сетей клиентов компании.
В 2011 году китайские киберпреступные шпионы взломали сети гиганта в области корпоративной кибербезопасности RSA. Взлом RSA был масштабной атакой на цепочку поставок. Правительственные хакеры, работавшие на Народно-освободительную армию Китая, проникли в инфраструктуру, обеспечивавшую цифровую безопасность по всему миру. В последующее десятилетие многие ключевые руководители RSA хранили молчание об инциденте в рамках 10-летнего соглашения о неразглашении. Как сообщило издание Wired, теперь срок соглашения истек.
ИБ-эксперт Тодд Литхэм (Todd Leetham) участвовал в расследовании инцидента и смог отследить злоумышленников до их конечных целей — секретных ключей, также известных как сиды (seeds). Сиды представляют собой набор чисел, обеспечивая фундаментальный уровень кибербезопасности десяткам миллионов пользователей в правительственных и военных ведомствах, оборонных предприятиях, банках и бесчисленных корпорациях по всему миру.
RSA хранила ключи на защищенном сервере. Ключи служили важнейшим компонентом одного из основных продуктов RSA — токенов SecurID. Устройства в виде небольших брелоков позволяли подтвердить личность пользователя путем ввода шестизначных кодов, которые постоянно обновлялись на экране брелока. Кража начальных значений токенов предоставляла хакерам возможность клонировать SecurID, незаметно нарушить двухфакторную аутентификацию и обойти систему безопасности в любой точке мира. Преступники могли получить доступ к банковским счетам, национальным секретам безопасности и пр.
Хакеры потратили девять часов на отправку сидов с хранилища на взломанный сервер облачного провайдера Rackspace. Литам обнаружил логи, содержащие украденные учетные данные взломанного сервера. Эксперт подключился к удаленному устройству Rackspace и ввел украденные учетные данные. Логи сервера по-прежнему содержали всю украденную коллекцию сидов в виде сжатого файла .rar. Литам набрал команду для удаления файла и нажал Enter, однако командная строка компьютера вернула ответ «Файл не найден». Содержимое сервера Rackspace было пусто. Хакеры вытащили исходную базу данных с сервера за секунды до того, как он смог ее удалить.
Кража исходных значений токенов RSA означала, что критически важная защита тысяч сетей ее клиентов была отключена. Кибершпионы получили ключи для генерации шестизначных кодов без физических токенов и открыли себе путь к любой учетной записи.
Аналитики в конечном итоге проследили происхождение взлома до единственного вредоносного файла, который, по их мнению, оказался на компьютере сотрудника RSA за пять дней до начала расследования. Сотрудник из Австралии получил электронное письмо с темой 2011 Recruitment plan и прикрепленной к нему таблицей Microsoft Excel. Внутри файла находился скрипт для эксплуатации уязвимости нулевого дня в Adobe Flash, установивший на устройство жертвы вредоносное ПО Poison Ivy.
Эта первоначальный вектор атаки не был особенно сложным. Хакер не смог бы воспользоваться уязвимостью в Flash, если бы жертва работала с более поздней версией Windows или Microsoft Office или если бы у нее был ограниченный доступ к установке программ на свой компьютер. По словам представителей RSA, в ходе взлома принимали участие две группы хакеров: одна высококвалифицированная группировка использовала доступ другой.
На компьютере австралийского сотрудника кто-то использовал инструмент для хищения учетных данных из памяти устройства, а затем повторно использовал эти данные для авторизации в других системах. Затем хакеры начали искать учетные данные администраторов и в конце концов добрались до сервера, содержащего учетные данные сотен пользователей.
Спойлер: мы раскрываем их любимые трюки