RSA кратко изложила информацию относительно методов, которые использовали
хакеры, получившие доступ к технологии
SecureID
, и описала то, как было остановлено вторжение.

Компания сообщила, что первоначально атака началась с рассылки
email-сообщений под названием "План набора персонала 2011" группе сотрудников. В
данных сообщениях содержалась электронная таблица Excel с
эксплоитом, использующем
Adobe Flash
. Большая часть сообщений была перемещена в папки со спамом, но
некоторые из них все же были открыты, и злоумышленники получили доступ к
компьютерам RSA.

Вторгшись, они использовали взломанные компьютеры для получения доступа к
аккаунтам других сотрудников до тех пор, пока не достигли цели – необходимых им
файлов. Информация была собрана и отправлена на внешний сервер, но RSA не
пояснила, что именно было изъято.

Компания обнаружила атаку и заблокировала ее, во многом благодаря ПО от
NetWitness, контролирующему сеть. Тем не менее, на реагирование был затрачен
слишком продолжительный период времени, так что избежать кражи информации не
удалось.

"RSA должна была лучше защищаться. Ирония заключается в том, что компания не
использует свои собственный продукты", — написала в блоге аналитик из Forrester
Авива Литан.

"Она полагается на устаревшие устройства для предотвращения и определения
атаки. Очевидно, что они не смогли предотвратить атаку вовремя, это значит, что
сигналы и характеристики были не достаточны, чтобы немедленно прекратить атаку".

Литан похвалил RSA за предупреждение клиентов о проблеме, многие компании
этого бы не сделали.

Тем временем незасекреченный документ, касающийся атаки, исходящий от
Национального отдела киберзащиты Департамента внутренней безопасности США (US-CERT),
показывает, что по меньшей мере один из доменов, использованных в атаке,
находился в Китае.

Сэм Норрис, основатель ChangeIP.com, ответственный за некоторые домены из
списка US-CERT, сообщил аналитику в области безопасности Брайану Кребсу, что он
подозревает причастность Китая.

"99% времени, когда эти парни находились в одном из аккаунтов с целью
изменения IP-адреса для домена, они действовали с китайского адреса", — отметил
Норрис.



Оставить мнение