Подрядчик в области обороны, L-3 Communications, предупредил сотрудников, что
хакеры атакуют компанию используя инсайдерскую информацию о системе SecurID,
которая недавно была украдена во время
проникновения в RSA
Security.
Атака на L-3 сделала компанию второй мишенью хакеров, связанной с брешью RSA
- при этом обе являются военными подрядчиками. Информационное агентство Reuters
сообщило в пятницу, что компания
Lockheed Martin пострадала
от вторжения.
"Военный подрядчик L-3 Communications подвергался активным нападениям с
использованием скомпрометированной информации с целью проникновения", - написал
6 апреля в e-mail руководитель L-3 Stratus Group. Отправлено данное сообщение
было 5 000 сотрудникам, один из поделился содержанием с Wired.com на
условиях анонимности.
Из e-mail неясно, были ли хакеры успешны в осуществлении своих атак, или как
L-3 удалось определить вовлеченность SecurID. Представитель L-3 Дженнифер Бартон
отказался предоставить комментарии в прошлом месяце, он лишь сказал: "Защита
нашей сети является главным приоритетом, у нас есть надежный набор протоколов
для обеспечения безопасности секретной информации. Мы полностью защищены".
Бартон отказался давать дальнейшие комментарии во вторник.
Находящаяся в Нью-Йорке компания L-3 Communications занимает восьмое место в
списке крупнейших правительственных подрядчиков 2011 года. Среди прочих вещей
компания обеспечивает Пентагон и спецслужбы технологиями, предназначенными для
управления и контроля, связи, осуществления разведывательной деятельности и
надзора (C3ISR).
Во время бреши в Lockheed злоумышленники, возможно, пытались использовать
клонированные токены SecurID пользователей Lockheed.
Две эти атаки наводят на мысль, что в ходе вторжения в RSA злоумышленникам
удалось украсть важную информацию — возможно, крипталгоритм для SecurID токенов
— которую они используют в разведывательных миссиях (для сбора еще большего
количества информации) против важных стратегических мишеней в США.
Атаки происходят, поскольку Пентагон находится в завершающей стадии
формализации доктрины военных операций в киберпространстве, которая, как
сообщают, рассматривает кибератаки, приводящие к поломкам или другим серьезным
нарушениям, как эквивалент вооруженных
нападений.
RSA Security, подразделение EMC, отказалась давать комментарии относительно
инцидента с L-3.
SecurID вводит дополнительный уровень защиты входа в систему и требует от
пользователей ввести секретный код, отображаемый на брелке или в ПО, в
дополнение к их паролям. Данное число криптографически генерируется и изменяется
каждые 30 секунд.
RSA в марте признала, что стала жертвой "очень изощренного"
взлома, в результате
которого злоумышленникам удалось украсть информацию, связанную с продуктами
компании по обеспечению двухфакторной идентификации SecurID.
"Хотя на данный момент мы уверены, что изъятая информация не позволит
осуществить успешную прямую
атаку против клиентов RSA SecurID", - писала в то время RSA, "данная
информация может потенциально быть использована для снижения эффективности
применяющейся в данный момент системы двухфакторной аутентификации с целью
проведения более масштабных атак. Мы активно сотрудничаем с клиентами RSA и
предпринимаем незамедлительные действия, чтобы улучшить обеспечение безопасности
SecurID".
RSA охарактеризовала брешь как "атаку, за которой стоит мотивированный
злоумышленник, нацеленный на определенные данные жертвы" или APT. APT является
модным термином, используемым для обозначения необычайно сложный атак при
которых злоумышленники используют методы социальной инженерии вместе с 0-day
уязвимостями, чтобы выявить слабое место в сети и совершить проникновение, а
затем аккуратно украсть исходный код и другую интеллектуальную собственность.
Прошлогодний взлом
Google рассматривался как APT-атака и — как многие вторжения данной
категории — был связан с Китаем.
L-3 использует SecurID для получения сотрудниками удаленного доступа к
открытой корпоративной сети, но засекреченные (закрытые) сети компании не
подвергались риску во время атаки, сообщила L-3.
На вопрос, могли ли злоумышленники, вторгшиеся в RSA, получить возможность
клонировать брелки SecurID, представитель RSA Хелен Стефен ответила: "Это то,
что мы не комментируем, и возможно никогда не будем комментировать".
Если злоумышленники смогли получить такую возможность, последствия могут быть
далеко идущими. SecurID используется многими федеральными агентствами и 500
крупнейшими промышленными компаниями США. На 2009 год RSA насчитывала 40
миллионов клиентов, применяющих аппаратные токены SecurID, и еще 250 миллионов,
использующих программные решения.
RSA кратко оповестила клиентов о вторжении, но это произошло лишь после
заключения соглашения о неразглашении, и компания поделилась некоторой
информацией с общественностью.
