Кража секретных данных, связанных с
токенами RSA SecurID,
используемыми 40 миллионами работников для получения доступа к закрытым сетям,
началась с электронного письма, состоящего из 13 слов.

"Я предлагаю Вам этот файл на рассмотрение", — говорилось в письме, которое
было разослано работникам головной компании RSA – EMC. "Пожалуйста, откройте и
прочитайте его".

Никогда ранее не встречавшееся письмо было обнаружено Тимо Хирвоненом,
исследователем из компании F-secure, более 5 месяцев назад после того, как
кто-то взломал защиту RSA и украл закрытую информацию, касающуюся SecurID. Атака
вызвала массу вопросов у специалистов в области вредоносного ПО, т.к. затем
последовали хакерские атаки
на Lockheed Martin
и, возможно, других клиентов RSA.

Ранее RSA заявляла, что преступники рассылали 2 разных письма, адресованных
небольшой группе не высокопоставленных сотрудников в течение двухдневного
периода. Сообщения были достаточно заманчивы, чтобы заставить "одного из
сотрудников извлечь письмо из папки нежелательных писем и открыть прикрепленный
файл Excel", заявляют RSA. Компания говорит, что вредоносные файл выглядел как
документ под названием "План комплектования штата 2011.xls", который содержал в
себе вредоносный скрипт Adobe Flash, однако специалисты RSA не раскрывали его
содержание исследователям, не задействованным в расследовании.

Хирвонен был одним из большого количества исследователей, кто бился над этим
вредоносным файлом Excel. В конце концов он написал приложение, которое
анализировало вредоносные объекты во Flash. Инструмент показал файл,
прикрепленный к сообщению в Outlook, которое и являлось письмом, адресованным
четверым сотрудникам EMC, отправленным третьего марта.

С двоичным кодом в руках, исследователь вскоре обнаружил, что кто-то загружал
его на Virustotal 19 марта, двумя неделями после атаки и днем позже того, когда
RSA обнаружили атаку. Это означало, что файл, над поиском которого специалисты
бились так долго, находился у них под носом в течение 5 месяцев.

При открытии файла на машину жертвы устанавливался бекдор Poison Ivy. Как
показано в видео, ничего не вызывает каких-либо подозрений.

Единственное, что было сложным в этой атаке, как считают в F-Secure, это
эксплуатация раннее неизвестной уязвимости Flash (впоследствии Adobe пропатчил
ее). Все остальное основывалось на нескольких примитивных принципах социальной
инженерии, которые заставили сотрудника одной из наиболее надежных компаний в
мире безопасности кликнуть на вредоносный объект.

Оставить мнение