Эксперты из компании Command Five, которая специализируется на информационной безопасности, опубликовали аналитический отчёт (PDF) с описанием «инструментов, техник и процедур», вероятно использовавшихся хакерами во время нашумевшего высокотехнологичного взлома RSA в марте прошлого года. Взлом RSA считается атакой класса Advanced Persistent Threat (APT), то есть спланированной акцией, которую провела группа высококвалифицированных хакеров, вероятно, финансируемых зарубежным правительством.

В отчёте в нейтральном стиле анализируются используемые инструменты и техники. В частности, подробно описывается бэкдор Murcy, который контролировался с китайского командного сервера path.alyac.org. Эксперты из компании Command Five заявляют, что в атаке на RSA имеются признаки, указывающие на использование этого бэкдора. Имеется в виду использование протокола IP2B, а также набора родственных хакерских программ, которые раньше применялись вместе с Murcy, вероятно, той же группой хакеров, во время атаки на SK Communications. Эта же группа считается ответственной за создание вредоносного программного обеспечения Sykipot.

Напомним, в результате взлома серверов RSA была украдена информация, которая может быть использована для подрыва безопасности двухфакторной системы авторизации SecureID, используемой более чем 40 миллионами сотрудников для доступа к важным корпоративным и правительственным сетям. По оценке IDC, компания RSA, ныне являющаяся частью корпорации EMC, контролирует около 70% мирового рынка систем двухфакторной аутентификации.

Каждый токен SecurID привязан к пользовательскому аккаунту и генерирует псевдослучайные числа через 30-60 секунд с помощью индивидуального 128-битного ключа. Чтобы войти в систему, пользователь должен ввести свой пароль и дополнительно цифровой код с токена.

Сервер аутентификации знает, какие номера должны быть на каждом токене, и таким образом проверяет принадлежность токена конкретному пользователю.

Последовательность чисел задаётся секретным криптографическим алгоритмом RSA Security. После мартовского инцидента можно предположить, что этот алгоритм больше не является секретным.

Через несколько месяцев, после проведения тщательного внутреннего расследования, исполнительный директор RSA сказал, что компания оказалась жертвой «невероятно сложной и хорошо спланированной» атаки, которая привела к утечке закрытых данных. Часть похищенной информации имеет отношение к аппаратному обеспечению компании — аппаратной системе защиты (токен SecurID) и его программному эквиваленту для смартфонов. В то же время руководство компании RSA заверили своих клиентов, что украденная информация не обеспечивает возможности «прямой атаки» на систему безопасной аутентификации SecurID, но предупреждает, что она может быть использована в целях «уменьшения эффективности системы».

Так или иначе, но анализ Command Five позволяет предположить, что избежать угрозы APT не может ни одна компания. Если высококвалифицированные хакеры поставили целью проникнуть в корпоративную сеть, то они это сделают в любом случае: будет написан новый бэкдор, который не определяется антивирусными системами, и будет найден способ установить его внутрь компании, благо для этого существует много способов. Надёжной защиты от такого рода атаки у компании нет.



Оставить мнение