Kulisy akatku hakerów na koncerny zbrojeniowe USA

0

F-Secure ujawnia kulisy marcowego ataku hakerów na sieci amerykańskich gigantów zbrojeniowych – koncernów Lockheed-Martin i Northrop-Grumman. Aby przedostać się do wewnętrznych systemów koncernów zbrojeniowych USA, włamywacze wzięli na celownik firmę RSA (obecnie część korporacji EMC), obsługującego m.in. z amerykańskie siły zbrojne.

Poufne informacje wojskowe przechowywane przez koncerny zbrojeniowe Lockheed-Martin i Northrop-Grumman to wyjątkowo cenny łup dla hakerów i obcych agencji wywiadowczych. Dostęp do danych tych koncernów chroniony jest m.in. przez sprzętowe tokeny RSA SecurID, czyli niewielkie breloczki, które raz na minutę generują jednorazowe hasła pozwalające na zalogowanie się do systemu. Na całym świecie wykorzystuje się ok. 250 milionów takich tokenów. Są one dobrze znane m.in. klientom banków, którzy korzystają z jednorazowych haseł generowanych przez tokeny w celu logowania się do swoich kont.

Scenariusz ataku sprowadzał się do phishingu w najbardziej klasycznej postaci. Czterech pracowników firmy RSA/EMC otrzymało spreparowane e-maile, pochodzące rzekomo z serwisu rekrutacyjnego Internetowego Beyond.com. Specjalistom z F-Secure po pięciu miesiącach poszukiwań udało się dotrzeć do oryginalnego maila wysłanego przez napastników.

Wiadomość zawierała załącznik w postaci pliku Excel z zaszytym kodem korzystającym z luki w zabezpieczeniach Flash Playera. Otworzenie dokumentu prowadziło do uaktywnienia szkodnika instalującego w systemie backdoor Poison Ivy (dokładne działanie szkodnika ilustruje materiał video.

Tym samym napastnicy zyskiwali dostęp do zainfekowanych stacji roboczych, a także dysków sieciowych RSA/EMC, co pozwalało im na swobody dostęp do korporacyjnej sieci. Mogli tam znaleźć nie tylko listę kluczy tokenów wykorzystywanych m.in. przez koncerny zbrojeniowe USA, ale także komplet informacji nt. metody pozwalającej określić klucz danego tokenu na podstawie jego numeru seryjnego.

– Tym, co wyróżnia ten atak na tle wielu innych jest fakt, że napastnicy włamali się do firmy pośredniczącej, dostarczającej systemy bezpieczeństwa innym podmiotom, dzięki czemu mogli docelowo zyskać dostęp do ważnych danych dotyczących jej klientów. W tym sensie atak należy uznać za zaawansowany, mimo iż same metody postępowania włamywaczy nie były szczególnie wyrafinowane ani nowatorskie – komentuje Mikko Hypponen, szef laboratorium badawczego F-Secure.

– Scenariusz postępowania napastników w rzeczywistości był całkiem prosty. Włamywacze doskonale wiedzieli, że najsłabszym ogniwem w większości systemów bezpieczeństwa jest człowiek i na tej wiedzy bazowali – mówi Michał Iwan, dyrektor zarządzający F-Secure Polska. – Okazuje się, że nawet firmie tak wyspecjalizowanej w przechowywaniu i ochronie danych jak EMC nie udało się ustrzec przed zagrożeniem. Przykład EMC może posłużyć za przestrogę dla innych przedsiębiorców gromadzących cenne czy wrażliwe dane.

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ