Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Эксперты раскрыли подробности взлома RSA в 2011

25/05/21

RSA-1В 2011 году китайские киберпреступные шпионы взломали сети гиганта в области корпоративной кибербезопасности RSA. Взлом RSA был масштабной атакой на цепочку поставок. Правительственные хакеры, работавшие на Народно-освободительную армию Китая, проникли в инфраструктуру, обеспечивавшую цифровую безопасность по всему миру.

В последующее десятилетие многие ключевые руководители RSA хранили молчание об инциденте в рамках 10-летнего соглашения о неразглашении. Как сообщило издание Wired, теперь срок соглашения истек.

ИБ-эксперт Тодд Литхэм (Todd Leetham) участвовал в расследовании инцидента и смог отследить злоумышленников до их конечных целей — секретных ключей, также известных как сиды (seeds). Сиды представляют собой набор чисел, обеспечивая фундаментальный уровень кибербезопасности десяткам миллионов пользователей в правительственных и военных ведомствах, оборонных предприятиях, банках и бесчисленных корпорациях по всему миру.

RSA хранила ключи на защищенном сервере. Ключи служили важнейшим компонентом одного из основных продуктов RSA — токенов SecurID. Устройства в виде небольших брелоков позволяли подтвердить личность пользователя путем ввода шестизначных кодов, которые постоянно обновлялись на экране брелока. Кража начальных значений токенов предоставляла хакерам возможность клонировать SecurID, незаметно нарушить двухфакторную аутентификацию и обойти систему безопасности в любой точке мира. Преступники могли получить доступ к банковских счетам, национальным секретам безопасности и пр.

Хакеры потратили девять часов на отправку сидов с хранилища на взломанный сервер облачного провайдера Rackspace. Литам обнаружил логи, содержащие украденные учетные данные взломанного сервера. Эксперт подключился к удаленному устройству Rackspace и ввел украденные учетные данные. Логи сервера по-прежнему содержали всю украденную коллекцию сидов в виде сжатого файла .rar. Литам набрал команду для удаления файла и нажал Enter, однако командная строка компьютера вернула ответ «Файл не найден». Содержимое сервера Rackspace было пусто. Хакеры вытащили исходную базу данных с сервера за секунды до того, как он смог ее удалить.

Кража исходных значений токенов RSA означала, что критически важная защита тысяч сетей ее клиентов была отключена. Кибершпионы получили ключи для генерации шестизначных кодов без физических токенов и открыли себе путь к любой учетной

Аналитики в конечном итоге проследили происхождение взлома до единственного вредоносного файла, который, по их мнению, оказался на компьютере сотрудника RSA за пять дней до начала расследования. Сотрудник из Австралии получил электронное письмо с темой 2011 Recruitment plan и прикрепленной к нему таблицей Microsoft Excel. Внутри файла находился скрипт для эксплуатации уязвимости нулевого дня в Adobe Flash, установивший на устройство жертвы вредоносное ПО Poison Ivy.

Эта первоначальный вектор атаки не был особенно сложным. Хакер не смог бы воспользоваться уязвимостью в Flash, если бы жертва работала с более поздней версией Windows или Microsoft Office или если бы у нее был ограниченный доступ к установке программ на свой компьютер. По словам представителей RSA, в ходе взлома принимали участие две группы хакеров: одна высококвалифицированная группировка использовала доступ другой.

На компьютере австралийского сотрудника кто-то использовал инструмент для хищения учетных данных из памяти устройства, а затем повторно использовал эти данные для авторизации в других системах. Затем хакеры начали искать учетные данные администраторов и в конце концов добрались до сервера, содержащего учетные данные сотен пользователей.

Темы:КиберзащитаСШАКитайПреступленияХакерские атаки
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...