Antivírusová spoločnosť našla email, ktorým sa hackli do RSA

DSL.sk, 26.8.2011

Antivírusová spoločnosť F-Secure tento týždeň našla a dnes zverejnila emailovú správu, ktorou sa zatiaľ neznámi hackeri v marci dostali do siete spoločnosti RSA.

Hack RSA vlastnenej spoločnosťou EMC bol jedným z najvážnejších hackerských útokov posledného obdobia, útočníci si ako neskôr vyšlo najavo odniesli údaje umožňujúce im prekonať ochranu SecurID.

SecurID je autentifikačným nástrojom generujúcim v pravidelných časových intervaloch, 30 alebo 60 sekúnd, nový číselný kód. Poskytnutím tohto číselného kódu napríklad pri prihlasovaní užívateľ potvrdzuje vlastníctvo konkrétneho kusu SecurID.

SecurID používa mnoho firiem a to vrátane firiem pôsobiacich v oblastiach narábajúcich s najcitlivejšími dátami, napríklad zbrojárstve, finančníctve, atď.

Každý SecurID nástroj je iniciovaný tajným kľúčom známym autentifikačnému serveru a generuje jedinečnú postupnosť kódov závislú práve na tomto kľúči.

Spoločnosť RSA v júni priznala, že informácie ohľadne SecurID odcudzené spoločnosti RSA počas marcového hackerského útoku boli použité aj pri útoku na Lockheed Martin, jednu z najväčších zbrojárskych spoločností.

Spôsob, akým sa hackeri dostali do siete RSA, popísala samotná spoločnosť už v apríli. Útočníci poslali phishingové emaily zamestnancom RSA respektíve jej materskej spoločnosti EMC s predmetom "2011 Recruitment Plan" a priloženou Excel prílohou "2011 Recruitment plan.xls".

Táto príloha, ktorú jeden zo zamestnancov otvoril, bola Excel súborom s vloženým Flash objektom, ktorý zneužil v tom čase verejne neznámu bezpečnostnú chybu CVE-2011-0609 v Adobe Flash Playeri na nainštalovanie backdoor trojana.

Samotný email RSA nezverejnila a sofistikovanosť použitého sociálneho inžinierstva nebola doteraz známa. F-Secure ale podľa svojho dnešného oznámenia po použitej emailovej správe pátrala od apríla a objavila ju v databáze služby VirusTotal.com. Tam ju niekto, podľa F-Secure zrejme z RSA alebo EMC, nahral za účelom jej overenia na detekovanie antivírusovými softvérmi 19. marca.

Predmetný email otvorený v Outlooku (obrázok: F-Secure)

Email je datovaný na 3. marca, tváril sa ako email poslaný zo služby pre hľadanie zamestnancov Beyond.com a poslaný bol celkom štyrom zamestnancom RSA / EMC. Telo emailu obsahovalo jednoduchý text "I forward this file to you for review. Please open and view it."

Po otvorení Excel prílohy sa otvoril prázdny Excel súbor s jedným zaškrtnutým štvorčekom signalizujúcim vložený Flash objekt, vzápätí po nainštalovaní backdooru sa Excel súbor podľa F-Secure sám automaticky zavrel.


Najnovšie články:



Diskusia:

<->.<-> Od: prispevok | Pridané: 26.8.2011 12:59 Toto nie je praca jedneho cloveka. A ....... nejdem radsej pisat. Odpovedať Známka: 0.0 Hodnotiť:

Re: <->.<-> Od: Ja. | Pridané: 26.8.2011 15:06 Ja viem, židobolševickí slobodomurárski ilumináti Odpovedať Známka: 8.5 Hodnotiť:

Re: <->.<-> Od: Sanxo | Pridané: 27.8.2011 20:40 ... so šimými očami. Odpovedať Hodnotiť:

no sila Od: xxxmisko | Pridané: 26.8.2011 13:00 veľmi šikovní hackeri Odpovedať Známka: 8.9 Hodnotiť:

Re: no sila Od: fhgfd | Pridané: 26.8.2011 16:23 Huh, no zistili ze naco sa srat so hladanim exploitov + scanovanim portov ostosest po celom nete, ked staci rozposlat 1000 mailov s trojanmi a dostal si sa do najmenej 10 compov :) Odpovedať Známka: -4.3 Hodnotiť:

dnes má meniny Manuel, zajtra Slivka Od: hocijak | Pridané: 26.8.2011 13:00 No to by som bol zvedavy na tych lamerov, ktori v tej spolocnosti robia. Vsak zakladne opatrenia by uz mali mat v podvedomi, ked robia pre security software spolocnost. Odpovedať Známka: 0.0 Hodnotiť:

Re: dnes má meniny Manuel, zajtra Slivka Od: susu | Pridané: 26.8.2011 13:11 to mozno hej, ale predstav si ze ti pride denne 50 mailov s podobnymi prilohami v ramci pracovneho styku, to uz potom clovek velmi neriesi ci to predstavuje vaznu bezpecnostnu hrozbu Odpovedať Známka: 6.0 Hodnotiť:

Re: dnes má meniny Manuel, zajtra Slivka Od: hocijak | Pridané: 26.8.2011 14:03 no ja ta chapem, to mas pravdu, ale aj tak je to dost hruba chyba, aby sa takto dostali ci uz cez tetusku na personalnom, alebo PR, ale z jej kompu resp, prostrednictvom jej kompu sa dostali k citlivym datam pomocou, ktorych vedeli prekonat ochranu SecurID. Nezda sa Ti to trocha amaterske? Nehovori Ti nic domenova politika? Resp. restrikcie ktore je mozne nastavit pre kazdu aplikaciu, ucet, a comp? Co potom robili admini siete? A hlavne v takej spolocnosti, ktora sa zarucuje inym spolocnostiam, ze im zabezpeci max. ochranu. Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Manuel, zajtra Slivka Od reg.: DeMenthol | Pridané: 26.8.2011 16:06 Siel by som cestou Google-a. Povinne linux (/osx?). Nie koli slepej bezpecnosti -" mam linux, nic sa mi nestane". Ale koli tomu, ze HR urcite nepotrebuje viac ako (inter/intra)net access + docs suite + neaky voip, ... . Na to linux staci, a pokial nedate zamestnancom roota tak je to relativne bezpecne (urcite viac ako MS s novymi 0-day hackmi kazdy tyzden Odpovedať Známka: 4.7 Hodnotiť:

Re: dnes má meniny Manuel, zajtra Slivka Od: foobar0_ | Pridané: 26.8.2011 17:07 Nj, zneužitá bola chyba vo Flash playeri a ty ideš písať o dierach vo Windowse. Odpovedať Známka: 3.0 Hodnotiť:

Re: dnes má meniny Manuel, zajtra Slivka Od: prpr | Pridané: 26.8.2011 19:12 Moze byt ale na co je pracovnikom hr flash?pre farmville? Odpovedať Známka: 5.0 Hodnotiť:

Re: dnes má meniny Manuel, zajtra Slivka Od: wtf??? | Pridané: 28.8.2011 20:20 na ten vyssie spomeuty inter/intra net? Odpovedať Hodnotiť:

Re: dnes má meniny Manuel, zajtra Slivka Od: salamista | Pridané: 26.8.2011 17:19 PGP resp. GPG Odpovedať Známka: 10.0 Hodnotiť:

bezpecnost Od: wptb | Pridané: 26.8.2011 13:12 hold ked si nejaka teta a robis HR, tak mas na haku o com je cela spolocnost :-) Odpovedať Známka: 6.8 Hodnotiť:

Re: bezpecnost Od: ubx | Pridané: 26.8.2011 13:34 a ked ta teta este vykonava svoju pracu pod uctom, ktory ma adminske prava... tak je uspech zaruceny ;-) Odpovedať Známka: 10.0 Hodnotiť:

Re: bezpecnost Od reg.: pocitujlasku | Pridané: 26.8.2011 13:46 a ta spolocnost nema firewall? obmedzene surfovanie, monitorovane stahovanie? hold, pod lampou byva najvacsia tma. Odpovedať Známka: 0.0 Hodnotiť:

Re: bezpecnost Od: 345354345 | Pridané: 26.8.2011 14:30 Komu vzdavas hold? Odpovedať Známka: -0.6 Hodnotiť:

ta co Od: meno_meno | Pridané: 26.8.2011 13:50 vsetky AV a FW boli zrazu dobre na 2 veci... Odpovedať Známka: 7.8 Hodnotiť:

bezpecnost Od reg.: wpttb | Pridané: 26.8.2011 14:03 tak jasne, ze firewall a monitoring nad mailami asi maju slusny, ale celkom mozne ze teta HR je uvedena v nejakych vynimkach na prijmanie podobnych priloh, preco aj nie.. antivir sa ti na zbrusu noveho trojana siteho na mieru vykasle.. ak ho vobec aj detekuje.. a potom nepotrebuje nic k tomu, ani admin opravnenia ani nic, aby vyuzil bezpecnostnu dieru, prostrednictvom ktorej sa usadi v OS :-) ale zda sa mi to nejake prilis uderne, presne a uspesne, nato aby to bolo nahoda :-) imho by sa mohli popozerat medzi svojmi zamestnancami, sak v tom sa musia tocit sialene prachy, dostat sa k takym udajom.. Odpovedať Známka: 10.0 Hodnotiť:

citanie na dobru noc Od: rts | Pridané: 26.8.2011 14:54 http://binyb.com/dobru_noc_1.html Odpovedať Známka: 7.6 Hodnotiť:

Re: citanie na dobru noc Od: Hacik neregistrovany | Pridané: 26.8.2011 15:12 Skusali ste na to upozornit nejaku TV? Odpovedať Známka: 10.0 Hodnotiť:

Re: citanie na dobru noc Od: ubx | Pridané: 26.8.2011 15:22 puffff.... za tie prachy im tie data mohlo nosit 24 hodin denne 1000 vietnamcov v kabelach... ale zasa, ked tunel, tak poriadny, aby bolo dost na podmaz pre kazdu ruku, ktora myje a kryje... Odpovedať Známka: 10.0 Hodnotiť:

Re: citanie na dobru noc Od: prprisjsj | Pridané: 26.8.2011 19:23 ProVladne TV asi nic neporiesia! Odpovedať Známka: 7.1 Hodnotiť:

Re: citanie na dobru noc Od reg.: Tupcek | Pridané: 28.8.2011 14:05 Oni sú ProZiskové a keď ľudia sú ProVládny, tak sú aj oni, inak by im klesla sledovanosť Odpovedať Hodnotiť:

Re: citanie na dobru noc Od: Dslslslslsl | Pridané: 26.8.2011 19:21 HEJ DSL.SK, co keby ste spravili clanok a historicky najdrahsom pripojeni na internet v historii SK? Odpovedať Známka: 10.0 Hodnotiť:

Re: citanie na dobru noc Od: Koumak | Pridané: 26.8.2011 20:03 velmi krasny clanok, len su tam chybne vypocity. Ak si si pozrel zmluvu i vsetky dodatky, tak ta cena je odost vyssia :))) Odpovedať Známka: 10.0 Hodnotiť:

Som sa zlakol Od reg.: Pjetro de | Pridané: 26.8.2011 18:05 ... ze padlo RSA sifrovanie a to sa iba sikuly pomocou socialneho inzinierstva a roznej e-havede a dier v SW dostali do siete spolocnosti RSA. Odpovedať Známka: 10.0 Hodnotiť:

hhhhhhhh Od: skynetskynet | Pridané: 27.8.2011 12:11 chyba nebola zapricinena pocitacmi /beep beep/ zlyhal ludsky faktor /beep/ dakujeme Odpovedať Známka: -2.0 Hodnotiť:

statna sprava Od: slovenskooo | Pridané: 27.8.2011 15:42 to ste este nevideli zamestnancov v statnej sprave ta it gramotnost je naozaj zarazajuca. dnes sa asi naozaj oplati zneuzivat debilitu, najma v state, kde vladnu zlodeji a organizovany zlocin :-) Odpovedať Známka: 10.0 Hodnotiť:

patzn Od: noj | Pridané: 29.8.2011 14:28 Keby to otvaral cez neaky externy online excel viewer, napr. GoogleDocs mozno by sa mu nic nestalo...ci? Funguje to tak ze externy online viewer ti posle excel ako vygenerovane HTML?, alebo je to len javascript kniznica, ktora sa natiahne do kompu a spusta subor na kompe?... Odpovedať Hodnotiť:

Re: patzn Od: lolo123 | Pridané: 14.9.2011 15:07 no to je velmi rozumne, davat otvarat vnutrofiremne prilohy nejakemu google maniakovi, co to automaticky zneuzije. :) Minule som mal take hakovadlo na eset aktivaciu. Aby som vydoloval aktivacny kluc z funkcneho noda, musel by som na firewale odblokovat web stranku autora toho cracku. Cize kopia aktivacneho kluca automaticky odide autorovi a ten ju moze zneuzivat kolko chce. nadherna ukazka buducnosti webcloudu :) Odpovedať Hodnotiť:

Pridať komentár