Újabb részletek az RSA-támadásról

• 
• 

Részletek

2012. február 13. hétfő, 08:08

 

A bizonyítékok szerint súlyos felelősség terheli az áldozat rendszergazdáit.

A Vírus Híradó 2011 tavaszán már beszámolt arról, hogy fejlett kibertámadás áldozata lett az RSA márka, az EMC informatikai cégcsoport titkosítás-fejlesztő részlege. Az F-Secure víruselemzőinek a nyár végére sikerült rekonstruálniuk a feltörés menetét a sajtóban nyilvánosságra került hírek és a saját kutatásaik alapján – nemrég ebből a történetből ismerhettünk meg újabb részleteket.

Az incidens kiinduló pontjaként szolgáló, támadó kódot tartalmazó levelet az EMC-RSA cégcsoportnál működő spamszűrő rendszer már az érkezésekor megfogta – észlelve, hogy a Beyond.com munkaerő-toborzó portál nevét tartalmazó feladó mező meg van hamisítva.

Az egyik címzett, egy alacsonyabb beosztású, vélhetően HR (munkaügyes) területen dolgozó RSA-alkalmazott azonban valamiért mégis lehívta magának a veszélyes levelet a karanténból és elolvasta - sőt az egysoros, gyenge angol szöveghez mellékelt, 2011. évi munkaerő-toborzási terv című táblázatot is megnyitotta!

Nem csak a felhasználó volt balga

Az üres Excel fájlba rejtett, CVE-2011-0609 szakmai néven ismert sebezhetőség tehát aktivizálódott. A „nulladik napi" Adobe Flash támadókód a shellcode-futtatás lassúsága miatt több tíz másodpercig is „homokórázhatott" a gépen – de végül egy, a Windows Intézőbe és az Internet Explorer webböngészőbe injektált trójai letöltő utasítás révén Poison Ivy típusú, illetéktelen távoli hozzáférést biztosító hátsó ajtó programot telepített a rendszerbe.

A kezdeti fertőzés súlyos incidenssé változott – annak ellenére, hogy a nyilvánvaló emberi hiba nem volt döntő tényező a hackerek sikerében! Az RSA-fertőzés komponenseinek virtualizált, elszigetelt és titkosított teszt-környezetben végzett futtatása, illetve a kártevő kód-visszafejtéses vizsgálata mind azt mutatja, hogy a támadást akár a műszaki védelem egyszerű intézkedéseivel is blokkolni lehetett volna.

Korlátozott felhasználói fiókok használata:

a kártevő egy példánya a C:\a.exe fájlba mentette magát a merevlemezen, ami a Windows írási jogosultságokat figyelembe véve azt bizonyítja, hogy a felhasználó teljes rendszergazdai jogokkal bejelentkezve dolgozott a gépen - ezt engedélyezni nagy felelőtlenség volt a hálózat-üzemeltetők részéről!

Korszerűbb operációs rendszer használata:

a támadásban alkalmazott ún. „ShellCode" technika a Windows XP, sőt a Vista számára is végzetes lehet, az új, biztonságosabb Windows 7 rendszeren azonban már nem fut le!

Korszerűbb irodai csomag telepítése:

az Office 2010 felhasználói élvezhetik a „Protected View" megjelenítés és az adat végrehajtását tiltó „DEP" funkciók biztonsági előnyeit

A „színes-szagos" felhasználói élmény mellőzése:

az Adobe Flash webanimációs modul leszedése a gépekről vagy legalább az Office környezeten belüli Flash-tartalom tiltása megállította volna a támadást

Sikkes és slampos

Az RSA-kártevő a fertőzési technika fejlettségét és a vírusírók munkájának gondosságát tekintve ellentmondásos képet mutat. Az Excel fájlba rejtett Flash „heap spray" támadás és az abban található újabb kártékony Flash-kód ötletes megoldás. A hackerek arra azonban már nem vették a fáradtságot, hogy a felhasznált Poison Ivy-változatban módosítsák az alapértelmezett „mutex" nevét (...VoqA.I...), pedig annak elterjedt detektálása révén könnyen lebukhattak volna!

Az RSA elleni támadást mégis alapos felderítő munka előzte meg: a hackerek ismerték az EMC titkosítás-fejlesztő részlegénél használt védelmet, és ún. „fuzzing" módszerrel ennek megfelelően finomítgatták a támadókódot. Végül a veszélyes Excel-fájlt – a 2011. március 4-i VirusTotal.com eredménylista mentés tanúsága szerint – már egyetlen védelmi szoftver sem ismerte fel, mert ekkor az ártalmatlan és a veszélyes Flash utasítás-sor között mindössze egyetlen bájt volt a különbség!

Feltevések az elkövetőkről

Összességében a kártékony kód egyenetlen minősége és az abban elrejtett egyik számérték, a talán a Tienanmen-téri népfelkelésre utaló 1986.06.04. dátum alapján az F-Secure víruskutatói azt valószínűsítik, hogy az EMC-RSA támadói mégis kínai hackerek lehettek.

A vírusírók tevékenységét az motiválhatta, hogy az RSA gyártmányú bejelentkeztető kulcstartók (tokenek) titkainak ismeretében, illetéktelen másolatok gyártásával bejuthassanak az L3, a Lockheed Martin, a Northrop-Grumman és más amerikai légiipari gyártók hálózatára. Az incidensnek mellékesen komoly pénzügyi kihatása is lett: az EMC-RSA cég 66 millió dollár értékben több mint 40 millió darab RSA-kulcstartó lecserélésére kényszerült mintegy 30 ezer üzleti ügyfelénél.

Forrás: vírushíradó