Przypadek RSA: banalne włamanie o niebanalnych skutkach

Przed kilkoma miesiącami firma RSA poinformowała, że ktoś włamał się do jej systemu informatycznego i przejął kod niektórych produktów. O sprawie zrobiło się głośno, bo w końcu nie co dzień ktoś łamie zabezpieczenia firmy specjalizującej się w zabezpieczeniach. Ale teraz zrobiło się jeszcze ciekawiej, bo właśnie wyszło na jaw, że włamanie wcale nie było tak skomplikowane, jak się początkowo wydawało – do sforsowania zabezpieczeń firmy wystarczył e-mail, zawierający niespecjalnie skomplikowanego backdoora.

Do włamania doszło w marcu (tego dowiedzieliśmy się dopiero teraz), choć firma poinformowała o nim w kwietniu – podano wtedy, że ktoś włamał się do systemu RSA  i uzyskał dostęp do „pewnych danych”. Nie ujawniono oczywiście, jakie były to dane – ale ludzie z RSA przyznali, że mogą one posłużyć do „obniżenia skuteczności zabezpieczeń RSA”. Wtedy klientom z całego świata zrobiło się ciepło – RSA jest jednym z największych dostawców systemów autoryzacyjnych (firma oferuje system SecurID, oparty na tokenach generujących jednorazowe hasła).

Szybko okazało się zresztą, że włamywacze odnieśli sukces (przynajmniej częściowy – przy pełnym włamanie nie wyszłoby na jaw) – RSA rozpoczęła proces wymiany tokenów. Do dziś nie wiadomo tak naprawdę, co ukradziono, jednak wydaje się, że chodzi tu o dane umożliwiające nieautoryzowane generowanie haseł. Wydarzenia następnych tygodni potwierdziły zresztą słuszność tej teorii – krótko po ataku na RSA ktoś włamał się do systemu Lockheed Martin, korzystając właśnie z podrobionych haseł SecurID.

Cała ta historia od początku była mocno tajemnicza – zaatakowana firma nie ujawniała praktycznie żadnych informacji o przebiegu ataku czy włamywaczach (część wiedzy na ten temat przekazano jedynie wybranym klientom, którzy zobowiązali się do zachowania tego dla siebie). I wydawało się, że tak już pozostanie… w każdym razie do minionego weekendu, kiedy to raczej niespodziewanie poznaliśmy pewne istotne fragmenty całego scenariusza.

A wszystko to za sprawą pewnego pracownika firmy F-Secure, który stwierdził, że owego złośliwego e-maila da się odnaleźć – i konsekwentnie szukał go w należącym do F-Secure archiwum złośliwego oprogramowania. W końcu mu się udało – znalazł e-maila zatytułowanego „2011 Recruitment plan”, który 19 marca bieżącego roku został wysłany ze sfałszowanego adresu e-mail do czterech pracowników EMC (koncernu, do którego należy RSA Security). Jak się okazało, ktoś (prawdopodobnie ktoś z EMC) przesłał tę wiadomość do F-Secure do analizy, jako potencjalnie niebezpieczną.

Na blogu F-Secure znajdziemy szczegółową analizę tej wiadomości i przebiegu ataku – najbardziej uderzające jest w niej to, jak łatwe było przeprowadzenie tego ataku. Ktoś po prostu przygotował plik XLS z osadzoną zawartością flash – otworzenie go w MS Excel spowodowało automatyczne uruchomienie skryptu i zainstalowało w systemie złośliwy kod. Był to backdoor, dzięki któremu włamywacz uzyskał dostęp do komputera owego pracownika i, tym samym, do systemu RSA.

Spece z F-Secure przyznają, że sam exploit (tzn. kod odpowiedzialny za wykorzystanie błędu we Flashu do zainstalowania backdoora) był dość złożony – ale faktem jest, że cały atak był prymitywny i do bólu banalny. Złośliwy kod w załączniku? W załączniku, który na dodatek trzeba samodzielnie otworzyć, żeby atak mógł zostać wykonany? Przecież to metody sprzed niemalże dwóch dekad.

Szczerze mówiąc, cała ta historia jest dość przerażająca – niepokoi fakt, jak łatwo przestępcy mogą się dostać do firmy, która z definicji powinna być trudna do zaatakowania. Owszem, włamywacze porządnie się przygotowali – wiedzieli do kogo wysłać e-maila, zauważmy też, że wiadomość była tylko jedna i zaadresowano ją do konkretnych osób (gdyby odbiorów było więcej, z pewnością ktoś uznałby sprawę za podejrzaną). Ale mimo wszystko – to jest RSA/EMC, specjaliści od bezpieczeństwa. Mogłoby się wydawać, że kto jak kto, ale oni nie dadzą się nabrać na takie trywialne sztuczki…

Okazuje się jednak, że odpowiednie wymieszanie kilku w sumie dość prymitywnych technik przestępczych (celowo nie używam tu słowa hakerskich – uczyłem się pisać o bezpieczeństwie IT w czasach, gdy to słowo oznaczało coś innego niż dziś się powszechnie sądzi) może dać zadziwiające rezultaty. Mamy tu klasyczny chwyt „zainfekowany załącznik”, nie mniej starą sztuczkę „podrabianie adresu nadawcy” (na pierwszy rzut oka wiadomość pochodziła z serwisu rekrutacyjnego) i znanego co najmniej od 2008 r. backdoora. Dołóżmy do tego nowego exploita na dziurę w Adobe Flash i oto mamy gotowy przepis na powalenie na kolana giganta IT. Imponujące i niepokojące jednocześnie…