Появились подробности о взломе сети RSA Security

Стали известны некоторые подробности о взломе корпоративной сети компании RSA Security. Неизвестные злоумышленники смогли похитить секретную информацию, используя фальшивую таблицу Excel и уязвимость в технологии Flash, о которой на тот момент еще не знали в компании Adobe. Среди похищенной информации, как признали в компании RSA Security, были сведения о новейших решениях для двухфакторной проверки подлинности.

Впервые компания RSA Security признала факт взлома 17 марта текущего года, однако, судя по последующим комментариям, взлом состоялся еще раньше. По сообщениям пострадавшей компании, злоумышленники направили несколько писем на адреса двух небольших групп сотрудников RSA с вложенной таблицей в формате Excel. Один из получателей все-таки открыл вложенный файл под названием «2011 Recruitment plan.xls», внутри которого был встроен вредоносный ролик в формате Flash. После открытия файла этот ролик открыл злоумышленникам доступ к управлению компьютером – преступники смогли установить на пораженный компьютер утилиту удаленного управления Poison Ivy («Ядовитый плющ»). С помощью этой утилиты преступники смогли получить сведения, необходимые для доступа к другим компьютерам в корпоративной сети, затем нашли и скопировали себе секретную информацию, а в заключении отправили всю собранную информацию на внешние серверы.

Специалисты компании Microsoft особо отметили, что для успешного исполнения такого сценария необходим целый ряд условий. В частности, если бы сотрудники RSA использовали Office 2010, то подобное просто бы не случилось, поскольку Excel 2010 автоматически изолирует различные файлы внутри электронных таблиц с помощью технологии DEP (Data Execution Prevention – предотвращение исполнения данных), блокируя их исполнение и потенциальных вредоносный эффект. Версии Excel 2003 и 2007 остаются уязвимыми к подобным атакам, поэтому компания Microsoft настойчиво рекомендует изменить настройки по умолчанию, чтобы блокировать исполнение вложенных Flash-роликов и других опасных видов встроенного содержания.

На данный момент уязвимость в технологии Flash, которую использовали при атаке на RSA Security, уже устранена. Тем не менее, сама пострадавшая компания присвоила угрозе статус APT (Advanced Persistent Threat – опасная постоянная угроза) – это удивительно, поскольку в реальности хакерам понадобилась всего пара писем с вложенными файлами Excel и еще не устраненная уязвимость в технологии Flash.