A Vírus Híradó 2011. tavaszán már beszámolt arról, hogy fejlett kibertámadás áldozata lett az RSA, az EMC informatikai cégcsoport titkosítás-fejlesztő részlege. Az F-Secure víruselemzőinek a nyár végére sikerült rekonstruálniuk a feltörés menetét a sajtóban nyilvánosságra került hírek és a saját kutatásaik alapján – nemrég ebből a történetből ismerhettünk meg újabb részleteket.
Az incidens kiinduló pontjaként szolgáló, támadó kódot tartalmazó levelet az EMC-RSA cégcsoportnál működő spamszűrő rendszer már az érkezésekor megfogta – észlelve, hogy a Beyond.com munkaerő-toborzó portál nevét tartalmazó feladó mező meg van hamisítva.
Az egyik címzett, egy alacsonyabb beosztású, vélhetően HR (munkaügyes) területen dolgozó RSA-alkalmazott azonban valamiért mégis lehívta magának a veszélyes levelet a karanténból és elolvasta – sőt az egysoros, gyenge angol szöveghez mellékelt, 2011. évi munkaerő-toborzási terv című táblázatot is megnyitotta!
Az üres Excel fájlba rejtett, CVE-2011-0609 szakmai néven ismert sebezhetőség tehát aktivizálódott. A „nulladik napi” Adobe Flash támadókód a shellcode-futtatás lassúsága miatt több tíz másodpercig is „homokórázhatott” a gépen – de végül egy, a Windows Intézőbe és az Internet Explorer webböngészőbe injektált trójai letöltő utasítás révén Poison Ivy típusú, illetéktelen távoli hozzáférést biztosító hátsóajtó programot telepített a rendszerbe.
A kezdeti fertőzés súlyos incidenssé változott – annak ellenére, hogy a nyilvánvaló emberi hiba nem volt döntő tényező a hackerek sikerében! Az RSA-fertőzés komponenseinek virtualizált, elszigetelt és titkosított teszt-környezetben végzett futtatása, illetve a kártevő kód-visszafejtéses vizsgálata mind azt mutatja, hogy a támadást akár a műszaki védelem egyszerű intézkedéseivel is blokkolni lehetett volna:
Korlátozott felhasználói fiókok használatával:
A kártevő egy példánya a C:\a.exe fájlba mentette magát a merevlemezen, ami a Windows írási jogosultságokat figyelembe véve azt bizonyítja, hogy a felhasználó teljes rendszergazdai jogokkal bejelentkezve dolgozott a gépen – ezt engedélyezni nagy felelőtlenség volt a hálózat-üzemeltetők részéről.Korszerűbb operációs rendszer használatával:
A támadásban alkalmazott úgynevezett „ShellCode” technika a Windows XP, sőt a Vista számára is végzetes lehet, az új, biztonságosabb Windows 7 rendszeren azonban már nem fut le!Korszerűbb irodai csomag telepítésével:
Az Office 2010 felhasználói élvezhetik a „Protected View” megjelenítés és az adat végrehajtását tiltó „DEP” funkciók biztonsági előnyeit.A „színes-szagos” felhasználói élmény mellőzésével:
Az Adobe Flash webanimációs modul leszedése a gépekről, vagy legalább az Office környezeten belüli Flash-tartalom tiltása megállította volna a támadást.
Az RSA-kártevő a fertőzési technika fejlettségét és a vírusírók munkájának gondosságát tekintve ellentmondásos képet mutat. Az Excel fájlba rejtett Flash „heap spray” támadás és az abban található újabb kártékony Flash-kód ötletes megoldás. A hackerek arra azonban már nem vették a fáradtságot, hogy a felhasznált Poison Ivy-változatban módosítsák az alapértelmezett „mutex” nevét (…VoqA.I…) – pedig annak elterjedt detektálása révén könnyen lebukhattak volna!
Az RSA elleni támadást mégis alapos felderítő munka előzte meg: a hackerek ismerték az EMC titkosítás-fejlesztő részlegénél használt védelmet és a „fuzzingnak” elnevezett módszerrel ennek megfelelően finomítgatták a támadókódot. Végül a veszélyes Excel-fájlt – a 2011. március negyedikei VirusTotal.com eredménylista mentés tanúsága szerint – már egyetlen védelmi szoftver sem ismerte fel, mert ekkor az ártalmatlan és a veszélyes Flash utasítás-sor között mindössze egyetlen bájt volt a különbség.
Összességében a kártékony kód egyenetlen minősége és az abban elrejtett egyik számérték, a talán a Tienanmen-téri népfelkelésre utaló 1986.06.04. dátum alapján az F-Secure víruskutatói azt valószínűsítik, hogy az EMC-RSA támadói mégis kínai hackerek lehettek.
A vírusírók tevékenységét az motiválhatta, hogy az RSA gyártmányú bejelentkeztető kulcstartók (tokenek) titkainak ismeretében, illetéktelen másolatok gyártásával bejuthassanak az L3, a Lockheed Martin, a Northrop-Grumman és más amerikai légiipari gyártók hálózatára. Az incidensnek mellékesen komoly pénzügyi kihatása is lett: az EMC-RSA cég 66 millió dollár értékben több mint 40 millió darab RSA-kulcstartó lecserélésére kényszerült mintegy 30 ezer üzleti ügyfelénél – írja a virushirado.hu.
