З'явилися подробиці про злом мережі RSA Security

admin Новини ІТ-безпеки

З'явилися подробиці про злом мережі RSA SecurityСтали відомі деякі подробиці про злом корпоративної мережі компанії RSA Security. Невідомі зловмисники змогли викрасти секретну інформацію, використовуючи фальшиву таблицю Excel і уразливість в технології Flash, про яку на той момент ще не знали в компанії Adobe. Серед викраденої інформації, як визнали в компанії RSA Security, були відомості про новітні рішення для двофакторної автентифікації.

Вперше компанія RSA Security визнала факт злому 17 березня поточного року, однак, судячи по подальшим коментарям, злом відбувся ще раніше. За повідомленнями постраждалої компанії, зловмисники направили кілька листів на адреси двох невеликих груп співробітників RSA з вкладеною таблицею в форматі Excel. Один з одержувачів все-таки відкрив вкладений файл під назвою «2011 Recruitment plan.xls», всередині якого був вбудований шкідливий ролик в форматі Flash. Після відкриття файлу цей ролик відкрив зловмисникам доступ до управління комп'ютером - злочинці змогли встановити на уражений комп'ютер утиліту віддаленого управління Poison Ivy («Отруйний плющ»). За допомогою цієї утиліти злочинці змогли отримати відомості, необхідні для доступу до інших комп'ютерів в корпоративній мережі, потім знайшли і скопіювали собі секретну інформацію, а в кінці відправили всю зібрану інформацію на зовнішні сервери.

Фахівці компанії Microsoft особливо відзначили, що для успішного виконання такого сценарію необхідний цілий ряд умов. Зокрема, якщо б співробітники RSA використовували Office 2010, то подібне просто б не сталося, оскільки Excel 2010 автоматично ізолює різні файли всередині електронних таблиць за допомогою технології DEP (Data Execution Prevention - запобігання виконання даних), блокуючи їх виконання і потенційно шкідливий ефект. Версії Excel 2003 і 2007 залишаються вразливими до подібних атак, тому компанія Microsoft наполегливо рекомендує змінити настройки за замовчуванням, щоб блокувати виконання вкладених Flash-роликів та інших небезпечних видів вбудованого змісту.

На даний момент уразливість в технології Flash, яку використовували при атаці на RSA Security, вже усунена. Тим не менше, сама постраждала компанія присвоїла загрозі статус APT (Advanced Persistent Threat - небезпечна постійна загроза) - це дивно, оскільки в реальності хакерам знадобився всього пара листів з вкладеними файлами Excel і ще не усунена уразливість в технології Flash.