El 18 de marzo RSA habló sobre el ataque que sufrió en el que le robaron información relacionada con su producto SecurID, ahora ya se sabe cómo se llevó a cabo el ataque y lo que se pudieron haber robado, aun así RSA tardo algún tiempo en hacer público el ataque.
Según RSA, el atacante envío dos correos en un periodo de dos días, a dos grupos de empleados. RSA concreta que no se consideraría a estos usuarios particularmente de perfil alto u objetivos valiosos. Dando a entender que se encontraban menos protegidos que el resto, pero dentro de una organización tan grande como ésta, todos los usuarios con acceso a la red deberían ser considerados de alto riesgo y protegidos por igual.
Se les envió un correo con el asunto «2011 Recruitment Plan» con un archivo en excel del mismo nombre adjunto. Una buena política de seguridad debería prohibir y entrenar expresamente a los usuarios para no abrir archivos no solicitados.
El archivo en excel contenía un fallo no conocido hasta el momento en Flash, que permitía la ejecución de código, Adobe anunció el 14 de marzo que sabía que una vulnerabilidad desconocida estaba siendo aprovechada para atacar sistemas. Si bien no hacía mención explícita a RSA, parece que la vulnerabilidad apareció a causa de este ataque. Adobe ya lo ha solucionado con un parche emitido fuera de su ciclo habitual.
Aunque RSA hubiera mantenido todo su software actualizado, el atacante hubiese igualmente conseguido ejecutar código. En estos casos, es en los que se echa de menos el uso de herramientas como DEP o ASLR o cualquier otro software que prevenga los desbordamientos de memoria.
Luego los atacantes instalaron una variante de RAT (herramienta de administración remota) Poison Ivy con la que crearon una conexión inversa hacia un servidor propio del atacante. RSA afirma que esto lo hace más difícil de detectar.
Lo que hace más difícil de detectar estas conexiones es el hecho de que suelen estar cifradas y en puertos estándares que no levantan sospechas. En realidad, esto está asumido como estándar. La opción contraria, establecer una conexión desde fuera a la máquina infectada está descartado desde un primer momento en la mayoría de los escenarios y es una opción que los atacantes serios ni siquiera contemplarían.
Según la RSA, el ataque fue detectado por su Computer Incident Response Team mientras se estaba produciendo. Insiste en que, en muchos otros casos, el ataque se desarrolla durante meses antes de ser detectado. Sin embargo, los atacantes tuvieron tiempo de hacerse una idea de la red interna y buscar usuarios con más privilegios que los infectados inicialmente. Llegaron a comprometer cuentas de administrador.
El atacante más tarde transfirió muchos ficheros RAR protegidos por contraseña desde el servidor de la RSA hacia un tercero externo, descargó la información, la borró de ese servidor y se quedó con ella.
La empresa promete que la pérdida de datos no abre las puertas a ningún ataque directo. Por el momento RSA solo ha enviado una serie de consejos de seguridad genéricos que, aunque ayudarán a las empresas que utilizan este sistema de protección informática, no proporcionan ninguna clarificación sobre la extensión de los daños del ataque.
Referencias:
http://unaaldia.hispasec.com/2011/04/el-ataque-la-rsa-se-produjo-traves-de.html
http://networksecurity.bligoo.com.mx/ataque-a-rsa-y-sus-implicaciones