Der skulle ikke mere til end to sætninger og et excel-regneark i en phishingmail, før hackere kunne bryde ind hos RSA. Det skriver sikkerhedsfirmaet F-Secure, der har kigget nærmere på angrebet på deres blog.
Da hackerne først var brudt ind, lykkedes det dem at duplikere nøgler til de særlige SecurID-tokens, som blandt andet våbengiganten Lockheed Martin bruger til at autentificere logins fra sine ansatte.
Mailen blev sendt til en medarbejder i EMC, der ejer RSA. Den indeholdt et regneark med titlen ”2011 Recruitment plan.xls” og den simple tekst ”I forward this file to you for review. Please open and view it”. Herefter kunne der eksekveres ondsindet kode, der kompromitterede sikkerheden hos nogle af verdens største våbenleverandører.
F-Secure har brugt de sidste fem måneder på at finde den mail, der gav hackerne adgang til RSA’s system. Mailen var blevet markeret som spam af det gratis spamværktøj VirusTotal, men alligevel åbnet af en medarbejder hos RSA. Det er blandt logfilerne fra spamværktøjet, at F-Secure nu har fundet den mail, der brød sikkerheden.
Tilbage i april vidste man, at angrebet var sket via en mail til en medarbejder i EMC, og at det foregik via en mail, der indeholdt en fil med titlen ”2011 Recruitment plan.xls”. Men ingen kunne finde den mail noget sted.
Timo Hirvonen, analytiker ved F-Secure, havde lavet et værktøj, der analyserede spammail for flashobjekter, da man vidste, at filen med regnearket havde brugt et flashobjekt til at overtage systemet.
Dette værktøj analyserede mange millioner e-mails, uden held. I hvert fald indtil et resultat i sidste uge. Der var ikke fundet en .xls-fil, men i stedet en Outlook beskedfil, kaldet MSG. Filen viste sig at indeholde den originale mail, der blev sendt til EMC den 3. marts, og indeholdt altså også regnearket.
Men hvorfor skulle der gå så lang tid, og hvorfor skulle det være F-Secure, der fandt filen? Det viser sig, at der var en person, som man formoder er en medarbejder hos RMA eller EMC, der havde uploadet filen til Virustotal den 19. marts. Som en del af Virustotals betingelser fremgår det, at uploadede filer deles med anti-malware og sikkerhedsindustrien. Derfor havde F-Secure allerede filen – udfordringen lå bare i at finde den blandt de mange millioner spammails, der er i Virustotals database.
Nedenfor kan du se en video, hvor F-Secure åbner den mail, der blev brugt til at hacke RSA. Her kan man se, at der ikke umiddelbart sker noget usædvanligt ved at åbne mailen. Derfor, har personen, der har åbnet mailen selvom den røg i spamfilteret, sandsynligvis heller ikke fattet mistanke efterfølgende.