RSA om SecurID-angreb: Vi blev hacket for at ramme en anden

Illustration: Virrage Images/Bigstock
Sikkerhedsfirmaet RSA blev i marts ramt af et hackerangreb udført af to grupper, som ville bruge RSA til at få adgang til én af firmaets kunder.

LONDON. Hvad gik galt, da sikkerhedsfirmaet RSA tidligere i år blev angrebet af hackere? Hvem stod bag, og hvad var de ude efter?

Da RSA står bag blandt andet den kryptering, der anvendes af en lang række virksomheder og myndigheder, der arbejder med tophemmelige data, er det ikke overraskende, at firmaet føler sig nødsaget til at besvare nogle af disse spørgsmål for at genopbygge tilliden til firmaet.

»Det er ikke alt, du har læst, som har været helt korrekt. Der har for eksempel kun været én kunde, hvor der har været tegn på, at de er blevet angrebet på baggrund af angrebet mod RSA,« åbnede bestyrelsesformand Tom Heiser fra RSA således sin tale på RSA Conference Europe 2011 i London.

Kunden var angiveligt den amerikanske våbenproducent Lockheed-Martin, og hackerne havde under angrebet mod RSA haft adgang til data, der kunne bringe sikkerheden ved RSA’s SecurID i fare, oplyste RSA i marts.

Læs også: Hackere stjal tophemmelige oplysninger fra sikkerhedsfirmaet RSA

Angrebet mod RSA begyndte med to phishing-mails, der var målrettet medarbejdere i RSA. Afsenderen så ud til at være fra en person i et firma, som modtageren kendte i forvejen.

Phishing-mailsene førte til, at en RSA-medarbejder blev lokket til at åbne et dokument, hvor afsenderne havde benyttet et hidtil ukendt sikkerhedshul til at omgå sikkerhedsforanstaltningerne og få adgang til brugerens pc.

Mens angrebet stod på, skiftede angriberne mellem flere forskellige måder at forbinde til netværket hos RSA og mellem forskellige steder, hvor angrebet så ud til at stamme fra.

»Der var to grupper involveret, som ikke tidligere har været kendt for at samarbejde. De to grupper dækkede for hinanden,« fortalte Tom Heiser.

Angrebet lykkedes ved at kombinere to strategier: Dugfrisk malware, der blev tilpasset RSA, og social engineering, hvor angriberne udnyttede processer og personer i organisationen til at omgå sikkerhedsprocedurerne.

»Det første, vi gjorde, var at lukke vores infrastruktur ned og hentede specialister ind, som kunne identificere de steder på netværket, der blev sendt information fra,« fortalte Tom Heiser.

Derefter valgte RSA at fortælle offentligheden om angrebet ved at lægge en meddelelse ud på selskabets hjemmeside, ligesom kunderne blev kontaktet direkte.

»Det vigtigste, man skal forstå, var, at vi ikke var det endelige mål. Vi blev bare brugt for at nå frem til nogle andre,« forklarede Tom Heiser.

Hackerne var angiveligt ude efter data om RSA SecurID-teknologi, men angrebet mod RSA’s kunde mislykkedes, og det var sådan, RSA fandt ud af, at firmaet selv var ramt.

Linkedin-profil kan få dig i sigtekornet

I kølvandet på angrebet stod det klart, at RSA var nødt til at tage ved lære fra selv at være blevet offer.

»Vi har lært, at truslerne har udviklet sig. De nuværende angrebsformer har lige nu overtaget. De udnytter folk, de udnytter, at vores it er blevet mere kompleks,« sagde Tom Heiser.

Konkret fandt RSA ud af, at dets medarbejdere lagde masser af information ud på sociale netværk, som kunne bruges til at målrette phishing-mails mod dem. Og det mønster gentager sig i de fleste andre organisationer.

»Vi fandt en kvinde, som på sin Linkedin-profil beskrev, hvordan hun havde adgang til bestyrelsesmøder og følsomme oplysninger. Hun havde reelt malet en skydeskive på sig selv,« sagde Tom Heiser.

En anden lektie fra angrebet var, at det var nødvendigt at kommunikere med kunder, partnere og leverandører. Et hackerangreb påvirker ikke blot den organisation, der umiddelbart er ramt, men også de organisationer, den samarbejder med.

»Det er muligt at vinde kundernes tillid tilbage, hvis du holder dig i tæt kontakt med dem og sørger for at kommunikere om situationen,« sagde Tom Heiser.

Det var dog ikke alt, RSA valgte at offentliggøre om angrebet. Hackerne havde været grundige i deres forsøg på at slette alle spor, men der var alligevel enkelte spor, som RSA valgte ikke at tale om.

»De forsøgte at holde sig skjult, men de efterlod information, som kunne bruges i efterforskningen, hvis angriberne ikke var klar over, at vi havde den information,« sagde Tom Heiser.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kim Andersen
  1. »Det vigtigste, man skal forstå, var, at vi ikke var det endelige mål.».

    Det er da lige meget om RSA var målet. Det er da stadig problematisk at de blev hacket.

  2. »Det første, vi gjorde, var at lukke vores infrastruktur ned og hentede specialister ind, som kunne identificere de steder på netværket, der blev sendt information fra,«

Ikke særligt betrykkende at et firma der lever af at lave it-sikkerhed, må hente eksterne specialister ind i en sådan situation. Mange af deres kunder har jo en meget høje sikkerhedskrav

  • 5
  • 2
Jon Bendtsen

Ikke særligt betrykkende at et firma der lever af at lave it-sikkerhed, må hente eksterne specialister ind i en sådan situation. Mange af deres kunder har jo en meget høje sikkerhedskrav


Tja tjo. Jeg synes nu egentlig at det er okay at hente eksterne folk ind som kan se med andre øjne på situationen end de lokale som alt andet lige har deres ære bundet op på systemerne. Vil de lokale turde fortælle chefen: "min fejl"? Desuden så er der nok forskel på at opbygge sikkerhed, og specielt sikkerhedsalgoritmer og så på at lave efterforskende undersøgelser som der er behov for når indbrudet er sket.

  • 4
  • 0
Log ind eller Opret konto for at kommentere