RSA sufrió un ataque que le robó datos. Eso fue público a las pocas horas de que ellos se enterasen con una escueta nota informativa que dejaba más luces que sombras y dejaba a todos más preocupados que satisfechos con la respueta. Y después... silencio.
Por fin, el día 1 de Abril, que dicho sea de paso es el April's Fool, publicó la anatomía del ataque que sufrió. Tras dejar pasar un fin de semana de por medio, intentando no caer en lo que podría ser una inocentada de humor negro por parte de la RSA, ahora parece que hay que tomarse en serio lo que allí pone. La elección de contar lo que pasó en justo ese día ha sido otro clavito más en la cadena de desinformaciones en esta historia.
En todo momento la RSA habla de un APT, es decir, de un Advanced Persistent Threat, o lo que es lo mismo, un enemigo de la RSA de alto nivel y que estaba buscando un fallo de seguridad en sus sistemas, y no de un atacante puntual.
En segundo lugar dicen que la inclusión en sus sitemas se produjo haciendo uso del CVE-2011-0609, un fallo de seguridad en Flash del que se sabía que estaba siendo explotado de forma activa mediante la incrustación de ficheros en Excel. Para colarse se enviaron correos electrónicos a empleados de no alto nivel en la escala de la RSA y uno de ellos lo rescató de la junk folder con la curiosidad necesaria para abrir el fichero excel adjunto, para que luego digan de mi paranoia.
Para muchos usuarios es tan común la apertura de ficheros ofimáticos que reciben en adjuntos de correos electrónicos que tienen las defensas bajas ante la llegada de archivos PDF, Excel u ODF.
Una vez explotada la vulnerabilidad el atacante instaló una versión modificada de Poisson Ivy, es decir, una de las RAT más archifamosas, que permité, además de encenderte la camara, hacer conexiones reversas desde la máquina de la víctima a la máquina del atacante.
Desde la consola de Poisson Ivy, el atacante se dedicó a recoger información, crackear cuentas de usuarios y servicios para conseguir una elevación a usuarios más privilegiados que le permitiera al atacante acceder a repositorios de datos en servidores internos. El atacante tenía una versión morpheada de Poisson Ivy para saltarse los antimalware de endpoint, que RSA dice tener desplegados, lo que deja entredicho la confianza en las herramientas y la necesidad de confiar más en unas políticas extrictas.
Tras capturar los datos que le interesaban, fueron cifrados y enviados por FTP a una máquina en un servidor de hosting para llevarse la información. Todo este ataque lo resumen en una bonita slide que supongo que uno tuvo que presentar a la dirección con más sudor y resignación que ganas.
¿Qué se llevó el atacante?
RSA es la primera empresa del mundo en la venta de soluciones OTP de autenticación de segundo factor por canales alternativos, mediante RSA SecureID, que es usado por bancos, grandes empresas, gobiernos y organizaciones alrededor del mundo. Si el atacante se hubiera llevado datos sensibles que permitieran averigüar información y detalles sobre los detalles de implementación de las soluciones, podría ponerse en riesgo este tercer canal de autenticación. Eso es lo que preocupa a los clientes. Sin embargo, de eso parece que de momento no tenemos información, y que habrá que esperar a las próximas semanas para tener más información de lo que ha pasado.
Por fin, el día 1 de Abril, que dicho sea de paso es el April's Fool, publicó la anatomía del ataque que sufrió. Tras dejar pasar un fin de semana de por medio, intentando no caer en lo que podría ser una inocentada de humor negro por parte de la RSA, ahora parece que hay que tomarse en serio lo que allí pone. La elección de contar lo que pasó en justo ese día ha sido otro clavito más en la cadena de desinformaciones en esta historia.
En todo momento la RSA habla de un APT, es decir, de un Advanced Persistent Threat, o lo que es lo mismo, un enemigo de la RSA de alto nivel y que estaba buscando un fallo de seguridad en sus sistemas, y no de un atacante puntual.
En segundo lugar dicen que la inclusión en sus sitemas se produjo haciendo uso del CVE-2011-0609, un fallo de seguridad en Flash del que se sabía que estaba siendo explotado de forma activa mediante la incrustación de ficheros en Excel. Para colarse se enviaron correos electrónicos a empleados de no alto nivel en la escala de la RSA y uno de ellos lo rescató de la junk folder con la curiosidad necesaria para abrir el fichero excel adjunto, para que luego digan de mi paranoia.
Para muchos usuarios es tan común la apertura de ficheros ofimáticos que reciben en adjuntos de correos electrónicos que tienen las defensas bajas ante la llegada de archivos PDF, Excel u ODF.
Una vez explotada la vulnerabilidad el atacante instaló una versión modificada de Poisson Ivy, es decir, una de las RAT más archifamosas, que permité, además de encenderte la camara, hacer conexiones reversas desde la máquina de la víctima a la máquina del atacante.
Desde la consola de Poisson Ivy, el atacante se dedicó a recoger información, crackear cuentas de usuarios y servicios para conseguir una elevación a usuarios más privilegiados que le permitiera al atacante acceder a repositorios de datos en servidores internos. El atacante tenía una versión morpheada de Poisson Ivy para saltarse los antimalware de endpoint, que RSA dice tener desplegados, lo que deja entredicho la confianza en las herramientas y la necesidad de confiar más en unas políticas extrictas.
Tras capturar los datos que le interesaban, fueron cifrados y enviados por FTP a una máquina en un servidor de hosting para llevarse la información. Todo este ataque lo resumen en una bonita slide que supongo que uno tuvo que presentar a la dirección con más sudor y resignación que ganas.
¿Qué se llevó el atacante?
RSA es la primera empresa del mundo en la venta de soluciones OTP de autenticación de segundo factor por canales alternativos, mediante RSA SecureID, que es usado por bancos, grandes empresas, gobiernos y organizaciones alrededor del mundo. Si el atacante se hubiera llevado datos sensibles que permitieran averigüar información y detalles sobre los detalles de implementación de las soluciones, podría ponerse en riesgo este tercer canal de autenticación. Eso es lo que preocupa a los clientes. Sin embargo, de eso parece que de momento no tenemos información, y que habrá que esperar a las próximas semanas para tener más información de lo que ha pasado.
joooder! que ingeniosos...
ResponderEliminarPues se espera que fuera algo mas elaborado...
ResponderEliminarBuenas,
ResponderEliminarHabida cuenta de que para atacar un canal de este tipo hace falta la IP de la VPN (que por tonto que sea, no siempre se conoce), el ID de usuario y su PIN más el correspondiente OTP, yo creo que el riesgo es limitado.
Parece que los atacantes se han hecho con la parte que reside en RSA, y esa es el OTP, o mejor dicho, cómo generarlo para cada número de serie de token.
Tanto IDs de usuario como PIN se gestionan en los servidores RSA de los clientes, y esos datos NO DEBERÍAN estar en manos de RSA. A ver en qué acaba esto.
RSA pierde mucha credibilidad con esto. Quizás ese sea el verdadero problema, por no mencionar los costes de reemplazar los tokens si hay que llegar a dicho extremo (que tiene toda la pinta)
Un abrazo!