Принадлежащая корпорации EMC компания RSA Security призналась, что стала жертвой “весьма сложно организованной” атаки и что была похищена информация, связанная с ее продуктами для двухфакторной аутентификации SecurID.
Нападавшим удалось “недавно” проникнуть в сети RSA в ходе APT-атаки, пишет исполнительный председатель правления Арт Ковьелло в открытом письме клиентам, которое появилось 17 марта на веб-сайте RSA. Хотя расследование инцидента продолжается, RSA уже определила, что атаковавшие похитили “определенную информацию”, включая относящуюся к продуктам RSA для двухфакторной идентификации SecurID, пишет Ковьелло. “Недавно наши системы безопасности определили, что против RSA ведется весьма сложно организованная кибератака”.
RSA всегда хранила в секрете алгоритм своей двухфакторной идентификации. Ни в письме, ни в отчете EMC, представленном в комиссию по ценным бумагам и рынка, не указывается, что именно было украдено. Но похищенное “потенциально могло бы использоваться для снижения эффективности имеющихся реализаций двухфакторной идентификации в рамках более широкой атаки”, пишет Ковьелло. Он “убежден”, что пропавшие данные не позволят преступникам организовать успешную атаку непосредственно на клиентов RSA, использующих SecurID.
Целью APT часто являются исходный код и другая полезная для шпионов информация. В таких атаках применяется знание сети, сотрудников и политик компании. Как правило, APT использует какие-то виды социальной инженерии, а также замаскированные в сообщениях электронной почты эксплойты, чтобы установить на компьютеры жертвы регистраторы нажатия клавиш и другие инструменты. В отличие от большинства организаторов атак те, кто прибегает к APT, обычно не заинтересованы в финансовых или идентификационных данных. Получив доступ в сеть жертвы, они стремятся похитить конфиденциальные сведения вроде интеллектуальной собственности. Операция “Аврора”, во время которой в 2009 г. были взломаны системы Google и ряда других крупнейших компаний, относилась к разряду APT.
Остальные продукты EMC или RSA не были затронуты атакой, и сведения, которые можно соотнести с клиентами или сотрудниками, не были похищены, пишет Ковьелло. RSA не уточнила, когда и как была произведена атака и сколько времени потребовалось компании, чтобы ее обнаружить. Комментариев представители RSA не дают.
RSA “с определенной долей уверенности” смогла сказать, что было похищено, а что нет. Это позволило ей приступить к “осторожным” переговорам с клиентами, заявил в интервью eWeek Стив Шиллингфорд, генеральный директор компании Solera Networks. Вероятно, сказал он, RSA сохранит доверие клиентов.
По состоянию на 2009 г. у RSA было свыше 40 млн. токенов и 250 млн. мобильных версий ПО, развернутых в более чем 25 тыс. организаций различных отраслей, таких как банковская, правительственная, производство и фармацевтика. Они используются при генерации случайного цифрового кода, который в сочетании с паролем применяется для регистрации пользователей. Цифровой код генерируется с помощью криптографических средств и меняется каждый 30 с.
В данный момент неясно, похитили ли атакующие предназначенные для “сидов” аутентификаторы, которые используются токенами SecurID при генерировании цифровых кодов. Если к ним попали аутентификаторы, предназначенные для конкретной компании, они могут генерировать с помощью токенов ложные номера, позволяющие преодолеть один уровень защиты. Атакующие могли украсть исходный код, который можно проанализировать и выявить в нем уязвимости для последующего взлома, либо частные криптографические ключи для обмана серверов или токенов RSA.
RSA рекомендует клиентам обратить усиленное внимание на обеспечение безопасности при использовании веб-сайтов и приложений социальных медиасредств, применять строгие политики в отношении паролей и PIN-кодов, напомнить сотрудникам, чтобы не открывали подозрительные электронные сообщения и не сообщали свои регистрационные данные другим людям или веб-сайтам. Клиентам следует также обратить особое внимание на обеспечение безопасности каталогов, “полностью использовать свои продукты SIEM”, применять двухфакторную аутентификацию для управления доступом к каталогам, вести мониторинг изменений полномочий пользователей и прав доступа, ограничить удаленный и физический доступ к инфраструктуре, обеспечивающей работу ПО безопасности, усилить защиту от атак с использованием социальной инженерии, обновить ПО безопасности и операционные системы.
RSA рекомендует также добавить уровень ручного управления изменением полномочий пользователей и правами доступа, а при распределении полномочий наделять пользователей минимальными правами. Администраторы должны иметь достаточно полномочий для выполнения своей работы и не более того.
EMC купила RSA Security в 2006 г. за 2,1 млрд. долл. наличными.