Saugumo tyrinėtojai pagaliau atrado užpakalinių durų failą, kuris leido įsilaužėliams tai padaryti įsilaužti į RSA o vėliau įsilaužė gynybos specialistai Lockheed-Martin ir Northrop-Grumman.
Kenkėjiška programinė įranga buvo virusinio raganų medžioklės atitikmuo objektas nuo pat išpuolių, o saugumo tyrėjus glumino jos tapatybė. Tačiau paaiškėja, kad failas visą laiką slypėjo bendroje saugumo pramonės duomenų bazėje.
Tai buvo el. laiškas, kuris buvo suklastotas ir atrodė, kad jis buvo gautas iš įdarbinimo svetainės Beyond.com
Pasak saugos įmonės F-Secure, siekis nustatyti failą, kuris leido pasiekti prieigą, baigėsi tyrėjams tiesiai po nosimis. „Žinojome, kad ataka buvo pradėta nukreipus el. laišką EMC darbuotojams (EMC priklauso RSA), ir kad el. buvo priedas pavadinimu 2011 Recruitment plan.xls“, – sakė bendrovės vyriausiasis tyrimų pareigūnas Mikko Hypponen. ant įmonės tinklaraštis.
„Problema buvo ta, kad mes neturėjome bylos. Atrodė, kad niekas to nepadarė“.
Pasak Hypponen, kolegos kelis mėnesius ieškojo failo ir galiausiai sukūrė duomenų analizės įrankį, skirtą ieškoti XLS failų, kuriuose buvo „Flash“ pavyzdžių. objektus tarp milijonų žinomų infekcijų ir galiausiai sugalvojo atitiktį, paslėptą el. laiške, išsiųstame į „VirusTotal“ saugyklą, kuria dalijasi AV įmonės.
„Taigi, mes visi jau turėjome bylą. Mes tiesiog nežinojome, kad žinome, ir negalėjome jo rasti tarp milijonų kitų pavyzdžių“, - sakė Hypponen.
Socialinė inžinerija
„F-Secure“ teigimu, užkratas rėmėsi klasikinėmis socialinės inžinerijos gudrybėmis, nukreiptomis į atskirus įmonės vartotojus. „Tai buvo el. laiškas, kuris buvo suklastotas, atrodytų, atkeliavo iš įdarbinimo svetainės Beyond.com“, – sakė J. Hypponen. „Jo tema buvo „2011 m. įdarbinimo planas“ ir viena turinio eilutė: „Persiunčiu šį failą jums peržiūrėti. Atidarykite ir peržiūrėkite.“ Pranešimas buvo išsiųstas vienam EMC darbuotojui, o kopija išsiųsta dar trims.
El. laišką atidarius EMC darbuotojui, užpuolikas būtų turėjęs visišką nuotolinę prieigą prie užkrėsto darbo stotis, parodė tyrimas, taip pat visi prijungti tinklo diskai, dėl kurių, kaip manoma, tapo kritinė SecurID duomenys.
Saugumo ekspertai mano, kad ataka prieš RSA buvo preliminari ataka, kurią reikėjo užbaigti, kad būtų galima prieiti Lockheed-Martin ir Northrop-Grumman sistemos, kurios buvo apsaugotos SecurID ir buvo tikrieji taikiniai išpuolių.
