RSA-Mitarbeiter haben ihre 10-Jahres-Geheimhaltungsvereinbarungen (NDAs) beendet, damit sie endlich über die Ereignisse im Jahr 2011 sprechen können . Diese Ereignisse haben die Landschaft der globalen Informationssicherheitsbranche für immer verändert. Es war nämlich der erste Angriff in der Lieferkette, der, gelinde gesagt, ernsthafte Besorgnis unter den amerikanischen Geheimdiensten hervorrief.
Was ist ein Supply-Chain-Angriff? Wenn Sie einen starken Gegner wie die NSA oder die CIA nicht direkt angreifen können, finden Sie ihren Partner - und infiltrieren dessen Produkt. Ein solcher Hack ermöglicht den gleichzeitigen Zugriff auf Hunderte von hochgeschützten Organisationen. Dies geschah kürzlich mit SolarWinds.... Ehemalige RSA-Mitarbeiter setzen jedoch auf SolarWinds und haben ein Gefühl von Déjà Vu. In der Tat erhielten unbekannte Hacker 2011 Zugang zu dem Wertvollsten in RSA - einem Repository von Samen (Generationsvektoren). Sie werden verwendet, um Zwei-Faktor-Authentifizierungscodes in SecurID-Hardware-Token zu generieren, bei denen es sich um zig Millionen Benutzer in Regierungs- und Militärbehörden, Verteidigungsunternehmen, Banken und unzähligen Unternehmen auf der ganzen Welt handelt.
Allerdings über alles in Ordnung.
Andy Greenberg von Wired sprach mit mehreren ehemaligen RSA-Mitarbeitern. Einer von ihnen ist Todd Leetham, "ein kahlköpfiger und bärtiger Analyst aus der Abteilung für die Reaktion auf Vorfälle, der als Carbon-Hacker-Maschine bezeichnet wurde." Er war der erste, der vermutete, dass etwas nicht stimmte, und stellte fest, dass einer der Benutzer nicht von seinem Computer aus und mit nicht standardmäßigen Rechten online ging. Er sah sich mehrere Tage lang die Protokolle dieses Benutzers an - und es wurde klar, dass es einen Hack gab. Die Hacker haben sich in das interne Netzwerk eingegraben.
Am schlimmsten war, dass sie es bis zum Samengewölbe schafften. Technisch gesehen sollte dieser Server offline sein, vom Internet und vom Rest des Netzwerks getrennt sein - Luftspaltschutz. In der Praxis wurde es jedoch durch eine Firewall geschützt und alle 15 Minuten verbunden, um eine neue Charge verschlüsselter Seeds auszugeben, die auf CDs gebrannt und an Clients weitergegeben wurden. Sie blieben dann als Backup im Speicher.
Basierend auf diesen Generierungsvektoren wurden Zwei-Faktor-Authentifizierungscodes für SecurID-Token generiert, die an die Mitarbeiter des Kunden verteilt wurden. Das heißt, sowohl der Token als auch der RSA-Server haben unabhängig voneinander dieselben Codes generiert.
Algorithmus zum Erhalten eines Token-Codes
SecurID, 128- — (). . - — RSA , . - , .
- ( ). , -. , , . , , . , PIN, , - , .
Wenn jemand zum Seed-Repository gelangt ist, wurden die SecurID-Token auf allen Clients kompromittiert. Da dies das Hauptgeschäft von RSA ist, kann das Unternehmen im schlimmsten Fall vollständig geschlossen werden ...
Nach Prüfung der Netzwerkprotokolle kam Leitham zu dem Schluss, dass diese "Schlüssel zum Königreich" von RSA tatsächlich gestohlen wurden.
Er las mit Entsetzen in den Protokollen, als Hacker neun Stunden lang methodisch Samen aus dem Speicher pumpten und sie per FTP an einen gehackten Server beim Cloud-Anbieter Rackspace schickten. Aber dann bemerkte er etwas, das einen Hoffnungsschimmer gab: gestohlene Anmeldeinformationen, der Benutzername und das Passwort für diesen gehackten Server gingen durch die Protokolle. Leitham stellte schnell eine Verbindung zum Remote-Rackspace-Computer her und gab die gestohlenen Anmeldeinformationen ein. Und hier ist es: Das Verzeichnis auf dem Server enthielt immer noch die gesamte gestohlene Sammlung von Seeds als komprimierte .rar-Datei.
Laut Leitham ist die Verwendung eines gehackten Kontos zur Anmeldung bei einem Server eines anderen Unternehmens und das Basteln mit Daten dort bestenfalls ein unorthodoxer Schritt und im schlimmsten Fall ein schwerwiegender Verstoß gegen die US-Gesetze zum unbefugten Zugriff auf Informationen. Aber als er den gestohlenen RSA auf diesem Rackspace-Server betrachtete, zögerte er nicht: „Ich war auf die Konsequenzen vorbereitet“, sagt er. "Auf jeden Fall konnte ich unsere Dateien nicht geben", und er gab den Befehl zum Löschen der Datei ein und drückte die Eingabetaste.
Ein paar Momente später kam die Antwort an die Konsole: "Datei nicht gefunden." Er untersuchte erneut den Inhalt des Servers. Der Ordner war leer. Hacker haben die Datenbank einige Sekunden vom Server genommen, bevor er versucht hat, sie zu löschen!
Er suchte mehrere Tage, Tag und Nacht, nach Hackern, und jetzt packte er den flüchtenden Dieb fast am Ärmel. Aber er rutschte buchstäblich durch seine Finger und versteckte sich in einem Nebel mit den wertvollsten Informationen (wie weitere Untersuchungen zeigten, könnten dies Hacker der Cyber-Geheimdiensteinheit APT1 der Volksbefreiungsarmee von China sein, die auf der Militäreinheit 61398 in den Vororten von Shanghai basiert . ihnen).
Standort der Militäreinheit 61398, Quelle
Einige Tage später musste RSA den Hack ankündigen. Und es hat die Cybersicherheitslandschaft wirklich verändert. Erster erfolgreicher Supply-Chain-Angriff gegen Tausende von Organisationen, die sichersten Agenturen der Welt und militärische Auftragnehmer. Erst zehn Jahre später passierte etwas Ähnliches mit dem NotPetya-Wurm und dann mit dem SolarWinds-System (18.000 Kunden weltweit), aber zu dieser Zeit war die Geschichte von RSA beispiellos. Fast niemand hätte gedacht, dass es möglich wäre, Angriffe auf diese Weise durchzuführen - über einen "Proxy" in der Lieferkette.
"Es hat mir die Augen für Angriffe auf die Lieferkette geöffnet", sagt Mikko Hipponen, Chefwissenschaftler bei F-Secure, der eine unabhängige Analyse des RSA-Vorfalls veröffentlicht hat. "Und es hat meine Sicht auf die Welt verändert: Wenn Sie das Ziel nicht durchdringen können, finden Sie die Technologie, die das Opfer verwendet, und stattdessen dringen Sie dort ein."
Sein Kollege Timo Hirvonen sagt, der Vorfall sei eine besorgniserregende Demonstration der wachsenden Bedrohung durch eine neue Klasse von Hackern gewesen. Von hochqualifizierten Spezialisten, die ausländische Geheimdienstaufträge ausführen. RSA ist ein Cyber-Sicherheitsunternehmen, dessen Aufgabe es ist , andere zu schützen . Wenn sie sich nicht einmal schützen kann, wie kann sie dann den Rest der Welt schützen?
Die Frage war ziemlich wörtlich. Der Diebstahl der Generationsvektoren führte dazu, dass kritische 2FA-Abwehrmechanismen bei Tausenden von RSA-Clients gefährdet waren. Nach dem Diebstahl der Generierungsvektoren konnten Angreifer in fast jedem System Codes von SecureID-Token eingeben.
Zehn Jahre später sind die NDAs vieler wichtiger Führungskräfte von RSA abgelaufen - und wir können die Details dieses Vorfalls herausfinden. Heute gilt der RSA-Hack als Vorbote unserer gegenwärtigen Ära der digitalen Unsicherheit und der unglaublichen Aktivität von Regierungshackern in vielen Bereichen des öffentlichen Lebens, einschließlich Social Media, Medien und Politik. Das Hacken von RSA ist eine Lektion darin, wie ein entschlossener Gegner das untergraben kann, was wir am meisten vertrauen . Und weil du nichts vertrauen musst.
Eine Analyse des Vorfalls ergab, wie der Angriff begann - mit einer unschuldigen E-Mail, die ein australischer Mitarbeiter erhalten hatte, mit der Betreffzeile "Rekrutierungsplan für 2011" und einer angehängten Excel-Tabelle. Darin befand sich ein Skript, das die 0-Tage-Sicherheitsanfälligkeit in Adobe Flash ausnutzte und den bekannten Poison Ivy- Trojaner auf dem Computer des Opfers installierte .
Der Einstiegspunkt in das RSA-Netzwerk ist eine völlig alltägliche Implementierung, die nicht funktionieren würde, wenn das Opfer eine neuere Version von Windows oder Microsoft Office ausführen würde oder nur eingeschränkten Zugriff auf die Installation von Programmen auf seinem Computer hätte, wie von Systemadministratoren in vielen Unternehmens- und Regierungsnetzwerken empfohlen .
Aber nach dieser Infiltration begannen die Angreifer, ihre wahren Fähigkeiten zu demonstrieren. Tatsächlich kamen Analysten zu dem Schluss, dass mindestens zwei Gruppen gleichzeitig im Netzwerk tätig waren. Eine Gruppe erhielt Zugang zum Netzwerk, und eine zweite Gruppe hochqualifizierter Spezialisten nutzte diesen Zugang, möglicherweise ohne das Wissen der ersten Gruppe. Der zweite Angriff war viel weiter fortgeschritten.
Auf dem Computer eines australischen Mitarbeiters verwendete jemand ein Tool, das Anmeldeinformationen aus dem Speicher extrahiert. Er verwendet diese Konten dann, um sich bei anderen Computern anzumelden. Anschließend wird der Speicher dieser neuen Computer nach neuen Konten durchsucht - und so weiter, bis die Anmeldungen privilegierter Administratoren gefunden werden. Am Ende gelangten die Hacker zu einem Server, der die Anmeldeinformationen von Hunderten von Benutzern enthielt. Diese Diebstahltechnik ist heute üblich. Im Jahr 2011 waren die Analysten jedoch überrascht, dass sich Hacker im Internet bewegten: "Es war wirklich die brutalste Art, unsere Systeme auszunutzen, die ich je gesehen habe", sagt Bill Duane, ein erfahrener Softwareentwickler und Entwickler von RSA-Algorithmen.
In der Regel werden solche Vorfälle Monate nach dem Verlassen der Hacker entdeckt. Aber der Hack von 2011 war etwas Besonderes: Innerhalb weniger Tage haben die Ermittler die Hacker „eingeholt“ und ihre Aktionen beobachtet. "Sie haben versucht, in das System einzudringen, wir haben sie nach ein oder zwei Minuten gefunden, und dann haben sie das System vollständig heruntergefahren oder darauf zugegriffen", sagt Duane. "Wir haben in Echtzeit wie wilde Tiere gekämpft."
Inmitten dieses fieberhaften Gefechts erwischte Leitham die Hacker, die Samen aus dem zentralen Gewölbe stahlen, was angeblich ihre oberste Priorität war. Anstelle der üblichen Verbindungen alle 15 Minuten sah Leitham jede Sekunde Tausende von fortlaufenden Anfragen in den Protokollen. Hacker sammelten Generierungsvektoren nicht auf einem, sondern auf drei kompromittierten Servern und leiteten Anforderungen über einen anderen verbundenen Computer weiter. Sie teilten die Seed-Sammlung in drei Teile auf, verschoben sie auf einen Remote-Rackspace-Server und fügten sie dann zu einer vollständigen RSA-Repository-Datenbank zusammen. "Ich dachte, das ist verdammt großartig", sagt Litham. - Das habe ich irgendwie bewundert. Aber gleichzeitig wurde mir klar, dass wir total beschissen sind. "
Als Leitham klar wurde, dass die Saatgutsammlung kopiert worden war, und nachdem er verspätet versucht hatte, die Datei vom Server zu löschen, fiel ihm das Ausmaß des Ereignisses auf: Er dachte wirklich, RSA sei vorbei.
Panik
Spät in der Nacht erfuhr der Sicherheitsdienst, dass das Gewölbe ausgeraubt worden war. Bill Duane machte einen Warnruf, dass sie so viele Netzwerkverbindungen wie nötig physisch trennen würden, um Schäden zu begrenzen und weiteren Datendiebstahl zu stoppen. Sie hofften, Kundeninformationen zu schützen, die bestimmten Generierungsvektoren zugeordnet sind. Außerdem wollten sie den Diebstahl des privaten Verschlüsselungsschlüssels verhindern, der zum Entschlüsseln der Seeds erforderlich ist. Duane und der Manager betraten das Rechenzentrum und begannen, die Ethernet-Kabel einzeln abzuziehen, wodurch alle Server und sogar die Website des Unternehmens heruntergefahren wurden. „Ich habe das RSA-Geschäft tatsächlich heruntergefahren“, sagt er. "Ich habe das Unternehmen verkrüppelt, um eine mögliche weitere Datenfreigabe zu stoppen."
Am nächsten Tag gab Art Coviello, CEO von RSA, öffentlich bekannt, dass der Hack noch andauert. Das Ausmaß der Invasion nahm zu, als weitere Details enthüllt wurden. Zunächst war nicht bekannt, dass der SecurID-Seed-Speicher gehackt wurde, aber als diese Tatsache bekannt wurde, musste das Management eine Entscheidung treffen. Einige rieten, diese Tatsache vor Kunden zu verbergen (darunter die Sonderdienste, der Geheimdienst, die US-Armee). Trotzdem beschlossen sie, die Informationen offenzulegen - jeden Kunden persönlich anzurufen und alle mehr als 40 Millionen Token zu ersetzen. Aber RSA hatte nicht annähernd so viele Token ... Nur in wenigen Wochen kann das Unternehmen die Produktion wieder aufnehmen und dann in kleineren Mengen.
Eine Gruppe von fast 90 RSA-Mitarbeitern übernahm den Konferenzraum und begann einen mehrwöchigen Anruf bei allen Kunden. Sie arbeiteten mit Skripten und führten Kunden durch Schutzmaßnahmen wie das Hinzufügen oder Erweitern einer PIN als Teil des SecurID-Logins, um Hackern die Replikation zu erschweren. Bei vielen Gelegenheiten begannen Kunden zu schreien, erinnert sich David Castignola, ehemaliger Vertriebsleiter von RSA für Nordamerika. Jeder von ihnen tätigte hundert dieser Anrufe, sogar Top-Manager und Management mussten sich damit befassen (Kunden waren zu wichtig).
Gleichzeitig breitete sich die Paranoia im gesamten Unternehmen aus. Castignola erinnert sich, wie er in der ersten Nacht an einem kleinen Raum mit Netzwerkgeräten vorbeikam - und plötzlich eine absurde Anzahl von Menschen herauskam, viel mehr als er sich vorstellen konnte, dass es passen würde. "Wer sind diese Leute?" Er fragte einen anderen Anführer, der in der Nähe stand. "Dies ist die Regierung", antwortete er vage.
Zu diesem Zeitpunkt hatten die NSA und das FBI bereits ihre Mitarbeiter zur Untersuchung des Unternehmens entsandt, ebenso wie das Verteidigungsunternehmen Northrop Grumman und das Incident-Response-Unternehmen Mandiant (zufällig waren Mandiant-Mitarbeiter bereits zum Zeitpunkt der Unterbrechung vor Ort). Installation von Sensoren für Sicherheitssysteme im RSA-Netzwerk).
RSA-Mitarbeiter begannen entschlossen zu handeln. Das Unternehmen war besorgt, dass das Telefonsystem kompromittiert werden könnte, und wechselte den Netzbetreiber von AT & T zu Verizon. Die Führer vertrauten den neuen Telefonen nicht einmal, sie hielten persönliche Treffen ab und übergaben Papierkopien von Dokumenten. Das FBI befürchtete einen Maulwurf in RSA aufgrund des offensichtlichen Kenntnisstands der Angreifer über die Systeme des Unternehmens und begann, die Biografien aller Mitarbeiter zu überprüfen.
Einige Exekutivbüros und Konferenzräume wurden mit braunem Papier bedeckt, um zu verhindern, dass imaginäre Spione mit Lasermikrofonen in den umliegenden Wäldern lauschen, genau wie bei der aktuellen Hysterie des Havanna-Syndroms.... Das Gebäude wurde auf Fehler überprüft. Einige Führungskräfte haben ein paar Fehler gefunden, obwohl einige von ihnen so alt waren, dass ihre Batterien leer waren. Es war jedoch nicht klar, ob diese etwas mit dem Vorfall zu tun hatten.
In der Zwischenzeit begannen das RSA-Sicherheitsteam und externe Spezialisten, die zur Hilfe herangezogen wurden, "das Gebäude zu Boden zu reißen", wie sie es ausdrückten. Auf jedem Computer, den die Hacker berührten, und sogar auf benachbarten Computern wurden Datenträger formatiert. "Wir sind physisch um alles herumgegangen, und wenn Hacker auf dem Computer waren, haben wir alles gelöscht", sagt Sam Curry, ehemaliger Sicherheitsdirektor bei RSA. "Wenn Sie Ihre Daten verloren haben, ist es schade."
Zweite Welle
Ende Mai 2011, ungefähr zwei Monate nach Bekanntgabe des Vorfalls, erholte sich RSA immer noch und entschuldigte sich bei den Kunden. Aber hier begann die zweite Welle.
Der einflussreiche Tech-Blogger Robert Kringley veröffentlichte Gerüchte, wonach ein großer Verteidigungsunternehmer aufgrund kompromittierter SecureID-Token gehackt wurde. Alle Mitarbeiter des Unternehmens mussten Token wechseln.
Zwei Tage später enthüllte Reuters den Namen des gehackten Auftragnehmers: Lockheed Martin , eine Goldmine für Industriespionage.
Lockheed Martin F-35 Lightning II Mehrzweck-Jagdbomber
der fünften Generation In den folgenden Tagen in den Nachrichten Die Verteidigungsunternehmen Northrop Grumman und L-3 Communications wurden erwähnt, Hacker mit Generierungsvektoren für SecurID-Token wurden erwähnt, obwohl aus offensichtlichen Gründen niemand spezifische Beweise lieferte, da es sich um Militärunternehmen handelt (siehe die 100 größten Auftragnehmer der US-Regierung) ).
Im Juni 2011 gab der RSA-Geschäftsführer jedoch zu, dass die gestohlenen Samen tatsächlich für den Angriff auf Lockheed Martin verwendet wurden. Zehn Jahre später gibt er seine Worte bereits auf. Ehemalige Führungskräfte des Unternehmens sagen, dass die Verwendung von RSA-Saatgut nie nachgewiesen wurde.
Obwohl im Jahr 2013 Vertreter von Lockheed Martin auf dem Kaspersky Security Analyst Summit Forum in Puerto Rico ausführlich berichtetenWie Hacker die Codegenerierungsvektoren für SecurID-Token als Sprungbrett für das Eindringen in das Netzwerk verwendeten.
Eine Quelle von Lockheed Martin bestätigt nun die Ergebnisse dieser Untersuchung. Ihm zufolge hat das Unternehmen gesehen, wie Hacker SecurID-Codes in Echtzeit eingegeben haben, während Benutzer ihre Token nicht verloren haben. Nach dem Ersetzen dieser Token injizierten Hacker weiterhin erfolglos Codes aus den alten Token.
Die NSA hat ihrerseits die Rolle der RSA bei nachfolgenden Hacks nie wirklich in Frage gestellt. Bei der BesprechungEin Jahr nach dem Hack sagte NSA-Generaldirektor Keith Alexander im Streitkräfteausschuss des Senats, der RSA-Hack habe "dazu geführt, dass mindestens ein amerikanischer Verteidigungsunternehmer Opfer von jemandem wurde, der gefälschte Ausweise besitzt", und das Verteidigungsministerium war gezwungen, alle zu ersetzen RSA-Token.
Als die Beteiligung des APT1 bekannt wurde, druckte Bill Duane ein Foto ihres Hauptquartiers in Shanghai aus und klebte es auf eine Dartscheibe in seinem Büro.
Duane verließ RSA im Jahr 2015 nach mehr als 20 Jahren im Unternehmen. Der verkabelte Autor Andy Greenberg stellte ihm folgende Frage: „Wann hat der RSA-Hack Ihrer Meinung nach nach dem Herunterfahren des Servers im Rechenzentrum wirklich geendet? Oder als die NSA, das FBI, Mandiant und Northrop ihre Ermittlungen beendet haben und gegangen sind? " Der Ingenieur antwortete: „Wir glaubten, der Angriff sei nie vorbei. Wir wussten, dass sie Hintertüren zurückgelassen hatten und in der Lage sein würden, das Netzwerk zu infiltrieren, wann immer sie wollten. “
Die traurige Erfahrung von Duane und RSA sollte uns alle lehren, dass „jedes Netzwerk schmutzig ist“, wie er es ausdrückte. Jetzt rät er Unternehmen, Systeme zu segmentieren und die wertvollsten Daten so zu isolieren, dass sie selbst für einen Gegner, der bereits in den Umkreis eingedrungen ist, nicht zugänglich sind.
Todd Leitham hat das Fiasko von SolarWinds in den letzten sechs Monaten mit einem dunklen Gefühl von Déjà Vu beobachtet. Er zieht schärfer Schlussfolgerungen aus der Geschichte von RSA als sein Kollege. Seiner Meinung nach war es ein seltener Beweis dafür, wie fragil das globale Informationssicherheitssystem heute ist: „Dies ist ein Kartenhaus vor einem Tornado“, sagt er.
Er argumentiert, dass SolarWinds gezeigt hat, wie unzuverlässig diese Struktur bleibt. Für Leitham vertraute die Sicherheitswelt blindlings etwas außerhalb ihres Bedrohungsmodells. Niemand hätte gedacht, dass der Feind es gefährden könnte. Und wieder zog der Feind eine Karte heraus, die ganz unten im Kartenhaus stand - und alle dachten, es sei fester Boden.