En artikkel på bloggen til IT-sikkerhetsselskapet F-Secure gjør rede for hvordan selskapets analytiker Timo Hirvonen fant det ondsinnede vedlegget som var første trinn i vårens hacking av EMCs sikkerhetsselskap RSA Security.
Innbruddet mot RSA gjorde det mulig for inntrengere å stjele informasjon – kanskje militære hemmeligheter, men det er ikke bekreftet – fra spesielt vernede systemer hos Lockheed-Martin og Northrop-Grumman. Artikkelen til F-Secure gir innsyn i viktige detaljer som hittil ikke har vært offentlig kjent. Den understreker risikoen i alle sikkerhetshullene i Adobe Flash, og trekker i tvil nytten av en funksjon i regnearket Microsoft Excel som ble misbrukt i angrepet mot RSA.
Les også:
- [06.01.2014] Flere eksperter boikotter RSA
- [06.05.2013] Atomvåpen-forskere angrepet via IE
- [10.11.2011] Hackerverktøy spiller på det sosiale
- [20.09.2011] Kyberangrep mot Japan
- [09.06.2011] Spioner bak angrepet på RSA?
- [07.06.2011] Bytter ut millioner av kodebrikker
- [18.03.2011] RSAs «SecurID» kan være kompromittert
Det går fram av dato og tittel på lenkene gjengitt ovenfor at digi.no fulgte sakens utvikling fra mars til juni. Den gjengse forklaringen er at innbruddet mot RSA ble begått av agenter for en utenlandsk makt som ville sikre seg militære hemmeligheter fra IT-systemer der brukere er underlagt RSAs tofaktor autentisering med kodebrikken RSA SecurID.
Det spesielle med SecurID er at krypteringsnøklene som kreves for å bruke brikkene genereres av hemmeligheter oppbevart hos RSA og noen av deres partnere. Det skal være en av grunnene til at for eksempel BankID ikke har valgt RSA, men en løsning der kodebrikkenes hemmelighet oppbevares hos selskapet med ansvar for IT-systemene som skal beskyttes.
Det har vært kjent at angrepet mot RSA ble sporet til en e-post formet som en forespørsel til medarbeidere i EMC om å se på en rekrutteringsplan formet som et Excel-dokument. De som klikket på vedlegget ble rammet av ondsinnet kode gjemt i et Flash-tillegg til regnearket.
Det som ikke var kjent, og som F-Secure avdekker nå, er selve den ondsinnede koden. Ingen sikkerhetsekspert har sett den.
Bloggen til F-Secure forteller hvordan Timo Hirvonen jaktet på koden i F-Secures databaser, som inneholder mange titalls millioner eksemplarer av ondsinnet kode, og som stadig mottar nye tilfeller fra innsendere verden over.
Hirvonen skrev et eget verktøy egnet til å avdekke Flash-objekter gjemt i annen kode. Verktøyet avdekket flere tilfeller, blant annet en msg-fil, altså en meldingsfil for Microsofts e-postklient Outlook. I denne meldingsfilen fant han en xls-fil, altså et Excel-regneark.
Meldingen viste seg å være en kopi av den som ble sendt til EMC-ansatte 3. mars i år, og som var første trinn i operasjonen for å høste hemmelighetene til SecurID og så misbruke disse i datainnbrudd mot amerikanske forsvarsleverandører.
F-Secure mener at en eller annen i EMC eller RSA har videresendt meldingen til Virus Total, en gratis tjeneste som skanner mistenkelige filer og URL-er.
Tilbakemeldingen som vedkommende fikk fra Virus Total var ikke til å bli særlig klok av: Noe liknende fantes ikke, og tjenesten kunne bare fortelle at ingen hadde verken gode eller dårlige erfaringer med det aktuelle vedlegget.
Meldingen ga seg ut for å komme fra webmaster@beyond.com. Beyond.com er en tjeneste for jobbsøkere. Vedlegget het «2011 Recruitment plan.xls» (noe RSA opplyste om i våres). I meldingsfeltet var det én linje: «I forward this file to you for review. Please open and view it.» Den var sendt til én ansatt. Det var tre andre ansatte i cc-feltet.
Regnearket inneholdt ikke noe annet enn et Flash-objekt, som ble spilt av automatisk straks regnearket var ferdig lastet.
Hirvonen spør, ganske treffende: Hvorfor har Excel denne egenskapen? Poenget er at dersom Excel ikke hadde spilt Flash-objektet automatisk, ville den som åpnet vedlegget, straks ha sett at dette ikke var noe rekrutteringsplan.
I sin nyeste kvartalsrapport om den globale utviklingen innen IT-sikkerhet, slår IT-sikkerhetsselskapet Kaspersky Lab fast at Adobe og Java er dagens verstinger innen sikkerhet, og at Adobe Flash er det mest risikable produktet å bruke. Flash har sju av de ti verste sikkerhetshullene. Java har to, Adobe Reader én. Microsoft er fraværende fra denne listen.
I dette tilfellet var det et hittil ukjent sikkerhetshull i Flash som ble brukt. Det er derfor Virus Total ikke kunne hjelpe. Sårbarheten er siden kommet i CVE-katalogen («common vulnerabilities and exposures») under betegnelsen CVE-2011-0609.
Sårbarheten ble brukt til å installere en bakdør av typen «Poison Ivy» på den aktuelle arbeidsstasjonen. Bakdøren ga inntrengeren adgang til et bredt utvalg av interne ressurser hos RSA. Disse ble så brukt til å skaffe tilgang til hemmeligheter til SecurID. Disse hemmelighetene kunne igjen benyttes til å gi uvedkommende adgang til interne systemer hos amerikanske forsvarsleverandører.
Teknologisk sett er det ingenting avansert med verken den aktuelle e-postmeldingen eller med bakdøren. Men inntrengerne – sannsynligvis spioner – hadde tilgang til en hittil ukjent sårbarhet i Flash, som de ikke trengte å benytte til mer enn dette ene, vellykkede angrepet, for så å dra veksler på avansert kompetanse til å gå videre og (kanskje) kapre militære hemmeligheter.