Der Angriff auf den Anbieter von Sicherheitslösungen RSA, bei dem die Hacker wichtige Informationen stahlen, wurde durch eine Sicherheitslücke in Adobe Flash ermöglicht. Das schreibt Uri Rivner, Head of New Technologies, Consumer Identity Protection, in einem Blog-Beitrag. Durch den im März entdeckten Angriff waren technische Informationen über die SecurID-Tokens des Unternehmens für Zwei-Faktor-Authentifizierung entwendet worden.
Laut Rivner haben die Angreifer zunächst zwei getrennte Gruppen von RSA-Angestellten mit zwei E-Mails aufs Korn genommen. Unter den Empfängern der Mails in beiden Gruppen wären „keine besonders auffälligen oder wichtigen Ziele“ gewesen. Als Dateianhang hätten beide Sendungen eine Excel-Datei mit dem Titel „2011 Recruitment Plan“ (Rekrutierungsplan für 2011) enthalten, die einen Zero-Day-Exploit ausnutzte, um über Flash eine Backdoor auf den Systemen zu installieren. So bekamen die Angreifer an den Sicherheitsvorkehrungen des Unternehmens vorbei Zugriff auf die Rechner der Angestellten.
Mit diesem Zugriff sei es den Hackern möglich gewesen, ein schwer zu entdeckendes Fernsteuerungsprogramm mit dem Namen „Poison Ivy“ (Gift-Efeu) auf wenigstens einem der betroffenen Computer zu installieren. Diese Software wiederum diente als Werkzeug, um Zugangsdaten zu sammeln und sich höhere Systemrechte zu ergaunern, liest man in dem Blog. Schließlich hätten die Angreifer einen Zugang zu wirklich wertvollen Zielen erhalten. Laut Rivner ging es um „Experten für Prozesse, IT- und nicht IT-spezifische Server-Administratoren“.
Zu dem von Rivner beschriebenen Zeitpunkt konnten die Cracker auf RSA-Staging-Server zugreifen, die an wichtigen Sammelpunkten des Firmennetzes lokalisiert waren. So bewegten sie sich durch das Netz, sammelten Daten und kopierten sie auf die Staging-Server, wo das digitale Diebesgut gesammelt, komprimiert und verschlüsselt wurde.
Schließlich transportierten die Hacker nach Rivners Angaben die passwortgeschützten Dateien im RAR-Format (Roshal Archive) über das FTP-Protokoll (File Transfer Protocol) von dem RSA-Server auf einen externen Staging-Server, der auf einer kompromittierten Maschine bei einem Hosting-Provider lief. Von diesem Rechner besorgten sich die Angreifer schließlich ihre Beute und löschten ihre Spuren auf der kompromittierten Maschine. Adobe hat am 14. März einen Patch für die ausgenutzte Sicherheitslücke veröffentlicht.
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.