Spioner bak angrepet på RSA?

SANS Institute mener angrepene mot RSA og Lockheed skyldes statlig etterretning.

2011 har hittil vært et fett år for hackere. Flere av Sonys tjenester har latt seg kompromittere gjentatte ganger de siste ukene. Google har avdekket nye forsøk på å kapre private e-postkontoer til amerikanske og asiatiske embetsmenn, kinesiske politiske aktivister samt journalister og militære offiserer. I mars sto millioner av bank- og butikkunder i fare etter et datainnbrudd mot Epsilon, et selskap som driver kundedatabaser for mange av USAs største selskaper, blant dem banker som Citigroup og JP Morgan. I mars ble det klart at et datainnbrudd kunne ha kompromittert produktene til RSA Security, en av verdens mest betrodde leverandører av IT-sikkerhet, og denne uken ble det bekreftet at RSA-hullet var blitt brukt til å stjele informasjon fra Lockheed Martin, en ledende amerikansk produsent av kampfly og våpensystemer. I april kom et innbrudd hos Wordpress. Også USAs offentlige kringkaster PBS har vært hacket, i likhet med spillselskapet Nintendo.

Det er ikke foretatt pågripelser i noen av disse sakene. Det er ikke engang opplyst om mistanke mot konkrete individer eller grupper, trass i forsikringer om at FBI og andre «jobber på spreng».

I et intervju med Bloomberg sier Gartner-analytiker Avivah Litan, at innbruddet mot RSA er det mest alvorlige, fordi det har kompromittert et helt sikkerhetssystem brukt av banker og forsvarsindustrien.

Litan er medforfatter av et notat, datert 8. juni, der RSA SecurID-brukere anbefales å supplere tiltak fra RSA med andre initiativ: Plan to Supplement RSA SecurID Replacement Tokens With Other Measures. I tillegg til å bytte ut SecurID-kodebrikker produsert før 23. mars 2011, oppfordrer Gartner til å legge opp utvidet overvåking og snokvarsling, samt styrke vernet mot ondsinnet kode på alle klienter.

Kunder innen bank- og finans anbefales særlig å «motstå fristelsen til å stå ved RSA på grunn av det etablerte kundeforholdet». Tiden er med andre ord inne for å se på hva konkurrentene har å tilby.

Angrepet mot RSA og det påfølgende angrepet mot Lockheed Martin gjenspeiler framskreden kompetanse innen både teknologi og evnen til sosial manipulering. Små grupper av RSA-ansatte ble utsatt for målrettet «phishing». E-postene det gjaldt havnet for en stor del i søppelpostmapper. De inneholdt et regneark med tilleggskode som samlet på brukernes ID-data helt til de kom fram til angripernes forhåndsbestemte mål.

Litan gir nærmere detaljer om dette på sin blogg. Hun peker på hvordan angrepet lyktes fordi RSA ikke selv hadde implementert det sikkerhetsnivået selskapet anbefaler overfor sine kunder.

Informasjonen som ble tappet fra RSA omfattet to hemmelige dataserier, henholdsvis såkorntallene for kodebrikkenes algoritmer, og SecurID-brikkenes serienummer, forteller forskningssjef Johannes B. Ullrich ved SANS Technology Institute til Bloomberg. Angriperne fant ut hvilke serienummer som var blitt sendt til Lockheed, og brukte andre metoder, antakelig en eller annen form for sosial manipulering, til å finne fram til hvilke ansatte eller partnere som hadde fått hvilke kodebrikker.

Ullrich understreker at angrepet mot Lockheed Martin må «avgjort ha vært sponset av statlig etterretning», siden det var så avansert. Han peker ikke på noe konkrete land.

Til toppen