Poznaj kulisy marcowego ataku na sieci zbrojeniowych gigantów

Lockheed Martin jest jednym z największych koncernów zbrojeniowych na świecie. Odpowiada m.in. za produkcję myśliwców F-16, F-22 i F-35, stworzenie sond kosmicznych Viking 1 i Viking 2 oraz kilku sztucznych satelitów. Northrop-Grumman, firma o globalnym zasięgu działania, również należy do “wielkiej piątki” amerykańskiego przemysłu zbrojeniowego. Jest trzecim na świecie dostawcą produktów obronnych oraz największym producentem okrętów.
Poznaj kulisy marcowego ataku na sieci zbrojeniowych gigantów
Informacje o konstrukcji F-16 mogły trafić w ręce hakerów

Informacje o konstrukcji F-16 mogły trafić w ręce hakerów

Nic dziwnego zatem, że poufne informacje wojskowe przechowywane przez koncerny zbrojeniowe Lockheed-Martin i Northrop-Grumman to wyjątkowo cenny łup dla hakerów i obcych agencji wywiadowczych. Dostęp do tych danych chroniony jest m.in. przez sprzętowe tokeny RSA SecurID, czyli niewielkie breloczki, które raz na minutę generują jednorazowe hasła pozwalające na zalogowanie się do systemu. Na całym świecie wykorzystuje się ok. 250 milionów takich tokenów. Są one dobrze znane m.in. klientom banków, którzy korzystają z jednorazowych haseł generowanych przez tokeny w celu logowania się do swoich kont.

Aby przedostać się do wewnętrznych systemów koncernów zbrojeniowych USA, włamywacze potrzebowali wiedzy na temat jednorazowych haseł dostępowych, używanych przez pracowników Lockheed-Martin i Northrop-Grumman. By ją zdobyć, wzięli na celownik firmę RSA (obecnie część korporacji EMC), producenta wspomnianych tokenów, obsługującego m.in. amerykańskie siły zbrojne — wyjaśnia Mikko Hypponen, szef laboratorium badawczego F-Secure.

Scenariusz ataku okazał się stary jak sam Internet i sprowadzał się do phishingu w najbardziej klasycznej postaci. Czterech pracowników firmy RSA/EMC otrzymało spreparowane e-maile, pochodzące rzekomo z serwisu rekrutacyjnego Beyond.com. Specjalistom z F-Secure po pięciu miesiącach poszukiwań udało się dotrzeć do oryginalnego maila wysłanego przez napastników. Wiadomość zatytułowana “Plan rekrutacji na 2011” brzmiała:

“Przesyłam załączony plik do weryfikacji. Otwórz i rzuć okiem”

Załącznik, o którym mowa, to plik Excel z zaszytym kodem korzystającym z luki w zabezpieczeniach Flash Playera. Otworzenie dokumentu prowadziło do uaktywnienia szkodnika instalującego w systemie backdoor Poison Ivy.

Tym samym napastnicy zyskiwali dostęp do zainfekowanych stacji roboczych, a także dysków sieciowych RSA/EMC, co pozwalało im swobodnie hulać po korporacyjnej sieci. Mogli tam znaleźć nie tylko listę kluczy tokenów wykorzystywanych m.in. przez koncerny zbrojeniowe USA, ale także komplet informacji nt. metody pozwalającej określić klucz danego tokenu na podstawie jego numeru seryjnego.

Tym, co wyróżnia ten atak na tle wielu innych jest fakt, że napastnicy włamali się do firmy pośredniczącej, dostarczającej systemy bezpieczeństwa innym podmiotom, dzięki czemu mogli docelowo zyskać dostęp do ważnych danych dotyczących jej klientów. W tym sensie atak należy uznać za zaawansowany, mimo iż same metody postępowania włamywaczy nie były szczególnie wyrafinowane ani nowatorskie — komentuje Mikko Hypponen.

Więcej:cyberataki