Dipl.-Inform. Carsten Eilers

RSA hat am 1. April 2011 sehr interessante Details zum Angriff veröffentlicht, der am 17. März 2011 nur sehr allgemein bekannt gemacht worden war.

Der Angriff begann mit zwei verschiedenen E-Mails mit dem Subject "2011 Recruitment Plan", die innerhalb von zwei Tagen an zwei relativ kleine Gruppen von RSA-Mitarbeitern geschickt wurden. Dabei handelte es sich nicht um besonders hochrangige oder sonstwie auffällige Mitarbeiter ("high profile or high value target"). Die E-Mails wurden als Spam eingestuft, das Subject reichte aber aus, damit einer der Mitarbeiter die Mail aus seinem Spam-Ordner heraus holte und die angehängte Excel-Datei "2011 Recruitment plan.xls" öffnete.

Diese Excel-Datei war natürlich präpariert: Über eine 0-Day-Schwachstelle im Flash Player (CVE-2011-0609) wurde eine Hintertür in Form des Fernwartungs-Tools Poison Ivy installiert.

Im Adobe Secure Software Engineering Team (ASSET) Blog wird über die Schwachstelle geschrieben

"Reports that we’ve received thus far indicate the attack is targeted at a very small number of organizations and limited in scope. The current attack leverages a malicious Flash (.swf) file inside a Microsoft Excel (.xls) file. The .xls file is used to set up machine memory to take advantage of a crash triggered by the corrupted .swf file. The final step of the attack is to install persistent malware on the victim’s machine."

Das klingt schon allgemein sehr nach einem APT, denn normalerweise gilt bei den Cyberkriminellen immer "Die Masse machts". Egal ob ein Schädling über Drive-by-Infektionen verbreitet wird, als Wurm selbständig unterwegs ist oder wie auch immer verteilt wird, je mehr Opfer er findet, desto größer ist das sich ergebende Botnet und desto größer ist der mögliche Gewinn für die Cyberkriminellen. Dabei ist es dann egal, wer zum Opfer wird. Beschränken sich die Angriffe aber auf wenige Ziele, sind die sehr wahrscheinlich sehr gezielt ausgewählt worden, was in der Vergangenheit meist zu einem APT geführt hat.

Der Exploit (oder ein ähnlicher)

Eine technische Analyse eines Angriffs über diese Schwachstelle wurde vom Microsoft Malware Protection Center veröffentlicht. Ob es sich dabei um den für den Angriff auf RSA verwendeten Exploit handelt, ist nicht bekannt. Zumindest wird das gleiche RAT eingeschleust.

Weitere Beschreibungen eines Exploit mit anderem Dateinamen (der natürlich trotzdem mit dem gegen RSA eingesetztem identisch sein kann; was damit eingeschleust wird, wurde nicht angegeben) gibt es von bugix - security research und vom FireEye Malware Intelligence Lab. Laut FireEye lässt sich die Excel-Datei bis zu einem chinesischen Hacker mit dem Pseudonym 'linxder' zurückverfolgen. Dessen Spezialität: "weaponizing flash containers in other file formats".

Fuss in der Tür, nun weiter rein drängeln

Aber zurück zu RSA: Vom kompromittierten Rechner und Benutzerkonto aus arbeitete der Angreifer sich dann weiter in das RSA-Netz vor. Bzw. genauer: Das RAT lud Anweisungen nach, führte sie aus, schickte die Ergebnisse an den Angreifer, lud neue Anweisungen nach... . Diese Vorgehensweise erschwert das Erkennen des Angriffs, da die Verbindungen immer von innen nach außen aufgebaut werden. Es gibt keinen Verdacht erregenden Zugriff des Angreifers von außen auf das RAT.

Nach und nach verschaffte sich der Angreifer die Zugangsdaten höherrangiger Benutzer ("user, domain admin, and service accounts"). Ausgehend von normalen Benutzern auf den angegriffenen Systemen verschaffte der Angreifer sich über eine Privilegieneskalation die Rechte von "process experts and IT and Non-IT specific server administrators" (wobei ich mich frage, was ein "Non-IT specific server administrators" ist - ein Server-Admin, der von IT keine Ahnung hat?).

Nachdem der Angreifer Zugriff auf für ihn interessante Server erhalten hatte, kopierte er von dort Daten auf andere lokale Server, wo er sie zusammenfasste, komprimierte und verschlüsselte. Danach wurden die Daten als verschlüsselte RAR-Archive über FTP auf einen externen Server übertragen. Dabei wurde der Angriff von RSA entdeckt.

Was wurde ausgespäht?

Im Juni 2011 musste RSA zugeben, dass die ausgespähten Daten im Rahmen eines im Mai 2011 durchgeführten Angriffs auf Lockheed Martin eingesetzt wurden. Über weitere Opfer gibt es nur Vermutungen. Was genau denn nun ausgespäht wurde, wurde von RSA nie bekannt gegeben. Laut Ars Technica wurden die Seeds, d.h. die Startwerte der SecurID-Token, ausgespäht: "Sources close to RSA tell Ars that the March breach did indeed result in seeds being compromised."

Wer war das?

Brian Krebs berichtet über ein paar Hintergründe des Angriffs. Dem zu Folge könnte der Angriff von China ausgegangen sein. Mit der üblichen Einschränkung "Oder von jemanden, der möchte, dass China verdächtigt wird".

Und nun das übliche:

Der Angriff auf RSA ist ein APT

Der Angriff auf RSA (dem merkwürdigerweise niemand einen Namen gegeben hat) zeigt alle Anzeichen eines Advanced Persistent Threats:

• Nach einem gezielten Angriff über E-Mails wurde
• unter Einsatz einer 0-Day-Schwachstelle Code eingeschleust,
• danach ist der Angreifer über einen längeren Zeitraum bis zum ihn interessierenden System vorgedrungen,
• hat dort einige Zeit Daten gesammelt und
• diese vorsichtig aus dem Netz von RSA nach draußen geschmuggelt.

In der nächsten Folge geht es um die wichtigsten Fragen in Verbindung mit APTs: Kann man die Angriffe überhaupt erkennen und abwehren, und wenn ja, wie?

Carsten Eilers

Übersicht über alle Artikel zum Thema

Was ist ein Advanced Persistent Threat (APT)?

Ein bekannter Advanced Persistent Threat: Operation Aurora

Ein weiterer bekannter Advanced Persistent Threat: Stuxnet

Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA

Kann man Advanced Persistent Threats erkennen?

Advanced Persistent Threats - Wo verrät sich der Angreifer?

Advanced Persistent Threats - So verrät sich der Angreifer!

Gezielte Angriffe und Advanced Persistent Threats

Advanced Persistent Threats gegen tibetische Aktivisten und mehr