Принцип домино: атака военного подрядчика США с использованием данных, украденных у RSA

Атака на L-3 сделала компанию второй мишенью хакеров, связанной с брешью RSA - при этом обе являются военными подрядчиками. Информационное агентство Reuters сообщило в пятницу, что компания Lockheed Martin пострадала от вторжения.

"Военный подрядчик L-3 Communications подвергался активным нападениям с использованием скомпрометированной информации с целью проникновения", - написал в e-mail руководитель L-3 Stratus Group. Отправлено данное сообщение было 5 000 сотрудникам, один из них поделился содержанием с Wired.com на условиях анонимности.

Из e-mail неясно, были ли хакеры успешны в осуществлении своих атак, или как L-3 удалось определить вовлеченность SecurID. Представитель L-3 Дженнифер Бартон отказался предоставить комментарии, он лишь сказал: "Защита нашей сети является главным приоритетом, у нас есть надежный набор протоколов для обеспечения безопасности секретной информации. Мы полностью защищены". Бартон отказался давать дальнейшие комментарии во вторник.

Находящаяся в Нью-Йорке компания L-3 Communications занимает восьмое место в списке крупнейших правительственных подрядчиков 2011 года. Среди прочих вещей компания обеспечивает Пентагон и спецслужбы технологиями, предназначенными для управления и контроля, связи, осуществления разведывательной деятельности и надзора (C3ISR).

Во время бреши в Lockheed злоумышленники, возможно, пытались использовать клонированные токены SecurID пользователей Lockheed.

Две эти атаки наводят на мысль, что в ходе вторжения в RSA злоумышленникам удалось украсть важную информацию — возможно, крипталгоритм для SecurID - токенов — которую они используют в разведывательных миссиях (для сбора еще большего количества информации) против важных стратегических мишеней в США.

Атаки происходят, поскольку Пентагон находится в завершающей стадии формализации доктрины военных операций в киберпространстве, которая, как сообщают, рассматривает кибератаки, приводящие к поломкам или другим серьезным нарушениям, как эквивалент вооруженных нападений.

RSA Security, подразделение EMC, отказалась давать комментарии относительно инцидента с L-3.

SecurID вводит дополнительный уровень защиты входа в систему и требует от пользователей ввести секретный код, отображаемый на брелке или в ПО, в дополнение к их паролям. Данное число криптографически генерируется и изменяется каждые 30 секунд.

RSA охарактеризовала брешь как "атаку, за которой стоит мотивированный злоумышленник, нацеленный на определенные данные жертвы" или APT. APT является модным термином, используемым для обозначения необычайно сложный атак при которых злоумышленники используют методы социальной инженерии вместе с 0-day уязвимостями, чтобы выявить слабое место в сети и совершить проникновение, а затем аккуратно украсть исходный код и другую интеллектуальную собственность. Прошлогодний взлом Google рассматривался как APT-атака и — как многие вторжения данной категории — был связан с Китаем.

L-3 использует SecurID для получения сотрудниками удаленного доступа к открытой корпоративной сети, но засекреченные (закрытые) сети компании не подвергались риску во время атаки, сообщила L-3.

На вопрос, могли ли злоумышленники, вторгшиеся в RSA, получить возможность клонировать брелки SecurID, представитель RSA Хелен Стефен ответила: "Это то, что мы не комментируем, и возможно никогда не будем комментировать".

Если злоумышленники смогли получить такую возможность, последствия могут быть далеко идущими. SecurID используется многими федеральными агентствами и 500 крупнейшими промышленными компаниями США. На 2009 год RSA насчитывала 40 миллионов клиентов, применяющих аппаратные токены SecurID, и еще 250 миллионов, использующих программные решения.