RSA houdt nog altijd geheim wat de inbrekers precies bij een recente inbraak hebben gestolen, maar over de methode doet het getroffen bedrijf nu wel een boekje open. “Het onderzoek naar deze aanval loopt nog, maar ik wil graag wat informatie erover delen”, blogt topman Uri Rivner van RSA.

Phishing-attachment geopend

Een 0-day beveiligingslek in Adobe Flash plus het gebruik van een verouderde Excel-versie hebben de aanvallers binnengelaten. Ook de goedgelovigheid van een RSA-werknemer speelde het bedrijf parten. Hij opende een attachment van een phishing-mail die door het spamfilter van het bedrijf al in de map ‘Junk’ was geplaatst. Het ging om een spreadsheet-bestand genaamd ‘2011 Recruitment Plan’ dat een kwaadaardig stuk Flash-code in zich droeg.

Nadat het malafide attachment was geopend werd een remote beheertool (ofwel: backdoor) geïnstalleerd. “In ons geval was dat een variant van Poison Ivy, die was ingesteld op een reverse-connect modus waardoor het moeilijker te detecteren is.” De pc maakt dan van binnenuit verbinding met een command&control-server in plaats van dat die van buitenaf door de bedrijfsfirewall probeert te komen.

Kennis vooraf

“Soortgelijke technieken zijn al gemeld voor veel APT’s (advanced persistent threats, zoals RSA deze aanval noemt - red.) in het verleden, waaronder ook GhostNet.” RSA-topman Ivner haalt het internationale spionagenetwerk aan dat begin 2009 is onthuld. Daarbij zijn in 103 landen 1295 computers gekaapt, op “belangrijke politieke-, economische- en medialocaties”, aldus de onderzoekers die het complexe systeem na tien maanden studie hebben blootgelegd. GhostNet zou al in 2004 zijn opgezet. De verdenking rust op China.

Ondanks deze kennis, en waarschuwingen dat gerichte cyberaanvallen (spear phishing) alleen maar toenemen, is RSA toch slachtoffer geworden. “In ons geval heeft de aanvaller twee verschillende phishing e-mails gestuurd in een periode van twee dagen. Deze e-mails zijn gestuurd aan twee kleine groepen werknemers. Als je kijkt naar de lijst van gebruikers die hiermee zijn bestookt, zie je geen duidelijke hints; niets dat doelwitten van grote bekendheid (high profile) of hoge waarde verraadt.”

De inbrekers kijken vervolgens via de gekaapte pc mee met de gebruiker om binnen het bedrijfsnetwerk meer rechten te verkrijgen. De aanvankelijk gebruikte ‘ingangen’ waren niet strategisch genoeg, blogt Ivner. “Dit is één van de belangrijkste redenen waarom snelle detectie zo belangrijk is nadat je gefaald hebt de aanvankelijke social engineering-fase te voorkomen.” Na die eerste fase, volgt de interne verkenning.

‘Gehaast afgerond’

Ivner schrijft dat aanvallers bij veel recente APT's maanden te tijd hadden om stiekem mee te kijken. De inbrekers brengen dan het netwerk en de daarop draaiende applicaties in kaart. “Bij de RSA-aanval was het tijdsbestek veel korter, maar er was toch tijd voor de aanvaller om meer strategische gebruikers te identificeren en om toegang tot ze te krijgen.” Die derde fase is uitgevoerd door met malware gebruikersprivileges op de doelwitsystemen te verhogen naar beheerdersrechten.

“Als een aanvaller denkt dat hij in een omgeving kan blijven zonder te worden gedetecteerd, dan kan hij lange tijd in stealth-modus blijven. Als een aanvaller denkt dat hij tegen de lamp gaat lopen, dan zal hij zich haasten en die derde, meest ‘rumoerige’ fase van de aanval snel afronden.” RSA heeft dat laatste deel van de aanval wel gedetecteerd. “Het is dus waarschijnlijk dat de aanvaller zeer snel te werk moest gaan om zijn slag te kunnen slaan.” Dat laatste is de dader dus wel gelukt.

Eigen detectiesoftware

Ironisch genoeg verkoopt RSA zelf software om dit soort afwijkend gedrag op bedrijfsnetwerken niet alleen te detecteren, maar ook gelijk automatisch tegen te houden. Maar kennelijk gebruikt het die beveiligingssoftware zelf niet, blogt Gartner-analist Avivah Litan. Zij is gebriefed door het bedrijf over de cyberinbraak.

“RSA vertrouwde op ‘yesterday’s best of breed tools’. Het heeft veel credit gegeven aan NetWitness, dat RSA heeft geholpen om de aanval in realtime te ontdekken, maar ze waren duidelijk niet in staat de aanval in realtime tegen te houden.” RSA-moederonderneming EMC neemt NetWitness nu ook over en voegt het samen met die beveiligingsdochter.

“RSA verkoopt eigen systemen voor fraudedetectie gebaseerd op profielen van gebruikers en accounts. Daarbij worden Bayesiaanse modellen en regels gebruikt om abnormaal gedrag te ontdekken en daar in realtime op in te grijpen, om gebruikers opnieuw te authenticeren en om de authenticiteit te verifiëren van verdachte toegangspogingen, verdacht gedrag of verdachte data-overdracht.” Die eigen technieken had het bedrijf zelf moeten toepassen op de eigen interne systemen, zegt de Gartner-analist. “Maar ik ben er zeker van dat RSA niet het enige bedrijf is waarvoor dit geldt: de kinderen van de schoenmaker lopen barrevoets.”

Interne verzendservers

De blogpost van RSA-topman Ivner vervolgt nog: “In de derde fase van een APT halen de inbrekers de buit binnen”. De RSA-aanvaller heeft interne servers klaargezet om data te vergaren, comprimeren, versleutelen en dan naar buiten toe te verzenden. Vervolgens is de begeerde data geoogst op bepaalde servers en dan verplaatst naar de klaargezette ‘verzendservers’. Die hebben via ftp versleutelde rar-bestanden verzonden naar een externe server, die was gekaapt bij een hostingbedrijf. Daarvandaan is de data weer naar andere sites verplaatst. Ivner geeft de namen van drie van die sites: good.mincesur.com, up82673.hopto.org, en www.cz88.net.

Die url’s lijken niet meer actief te zijn. De eerstgenoemde is midden maart al genoemd in rapporten over het 0-day lek in Flash. Alledrie de domeinen worden ook genoemd in een vroege waarschuwing (pdf) van US-CERT over “kwaadaardige activiteit”, die verder geen details bevat. Het mid maart nog ongepatchte Flash-lek werd toen misbruikt in combinatie met Excel, waarin de kwaadaardige Flash-code was ingebed.

Ivner schrijft niet zelf dat RSA een oudere versie van Excel gebruikt, maar dat volgt wel uit het feit dat de inbraak succesvol was. De exploit voor deze Flash 0-day werkt namelijk niet in de nieuwste versie van Excel, die in Office 2010 zit. Softwaremaker Microsoft heeft dat gemeld kort nadat het Flash-lek in de openbaarheid kwam.

Kwestie van dagen

De publieke bekendmaking van die 0-day in Adobe’s veelgebruikte multimediasoftware was halverwege maart. Een dag later had Google het gat al gedicht in Flash voor Chrome. Google levert die software van Adobe namelijk zelf mee met zijn webbrowser en rolt ook zelf de patches daarvoor uit. Chrome-patches worden automatisch geïnstalleerd.

RSA heeft niet bekendgemaakt wanneer de cyberinbraak plaatsvond. De open brief aan klanten waarin de encryptieleverancier de inbraak opbiecht, is donderdagavond 17 maart online gezet. “Onze security-systemen hebben onlangs een zeer geavanceerde cyberaanval gedetecteerd, die werd ondernomen tegen RSA”, schreef RSA-topman Art Coviello. Ook over het detectiemoment en de tijdsspanne van de aanval worden geen mededelingen gedaan.

‘Gerichte aanval van beperkte aard’

Adobe heeft het bewuste Flash-lek inmiddels al wel gedicht. Dat gebeurde bijna een week nadat het lek openbaar werd. Het is niet bekend of kwaadwillenden al vóór 16 maart op de hoogte waren, laat staan hoe lang dan. Adobe’s security-directeur Brad Arkin blogde bij de bekendmaking dat het lek actief werd misbruikt, maar alleen in “gerichte aanvallen van beperkte aard op een zeer klein aantal organisaties”.

Dat blijkt dus ook RSA te omvatten, die wereldwijd beveiligde tokens met eigen encryptiesysteem levert voor beveiligde logins. Klanten gebruiken die SecureID-tokens voor toegang tot bedrijfskritische systemen, maar ook om thuis- of telewerkers algemene netwerktoegang tot interne systemen te geven. Wereldwijd gebruiker 25.000 organisaties dit RSA-beveiligingsproduct, wat naar schatting neerkomt op 40 miljoen werknemers van bedrijven en overheidsinstanties.

De gekraakte leverancier heeft wel laten weten dat de cyberinbrekers informatie hebben buitgemaakt die “kan worden gebruikt om de effectiviteit van een huidige twee-factor authenticatie implementatie te verminderen, als onderdeel van een bredere aanval”. Succesvolle aanvallen direct op SecureID-installaties zijn hierdoor niet mogelijk, sust RSA dat verder geen details geeft.