O hack no mês passado na RSA Security tem sido envolta em mistério.
Como é que um hacker consegue infiltrar uma das maiores empresas de computador de segurança do mundo? E poderiam os dados que foram roubados ser usado para prejudicar os seus produtos SecurID, que são usados por 40 milhões de empresas que estão tentando manter suas próprias redes a salvo de intrusos?
A divisão da EMC Corporation é ficar calado a respeito o que exatamente foi roubado de seus sistemas de computador, além de que era dados relacionados com SecurID.
Mas na sexta-feira RSA lançar alguma luz sobre a natureza do ataque. Em um post intitulado "Anatomia de um Ataque", chefe da empresa de novas tecnologias, Uri Rivner, descreveu uma operação de três fases que foi similar a vários outros ataques proeminentes recentes sobre empresas de tecnologia, incluindo um ataque de 2009 sobre Google que ele disse originado na China.
No ataque a RSA, o atacante mandou de "phishing" e-mails com a linha de assunto "Plano de Recrutamento 2011" a dois pequenos grupos de funcionários ao longo de dois dias.
Infelizmente, um estava interessado o suficiente para recuperar uma dessas mensagens de seu correio de sucata e abrir o arquivo anexado Excel. A planilha continha malware que usou um "zero-day", falha até então desconhecida, ou no software Flash da Adobe para instalar um backdoor. RSA disse que a Adobe tinha desde lançou um patch para corrigir esse buraco.
Depois de instalar uma ferramenta furtivo que permitiu que o hacker para controlar a máquina de longe, ele roubou várias senhas de contas pertencentes ao empregado e os usou para ganhar entrada em outros sistemas, onde ele poderia ganhar acesso a outros funcionários com acesso a dados confidenciais, disse Rivner
Depois veio Terceira Fase:. spiriting arquivos RSA fora da empresa para uma máquina hackeada em um provedor de hospedagem e, em seguida, para o próprio hacker.
O atacante deixou poucos vestígios.
Mas um documento não classificado dos Estados Unidos Computer Emergency Readiness Team (US-CERT) obtido pelo blogueiro Brian Krebs revelou três endereços da Web utilizados no intrusão, um dos quais inclui as letras "RPC", o que poderia se referir a República Popular da China - ou poderia ser um ardil
De acordo com o Sr.
Rivner, é difícil para as empresas com defesas mais sofisticados do mundo para parar esta newfangled "ameaças persistentes avançadas", que são feitas pel