Сотрудник компании F-Secure Тимо Хирвонен (Timo Hirvonen) выяснил, что стало причиной взлома сети RSA Security.
Напомним, что сообщение о взломе RSA было обнародовано 19 марта текущего года. Представители RSA раскрыли некоторые подробности взлома, а Хирвонен установил, что причиной взлома было то, что один из сотрудников открыл вредоносный файл, который был вложен в электронное письмо.
Эксперт обнаружил электронное сообщение, которое было отправлено 3 марта и было загружено в Virus Total, бесплатный сервис для сканирования файлов. Хирвонен обнаружил файл Microsoft Outlook с расширением .msg, который содержал сообщение, якобы присланное с сайта Beyond.com, на котором различные компании публикуют свои вакансии. В сообщении было написано: «Я представляю вашему просмотру вложенный файл. Пожалуйста, откройте и просмотрите его». Вложенный файл являлся электронной таблицей Exel под названием «Набор кадров 2011».
Файл, найденный Хирвоненом, соответствовал описанию ранее предоставленным компанией RSA: файл в формате Excel содержал вредоносный код в Flash-файле, использовал утилиту удаленного управления Poison Ivy и пытался подключиться к тому же интернет-узлу.
Электронное сообщение было отправлено одному из сотрудников EMC, занимающему должность в отделе кадров, а адрес отправителя значился как webmaster@beyond.com, адрес сайта, на котором оповещалось о вакансиях в компании EMC. Но, по словам Хирвонена адрес был поддельным, на самом деле электронное сообщение не было отправлено с серверов Beyond.com.
Напомним, что RSA заявляла, что атака, которая была нацелена на компанию была «тщательно продуманной». Но если именно электронное сообщение, найденное Хирвоненом, использовалось для взлома, то атака на RSA не такая уж и выдающаяся, потому что рассылка сообщений с вложенным вредоносным ПО является руководящим принципом осуществления фишинговых атак.
Представители EMC отказались комментировать находку Хирвонена, а компания RSA не подтвердила схожесть между электронным письмом, которое обнаружил Хирвонен, и тем, с помощью которого была скомпрометирована компания. Пресс-секретарь RSA заявила: «Можем ли мы подтвердить, что это именно то электронное сообщение? Нет».
Источник: CyberSecurity
|