חוקרי אבטחה: האקרים שעבדו בשירות מדינה עמדו מאחורי הפריצה למחשבי RSA

האקרים העובדים בשירות מדינה הם שעמדו מאחורי מתקפת הענק שנעשתה במרץ על מערך המיחשוב של RSA, חטיבת האבטחה של EMC. הפריצה נעשתה בעזרת משלוח תמים של מייל לגיוס עובדים שנשלח למספר מצומצם מעובדי EMC – כך קובעים חוקרי חברת אבטחת המידע F-Secure בעקבות בדיקה מעמיקה של הפריצה.

מוצרי האבטחה של RSA מוטמעים במערכות מיחשוב של ארגונים מסחריים וממשלות ברחבי העולם. הפריצה אירעה לתשתיות המיחשוב המטפלות במנגנון האימות והזיהוי הכפול של החברה, SecurID.

הפריצה ל-RSA הובילה כזכור לפריצה ללוקהיד מרטין (Lockheed-Martin), ספקית הציוד הביטחוני הגדולה של הפנטגון האמריקני. על פי חוקרי המידע F-Secure, מטרת הפריצה ל-RSA הייתה לגנוב סודות צבאיים מלוקהיד מרטין.

חברת האבטחה קבעה בתחקיר שערכה כי "המתקפה הייתה מבוססת מדינתית, משמע מדינה עמדה מאחוריה, אישרה ומימנה את פעילות ההאקרים". הפריצה למערך המיחשוב של RSA במרץ השנה הייתה מהגדולות בהיסטוריית הפשע המקוון אי פעם.

על פי F-Secure, "ככל הידוע לנו, מדינה רצתה לפרוץ למערכי המידע של ספקיות הציוד הצבאי הגדולות של משרד ההגנה האמריקני, לוקהיד מרטין ונורת'ופ גרומן (Northrop-Grumman), לטובת גניבת סודות צבאיים. הם לא הצליחו לעשות זאת, בשל העובדה שמערכי המיחשוב שלהן היו מוגנים על ידי התקני האבטחה של RSA. אז הם פרצו למיחשוב של RSA, וגנבו משם כתובות מייל". הפריצה ל-RSA נעשתה בשל משלוח מייל הנושא את הכותרת "'2011 Recruitment plan.xls" לכמה מעובדי EMC, ומשם הצליחו ההאקרים להגיע לפריצה של ה-IT של לוקהיד מרטין.

על פי F-Secure, טימו הירבונן, חוקר אבטחה העובד במעבדותיה, הוא שהצליח לגלות את אופן הפריצה ואת מאפייניהם של ההאקרים שעשו אותה. הוא הצליח בכך אחר שעלה בידו לאתר את הנוזקה המקורית שהתקיפה את RSA. כבר באפריל, כחודש לאחר הפריצה, אמרו אנשי F-Secure, כי הם ידעו על קיומו של המייל דרכו הצליחו לחדור למיחשוב של RSA, אולם לא ניתן היה למצוא אותו, בשל ה"בלגן" שאפיין את מערך המיחשוב של RSA ואובדן הקובץ האמור בין מיליוני קבצים אבודים אחרים ב-RSA.

לאחר שאנשי RSA לא הצליחו לאתר את הקובץ האמור, מדי כמה שבועות ובמשך חמישה חודשים, בדק הירבונן את המיילים החשודים כנגועים במערך המיחשוב של RSA, והשווה אותם מול אוסף של עשרות מיליוני נוזקות שיש במאגר המידע של F-Secure. השבוע הוא הצליח לאתר את הקובץ הנגוע, וגילה כי המדובר בקובץ שהסתיר את הנוזקה בתוך פלאש, והוא לא היה קובץ אקסל אלא קובץ הודעת אאוטלוק. הקובץ נדמה להיות ככזה הנשלח מאתר גיוס כוח אדם, ונכתב בו "אני מעביר קובץ זה לעיונך, אנא פתח אותו". הוא נשלח לעובד EMC אחד, עם העתקים לשלושה עובדים נוספים. פתיחת המייל הביאה לזיהום מערך המיחשוב של EMC, והביאה להאקרים את היכולת להגיע ולחדור למערך המיחשוב של חברת הבת, חטיבת האבטחה RSA.

על פי חוקרי F-Secure, המתקפה לא הייתה מתוחכמת, כפי שטענו אנשי RSA, וכי "החלק המתוחכם היחיד במתקפה היה ניצול הפגיעות של פלאש, פגיעות שלא היה ידוע על קיומה בעת הפריצה. כל שאר היבטי התקיפה התבססו על כמה מהדרכים המוכרות ביותר להונאות של עובדים".

במרץ השנה הודיעה RSA כי מערך המיחשוב שלה נפרץ כתוצאה ממתקפה מורכבת של האקרים. עד לאותו אירוע, נחשב SecureID של RSA כמוצר המספק הגנה חזקה ביותר לאבטחת מידע באמצעות הצפנה – ולא רק כסיסמה. הוא מיושם לרוב באמצעות דיסק-און-קי המספק, באופן מחזורי ובכל פרק זמן מסוים, מספר זיהוי שנוסף לסיסמת המשתמש. מספר הזיהוי מיוצר על בסיס אלגוריתם שפותח ב-RSA, ולכל התקן יש מספר ייחודי לו, שמזהה אותו מול המערכת. עשרות מיליוני התקנים שכאלה מותקנים אצל לקוחות RSA, לרבות במגזר הביטחוני והפיננסי.

חודשיים לאחר המקרה, במאי האחרון, הודיעה לוקהיד-מרטין, יצרנית הענק של מטוסים וציוד צבאי, שחסמה באופן זמני את הגישה לרשת התקשורת והמחשבים שלה, לאחר שזו נפרצה על ידי האקרים. החברה, שמייצרת, בין היתר, את מטוסי הקרב F-22 ו-F-35, מסרה בנוסף שהיא איפסה את סיסמאות הגישה של העובדים.

המתקפה על הרשת של לוקהיד-מרטין כונתה על ידי פקידי ממשל אמריקנים בכירים כ-"בעיה רצינית ברשת המחשבים". מהחברה נמסר, כי מדובר במתקפה "ממוקדת ומשמעותית" וכי היא פועלת על מנת לתקן את נזקיה. עוד ציינה החברה שלמרות הפריצה, המערכת שלה נותרה בטוחה ושההתקפה נהדפה. לאחר הפריצה נאלצה לוקהיד-מרטין לטפל בכ-100 אלף הרשאות גישה, לפני שהרשת שלה חוברה שוב לאינטרנט – תהליך שארך מספר ימים. הסברה הרווחת היא שהפריצה למערך המיחשוב של לוקהיד-מרטין מקושרת לזו שאירעה ל-RSA, שכן לוקהיד-מרטין היא לקוחה של RSA.

בסוף יולי השנה הודיעה EMC כי הפריצה ל-RSA עלתה לה 66 מיליון דולרים.