RSA-Hack
04.04.2011, 11:36 Uhr
Die Hintergründe
Durch eine Zero-Day-Lücke in Adobes Flash Player sind Hacker in die Systeme von RSA Security eingedrungen.
Über eine präparierte Flash-Datei, die in einem Excel-Attachment versteckt war, konnten die Hacker in die Systeme von RSA Security eindringen
Dies hat die IT-Security-Firma am Freitag selbst bestätigt. Wie RSA weiter ausführt, haben die Angreifer über gezielte, präparierte Mails an zwei kleine Gruppen innerhalb des Unternehmens Zugriff auf das Netzwerk erhalten. Die elektronischen Briefe hatten ein spezielles Excel-File im Anhang. Anscheinend hat ein Anwender auf das Attachement mit dem verheissungsvollen Namen «2011 Recruitment plan.xls» geklickt. Die Tabelle enthielt nicht nur Angaben über mögliche Anstellungen im laufenden Jahr, sonder auch ein eingebundenes Flash-File, das eine sogenannte Zero-Day-Lücke ausnützte, also ein Sicherheitsloch, das zum Zeitpunkt der Attacke noch nicht allgemein bekannt und daher auch von Adobe noch nicht geflickt war. Über diese Lücke konnten die Hacker den PC des Anwenders übernehmen. Einmal mit genügend Rechten ausgestattet, installierten sie eine angepasste Variante des Fernwartungstools (Remote Administration Tool) Poison Ivy. Damit spionierten die Angreifer die Zugangsdaten des Users zu weiteren Systemen im Firmen-internen Netzwerk aus. Auch auf diesen Rechnern suchten und klauten die Hacker wichtige Informationen. Ob und in welchem Umfang zu diesen wichtigen Daten auch Informationen zum Authentifizierungsprodukt SecurID gehörten (vgl. Computerworld.ch-Berichte: «Nach dem RSA-Klau: Das sollten Firmen beachten» und «Erfolgreicher Cyber-Angriff auf RSA Security»), mochte RSA Security allerdings nicht weiter ausführen.