En marzo del 2011, RSA sufrió un
ataque dirigido, en el cual le robaron información relativa a su famoso
producto SecurID.El ataque comenzó cuando, dos
grupos pequeños de empleados recibieron dos correos en un periodo de dos días. RSA
concreta que "no se consideraría a estos usuarios particularmente de
perfil alto u objetivos valiosos". Se les envió un correo con el asunto
"2011 Recruitment Plan" con un Excel del mismo nombre adjunto.
El Excel contenía en su interior un fallo no conocido hasta el momento en Flash, que permitía la ejecución de código. El 14 de marzo, Adobe anunció que sabía que una vulnerabilidad desconocida estaba siendo aprovechada para atacar sistemas, esta vulnerabilidad apareció a causa de este ataque, Adobe solucionó esto, con un parche.
Cuando los atacantes instalaron
una variante de RAT(herramienta de administración remota) Poison Ivy crearon
una conexión inversa hacia un servidor del que era dueño el atacante. De tal
manera que fue más difícil de detectar por que las conexiones de este tipo
están cifradas y en puertos estándares que no levantas sospechas
Según la RSA, el ataque fue detectado por su Computer Incident Response Team mientras se estaba produciendo. Sin embargo, los atacantes tuvieron tiempo de hacerse una idea de la red interna y buscar usuarios con más privilegios que los infectados inicialmente. Llegaron a comprometer cuentas de administrador. Posteriormente, el atacante transfirió varios archivos RAR protegidos por contraseña desde el servidor de la RSA hacia un tercero externo y comprometido. Descargó la información, la borró de ese servidor y se quedó con ella.
RSA no ha podido establecer qué
fue lo robado exactamente, así pues se desconoce hasta qué punto amenaza la
seguridad del securID
Además existe la posibilidad de
que hackers tengan acceso al sistema de
generación de contraseñas aleatorias, obligando así a que rsa tenga que
distribuir nuevos ‘tokens' para solucionar el problema. En otro caso, el atacante pudo haber datos
internos obteniendo las debilidades del sistema securID, o hasta sobre el algoritmo
que genera los números, también cabe la posibilidad que el ciberataque fuera
menos efectivo de lo que se pueda pensar.
RSA solo ha enviado una serie de
consejos de seguridad genéricos que, aunque ayudarán a las empresas que
utilizan este sistema de protección informática.
CONCLUSIONES
Es importante mantener informado a todo los usuarios de
nuestra red u organización de los
peligros que con lleva realizar ciertas acciones, en este caso, los riesgos de abrir un correo sin antes autentificar al remitente.
Actualmente existen muchas herramientas
que permiten controlar los equipos remotamente, lo que genera grandes riesgos
si no se cuenta con un buen control de acceso, y configuraciones que permitan
limitar las acciones que puede realizar cada usuario.
Además, en este caso sigue la incertidumbre
de la magnitud de este ataque, pues no se sabe que información fue robada y
hasta qué punto el atacante tuvo acceso.
REFERENCIAS
No hay comentarios:
Publicar un comentario