על פי פרסומים שונים והבנה של אנשי אבטחת המידע המטרה העקרית של אחת המדינות
היתה לתקוף את Lockheed-Martin and Northrop-Grumman
אירגונים אלו החזיקו מידע רגיש על מטוסים ורכיבי לוחמה שונים והיו מוגנים
על ידי רכיבי אבטחת מידע שונים אשר אפשרו כניסה לאחר הזדהות חזקה (RSA TOKEN).
לכן תקיפה של ארגון כגון RSA יכולה לאפשר קבלת מפתח MASTER KEY לכלל הארגונים.
כל השאר כבר די ידוע אך מה שאותי עניין זה איך התבצעה התקיפה בפועל.
לאחרונה קראתי מאמר מעניין של F-SECURE שמדבר על איך איתר אחד החוקרים
בשם TIMO את הקבצים שנשלחו לעובדי חברת RSA.
קצת מידע מקדים לפני הכל: הקובץ שנשלח היה מסוג xls (אקסל )
שם הנושא של המייל שנשלח היה 2011 Recruitment plan
כמו כן ידוע כי היה שימוש בפרצה באוביקט מסוג פלאש.
TIMO כתב כלי אשר חיפש במאגרי הקבצים הזדונים של F-SECURE
ומטרתו לחפש קבצים הדומים לעובדות שתוארו מעלה.
לאחר זמן מה איתר TIMO מספר קבצים שבינהם היה קובץ מסוג MSG
קובץ של הודעת מייל, הקובץ הכיל את הודעת המייל המלאה שנשלחה ב - 3 למרץ
לעובדי RSA.
להלן תמונת מסך של הודעת הדואר המקורית שנשלחה:
לא רק שאותר הקובץ אלא התברר כי אחד העובדים של RSA העלה את הקובץ
ל - VIRUSTOTAL למטרת סריקה:
לאחר ניתוח הקובץ הזדוני התגלה כי קובץ האקסל ניצל פרצה ברכיב הפלאש
מסוג CVE-2011-0609 אשר העלתה סוס טוריאני מוכר Poison Ivy.
לאחר מכן התחבר הסוס הטוריאני למספר כתובות ששירתו את התוקף לשליטה
להלן רשימת הכתובות:
נ.ב אם אתם מנהלי אבטחה של ארגון ושומרים לוגים של ה - FW שווה לראות
האם הארגון שלכם גלש לכתובות הנ"ל.
לאחר קבלת השליטה המלאה על תחנת המשתמש בוצעה פריצה מלאה לרשת וקבלת
הרשאות על.
עכשיו השאלה הנשאלת היא האם הפריצה הייתה מתוחכמת או מורכבת?
המייל שנשלח לא היה מתוחכם למדי,השימוש בסוס טרויאני מוכר לא היה מתוחכם
שימו לב התגלה על ידי 18 מתוך 41 מנועים, הייתי מצפה לסוס טוריאני לא מזוהה.
אך השימוש ב - 0day היה מתוכם וגם האדם או הארגון שעמד מאחורי התקיפה.
ותחשבו על זה :)
לסיכום להלן סירטון המציג את תהליך ההדבקה שימו לב ל - X הקטן איך הוא
נעלם בסוף ההדבקה: