IT-Forensik nach RSA Hack

Malware-Experte entdeckt gefälschte E-Mail und Excel-Exploit-Code

31.08.2011 | Redakteur: Stephan Augsten

In den Schadcode-Stichproben von Virustotal findet sich die E-Mail, die den Ursprung für den RSA Hack bildete.
In den Schadcode-Stichproben von Virustotal findet sich die E-Mail, die den Ursprung für den RSA Hack bildete.

Ein Malware-Forscher von F-Secure hat die Cyber-Attacke auf RSA untersucht, bei der im März die Verschlüsselungsalgorithmen der SecurID Token gestohlen worden waren. Ausgangspunkt war ein gezielter Spam-Angriff, in dessen Folge ein Zero Day Exploit in Excel ausgenutzt wurde. Die infizierte Datei selbst blieb jedoch verschwunden – bis jetzt.

Der Antivirus-Hersteller F-Secure hat den gefälschten E-Mail-Anhang ausfindig gemacht, der den Ursprung für die erfolgreiche Cyber-Attacke auf RSA bildete. Dass die Security Division von EMC einer E-Mail-Attacke zum Opfer gefallen war, dessen war man sich bereits im April dieses Jahres bewusst – also gut einen Monat nach dem Angriff.

Anfang des Jahres hatten vier RSA-Mitarbeiter im Namen des Karriereportals Beyond.com eine gefälschte E-Mail erhalten. Die Spam-Mail hatte einen Dateianhang mit der Bezeichnung „2011 Recruitment plan.xls“ enthalten. Damit war aber noch lange nicht klar, was für eine Excel-Schwachstelle ausgenutzt wurde, denn die infizierte Datei selbst war nicht mehr auffindbar.

Mit dieser Ungewissheit wollte sich der Malware-Forscher Timo Hirvonen von F-Secure nicht abfinden. Deshalb schrieb er ein Analyse-Tool, das Schadcode-Stichproben nach Flash-Objekten durchsuchen kann. Fünf Monate und Millionen gescannte Viren-Samples später stieß Hirvonen in den Datenbanken von Virustotal auf eine Datei mit XLS-Dateiendung, bei der es sich in Wahrheit um eine Outlook-Nachrichtendatei handelte.

Und tatsächlich enthielt die MSG-Datei die originale, an RSA versendete Spam-E-Mail samt infiziertem Anhang. Die Excel-Datei beinhaltet ein Flash-Objekt, das bei einem Klick automatisch den Backdoor-Trojaner „Poison Ivy“ installiert. Zum Zeitpunkt des Geschehens handelte es sich bei dieser Excel-Schwachstelle um einen unbekannten Zero Day Exploit.

Dank des Trojaners konnten die Hacker über die Domain Mincesur.com auf die befallenen Rechner zugreifen und weiter in das Firmennetzwerk von RSA vordringen. Dabei stießen sie auch auf die Unterlagen, die es ihnen erlaubten, den Sicherheitsmechanismus der RSA SecurID Tokens zu knacken. Dieser Hardware-Schlüssel generiert jede Minute ein aus sechs Ziffern bestehendes Passwort, mit dem sich jeder Nutzer am Rechner oder im Netzwerk einloggen kann.

Diese Schlüssel kamen auch bei Lockheed Martin zum Einsatz, was offenbar das eigentliche Ziel des Angriffs war. Denn im Mai berichtete das Rüstungsunternehmen von einem Angriff auf das Firmennetzwerk über die SecurID-Schlüssel. Wie das Unternehmen mitteilte, konnten trotz des überraschenden Angriffs keine geheimen Unterlagen entwendet werden. RSA hingegen musste in Folge weltweit alle SecurID Tokens austauschen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052746 / Malware)