Suchen

Wirtschaftsspione hacken SeedsRSA-Token So knackten Hacker die Sicherheit bei RSA und Lockheed Martin

| Autor / Redakteur: Daniel Persch, QGroup / Peter Schmitz

2011 dringen Hacker in das Netzwerk des Security-Herstellers RSA ein und stehlen Algorithmen für deren 2-Faktor-Token. Damit ausgestattet griffen die Wirtschaftsspione den größten amerikanischen Waffenhersteller Lockheed Martin an.

Firmen zum Thema

Im März 2011 muste RSA zugeben, dass es Hackern gelungen war in ihr Netzwerk einzudringen und geheime Daten ihrer 2-Faktor-Token zu erbeuten. Für die Angreifer war das aber erst der erste Schritt. Ihr eigentliches Ziel war der US-Rüstungskonzern Lockheed Martin.
Im März 2011 muste RSA zugeben, dass es Hackern gelungen war in ihr Netzwerk einzudringen und geheime Daten ihrer 2-Faktor-Token zu erbeuten. Für die Angreifer war das aber erst der erste Schritt. Ihr eigentliches Ziel war der US-Rüstungskonzern Lockheed Martin.
(Bild: QGroup)

Interessanterweise hat dieser spektakuläre Angriff in den deutschen Medien weitaus weniger Wellen geschlagen als in den USA. Dabei ist die Marktverbreitung der Token von RSA im deutschen Unternehmen- und Behördenumfeld absolut vergleichbar.

Das eigentliche Ziel

Eigentliches Ziel ist vermutlich Wirtschaftsspionage bei Lockheed Martin. Doch als großer Rüstungskonzern und Lieferant für Sicherheitsarchitekturen an die US Regierung ist dies kein leichtes Angriffsziel. Die größte Wahrscheinlichkeit einen erfolgreichen Angriff auf das Unternehmen durchzuführen, führt aufgrund der starken Sicherheitsinfrastruktur über das Kompromittieren eines erlaubten Zugriffs. Bei normalen Anwendern wäre dies das Herausfinden oder Erraten des Kennwortes. Im Fall Lockheed Martins werden jedoch sogenannte 2-Faktor-Token eingesetzt. Ein Kennwort alleine genügt nicht, zusätzlich wird der Token benötigt, um eine Authentifizierung durchzuführen. Doch die eingesetzten Token des Herstellers RSA (aus dem Konzern EMC) haben aufgrund ihrer Architektur ein Problem: die Sicherheit der Token hängt an sogenannten „Seeds“ und der jeweils aktuellen Uhrzeit. Diese Seeds, oder auch Ursprungsschlüssel, werden beim Herstellungsprozess auf die Token aufgebracht, sie sind dem Hersteller somit bekannt.

Was zuerst geschah

Im März 2011 erhalten Mitarbeiter von RSA, dem Hersteller der bei Lockheed Martin im Einsatz befindlichen 2-Faktor-Token, eine E-Mail mit dem Anhang „2011 Recruitment plan.xls“ und dem einfachen Text "I forward this file to you for review. Please open and view it". Beim Öffnen der Microsoft Excel-Datei wird automatisch ein darin eingebundenes Adobe Flash-Objekt ausgeführt. Dieses Flash-Objekt nutzt eine zu diesem Zeitpunkt noch nicht behobene Schwachstelle in dem Adobe Flashplayer aus, um ein sogenanntes „Backdoor“ zu installieren, also ein im Hintergrund unsichtbar arbeitendes Programm zur Fernsteuerung des Rechners.

Über das Backdoor ist es dem Angreifer nun weiterhin möglich, in Ruhe von dem kompromittierten System das Netzwerk innerhalb des Unternehmens RSA von einem vertrauenswürdigen Rechner aus zu analysieren – auch wenn der Anwender die E-Mail als vermeintlichen Irrläufer ignoriert.

Für den Laien mag dieses Vorgehen bereits spektakulär klingen, allerdings handelt es sich hier tatsächlich noch um einen Standard-Angriff aus der Retorte, einzig die frühe Ausnutzung der nicht behobenen Flash-Lücke ist anspruchsvoller. Den Angreifern ist es gelungen gleich zwei Systeme zu kompromittieren und so von zwei getrennten Bereichen im Netzwerk aus zu agieren.

Wie es den Hackern mit den Informationen aus dem RSA-Netz gelungen ist beim US-Rüstungskonzern Lockheed Martin, dem größten Vertragspartner des amerikanischen Militärs, einzudringen, lesen Sie auf Seite 2.

(ID:37600100)