Wirtschaftsspione hacken SeedsRSA-Token

So knackten Hacker die Sicherheit bei RSA und Lockheed Martin

| Autor / Redakteur: Daniel Persch, QGroup / Peter Schmitz

Im März 2011 muste RSA zugeben, dass es Hackern gelungen war in ihr Netzwerk einzudringen und geheime Daten ihrer 2-Faktor-Token zu erbeuten. Für die Angreifer war das aber erst der erste Schritt. Ihr eigentliches Ziel war der US-Rüstungskonzern Lockheed Martin.
Im März 2011 muste RSA zugeben, dass es Hackern gelungen war in ihr Netzwerk einzudringen und geheime Daten ihrer 2-Faktor-Token zu erbeuten. Für die Angreifer war das aber erst der erste Schritt. Ihr eigentliches Ziel war der US-Rüstungskonzern Lockheed Martin. (Bild: QGroup)

2011 dringen Hacker in das Netzwerk des Security-Herstellers RSA ein und stehlen Algorithmen für deren 2-Faktor-Token. Damit ausgestattet griffen die Wirtschaftsspione den größten amerikanischen Waffenhersteller Lockheed Martin an.

Interessanterweise hat dieser spektakuläre Angriff in den deutschen Medien weitaus weniger Wellen geschlagen als in den USA. Dabei ist die Marktverbreitung der Token von RSA im deutschen Unternehmen- und Behördenumfeld absolut vergleichbar.

Das eigentliche Ziel

Eigentliches Ziel ist vermutlich Wirtschaftsspionage bei Lockheed Martin. Doch als großer Rüstungskonzern und Lieferant für Sicherheitsarchitekturen an die US Regierung ist dies kein leichtes Angriffsziel. Die größte Wahrscheinlichkeit einen erfolgreichen Angriff auf das Unternehmen durchzuführen, führt aufgrund der starken Sicherheitsinfrastruktur über das Kompromittieren eines erlaubten Zugriffs. Bei normalen Anwendern wäre dies das Herausfinden oder Erraten des Kennwortes. Im Fall Lockheed Martins werden jedoch sogenannte 2-Faktor-Token eingesetzt. Ein Kennwort alleine genügt nicht, zusätzlich wird der Token benötigt, um eine Authentifizierung durchzuführen. Doch die eingesetzten Token des Herstellers RSA (aus dem Konzern EMC) haben aufgrund ihrer Architektur ein Problem: die Sicherheit der Token hängt an sogenannten „Seeds“ und der jeweils aktuellen Uhrzeit. Diese Seeds, oder auch Ursprungsschlüssel, werden beim Herstellungsprozess auf die Token aufgebracht, sie sind dem Hersteller somit bekannt.

Was zuerst geschah

Im März 2011 erhalten Mitarbeiter von RSA, dem Hersteller der bei Lockheed Martin im Einsatz befindlichen 2-Faktor-Token, eine E-Mail mit dem Anhang „2011 Recruitment plan.xls“ und dem einfachen Text "I forward this file to you for review. Please open and view it". Beim Öffnen der Microsoft Excel-Datei wird automatisch ein darin eingebundenes Adobe Flash-Objekt ausgeführt. Dieses Flash-Objekt nutzt eine zu diesem Zeitpunkt noch nicht behobene Schwachstelle in dem Adobe Flashplayer aus, um ein sogenanntes „Backdoor“ zu installieren, also ein im Hintergrund unsichtbar arbeitendes Programm zur Fernsteuerung des Rechners.

Über das Backdoor ist es dem Angreifer nun weiterhin möglich, in Ruhe von dem kompromittierten System das Netzwerk innerhalb des Unternehmens RSA von einem vertrauenswürdigen Rechner aus zu analysieren – auch wenn der Anwender die E-Mail als vermeintlichen Irrläufer ignoriert.

Für den Laien mag dieses Vorgehen bereits spektakulär klingen, allerdings handelt es sich hier tatsächlich noch um einen Standard-Angriff aus der Retorte, einzig die frühe Ausnutzung der nicht behobenen Flash-Lücke ist anspruchsvoller. Den Angreifern ist es gelungen gleich zwei Systeme zu kompromittieren und so von zwei getrennten Bereichen im Netzwerk aus zu agieren.

Ergänzendes zum Thema
 
Erfolgreiche Hackerangriffe 2011, 2012 und 2013 im Überblick

Wie es den Hackern mit den Informationen aus dem RSA-Netz gelungen ist beim US-Rüstungskonzern Lockheed Martin, dem größten Vertragspartner des amerikanischen Militärs, einzudringen, lesen Sie auf Seite 2.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 37600100 / Security-Testing)