Wirtschaftsspione hacken SeedsRSA-Token

So knackten Hacker die Sicherheit bei RSA und Lockheed Martin

Seite: 2/2

Firmen zum Thema

Das Versteckspiel

Jetzt kommt der interessantere Teil der Geschichte. Als Security-Hersteller besitzt auch RSA ein sogenanntes Security Response Team, welches bei Anomalien im Netzwerk aktiv wird und versucht, den Angreifer zu überführen und Schaden abzuwenden. Wenn ein Angreifer anfängt im Netzwerk zu wühlen oder unerlaubte Zugriffe durchzuführen, werden Alarmmeldungen generiert.

Aber ähnlich wie man das Handy-Klingeln auf einem Rock-Konzert kaum noch wahrnimmt sind auch die Angreifer vorgegangen: Während über den einen kompromittierten Rechner laut Rock‘n‘Roll gespielt wurde, sind die zarten Analysen des anderen Rechners in der Lautstärke untergegangen. Da das Security Response Team genauere Informationen des Angreifers herausfinden wollte, ist die Verbindung nicht sofort gekappt worden, sondern man hat Aktivitäten beobachtet sowie eine Rückverfolgung zur Quelle gestartet.

Etappensieg für die Angreifer

Genauere Details über das Wie sind nicht bekannt, aber es ist den Angreifern durch dieses Ablenkungsmanöver gelungen den Algorithmus der 2-Faktor-Token von RSA zu erbeuten, und viel entscheidender noch auch die Ursprungsschlüssel im Umlauf befindlicher Token, den sogenannten Seeds, aus der zentralen Datenbank zu extrahieren. Damit können die Angreifer nun eine virtuelle Kopie der Token auf dem Computer simulieren.

Der nächste Schritt

Nun können die Angreifer die vermeintlich zusätzliche Sicherheit der Token aushebeln. Alles was sie noch wissen müssen, um die virtuelle Identität eines Mitarbeiters anzunehmen, ist das Kennwort eines Anwenders sowie die ihm zugewiesene Seriennummer des Tokens. Lockheed Martin hat bezüglich der weiteren Details des Angriffs keinerlei Informationen veröffentlicht.

Vermutlich wurden hier Phishingmails verwendet, in denen die Mitarbeiter aufgefordert wurden, ihr Kennwort aufgrund von Sicherheitsmaßnahmen zu ändern, dabei wurde die Token-Nummer gleich mit abgefragt - und eine Änderung des Kennworts war auch nur bei gültiger Token-Nummer möglich, denn die Prüfung auf Gültigkeit konnten die Angreifer durch die erbeuteten Algorithmen ebenfalls durchführen.

Was die Angreifern tatsächlich erbeuten konnten, darüber hüllt sich Lockheed Martin weiterhin in Schweigen. Man darf jedoch annehmen, dass die sehr gewieften Angreifer beim größten Vertragspartner des amerikanischen Militärs mehr ausgraben konnten, als Telefonlisten oder Kantinenpläne.

Reaktion von RSA/EMC

RSA hat seit dem Hack begonnen „auf Anfrage“ die Token ihrer Kunden auszutauschen. Dieses Vorgehen lässt sich am besten mit dem Ruf des Gefängniswärters vergleichen: „Sie haben die Tür aus den Angeln gehoben, lasst uns schnell eine neue Tür einsetzen“. Anstatt also das Verfahren grundlegend zu reformieren geht nun das gleiche Spiel von vorne los.

Weitere außergewöhnliche Hacks

Ähnlich dem großen Hack bei RSA und Lockheed Martin gibt es jedes Jahr dutzende spektakuläre, erfolgreiche Hackerangriffe auf die Datenbestände und Netzwerke von Unternehmen und Organisationen. In unserer großen Bildergalerie "Erfolgreiche Hackerangriffe" zeigen wir, zusammen mit dem deutschen Anbieter und Hersteller von IT-Sicherheitslösungen QGroup, was bei den schlimmsten Hacker-Angriffen der Jahre 2011, 2012 und 2013 passiert ist!

Über den Autor

Daniel Persch ist IT Architect Security bei der QGroup GmbH.

(ID:37600100)