Rozbrajanie zbrojeniówki

Firma F-Secure ujawnia kulisy marcowego ataku hakerów na sieci amerykańskich gigantów zbrojeniowych – koncernów Lockheed-Martin i Northrop-Grumman.

Rozbrajanie zbrojeniówki
Źródło zdjęć: © Materiały prasowe

01.09.2011 | aktual.: 22.09.2011 13:19

Obraz

Lockheed Martin jest jednym z największych koncernów zbrojeniowych na świecie. Odpowiada m.in. za produkcję myśliwców F-16. F-22 i F-35, stworzenie sond kosmicznych Viking 1 i Viking 2 oraz kilku sztucznych satelitów. Northrop-Grumman, firma o globalnym zasięgu działania, również należy do „wielkiej piątki” amerykańskiego przemysłu zbrojeniowego. Jest trzecim na świecie dostawcą produktów obronnych oraz największym producentem okrętów.

Nic dziwnego zatem, że poufne informacje wojskowe przechowywane przez koncerny zbrojeniowe Lockheed-Martin i Northrop-Grumman to wyjątkowo cenny łup dla hakerów i obcych agencji wywiadowczych. Dostęp do tych danych chroniony jest m.in. przez sprzętowe tokeny RSA SecurID, czyli niewielkie breloczki, które raz na minutę generują jednorazowe hasła pozwalające na zalogowanie się do systemu. Na całym świecie wykorzystuje się ok. 25. milionów takich tokenów. Są one dobrze znane m.in. klientom banków, którzy korzystają z jednorazowych haseł generowanych przez tokeny w celu logowania się do swoich kont.

–. Aby przedostać się do wewnętrznych systemów koncernów zbrojeniowych USA, włamywacze potrzebowali wiedzy na temat jednorazowych haseł dostępowych, używanych przez pracowników Lockheed-Martin i Northrop-Grumman. By ją zdobyć, wzięli na celownik firmę RSA (obecnie część korporacji EMC), producenta wspomnianych tokenów, obsługującego m.in. z amerykańskie siły zbrojne – wyjaśnia Mikko Hypponen, szef laboratorium badawczego F-Secure.

Scenariusz ataku okazał się stary jak sam Internet i sprowadzał się do phishingu w najbardziej klasycznej postaci. Czterech pracowników firmy RSA/EMC otrzymało spreparowane e-maile, pochodzące rzekomo z serwisu rekrutacyjnego Internetowego Beyond.com. Specjalistom z F-Secure po pięciu miesiącach poszukiwań udało się dotrzeć do oryginalnego maila wysłanego przez napastników. Wiadomość zatytułowana „Plan rekrutacji na 2011”. brzmiała: „Przesyłam załączony plik do weryfikacji. Otwórz i rzuć okiem”.

Załącznik, o którym mowa, to plik Excel z zaszytym kodem korzystającym z luki w zabezpieczeniach Flash Playera. Otworzenie dokumentu prowadziło do uaktywnienia szkodnika instalującego w systemie backdoor Poison Ivy (dokładne działanie szkodnika ilustruje materiał video zamieszczony pod tym linkiem). Tym samym napastnicy zyskiwali dostęp do zainfekowanych stacji roboczych, a także dysków sieciowych RSA/EMC, co pozwalało im swobodnie hulać do korporacyjnej sieci. Mogli tam znaleźć nie tylko listę kluczy tokenów wykorzystywanych m.in. przez koncerny zbrojeniowe USA, ale także komplet informacji nt. metody pozwalającej określić klucz danego tokenu na podstawie jego numeru seryjnego.

–. Tym, co wyróżnia ten atak na tle wielu innych jest fakt, że napastnicy włamali się do firmy pośredniczącej, dostarczającej systemy bezpieczeństwa innym podmiotom, dzięki czemu mogli docelowo zyskać dostęp do ważnych danych dotyczących jej klientów. W tym sensie atak należy uznać za zaawansowany, mimo iż same metody postępowania włamywaczy nie były szczególnie wyrafinowane ani nowatorskie – komentuje Mikko Hypponen.

–. Scenariusz postępowania napastników w rzeczywistości był całkiem prosty. Włamywacze doskonale wiedzieli, że najsłabszym ogniwem w większości systemów bezpieczeństwa jest człowiek i na tej wiedzy bazowali – mówi Michał Iwan, dyrektor zarządzający F-Secure Polska. – Okazuje się, że nawet firmie tak wyspecjalizowanej w przechowywaniu i ochronie danych jak EMC nie udało się ustrzec przed zagrożeniem. Przykład EMC może posłużyć za przestrogę dla innych przedsiębiorców gromadzących cenne czy wrażliwe dane. Pamiętajmy, że szczególnie wartościowe informacje powinny być przechowywane w wydzielonej sieci, nie zaś na serwerach, z którymi można się połączyć z biurowego komputera. W firmie, w której przechowuje się wrażliwe dane, niezwykle istotna jest również świadomość pracowników związana z potencjalnymi zagrożeniami. Warto więc zainwestować w odpowiednie szkolenia. Konieczne jest również stosowanie profesjonalnego oprogramowania ochronnego – podkreśla Michał Iwan.

wiadomościlockheed martinhaker
Wybrane dla Ciebie
Komentarze (1)