Los empleados de RSA han terminado sus acuerdos de no divulgación (NDA) de 10 años, por lo que finalmente pueden hablar sobre los eventos que sucedieron en 2011 . Estos eventos cambiaron para siempre el panorama de la industria global de seguridad de la información. Es decir, fue el primer ataque a la cadena de suministro que causó gran preocupación entre los servicios de inteligencia estadounidenses, por decirlo suavemente.
¿Qué es un ataque a la cadena de suministro? Si no puede atacar directamente a un adversario fuerte como la NSA o la CIA, entonces encuentra a su socio y se infiltra en su producto. Uno de estos trucos da acceso a cientos de organizaciones altamente protegidas a la vez. Esto sucedió recientemente con SolarWinds.... Pero los ex empleados de RSA miran a SolarWinds y tienen una sensación de déjà vu. De hecho, en 2011, piratas informáticos desconocidos obtuvieron acceso a lo más valioso de RSA: un depósito de semillas (vectores de generación). Se utilizan para generar códigos de autenticación de dos factores en tokens de hardware SecurID, que son decenas de millones de usuarios en agencias gubernamentales y militares, contratistas de defensa, bancos e innumerables corporaciones en todo el mundo.
Sin embargo, todo en orden.
Andy Greenberg de Wired habló con varios ex empleados de RSA. Uno de ellos es Todd Leetham, "un analista calvo y barbudo del departamento de respuesta a incidentes que fue llamado la máquina pirata de carbono". Fue él quien fue el primero en sospechar que algo andaba mal, y señaló que uno de los usuarios se conectó no desde su computadora y con derechos no estándar. Miró los registros de este usuario durante varios días y quedó claro que había un truco. Los piratas informáticos se han metido en la red interna.
Lo peor de todo es que llegaron a la bóveda de semillas. Técnicamente, este servidor debe estar fuera de línea, desconectado de Internet y del resto de la red: protección de espacio de aire. Pero en la práctica, estaba protegido por un firewall y se conectaba cada 15 minutos para entregar un nuevo lote de semillas cifradas, que se grababan en CD y se entregaban a los clientes. Luego permanecieron almacenados como respaldo.
Con base en estos vectores de generación, se generaron códigos de autenticación de dos factores en tokens SecurID, que se distribuyeron a los empleados del cliente. Es decir, tanto el token como el servidor RSA generaron independientemente los mismos códigos.
Algoritmo para obtener un código token
SecurID, 128- — (). . - — RSA , . - , .
- ( ). , -. , , . , , . , PIN, , - , .
Si alguien llegaba al repositorio de semillas, comprometía los tokens de SecurID en todos los clientes. Dado que este es el negocio principal de RSA, en el peor de los casos, la empresa puede cerrarse por completo ...
Después de examinar los registros de la red, Leitham concluyó que estas "llaves del reino" de RSA habían sido robadas.
Leyó con horror en los registros cómo los piratas informáticos extraían metódicamente semillas del almacenamiento durante nueve horas y las enviaban a través de FTP a un servidor pirateado en el proveedor de la nube Rackspace. Pero luego notó algo que le dio un rayo de esperanza: credenciales robadas, el nombre de usuario y la contraseña de este servidor pirateado se deslizaron a través de los registros. Leitham se conectó rápidamente a la máquina Rackspace remota e ingresó las credenciales robadas. Y aquí está: el directorio en el servidor aún contenía la colección completa de semillas robadas como un archivo .rar comprimido.
Usar una cuenta pirateada para iniciar sesión en un servidor propiedad de otra empresa y manipular los datos allí, según Leitham, es en el mejor de los casos un movimiento poco ortodoxo y, en el peor, una violación grave de las leyes estadounidenses sobre el acceso no autorizado a la información. Pero al mirar el lugar sagrado de RSA robado en este servidor Rackspace, no lo dudó: "Estaba preparado para las consecuencias", dice. “En cualquier caso, no pude dar nuestros archivos”, e ingresó el comando para eliminar el archivo y presionó Enter.
Unos momentos después, la respuesta llegó a la consola: "Archivo no encontrado". Volvió a examinar el contenido del servidor. La carpeta estaba vacía. ¡Los piratas informáticos tomaron la base de datos del servidor unos segundos antes de que intentara eliminarla!
Buscó hackers durante varios días, día y noche, y ahora casi agarró al ladrón que huía por la manga. Pero literalmente se deslizó entre sus dedos, escondiéndose en una niebla con la información más valiosa (como mostró una investigación adicional, estos podrían ser piratas informáticos de la unidad de inteligencia cibernética APT1 del Ejército Popular de Liberación de China basada en la unidad militar 61398 en los suburbios de Shanghai .los).
Ubicación de la unidad militar 61398, fuente
Unos días después, RSA se vio obligada a anunciar el hack. Y realmente ha cambiado el panorama de la ciberseguridad. Primer ataque exitoso a la cadena de suministro, dirigido a miles de organizaciones, las agencias más seguras del mundo y contratistas militares. No fue hasta diez años después que sucedió algo similar con el gusano NotPetya y luego con el sistema SolarWinds (18.000 clientes en todo el mundo), pero en ese momento, la historia de RSA no tenía precedentes. Casi nadie imaginó siquiera que fuera posible realizar ataques de esta manera, a través de un "proxy" en la cadena de suministro.
“Me abrió los ojos a los ataques a la cadena de suministro”, dice Mikko Hipponen, científico jefe de F-Secure, que publicó un análisis independiente del incidente de RSA. "Y cambió mi visión del mundo: si no puedes penetrar en el objetivo, entonces encuentras la tecnología que usa la víctima y, en cambio, penetra allí".
Su colega Timo Hirvonen dice que el incidente fue una demostración preocupante de la creciente amenaza de una nueva clase de piratas informáticos. De especialistas altamente calificados que ejecutan órdenes de inteligencia extranjera. RSA es una empresa de seguridad cibernética y su negocio es proteger a los demás . Si ni siquiera puede protegerse a sí misma, ¿cómo puede proteger al resto del mundo?
La pregunta era bastante literal. El robo de los vectores de generación significó que las defensas críticas 2FA se vieron comprometidas en miles de clientes RSA. Después de robar los vectores de generación, los atacantes podrían ingresar códigos de tokens SecureID en casi cualquier sistema.
Diez años después, los NDA de muchos de los ejecutivos clave de RSA han expirado, y podemos averiguar los detalles de este incidente. Hoy en día, el hack de RSA se considera un presagio de nuestra era actual de inseguridad digital y la increíble actividad de los piratas informáticos del gobierno en muchas áreas de la vida pública, incluidas las redes sociales, los medios de comunicación y la política. Hackear RSA es una lección sobre cómo un adversario decidido puede socavar lo que más confiamos . Y porque no tienes que confiar en nada.
Un análisis del incidente reveló cómo comenzó el ataque, con un correo electrónico inocente recibido por un empleado australiano, con el asunto "Plan de contratación para 2011" y una hoja de cálculo de Excel adjunta. Dentro había un script que explotaba la vulnerabilidad 0day en Adobe Flash, instalando el conocido troyano Poison Ivy en la computadora de la víctima .
El punto de entrada a la red RSA es una implementación completamente común que no funcionaría si la víctima estuviera ejecutando una versión más reciente de Windows o Microsoft Office o tuviera acceso limitado a la instalación de programas en su computadora, como recomiendan los administradores de sistemas en muchas redes corporativas y gubernamentales. .
Pero luego de esta infiltración, los atacantes comenzaron a demostrar sus verdaderas habilidades. De hecho, los analistas concluyeron que al menos dos grupos operaban simultáneamente en la red. Un grupo obtuvo acceso a la red y un segundo grupo de especialistas altamente calificados utilizó este acceso, quizás sin el conocimiento del primer grupo. El segundo ataque fue mucho más avanzado.
En la computadora de un empleado australiano, alguien estaba usando una herramienta que extrae credenciales de la memoria. Luego usa estas cuentas para iniciar sesión en otras máquinas. Luego, se escanea la memoria de estas nuevas computadoras en busca de nuevas cuentas, y así sucesivamente, hasta que se encuentran los inicios de sesión de los administradores privilegiados. Al final, los piratas informáticos llegaron a un servidor que contenía las credenciales de cientos de usuarios. Esta técnica de robo de credenciales es común en la actualidad. Pero en 2011, los analistas se sorprendieron al ver a los piratas informáticos moverse por la web: "Fue realmente la forma más brutal de explotar nuestros sistemas que he visto", dice Bill Duane, un experimentado ingeniero de software y desarrollador de algoritmos RSA.
Por lo general, estos incidentes se descubren meses después de que los piratas informáticos se fueran. Pero el hackeo de 2011 fue especial: en unos pocos días, los investigadores, de hecho, "alcanzaron" a los piratas informáticos y observaron sus acciones. “Intentaron irrumpir en el sistema, los encontramos después de uno o dos minutos, y luego apagaron el sistema por completo o acceden a él”, dice Duane. "Luchamos como fieras en tiempo real".
Fue en medio de esta febril escaramuza que Leitham sorprendió a los piratas informáticos robando semillas de la bóveda central, que supuestamente era su principal prioridad. En lugar de las conexiones habituales cada 15 minutos, Leitham vio miles de solicitudes continuas cada segundo en los registros. Los piratas informáticos recopilaron vectores de generación no en uno, sino en tres servidores comprometidos, pasando solicitudes a través de otra máquina conectada. Dividieron la colección de semillas en tres partes, las trasladaron a un servidor Rackspace remoto y luego las fusionaron en una base de datos de repositorio RSA completa. "Pensé, esto es jodidamente increíble", dice Litham. - Lo admiré un poco. Pero al mismo tiempo me di cuenta de que estamos en una completa mierda ".
Cuando Leitham se dio cuenta de que la colección de semillas se había copiado, y después de hacer un intento tardío de eliminar el archivo del servidor, la enormidad del evento lo golpeó: realmente pensó que RSA había terminado.
Pánico
A altas horas de la noche, los de seguridad se enteraron de que habían robado la bóveda. Bill Duane hizo una llamada de advertencia de que desconectarían físicamente tantas conexiones de red como fueran necesarias para limitar el daño y detener el robo de datos. Esperaban proteger la información del cliente que se asigna a vectores de generación específicos. Además, querían evitar el robo de la clave de cifrado privada necesaria para descifrar las semillas. Duane y el gerente entraron al centro de datos y comenzaron a desconectar los cables Ethernet uno por uno, cerrando todos los servidores e incluso el sitio web de la empresa. "De hecho, cerré el negocio de RSA", dice. "Paralicé a la empresa para detener cualquier posible publicación de datos adicionales".
Al día siguiente, el director ejecutivo de RSA, Art Coviello, hizo un anuncio público de que el ataque estaba en curso. La escala de la invasión aumentó a medida que se revelaron más detalles. Al principio, no se sabía sobre la piratería del almacenamiento de semillas de SecurID, pero cuando se reveló este hecho, la dirección tuvo que tomar una decisión. Algunos aconsejaron ocultar este hecho a los clientes (entre ellos, los servicios especiales, inteligencia, el ejército de Estados Unidos). Sin embargo, decidieron revelar la información: llamar personalmente a cada cliente y reemplazar los más de 40 millones de tokens. Pero RSA no estuvo cerca de tener tantos tokens ... Solo en unas pocas semanas la compañía podrá reanudar la producción, y luego en cantidades más pequeñas.
Un grupo de casi 90 empleados de RSA se hizo cargo de la sala de conferencias y comenzó una llamada de varias semanas a todos los clientes. Trabajaron con guiones, guiando a los clientes a través de medidas de protección como agregar o extender un PIN como parte del inicio de sesión de SecurID para dificultar la replicación de los piratas informáticos. En muchas ocasiones, los clientes empezaron a gritar, recuerda David Castignola, ex director de ventas de RSA para Norteamérica. Cada uno de ellos hizo un centenar de estas llamadas, incluso los altos directivos y la gerencia tuvieron que lidiar con esto (los clientes eran demasiado importantes).
Al mismo tiempo, la paranoia comenzó a extenderse por toda la empresa. Castignola recuerda cómo la primera noche pasó junto a una pequeña habitación con equipo de red - y de repente empezó a salir una cantidad absurda de personas, muchas más de las que podía imaginar que cabría. "¿Quienes son esas personas?" Le preguntó a otro líder, que estaba parado cerca. “Este es el gobierno”, respondió vagamente.
De hecho, en ese momento, la NSA y el FBI ya habían enviado a su gente a investigar la empresa, así como al contratista de defensa Northrop Grumman y la empresa de respuesta a incidentes Mandiant (por casualidad, los empleados de Mandiant ya estaban en el lugar en el momento de la ruptura). in, instalación de sensores para sistemas de seguridad en la red RSA).
Los empleados de RSA comenzaron a tomar medidas decisivas. Preocupada de que el sistema telefónico pudiera verse comprometido, la empresa cambió de proveedor de AT&T a Verizon. Los líderes ni siquiera confiaban en los nuevos teléfonos, mantuvieron reuniones presenciales y entregaron copias en papel de los documentos. El FBI, temiendo un lunar en RSA debido al aparente nivel de conocimiento de los atacantes sobre los sistemas de la compañía, comenzó a verificar las biografías de todos los empleados.
Algunas oficinas ejecutivas y salas de conferencias se han cubierto con capas de papel marrón para evitar que espías imaginarios espíen en los bosques circundantes con micrófonos láser, al igual que la histeria actual del Síndrome de La Habana.... Se revisó el edificio en busca de errores. Varios ejecutivos encontraron un par de errores, aunque algunos de ellos eran tan viejos que sus baterías estaban agotadas. Pero no estaba claro si estos tenían algo que ver con el incidente.
Mientras tanto, el equipo de seguridad de RSA y los especialistas externos traídos para ayudar comenzaron a "demoler el edificio hasta el suelo", como lo expresaron. Los discos se formatearon en cada máquina que los piratas informáticos tocaron, e incluso en las máquinas vecinas. “Caminamos físicamente alrededor de todo, y si había piratas informáticos en la computadora, borrábamos todo”, dice Sam Curry, ex director de seguridad de RSA. "Si perdió sus datos, es una lástima".
Segunda ola
A fines de mayo de 2011, aproximadamente dos meses después de que se anunció el incidente, RSA todavía se estaba recuperando y se disculpaba con los clientes. Pero aquí comenzó la segunda ola.
El influyente bloguero de tecnología Robert Kringley publicó rumores de que un importante contratista de defensa fue pirateado debido a tokens SecureID comprometidos. Todos los empleados de la empresa tuvieron que cambiar tokens.
Dos días después, Reuters reveló el nombre del contratista pirateado: Lockheed Martin , una mina de oro para el espionaje industrial.
Lockheed Martin F-35 Lightning II Quinta generación de caza-bombardero multipropósito
En los siguientes días en las noticias Se mencionaron los contratistas de defensa Northrop Grumman y L-3 Communications, se mencionaron hackers con vectores de generación para tokens SecurID, aunque nadie brindó evidencia específica, por razones obvias, porque estamos hablando de contratistas militares (ver los 100 principales contratistas del gobierno de EE. UU. ).
Sin embargo, en junio de 2011, el director ejecutivo de RSA admitió que las semillas robadas fueron efectivamente utilizadas en el ataque a Lockheed Martin. Diez años después, ya está renunciando a sus palabras. Ahora, ex ejecutivos de la compañía dicen que nunca se ha probado el uso de semillas RSA.
Aunque en 2013, representantes de Lockheed Martin en el foro Kaspersky Security Analyst Summit en Puerto Rico contaron en detallecómo los piratas informáticos utilizaron los vectores de generación de código para los tokens SecurID como un trampolín para penetrar en la red.
Una fuente de Lockheed Martin ahora está confirmando los hallazgos de esa investigación. Según él, la compañía vio cómo los piratas informáticos ingresaban códigos SecurID en tiempo real, mientras que los usuarios no perdían sus tokens. Después de reemplazar estos tokens, los piratas informáticos continuaron inyectando códigos de los tokens antiguos sin éxito.
La NSA, por su parte, nunca ha cuestionado realmente el papel de RSA en los ataques posteriores. En la sesión informativaen el Comité de Servicios Armados del Senado un año después del hack, el director general de la NSA, Keith Alexander, dijo que el hack de RSA "resultó en que al menos un contratista de defensa estadounidense fuera víctima de alguien con identificaciones falsas", y el Departamento de Defensa se vio obligado a reemplazar todos Tokens RSA.
Cuando se reveló la participación de la APT1, Bill Duane imprimió una fotografía de su sede en Shanghai y la pegó en un tablero de dardos en su oficina.
Duane dejó RSA en 2015 después de más de 20 años en la empresa. El autor de Wired Andy Greenberg le hizo esta pregunta: “¿Cuándo crees que realmente terminó el hack de RSA después del cierre del servidor en el centro de datos? ¿O cuando la NSA, el FBI, Mandiant y Northrop terminaron su investigación y se fueron? " El ingeniero respondió: “Creíamos que el ataque nunca había terminado. Sabíamos que habían dejado puertas traseras y podrían infiltrarse en la red cuando quisieran ".
La triste experiencia de Duane y RSA debería enseñarnos a todos que "todas las redes están sucias", como él dijo. Ahora aconseja a las empresas segmentar los sistemas y aislar los datos más valiosos para que sean inaccesibles incluso para un adversario que ya ha penetrado el perímetro.
En cuanto a Todd Leitham, ha visto el fiasco de SolarWinds durante los últimos seis meses con una oscura sensación de déjà vu. Saca conclusiones de la historia de RSA en términos más precisos que su colega. En su opinión, era una prueba poco común de cuán frágil es el sistema de seguridad de la información global hoy en día: “Este es un castillo de naipes antes de un tornado”, dice.
Sostiene que SolarWinds ha demostrado cuán poco confiable sigue siendo esta estructura. Para Leitham, el mundo de la seguridad confiaba ciegamente en algo fuera de su modelo de amenaza. Nadie imaginó que el enemigo pudiera comprometerlo. Y nuevamente, el enemigo sacó una carta que estaba en la base misma del castillo de naipes, y todos pensaron que era tierra firme.