Der Angriff auf den Anbieter von Sicherheitslösungen RSA, bei dem die Hacker wichtige Informationen stahlen, wurde durch eine Sicherheitslücke in Adobe Flash ermöglicht. Das schreibt Uri Rivner, Head of New Technologies, Consumer Identity Protection, in einem Blog-Beitrag. Durch den im März entdeckten Angriff waren technische Informationen über die SecurID-Tokens des Unternehmens für Zwei-Faktor-Authentifizierung entwendet worden.
Laut Rivner haben die Angreifer zunächst zwei getrennte Gruppen von RSA-Angestellten mit zwei E-Mails aufs Korn genommen. Unter den Empfängern der Mails in beiden Gruppen wären „keine besonders auffälligen oder wichtigen Ziele“ gewesen. Als Dateianhang hätten beide Sendungen eine Excel-Datei mit dem Titel „2011 Recruitment Plan“ (Rekrutierungsplan für 2011) enthalten, die einen Zero-Day-Exploit ausnutzte, um über Flash eine Backdoor auf den Systemen zu installieren. So bekamen die Angreifer an den Sicherheitsvorkehrungen des Unternehmens vorbei Zugriff auf die Rechner der Angestellten.
Mit diesem Zugriff sei es den Hackern möglich gewesen, ein schwer zu entdeckendes Fernsteuerungsprogramm mit dem Namen „Poison Ivy“ (Gift-Efeu) auf wenigstens einem der betroffenen Computer zu installieren. Diese Software wiederum diente als Werkzeug, um Zugangsdaten zu sammeln und sich höhere Systemrechte zu ergaunern, liest man in dem Blog. Schließlich hätten die Angreifer einen Zugang zu wirklich wertvollen Zielen erhalten. Laut Rivner ging es um „Experten für Prozesse, IT- und nicht IT-spezifische Server-Administratoren“.
Zu dem von Rivner beschriebenen Zeitpunkt konnten die Cracker auf RSA-Staging-Server zugreifen, die an wichtigen Sammelpunkten des Firmennetzes lokalisiert waren. So bewegten sie sich durch das Netz, sammelten Daten und kopierten sie auf die Staging-Server, wo das digitale Diebesgut gesammelt, komprimiert und verschlüsselt wurde.
Schließlich transportierten die Hacker nach Rivners Angaben die passwortgeschützten Dateien im RAR-Format (Roshal Archive) über das FTP-Protokoll (File Transfer Protocol) von dem RSA-Server auf einen externen Staging-Server, der auf einer kompromittierten Maschine bei einem Hosting-Provider lief. Von diesem Rechner besorgten sich die Angreifer schließlich ihre Beute und löschten ihre Spuren auf der kompromittierten Maschine. Adobe hat am 14. März einen Patch für die ausgenutzte Sicherheitslücke veröffentlicht.
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…