Der Angriff auf den Anbieter von Sicherheitslösungen RSA, bei dem die Hacker wichtige Informationen stahlen, wurde durch eine Sicherheitslücke in Adobe Flash ermöglicht. Das schreibt Uri Rivner, Head of New Technologies, Consumer Identity Protection, in einem Blog-Beitrag. Durch den im März entdeckten Angriff waren technische Informationen über die SecurID-Tokens des Unternehmens für Zwei-Faktor-Authentifizierung entwendet worden.
Laut Rivner haben die Angreifer zunächst zwei getrennte Gruppen von RSA-Angestellten mit zwei E-Mails aufs Korn genommen. Unter den Empfängern der Mails in beiden Gruppen wären „keine besonders auffälligen oder wichtigen Ziele“ gewesen. Als Dateianhang hätten beide Sendungen eine Excel-Datei mit dem Titel „2011 Recruitment Plan“ (Rekrutierungsplan für 2011) enthalten, die einen Zero-Day-Exploit ausnutzte, um über Flash eine Backdoor auf den Systemen zu installieren. So bekamen die Angreifer an den Sicherheitsvorkehrungen des Unternehmens vorbei Zugriff auf die Rechner der Angestellten.
Mit diesem Zugriff sei es den Hackern möglich gewesen, ein schwer zu entdeckendes Fernsteuerungsprogramm mit dem Namen „Poison Ivy“ (Gift-Efeu) auf wenigstens einem der betroffenen Computer zu installieren. Diese Software wiederum diente als Werkzeug, um Zugangsdaten zu sammeln und sich höhere Systemrechte zu ergaunern, liest man in dem Blog. Schließlich hätten die Angreifer einen Zugang zu wirklich wertvollen Zielen erhalten. Laut Rivner ging es um „Experten für Prozesse, IT- und nicht IT-spezifische Server-Administratoren“.
Zu dem von Rivner beschriebenen Zeitpunkt konnten die Cracker auf RSA-Staging-Server zugreifen, die an wichtigen Sammelpunkten des Firmennetzes lokalisiert waren. So bewegten sie sich durch das Netz, sammelten Daten und kopierten sie auf die Staging-Server, wo das digitale Diebesgut gesammelt, komprimiert und verschlüsselt wurde.
Schließlich transportierten die Hacker nach Rivners Angaben die passwortgeschützten Dateien im RAR-Format (Roshal Archive) über das FTP-Protokoll (File Transfer Protocol) von dem RSA-Server auf einen externen Staging-Server, der auf einer kompromittierten Maschine bei einem Hosting-Provider lief. Von diesem Rechner besorgten sich die Angreifer schließlich ihre Beute und löschten ihre Spuren auf der kompromittierten Maschine. Adobe hat am 14. März einen Patch für die ausgenutzte Sicherheitslücke veröffentlicht.
Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…
Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…
Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…
Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.
Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…
Kontinuierliche Content Produktion und Markenaufbau sind essentieller Pfeiler von langfristigen Unternehmenserfolg. Das ist mittlerweile auch…