Os funcionários da RSA encerraram seus acordos de sigilo (NDAs) de 10 anos, para que possam finalmente falar sobre os eventos que aconteceram em 2011 . Esses eventos mudaram para sempre o panorama da indústria global de segurança da informação. Ou seja, foi o primeiro ataque à cadeia de suprimentos que causou sérias preocupações entre os serviços de inteligência americanos, para dizer o mínimo.
O que é um ataque à cadeia de suprimentos? Se você não pode atacar diretamente um adversário forte como a NSA ou a CIA, então você encontra seu parceiro - e se infiltra em seu produto. Um desses hack dá acesso a centenas de organizações altamente protegidas de uma só vez. Isso aconteceu recentemente com a SolarWinds.... Mas os ex-funcionários da RSA olham para a SolarWinds e têm uma sensação de déjà vu. De fato, em 2011, hackers desconhecidos ganharam acesso ao que há de mais valioso no RSA - um repositório de sementes (vetores de geração). Eles são usados para gerar códigos de autenticação de dois fatores em tokens de hardware SecurID, que são dezenas de milhões de usuários em agências governamentais e militares, empresas de defesa, bancos e incontáveis corporações em todo o mundo.
No entanto, sobre tudo em ordem.
Andy Greenberg, da Wired, conversou com vários ex-funcionários da RSA. Um deles é Todd Leetham, "um analista careca e barbudo do departamento de resposta a incidentes que era chamado de máquina hacker de carbono". Foi ele o primeiro a suspeitar de que algo estava errado, observando que um dos usuários se conectou à Internet não de seu computador e com direitos fora do padrão. Ele olhou os logs desse usuário por vários dias - e ficou claro que havia um hack. Os hackers se infiltraram na rede interna.
Pior de tudo, eles conseguiram chegar ao cofre das sementes. Tecnicamente, este servidor deve estar offline, desconectado da Internet e do resto da rede - proteção de air gap. Mas, na prática, ele era protegido por um firewall e conectado a cada 15 minutos para fornecer um novo lote de sementes criptografadas, que eram gravadas em CDs e distribuídas aos clientes. Eles então permaneceram no armazenamento como um backup.
Com base nesses vetores de geração, códigos de autenticação de dois fatores foram gerados em tokens SecurID, que foram distribuídos aos funcionários do cliente. Ou seja, o token e o servidor RSA geraram independentemente os mesmos códigos.
Algoritmo para obter um código de token
SecurID, 128- — (). . - — RSA , . - , .
- ( ). , -. , , . , , . , PIN, , - , .
Se alguém acessou o repositório de sementes, ele comprometeu os tokens SecurID em todos os clientes. Como este é o negócio principal da RSA, na pior das hipóteses, a empresa pode ser fechada por completo ...
Após examinar os logs da rede, Leitham concluiu que essas "chaves do reino" da RSA haviam de fato sido roubadas.
Ele leu com horror os logs enquanto os hackers bombeavam metodicamente sementes do armazenamento por nove horas e as enviavam via FTP para um servidor hackeado no provedor de nuvem Rackspace. Mas então ele percebeu algo que lhe deu um raio de esperança: credenciais roubadas, o nome de usuário e a senha desse servidor hackeado escaparam dos logs. Leitham se conectou rapidamente à máquina remota da Rackspace e inseriu as credenciais roubadas. E aqui está: o diretório no servidor ainda continha toda a coleção roubada de sementes como um arquivo .rar compactado.
Usar uma conta hackeada para entrar em um servidor de outra empresa e mexer nos dados, de acordo com Leitham, é, na melhor das hipóteses, uma atitude pouco ortodoxa e, na pior, uma séria violação das leis dos EUA sobre acesso não autorizado a informações. Mas olhando para o Santo dos Santos roubado da RSA neste servidor Rackspace, ele não hesitou: “Eu estava preparado para as consequências”, diz ele. “De qualquer forma, não pude entregar nossos arquivos”, e ele digitou o comando para deletar o arquivo e pressionou Enter.
Alguns momentos depois, a resposta veio ao console: "Arquivo não encontrado." Ele examinou o conteúdo do servidor novamente. A pasta estava vazia. Os hackers retiraram o banco de dados do servidor alguns segundos antes de tentar excluí-lo!
Ele caçou hackers por vários dias, dia e noite, e agora quase agarrou o ladrão em fuga pela manga. Mas ele literalmente escorregou por entre os dedos, escondendo-se em uma névoa com as informações mais valiosas (como uma investigação mais aprofundada mostrou, estes poderiam ser hackers da unidade de inteligência cibernética APT1 do Exército de Libertação do Povo da China com base na unidade militar 61398 nos subúrbios de Xangai . eles).
Localização da unidade militar 61398, fonte
Poucos dias depois, RSA foi forçado a anunciar o hack. E realmente mudou o panorama da segurança cibernética. Primeiro ataque bem-sucedido à cadeia de suprimentos, visando milhares de organizações, as agências e empreiteiros militares mais seguros do mundo. Só dez anos depois é que algo semelhante aconteceu com o worm NotPetya e, em seguida, com o sistema SolarWinds (18.000 clientes em todo o mundo), mas, na época, a história da RSA era sem precedentes. Quase ninguém imaginava que fosse possível realizar ataques dessa forma - por meio de um "proxy" na cadeia de suprimentos.
“Isso abriu meus olhos para ataques à cadeia de suprimentos”, disse Mikko Hipponen, cientista-chefe da F-Secure, que publicou uma análise independente do incidente RSA. "E mudou minha visão do mundo: se você não consegue penetrar no alvo, então você encontra a tecnologia que a vítima usa e, em vez disso, você penetra lá."
Seu colega Timo Hirvonen diz que o incidente foi uma demonstração preocupante da crescente ameaça de uma nova classe de hackers. De especialistas altamente qualificados que executam encomendas de inteligência estrangeira. A RSA é uma empresa de segurança cibernética e seu negócio é proteger os outros . Se ela nem consegue se proteger, como pode proteger o resto do mundo?
A pergunta foi bem literal. O roubo dos vetores de geração significa que as defesas críticas de 2FA foram comprometidas em milhares de clientes RSA. Depois de roubar os vetores de geração, os invasores podem inserir códigos de tokens SecureID em quase qualquer sistema.
Dez anos depois, os NDAs de muitos dos principais executivos da RSA expiraram - e podemos descobrir os detalhes desse incidente. Hoje, o hack RSA é visto como um prenúncio de nossa era atual de insegurança digital e a incrível atividade de hackers do governo em muitas áreas da vida pública, incluindo mídia social, mídia e política. Hackear o RSA é uma lição sobre como um adversário determinado pode minar o que mais confiamos . E porque você não precisa confiar em nada.
Uma análise do incidente revelou como o ataque começou - com um e-mail inocente recebido por um funcionário australiano, com o assunto "Plano de recrutamento para 2011" e uma planilha do Excel anexada. Dentro havia um script que explorava a vulnerabilidade 0day no Adobe Flash, instalando o conhecido Trojan Poison Ivy no computador da vítima .
O ponto de entrada para a rede RSA é uma implementação completamente comum que não funcionaria se a vítima estivesse executando uma versão mais recente do Windows ou Microsoft Office ou tivesse acesso limitado para instalar programas em seu computador, conforme recomendado por administradores de sistemas em muitas redes corporativas e governamentais .
Mas depois dessa infiltração, os atacantes começaram a demonstrar suas verdadeiras habilidades. Na verdade, os analistas concluíram que pelo menos dois grupos operavam simultaneamente na rede. Um grupo obteve acesso à rede e um segundo grupo de especialistas altamente qualificados utilizou esse acesso, talvez sem o conhecimento do primeiro grupo. O segundo ataque foi muito mais avançado.
No computador de um funcionário australiano, alguém estava usando uma ferramenta que extrai credenciais da memória. Ele então usa essas contas para fazer login em outras máquinas. Em seguida, a memória desses novos computadores é verificada em busca de novas contas - e assim por diante, até que os logins de administradores privilegiados sejam encontrados. No final, os hackers chegaram a um servidor que continha as credenciais de centenas de usuários. Essa técnica de roubo de credencial é comum hoje. Mas em 2011, os analistas ficaram surpresos ao ver os hackers se moverem pela web: “Foi realmente a maneira mais brutal de explorar nossos sistemas que já vi”, diz Bill Duane, um experiente engenheiro de software e desenvolvedor de algoritmos RSA.
Normalmente, esses incidentes são descobertos meses após a saída dos hackers. Mas o hack de 2011 foi especial: em poucos dias, os investigadores, de fato, “alcançaram” os hackers e observaram suas ações. “Eles tentaram invadir o sistema, nós os encontramos depois de um ou dois minutos e eles desligaram o sistema completamente ou o acessaram”, diz Duane. "Nós lutamos como feras em tempo real."
Foi no meio dessa escaramuça febril que Leitham pegou os hackers roubando sementes do cofre central, que supostamente era sua prioridade. Em vez das conexões usuais a cada 15 minutos, Leitham viu milhares de solicitações contínuas a cada segundo nos logs. Os hackers coletaram vetores de geração não em um, mas em três servidores comprometidos, passando as solicitações por meio de outra máquina conectada. Eles dividiram a coleção de sementes em três partes, moveram-nas para um servidor Rackspace remoto e, em seguida, mesclaram-nas em um banco de dados de repositório RSA completo. “Eu pensei, isso é incrível”, diz Litham. - Eu meio que admirei isso. Mas, ao mesmo tempo, percebi que estamos em uma merda completa. "
Quando Leitham percebeu que a coleção de sementes havia sido copiada, e depois de fazer uma tentativa tardia de excluir o arquivo do servidor, a enormidade do evento o atingiu: ele realmente achava que RSA havia acabado.
Pânico
Tarde da noite, a segurança soube que o cofre havia sido roubado. Bill Duane fez uma ligação de advertência de que eles desconectariam fisicamente quantas conexões de rede fossem necessárias para limitar os danos e impedir futuros roubos de dados. Eles esperavam proteger as informações do cliente que mapeiam para vetores de geração específicos. Além disso, eles queriam evitar o roubo da chave de criptografia privada necessária para descriptografar as sementes. Duane e o gerente entraram no data center e começaram a desconectar os cabos Ethernet um por um, desligando todos os servidores e até mesmo o site da empresa. “Na verdade, fechei o negócio RSA”, diz ele. "Eu paralisei a empresa para impedir qualquer liberação de dados em potencial."
No dia seguinte, o CEO da RSA, Art Coviello, fez um anúncio público de que o hack estava em andamento. A escala da invasão aumentou à medida que mais detalhes foram revelados. A princípio, não se sabia sobre o hackeamento do armazenamento de sementes SecurID, mas quando esse fato foi revelado, a administração teve que tomar uma decisão. Alguns aconselharam esconder esse fato de clientes (entre eles os serviços especiais, inteligência, o exército dos EUA). Mesmo assim, eles decidiram divulgar as informações - ligar pessoalmente para cada cliente e substituir todos os mais de 40 milhões de tokens. Mas a RSA não chegou perto de ter tantos tokens ... Apenas em algumas semanas a empresa será capaz de retomar a produção, e então em quantidades menores.
Um grupo de quase 90 funcionários da RSA assumiu a sala de conferências e iniciou uma chamada de várias semanas para todos os clientes. Eles trabalharam com scripts, orientando os clientes por meio de medidas de proteção, como adicionar ou estender um PIN como parte do login do SecurID para dificultar a replicação dos hackers. Em muitas ocasiões, os clientes começaram a gritar, lembra David Castignola, ex-diretor de vendas da RSA para a América do Norte. Cada um deles fez uma centena dessas ligações, até mesmo os gerentes de topo e a gerência tiveram que lidar com isso (os clientes eram muito importantes).
Ao mesmo tempo, a paranóia começou a se espalhar por toda a empresa. Castignola lembra que na primeira noite passou por uma salinha com equipamentos de rede - e de repente um número absurdo de pessoas começou a sair dela, muito mais do que ele imaginava que caberia. "Quem são essas pessoas?" Ele perguntou a outro líder, que estava por perto. “Este é o governo”, ele respondeu vagamente.
Na verdade, a essa altura, a NSA e o FBI já haviam enviado seu pessoal para investigar a empresa, bem como a contratada de defesa Northrop Grumman e a empresa de resposta a incidentes Mandiant (por acaso, os funcionários da Mandiant já estavam no local no momento do intervalo - , instalando sensores para sistemas de segurança na rede RSA).
Os funcionários da RSA começaram a tomar medidas decisivas. Preocupada com o comprometimento do sistema telefônico, a empresa trocou as operadoras da AT&T pela Verizon. Os líderes nem mesmo confiaram nos novos telefones, eles realizaram reuniões presenciais e entregaram cópias de documentos em papel. O FBI, temendo uma toupeira no RSA devido ao nível aparente de conhecimento dos invasores sobre os sistemas da empresa, começou a verificar as biografias de todos os funcionários.
Alguns escritórios executivos e salas de conferência foram cobertos com camadas de papel pardo para evitar que espiões imaginários bisbilhotassem as florestas ao redor com microfones a laser, assim como a atual histeria da Síndrome de Havana.... O prédio foi verificado em busca de bugs. Vários executivos encontraram alguns bugs, embora alguns deles fossem tão velhos que as baterias acabaram. Mas não estava claro se isso tinha algo a ver com o incidente.
Nesse ínterim, a equipe de segurança da RSA e especialistas externos trazidos para ajudar começaram a "demolir o prédio até o chão", como eles colocaram. Os discos foram formatados em cada máquina que os hackers tocaram, e até mesmo nas máquinas vizinhas. “Percorremos tudo fisicamente e, se houvesse hackers no computador, apagávamos tudo”, diz Sam Curry, ex-diretor de segurança da RSA. "Se você perdeu seus dados, é uma pena."
Segunda onda
No final de maio de 2011, cerca de dois meses após o anúncio do incidente, a RSA ainda estava se recuperando e se desculpando com os clientes. Mas aqui começou a segunda onda.
O influente blogueiro de tecnologia Robert Kringley publicou rumores de que um grande empreiteiro de defesa foi hackeado devido a tokens SecureID comprometidos. Todos os funcionários da empresa tiveram que trocar tokens.
Dois dias depois, a Reuters revelou o nome do empreiteiro hackeado: Lockheed Martin , uma mina de ouro para espionagem industrial.
Lockheed Martin F-35 Lightning II Quinta Geração de Caça-Bombardeiro Multiuso
Nos dias seguintes nas notícias os empreiteiros de defesa Northrop Grumman e L-3 Communications foram mencionados, hackers com vetores de geração para tokens SecurID foram mencionados, embora ninguém tenha fornecido evidências específicas, por razões óbvias, porque estamos falando de empreiteiros militares (veja os 100 principais empreiteiros do governo dos EUA )
No entanto, em junho de 2011, o presidente-executivo da RSA admitiu que as sementes roubadas foram de fato usadas no ataque à Lockheed Martin. Dez anos depois, ele já está desistindo de suas palavras. Agora, ex-executivos da empresa dizem que o uso de sementes RSA nunca foi comprovado.
Embora em 2013, representantes da Lockheed Martin no fórum Kaspersky Security Analyst Summit em Porto Rico contaram em detalhescomo os hackers usaram os vetores de geração de código para tokens SecurID como um trampolim para penetrar na rede.
Uma fonte da Lockheed Martin está agora confirmando os resultados dessa investigação. Segundo ele, a empresa viu como os hackers inseriam os códigos SecurID em tempo real, enquanto os usuários não perdiam seus tokens. Depois de substituir esses tokens, os hackers continuaram a injetar códigos sem sucesso dos tokens antigos.
A NSA, por sua vez, nunca questionou realmente o papel da RSA em hacks subsequentes. No briefingno Comitê de Serviços Armados do Senado, um ano após o hack, o Diretor Geral da NSA Keith Alexander disse que o hack da RSA "resultou em pelo menos um empreiteiro americano de defesa sendo vítima de alguém com identidades falsas" e o Departamento de Defesa foi forçado a substituir todos Tokens RSA.
Quando o envolvimento do APT1 foi revelado, Bill Duane imprimiu uma fotografia de sua sede em Xangai e a colou em um quadro de dardos em seu escritório.
Duane deixou a RSA em 2015 após mais de 20 anos na empresa. O autor da Wired Andy Greenberg fez a seguinte pergunta: “Quando você acha que o hack RSA realmente terminou após o desligamento do servidor no data center? Ou quando a NSA, FBI, Mandiant e Northrop terminaram sua investigação e foram embora? " O engenheiro respondeu: “Acreditamos que o ataque nunca tivesse terminado. Sabíamos que eles haviam deixado para trás backdoors e seriam capazes de se infiltrar na rede sempre que quisessem. ”
A triste experiência de Duane e RSA deve ensinar a todos nós que “toda rede é suja”, como ele disse. Agora, ele aconselha as empresas a segmentar sistemas e isolar os dados mais valiosos para que fiquem inacessíveis até mesmo para um adversário que já tenha penetrado no perímetro.
Quanto a Todd Leitham, ele assistiu ao fiasco da SolarWinds nos últimos seis meses com uma sensação sombria de déjà vu. Ele tira conclusões da história da RSA em termos mais nítidos do que seu colega. Em sua opinião, eram raras as evidências de quão frágil é o sistema global de segurança da informação hoje: “Este é um castelo de cartas antes de um tornado”, diz ele.
Ele argumenta que a SolarWinds demonstrou como essa estrutura permanece não confiável. Para Leitham, o mundo da segurança confiava cegamente em algo fora de seu modelo de ameaça. Ninguém imaginava que o inimigo pudesse comprometer isso. E novamente, o inimigo puxou uma carta que estava bem na base do castelo de cartas - e todos pensaram que era terreno sólido.