Les employés de RSA ont mis fin à leurs accords de non-divulgation (NDA) de 10 ans, afin de pouvoir enfin parler des événements survenus en 2011 . Ces événements ont changé à jamais le paysage de l'industrie mondiale de la sécurité de l'information. À savoir, c'était la toute première attaque de la chaîne d'approvisionnement qui a suscité de graves inquiétudes parmi les services de renseignement américains, pour ne pas dire plus.
Qu'est-ce qu'une attaque de la chaîne d'approvisionnement? Si vous ne pouvez pas attaquer directement un adversaire puissant comme la NSA ou la CIA, alors vous trouvez leur partenaire - et infiltrez leur produit. Un tel hack donne accès à des centaines d'organisations hautement protégées à la fois. Cela s'est produit récemment avec SolarWinds.... Mais les anciens employés de RSA se tournent vers SolarWinds et ont un sentiment de déjà-vu. En effet, en 2011, des hackers inconnus ont eu accès à la chose la plus précieuse de RSA - un référentiel de graines (vecteurs de génération). Ils sont utilisés pour générer des codes d'authentification à deux facteurs dans les jetons matériels SecurID, qui représentent des dizaines de millions d'utilisateurs dans des agences gouvernementales et militaires, des entreprises de défense, des banques et d'innombrables entreprises à travers le monde.
Cependant, à peu près tout est en ordre.
Andy Greenberg de Wired s'est entretenu avec plusieurs anciens employés de RSA. L'un d'eux est Todd Leetham, "un analyste chauve et barbu du département de réponse aux incidents qui s'appelait la machine à pirater le carbone". C'est lui qui a été le premier à soupçonner que quelque chose n'allait pas, notant que l'un des utilisateurs ne se connectait pas depuis son ordinateur et avec des droits non standard. Il a regardé les journaux de cet utilisateur pendant plusieurs jours - et il est devenu clair qu'il y avait un piratage. Les hackers se sont creusés dans le réseau interne.
Le pire de tout, ils ont réussi à atteindre le coffre-fort. Techniquement, ce serveur doit être hors ligne, déconnecté d'Internet et du reste du réseau - protection de l'espace aérien. Mais en pratique, il était protégé par un pare-feu et connecté toutes les 15 minutes pour distribuer un nouveau lot de graines cryptées, qui étaient gravées sur CD et données aux clients. Ils sont ensuite restés en stockage comme sauvegarde.
Sur la base de ces vecteurs de génération, des codes d'authentification à deux facteurs ont été générés sur des jetons SecurID, qui ont été distribués aux employés du client. Autrement dit, le jeton et le serveur RSA ont généré indépendamment les mêmes codes.
Algorithme pour obtenir un code de jeton
SecurID, 128- — (). . - — RSA , . - , .
- ( ). , -. , , . , , . , PIN, , - , .
Si quelqu'un accédait au référentiel d'amorçage, cela compromettait les jetons SecurID sur tous les clients. Puisqu'il s'agit de l'activité principale de RSA, dans le pire des cas, l'entreprise peut être complètement fermée ...
Après avoir examiné les logs du réseau, Leitham a conclu que ces «clés du royaume» de RSA avaient bien été volées.
Il a lu avec horreur les journaux alors que les pirates informatiques pompaient méthodiquement les graines du stockage pendant neuf heures et les envoyaient via FTP à un serveur piraté du fournisseur de cloud Rackspace. Mais ensuite, il a remarqué quelque chose qui a donné une lueur d'espoir: les informations d'identification volées, le nom d'utilisateur et le mot de passe de ce serveur piraté ont glissé dans les journaux. Leitham s'est rapidement connecté à la machine Rackspace distante et a saisi les informations d'identification volées. Et le voici: le répertoire sur le serveur contenait toujours toute la collection volée de graines sous forme de fichier .rar compressé.
Selon Leitham, utiliser un compte piraté pour se connecter à un serveur appartenant à une autre société et y bricoler des données est au mieux une décision peu orthodoxe et au pire une grave violation des lois américaines sur l'accès non autorisé à l'information. Mais en regardant le RSA saint des saints volé sur ce serveur Rackspace, il n'a pas hésité: «J'étais préparé aux conséquences», dit-il. «En tout cas, je n'ai pas pu donner nos fichiers», et il a entré la commande pour supprimer le fichier et a appuyé sur Entrée.
Quelques instants plus tard, la réponse parvint à la console: "Fichier non trouvé". Il examina à nouveau le contenu du serveur. Le dossier était vide. Les pirates ont pris la base de données du serveur quelques secondes avant d'essayer de la supprimer!
Il a chassé les pirates pendant plusieurs jours, jour et nuit, et maintenant il a presque attrapé le voleur en fuite par la manche. Mais il a littéralement glissé entre ses doigts, se cachant dans un brouillard avec les informations les plus précieuses (comme l'a montré une enquête plus approfondie, il pourrait s'agir de pirates informatiques de l' unité de cyber-renseignement APT1 de l' Armée populaire de libération de Chine basée sur l'unité militaire 61398 dans la banlieue de Shanghai. . eux).
Localisation de l'unité militaire 61398, source
Quelques jours plus tard, RSA a été contraint d'annoncer le piratage. Et cela a vraiment changé le paysage de la cybersécurité. Première attaque réussie de la chaîne d'approvisionnement, ciblant des milliers d'organisations, les agences les plus sûres au monde et les sous-traitants militaires. Ce n'est que dix ans plus tard que quelque chose de similaire est arrivé au ver NotPetya, puis au système SolarWinds (18 000 clients dans le monde), mais à l'époque, l'histoire de RSA était sans précédent. Presque personne n'imaginait même qu'il était possible de mener des attaques de cette manière - via un «proxy» dans la chaîne d'approvisionnement.
«Cela m'a ouvert les yeux sur les attaques de la chaîne d'approvisionnement», déclare Mikko Hipponen, scientifique en chef chez F-Secure, qui a publié une analyse indépendante de l'incident du RSA. «Et cela a changé ma vision du monde: si vous ne pouvez pas pénétrer la cible, alors vous trouvez la technologie que la victime utilise, et à la place, vous y pénétrez.
Son collègue Timo Hirvonen a déclaré que l'incident était une démonstration inquiétante de la menace croissante d'une nouvelle classe de pirates. De spécialistes hautement qualifiés qui exécutent des commandes de renseignement étranger. RSA est une société de cybersécurité et son activité consiste à protéger les autres . Si elle ne peut même pas se protéger, comment peut-elle protéger le reste du monde?
La question était assez littérale. Le vol des vecteurs de génération signifiait que les défenses critiques 2FA étaient compromises sur des milliers de clients RSA. Après avoir volé les vecteurs de génération, les attaquants pouvaient entrer des codes à partir de jetons SecureID dans presque tous les systèmes.
Dix ans plus tard, les NDA de nombreux dirigeants clés de RSA ont expiré - et nous pouvons découvrir les détails de cet incident. Aujourd'hui, le piratage RSA est considéré comme un signe avant-coureur de notre ère actuelle d' insécurité numérique et de l'incroyable activité des pirates informatiques gouvernementaux dans de nombreux domaines de la vie publique, y compris les médias sociaux, les médias et la politique. Le piratage de RSA est une leçon sur la façon dont un adversaire déterminé peut saper ce à quoi nous avons le plus confiance . Et parce que vous ne devez faire confiance à rien.
Une analyse de l'incident a révélé comment l'attaque a commencé - avec un e-mail innocent reçu par un employé australien, avec la ligne d'objet «Plan de recrutement pour 2011» et une feuille de calcul Excel ci-jointe. À l'intérieur se trouvait un script qui exploitait la vulnérabilité 0day d'Adobe Flash, installant le célèbre cheval de Troie Poison Ivy sur l'ordinateur de la victime .
Le point d'entrée du réseau RSA est une implémentation complètement courante qui ne fonctionnerait pas si la victime exécutait une version plus récente de Windows ou de Microsoft Office ou avait un accès limité à l'installation de programmes sur son ordinateur, comme recommandé par les administrateurs système sur de nombreux réseaux d'entreprise et gouvernementaux. .
Mais après cette infiltration, les attaquants ont commencé à démontrer leurs réelles capacités. En fait, les analystes ont conclu qu'au moins deux groupes opéraient simultanément sur le réseau. Un groupe a eu accès au réseau et un deuxième groupe de spécialistes hautement qualifiés a utilisé cet accès, peut-être à l'insu du premier groupe. La deuxième attaque était beaucoup plus avancée.
Sur l'ordinateur d'un employé australien, quelqu'un utilisait un outil qui extrait les informations d'identification de la mémoire. Il utilise ensuite ces comptes pour se connecter à d'autres machines. Ensuite, la mémoire de ces nouveaux ordinateurs est analysée à la recherche de nouveaux comptes - et ainsi de suite, jusqu'à ce que les identifiants des administrateurs privilégiés soient trouvés. En fin de compte, les pirates sont arrivés à un serveur contenant les informations d'identification de centaines d'utilisateurs. Cette technique de vol d'informations d'identification est courante aujourd'hui. Mais en 2011, les analystes ont été surpris de voir des pirates se déplacer sur le Web: «C'était vraiment le moyen le plus brutal d'exploiter nos systèmes que j'aie jamais vu», déclare Bill Duane, un ingénieur logiciel expérimenté et développeur d'algorithmes RSA.
En règle générale, de tels incidents sont découverts des mois après le départ des pirates. Mais le hack de 2011 était spécial: en quelques jours, les enquêteurs, en fait, ont «rattrapé» les hackers et ont observé leurs actions. «Ils ont essayé de s'introduire dans le système, nous les avons trouvés au bout d'une minute ou deux, puis ils l'ont complètement arrêté ou y ont accès», explique Duane. "Nous nous sommes battus comme des bêtes sauvages en temps réel."
C'est au milieu de cette escarmouche fiévreuse que Leitham a surpris les hackers en train de voler des graines dans le coffre central, ce qui était censé être leur priorité absolue. Au lieu des connexions habituelles toutes les 15 minutes, Leitham a vu des milliers de demandes continues chaque seconde dans les journaux. Les pirates ont collecté des vecteurs de génération non pas sur un, mais sur trois serveurs compromis, passant des requêtes via une autre machine connectée. Ils ont divisé la collection d'amorçage en trois parties, les ont déplacées vers un serveur Rackspace distant, puis les ont fusionnées dans une base de données de référentiel RSA complète. «Je pensais que c'était génial», dit Litham. - J'ai un peu admiré ça. Mais en même temps, j'ai réalisé que nous étions dans la merde. "
Quand Leitham s'est rendu compte que la collection de graines avait été copiée, et après avoir tenté tardivement de supprimer le fichier du serveur, l'énormité de l'événement l'a frappé: il pensait vraiment que RSA était terminé.
Panique
Tard dans la nuit, la sécurité a appris que le coffre-fort avait été volé. Bill Duane a lancé un appel d'avertissement indiquant qu'ils déconnecteraient physiquement autant de connexions réseau que nécessaire pour limiter les dommages et arrêter le vol de données. Ils espéraient protéger les informations des clients qui correspondent à des vecteurs de génération spécifiques. De plus, ils voulaient empêcher le vol de la clé de chiffrement privée nécessaire pour déchiffrer les graines. Duane et le responsable sont entrés dans le centre de données et ont commencé à débrancher les câbles Ethernet un par un, arrêtant tous les serveurs et même le site Web de l'entreprise. «J'ai en fait arrêté l'activité RSA», dit-il. "J'ai paralysé l'entreprise pour qu'elle arrête toute nouvelle publication potentielle de données."
Le lendemain, Art Coviello, PDG de RSA, a annoncé publiquement que le piratage était en cours. L'ampleur de l'invasion a augmenté au fur et à mesure que plus de détails étaient révélés. Au début, on n'était pas au courant du piratage du stockage de semences SecurID, mais lorsque ce fait a été révélé, la direction a dû prendre une décision. Certains ont conseillé de cacher ce fait aux clients (parmi lesquels les services spéciaux, le renseignement, l'armée américaine). Mais néanmoins, ils ont décidé de divulguer les informations - d'appeler personnellement chaque client et de remplacer tous les plus de 40 millions de jetons. Mais RSA n’a pas failli avoir autant de jetons ... Ce n’est que dans quelques semaines que l’entreprise pourra reprendre la production, puis en plus petites quantités.
Un groupe de près de 90 employés de RSA a repris la salle de conférence et a lancé un appel de plusieurs semaines à tous les clients. Ils ont travaillé par script, guidant les clients à travers des mesures de protection telles que l'ajout ou l'extension d'un code PIN dans le cadre de la connexion SecurID pour rendre la réplication plus difficile pour les pirates. À de nombreuses reprises, les clients se sont mis à crier, se souvient David Castignola, ancien directeur des ventes de RSA pour l'Amérique du Nord. Chacun d'eux a fait une centaine de ces appels, même les cadres supérieurs et la direction ont dû faire face à cela (les clients étaient trop importants).
Dans le même temps, la paranoïa a commencé à se répandre dans toute l'entreprise. Castignola se souvient comment, la première nuit, il est passé devant une petite pièce avec un équipement réseau - et soudain un nombre absurde de personnes a commencé à en sortir, bien plus qu'il ne pouvait l'imaginer. "Qui sont ces gens?" Il a demandé à un autre chef, qui se tenait à proximité. «C'est le gouvernement», répondit-il vaguement.
En fait, à ce moment-là, la NSA et le FBI avaient déjà envoyé leur personnel enquêter sur l'entreprise, ainsi que l'entrepreneur de défense Northrop Grumman et la société d'intervention en cas d'incident Mandiant (par hasard, les employés de Mandiant étaient déjà sur place au moment de la pause. in, installation de capteurs pour les systèmes de sécurité sur le réseau RSA).
Les employés de RSA ont commencé à prendre des mesures décisives. Craignant que le système téléphonique ne soit compromis, la société a changé d'opérateur d'AT & T à Verizon. Les dirigeants n'ont même pas fait confiance aux nouveaux téléphones, ils ont tenu des réunions en face à face et ont remis des copies papier des documents. Le FBI, craignant une taupe en RSA en raison du niveau apparent de connaissances des attaquants sur les systèmes de l'entreprise, a commencé à vérifier les biographies de tous les employés.
Certains bureaux de direction et salles de conférence ont été recouverts de couches de papier brun pour empêcher des espions imaginaires d'écouter avec des microphones laser dans les forêts environnantes, tout comme l' hystérie actuelle du syndrome de La Havane.... Le bâtiment a été vérifié pour les bogues. Plusieurs dirigeants ont trouvé quelques bugs, même si certains d'entre eux étaient si vieux que leurs batteries étaient épuisées. Mais il n'était pas clair si cela avait quelque chose à voir avec l'incident.
Dans l'intervalle, l'équipe de sécurité du RSA et des spécialistes extérieurs amenés pour aider ont commencé à «démolir le bâtiment au sol», comme ils l'ont dit. Les disques étaient formatés sur chaque machine touchée par les pirates, et même sur les machines voisines. «Nous avons fait le tour de tout physiquement, et s'il y avait des pirates informatiques sur l'ordinateur, nous avons tout effacé», explique Sam Curry, ancien directeur de la sécurité chez RSA. "Si vous avez perdu vos données, c'est dommage."
Deuxième vague
Fin mai 2011, environ deux mois après l'annonce de l'incident, RSA se remettait toujours et s'excusait auprès des clients. Mais ici, la deuxième vague a commencé.
Le blogueur technologique influent Robert Kringley a publié des rumeurs selon lesquelles un important sous-traitant de la défense aurait été piraté en raison de jetons SecureID compromis. Tous les employés de l'entreprise ont dû changer de jetons.
Deux jours plus tard, Reuters a révélé le nom de l'entrepreneur piraté: Lockheed Martin , une mine d'or pour l'espionnage industriel.
Lockheed Martin F-35 Lightning II Chasseur-bombardier polyvalent de cinquième génération
Dans les jours suivants dans l'actualité les entrepreneurs de défense Northrop Grumman et L-3 Communications ont été mentionnés, les pirates avec des vecteurs de génération pour les jetons SecurID ont été mentionnés, bien que personne n'ait fourni de preuves spécifiques, pour des raisons évidentes, car nous parlons d'entrepreneurs militaires (voir les 100 meilleurs entrepreneurs du gouvernement américain ).
Cependant, en juin 2011, le directeur général de la RSA a admis que les graines volées avaient effectivement été utilisées dans l'attaque de Lockheed Martin. Dix ans plus tard, il abandonne déjà ses paroles. Aujourd'hui, d'anciens dirigeants d'entreprise affirment que l'utilisation des semences RSA n'a jamais été prouvée.
Bien qu'en 2013, des représentants de Lockheed Martin au forum du Kaspersky Security Analyst Summit à Porto Rico aient déclaré en détailcomment les pirates ont utilisé les vecteurs de génération de code pour les jetons SecurID comme tremplin pour pénétrer le réseau.
Une source de Lockheed Martin confirme maintenant les conclusions de cette enquête. Selon lui, la société a vu comment les pirates entraient les codes SecurID en temps réel, tandis que les utilisateurs ne perdaient pas leurs jetons. Après avoir remplacé ces jetons, les pirates ont continué à injecter sans succès des codes à partir des anciens jetons.
La NSA, pour sa part, n'a jamais vraiment remis en question le rôle de RSA dans les hacks ultérieurs. Au briefingau Comité des services armés du Sénat un an après le piratage, le directeur général de la NSA, Keith Alexander, a déclaré que le piratage de la RSA "avait eu pour conséquence qu'au moins un entrepreneur américain de la défense était victime d'une personne détenant de fausses pièces d'identité", et le ministère de la Défense a été contraint de remplacer tous Jetons RSA.
Lorsque l'implication de l'APT1 a été révélée, Bill Duane a imprimé une photo de leur siège à Shanghai et l'a collée sur un jeu de fléchettes dans son bureau.
Duane a quitté RSA en 2015 après plus de 20 ans dans l'entreprise. L'auteur filaire Andy Greenberg lui a posé cette question: «Quand pensez-vous que le piratage RSA s'est vraiment terminé après l'arrêt du serveur dans le centre de données? Ou quand la NSA, le FBI, Mandiant et Northrop ont terminé leur enquête et sont partis? " L'ingénieur a répondu: «Nous pensions que l'attaque n'était jamais terminée. Nous savions qu'ils avaient laissé derrière eux des portes dérobées et qu'ils seraient capables de s'infiltrer dans le réseau quand ils le voudraient. »
La triste expérience de Duane et de RSA devrait nous apprendre à tous que «chaque réseau est sale», comme il l'a dit. Désormais, il conseille aux entreprises de segmenter les systèmes et d'isoler les données les plus précieuses afin qu'elles soient inaccessibles même à un adversaire qui a déjà pénétré le périmètre.
Quant à Todd Leitham, il a regardé le fiasco SolarWinds au cours des six derniers mois avec un sombre sentiment de déjà-vu. Il tire des conclusions de l'histoire du RSA en termes plus précis que son collègue. Selon lui, c'était une preuve rare de la fragilité du système mondial de sécurité de l'information aujourd'hui: «C'est un château de cartes avant une tornade», dit-il.
Il soutient que SolarWinds a démontré à quel point cette structure reste peu fiable. Pour Leitham, le monde de la sécurité faisait aveuglément confiance à quelque chose en dehors de son modèle de menace. Personne n'imaginait que l'ennemi pouvait le compromettre. Et encore une fois, l'ennemi a sorti une carte qui se trouvait à la base même du château de cartes - et tout le monde pensait que c'était un terrain solide.