Was dit de e-mail die beveiliger RSA hackte? (video)
Een e-mail met de tekst "I forward this file to you for review. Please open and view it", is mogelijk de boosdoener waardoor aanvallers bij beveiligingsbedrijf RSA wisten in te breken en zeer vertrouwelijke gegevens buitmaakten. Met de gestolen gegevens werden vervolgens verschillende grote Amerikaanse defensiebedrijven, zoals Lockheed Martin, L-3 en Northrop Grumman aangevallen.
RSA liet weten dat dat er naar de HR-afdeling een e-mail was gestuurd met een Excel bestand genaamd "2011 Recruitment plan.xls." In dit bestand zat een exploit verstopt die een onbekend beveiligingslek in Adobe Flash Player misbruikte om de computer te infecteren. Vandaar werd de rest van het netwerk geïnfiltreerd.
VirusTotal
Een onderzoeker van het Finse anti-virusbedrijf F-Secure heeft maandag een e-mail ontdekt die zeer waarschijnlijk het bericht was waardoor de aanvallers bij RSA wisten binnen te komen. Timo Hirvonen vond de e-mail in de database van VirusTotal, de gratis dienst waar internetgebruikers bestanden op malware kunnen scannen. Gescande bestanden worden echter onder de deelnemende anti-virusbedrijven gedeeld.
"Het was lastig om deze te vinden", aldus Hirvonen. "We moesten echt ons best doen." Via een speciale tool die de VirusTotal database doorzocht, vond de Fin een Microsoft Outlook .msg-bestand. Toen Hirvonen het bestand opende ontdekte hij een e-mail met als onderwerp "2011 Recruitment plan", afkomstig van recruitmentbureau Beyond. De e-mail had als tekst "I forward this file to you for review. Please open and view it" en had als bijlage "2011 Recruitment plan.xls".
Bijlage
De naam kwam overeen met de omschrijving van RSA zelf en ook de gebruikte Flash exploit was identiek aan degene die tegen het beveiligingsbedrijf werd gebruikt. De gebruikte Poison Ivy malware maakte verbinding naar hetzelfde IP-adres als dat van de RSA aanvaller. De e-mail was naar EMC werknemers gestuurd en leek afkomstig van webmaster@beyond.com. Het adres was echter gespooft. F-Secure denkt dat dit één van de twee spear-phishingberichten is die naar RSA werden gestuurd. Van de vier werknemers die het bericht ontvingen, opende één de bijlage.
RSA bestempelde het incident altijd als een "zeer geraffineerde cyberaanval", maar volgens Alex Stamos van iSec is het helemaal niet zo geraffineerd als het beveiligingsbedrijf doet voorkomen. "Dat is een behoorlijk gênant voorbeeld voor RSA", laat Stamos weten. "Het laat zien dat in elk redelijk groot bedrijf, waaronder een beveiligingsbedrijf, er altijd wel iemand is die iets stoms doet." RSA wilde niet bevestigen of de door F-Secure gevonden e-mail ook daadwerkelijk was gebruikt voor de aanval.
F-Secure maakte onderstaande video die laat zien wat er gebeurt als de e-mail wordt geopend.
Ik had ooit een collega die beweerde dat er in zijn land/cultuur een spreekwoord was: als je iets kunt verklaren met menselijke domheid hoeft je niet verder naar oorzaken te zoeken.
En daar zit een duidelijke kern van waarheid in.
Oftewel, dat is niet de oplossing. Je moet niet de functionaliteit dermate aantasten dat het werk eronder lijdt. Beter is het om naast een goede scanner ook de gebruikers _regelmatig_ voor te lichten over het gebruik van IT resources, waaronder mail.
Ik kan namelijk op een vergelijkbare manier ook een mail sturen, ZONDER attachment maar met een hyperlink of een simpele zoekopdracht op internet, waarin ik de gebruiker vertel wat die daarmee moet doen. Social engineering staat of valt niet met het uitschakelen van attachments!!!!!
User awareness is het sleutelwoord hier.
Alsof je als bedrijf kan werken zonder (legitieme) email attachments.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.