De aanval op beveiligingsbedrijf RSA was het werk van twee groepen, die door een land gesponsord werden, zo laat de beveiliger weten. Aanvallers wisten via een spear phishingaanval en een zero-day lek in Adobe Flash Player, toegang tot het netwerk te krijgen en maakten daar vertrouwelijke informatie over de SecureID authenticatietechnologie buit. Volgens sommige experts was de aanval helemaal niet zo geraffineerd als RSA doet voorkomen.

Uit onderzoek van het beveiligingsbedrijf zou blijken dat het om twee groepen gaat die achter de aanval zitten. Topman Art Coviello wil de groepen niet noemen, maar stelt dat vanwege de complexiteit van de aanval, "we alleen maar kunnen concluderen dat het om een door een land gesponsorde aanval gaat." Beide groepen zouden bij de Amerikaanse autoriteiten bekend zijn, maar het was onbekend dat ze samenwerkten.

Encryptie
"Wat vertelt dit ons? Onze tegenstander was vastbesloten, vasthoudend en goed gecoördineerd. Ze wisten waar ze naar moesten zoeken en waar ze het konden vinden", aldus RSA president Tom Heiser. De aanvallers kenden de interne naamgeving die RSA voor de hosts op het netwerk gebruikt, alsmede de Active Directory. Daardoor vielen de acties van de aanvallers minder op.

"Gebruikersnamen kwamen overeen met werkstation namen, wat ze lastig te detecteren maakte als je er niet op lette", zegt CSO Eddie Schwartz. Een aantal van de verschillende malware exemplaren werden slechts een paar uur voor de aanval gecompileerd. Eenmaal binnen werd de gestolen informatie versleuteld en vervolgens naar een remote server gestuurd, wat detectie bemoeilijkte.