CASO ATAQUE RSA

Asignatura : Seguridad Informtica

Docente : Gonzalo Martin Valdivia
Guerra De La Cruz, Jean
Alumnos : Limaylla Quispe, Josu
Romero Cndor, Kevin

1. Cmo sucedi el ataque?

Fue un ataque de tipo amenaza avanzada permanente que consiste en 3 pasos:
primero un ataque de ingeniera social, seguido de la bsqueda de la informacin y
lograr el acceso a la misma (utilizando tcnicas de hackeo comunes) y finalmente,
extraer la informacin. En este caso, el atacante inici un ataque de phishing durante
dos das por correo electrnico. Este correo, con el tema plan de reclutamiento 2011,
tuvo como objetivo a un grupo reducido de empleados sin privilegios.

Una de las vctimas abri un archivo Excel adjunto al correo y ste instal un backdoor
por medio de la explotacin de una vulnerabilidad desconocida ( zero-day exploit) en
el Adobe Flash (vulnerabilidad CVE-2011-0609).

Una vez instalado el backdoor, el prximo paso fue permitir el control remoto de la
computadora afectada. En este caso, el atacante instal una herramienta de
administracin remota que se conectaba en forma reversa, siendo difcil de detectar (la
conexin se realizaba desde adentro hacia afuera).

El atacante tom todas las credenciales de acceso de la computadora comprometida,

y luego desde ah ataco usuarios sin privilegios administrativos en sistemas crticos y
por medio de ataques de elevacin de privilegios obtuvo acceso a usuarios con los
privilegios necesarios para lograr los objetivos del ataque.

Finalmente, con las credenciales apropiadas, ingresaron a los servidores que

contenan la informacin deseada, la comprimieron, cifraron y la movieron a un
servidor interno para posteriormente ser extrada por medio de FTP a un servidor de
un proveedor de servicios de hosting (el cual haban hackeado con anterioridad).

2. Quines fueron los atacantes?

En marzo del 2011, piratas informticos violaron la red informtica de RSA, sucursal
de la empresa EMC, obteniendo informacin sobre la tecnologa SecurID que se utiliza
para proteger redes de ordenadores en el mundo entero.

3. Cul fue la vulnerabilidad?

 La inclusin en sus sistemas se produjo haciendo uso del CVE-2011-0609, un fallo de
seguridad en Flash del que se saba que estaba siendo explotado de forma activa
mediante la incrustacin de ficheros en Excel. Para colarse se enviaron correos
electrnicos a empleados de no alto nivel en la escala de la RSA y uno de ellos lo
rescat de la junk folder con la curiosidad necesaria para abrir el fichero Excel adjunto.

Otra vulnerabilidad del RSA fue que no consideraba a estos usuarios particularmente
de perfil alto u objetivos valiosos, ya que, siendo una organizacin de alto calibre,
todos los usuarios con acceso a la red deberan ser considerados de alto riesgo y
protegidos por igual.

4. Cmo ingresaron?
El atacante inici un ataque de phishing durante dos das por correo
electrnico.
Este correo tuvo como objetivo a un grupo reducido de empleados sin
privilegios.
Una de las vctimas abri un archivo Excel adjunto al correo y ste instal un
backdoor.
Una vez instalado el backdoor, permiti el control remoto de la computadora
afectada.
El atacante instal una herramienta de administracin remota que se
conectaba en forma reversa, siendo difcil de detectar.
El atacante tom todas las credenciales de acceso de la computadora y ataco
a usuarios sin privilegios administrativos y por medio de ataques de elevacin
de privilegios obtuvo acceso a usuarios con los privilegios necesarios para
lograr los objetivos del ataque.

5. Cul era el objetivo de los atacantes?

No se sabe con exactitud cul fue el objetivo de los atacantes, pero s pudieron extraer
informacin confidencial que afecta a uno de los productos ms destacados de la
compaa como son los SecurID. La informacin robada permitira averiguar cmo
generan estos dispositivos estos nmeros de seis cifras, por lo que la mitad de este
esquema de seguridad se habra visto comprometida.

6. Qu productos de RSA fueron afectados?

Los ataques permitieron robar informacin de los productos de autenticacin de doble
factor SecurID.

7. Funcionaron las tecnologas de deteccin de ataques?

Si la RSA hubiera mantenido todo su software actualizado, el atacante hubiese
igualmente conseguido ejecutar cdigo. Lo que no funcion quizs fue su poltica ya
que una buena poltica de seguridad debera prohibir y entrenar expresamente a los
usuarios para no abrir archivos no solicitados, sin excusas.
8. Cul era el impacto del ataque de RSA?
Este hecho puede considerarse de una gravedad relativamente alta debido a que,
entre los clientes ms destacados de la compaa RSA se encuentran multitud de
grandes empresas y gobiernos, incluido el de los Estados Unidos.

9. Hubo repercusiones econmicas para RSA luego del ataque?

No hubo repercusiones econmicas, por no mencionar los costes de reemplazar los
tokens si hay que llegar a dicho extremo; pero con este ataque la RSA perdi mucha
credibilidad.

10. Cul es la relacin entre el ataque y lo revisado en las 4 sesiones de clase?

Este incidente en esta compaa de seguridad de reputada fama y experiencia

contrastada nos sirven para demostrar que nadie est a salvo de los
ciberdelincuentes. Con respecto al impacto que puedan tener estas incidencias sobre
el usuario comn, es difcil que la mayora de nosotros usemos el tipo de dispositivo
comprometido de la RSA, por lo que su alcance se limita a las grandes empresas y
gobiernos que los usan y los secretos que estos guardan.