Beruflich Dokumente
Kultur Dokumente
LOCKHEED MARTIN
BREACH
PRESENTADO POR:
CHUCHN TORRES CARLOS
ISLA ARIAS JOSUE
Implicad
os
RSA Security
divisin de
seguridad de
EMC Corporation
Lockheed
Martin
RSA
Es un algoritmo
criptogrfico,
utilizado para
cifrar y firmar
digitalmente.
Rivest, Shamir y
Adleman
Son los fundadores,
profesores del MIT.
Lockheed Martin
contrata los
servicios de RSA
SecurID
Dispositivo de
doble
autenticacin;
token (1er factor)
y PIN dinmico
(2do factor)
Como funciona el
token
Generan un cdigo de autenticacin a
intervalos de tiempos fijos utilizando un
reloj integrado, estas claves aleatorias
conocidas como semillas es diferente
para cada token y usuario. Se cargan
en el correspondiente servidor RSA
SecurID.
El token es hardware diseado
resistente a la manipulacin.
Tipo de ataque
RSA
Date
Data
Impact
Marzo 17,
2011
APT
Targeted
Malware
Espionage
Intellectua
l Property
RSA
Secure ID
token
source
code
Potentially opens
customers to attack
RSA Secure
ID exploited
Corporate Unknown
Espionage
Brand Damage
Etapas
1ra
2ra
3ra
4ra
5ra
En nuestro caso, el atacante envi dos correos electrnicos de phishing diferentes durante un
perodo de dos das. Estos correos electrnicos fueron enviados a dos pequeos grupos de
empleados. Cuando nos fijamos en la lista de usuarios que fueron dirigidos, no se ve ningn indicio
evidente, nada que explique los objetivos de alto perfil o de alto valor. La lnea del asunto del
correo electrnico era "Plan de Reclutamiento 2011". Esto era suficientemente intrigante para que
uno de los empleados saque efectivamente el correo electrnico fuera de su caja de basura y haga
doble clic en el archivo adjunto de correo electrnico, queera unahoja declculoexceltitulado
La
hoja de clculo contiene un exploit de da cero que instala una puerta trasera a travs de la
2011Recruitmentplan.xls
vulnerabilidad de Adobe Flash (CVE-2011-0609). Adobe ya ha lanzado un parche de emergencia
para el da cero. El exploit inyecta cdigo malicioso en la PC del empleado, permitiendo el pleno
acceso a la mquina. El atacante en este caso instala una herramienta personalizada de
administracin remota conocida como una variante RAT Poison Ivy, si usted est familiarizado con
APT reconocer Poison Ivy, ya que ha sido ampliamente utilizado en muchos otros ataques,
La
siguiente
fase de una APT es moverse lateralmente dentro de la red una vez que estn
incluyendo
GhostNet.
comprometidas algunas de las PCs de los empleados. La cosa es que los puntos de entrada
iniciales no son suficientemente estratgico para los atacantes, sino que necesitan usuarios ms
accesos, ms derechos de administrador a los servicios pertinentes y servidores, etc.
En la cuarta etapa de la APT, el objetivo es extraer lo que pueda. El atacante, en el caso de RSA
estableci acceso a los servidores de almacenamiento intermedio en puntos de agregacin clave,
lo que hizo para prepararse para la extraccin. Luego entr en los servidores de inters, elimin
datos y se traslad a los servidores internos de parada donde los datos se agregan, se comprimen
y se cifran para la extraccin.
El atacante utiliz FTP para transferir muchos archivos RAR de contraseas protegidas desde el
servidor de archivos RSA a un servidor de almacenamiento intermedio fuera de una externa
mquina comprometida de un proveedor de hosting. Los archivos fueron retirados posteriormente
por el atacante y se eliminaron del host externo comprometido para quitar cualquier rastro del
ataque.