CASO RSA

LOCKHEED MARTIN
BREACH
PRESENTADO POR:
CHUCHN TORRES CARLOS
ISLA ARIAS JOSUE

Implicad
os
RSA Security
divisin de
seguridad de
EMC Corporation

Lockheed
Martin

RSA
Es un algoritmo
criptogrfico,
utilizado para
cifrar y firmar
digitalmente.

Rivest, Shamir y
Adleman
Son los fundadores,
profesores del MIT.

Lockheed Martin
contrata los
servicios de RSA

SecurID
Dispositivo de
doble
autenticacin;
token (1er factor)
y PIN dinmico
(2do factor)

En este caso los

atacantes se
metieron con el
segundo factor el
PIN dinmico.

Como funciona el
token
Generan un cdigo de autenticacin a
intervalos de tiempos fijos utilizando un
reloj integrado, estas claves aleatorias
conocidas como semillas es diferente
para cada token y usuario. Se cargan
en el correspondiente servidor RSA
SecurID.
El token es hardware diseado
resistente a la manipulacin.

Tipo de ataque

RSA

Date

Attack Type Motive

Data

Impact

Marzo 17,
2011

APT
Targeted
Malware

Espionage

Intellectua
l Property

RSA
Secure ID
token
source
code

Potentially opens
customers to attack

RSA Secure
ID exploited

Corporate Unknown
Espionage

Lockheed Mayo 28,

Martin
2011

Brand Damage

APT (Advanced Persistent

Threat)

APT (Advanced Persistent Threat)

Se
aprovechan
de
vulnerabilidades
desconocidas oficialmente, el principal fin de
este ataque es el espionaje empresarial,
gubernamental y militar.
Son diseados para mantenerse oculto en el
sistema
atacado,
utilizan tcnicas
de
ingeniera social muy concretas.
El atacante es mucho mas paciente, suelen
tener mayor motivacin econmica.

Etapas

1ra
2ra
3ra
4ra
5ra

En nuestro caso, el atacante envi dos correos electrnicos de phishing diferentes durante un
perodo de dos das. Estos correos electrnicos fueron enviados a dos pequeos grupos de
empleados. Cuando nos fijamos en la lista de usuarios que fueron dirigidos, no se ve ningn indicio
evidente, nada que explique los objetivos de alto perfil o de alto valor. La lnea del asunto del
correo electrnico era "Plan de Reclutamiento 2011". Esto era suficientemente intrigante para que
uno de los empleados saque efectivamente el correo electrnico fuera de su caja de basura y haga
doble clic en el archivo adjunto de correo electrnico, queera unahoja declculoexceltitulado
La
hoja de clculo contiene un exploit de da cero que instala una puerta trasera a travs de la
2011Recruitmentplan.xls
vulnerabilidad de Adobe Flash (CVE-2011-0609). Adobe ya ha lanzado un parche de emergencia
para el da cero. El exploit inyecta cdigo malicioso en la PC del empleado, permitiendo el pleno
acceso a la mquina. El atacante en este caso instala una herramienta personalizada de
administracin remota conocida como una variante RAT Poison Ivy, si usted est familiarizado con
APT reconocer Poison Ivy, ya que ha sido ampliamente utilizado en muchos otros ataques,
La
siguiente
fase de una APT es moverse lateralmente dentro de la red una vez que estn
incluyendo
GhostNet.
comprometidas algunas de las PCs de los empleados. La cosa es que los puntos de entrada
iniciales no son suficientemente estratgico para los atacantes, sino que necesitan usuarios ms
accesos, ms derechos de administrador a los servicios pertinentes y servidores, etc.
En la cuarta etapa de la APT, el objetivo es extraer lo que pueda. El atacante, en el caso de RSA
estableci acceso a los servidores de almacenamiento intermedio en puntos de agregacin clave,
lo que hizo para prepararse para la extraccin. Luego entr en los servidores de inters, elimin
datos y se traslad a los servidores internos de parada donde los datos se agregan, se comprimen
y se cifran para la extraccin.
El atacante utiliz FTP para transferir muchos archivos RAR de contraseas protegidas desde el
servidor de archivos RSA a un servidor de almacenamiento intermedio fuera de una externa
mquina comprometida de un proveedor de hosting. Los archivos fueron retirados posteriormente
por el atacante y se eliminaron del host externo comprometido para quitar cualquier rastro del
ataque.