Caso rsa lockheed martin bre

Caso rsa lockheed martin breachPresentado por: Chuchn torres carlosIsla arias josueImplicadosRSA Security divisin de seguridad de EMC CorporationLockheed Martin

RSAEs un algoritmo criptogrfico, utilizado para cifrar y firmar digitalmente. Rivest, Shamir y AdlemanSon los fundadores, profesores del MIT.Lockheed Martin contrata los servicios de RSASecurID

Dispositivo de doble autenticacin; token (1er factor) y PIN dinmico (2do factor)En este caso los atacantes se metieron con el segundo factor el PIN dinmico.Como funciona el token Generan un cdigo de autenticacin a intervalos de tiempos fijos utilizando un reloj integrado, estas claves aleatorias conocidas como semillas es diferente para cada token y usuario. Se cargan en el correspondiente servidor RSA SecurID.El token es hardware diseado resistente a la manipulacin.Tipo de ataqueDateAttack TypeMotiveDataImpactRSAMarzo 17, 2011APT Targeted MalwareEspionage Intellectual PropertyRSA Secure ID token source codePotentially opens customers to attackLockheed MartinMayo 28, 2011RSA Secure ID exploitedCorporate EspionageUnknownBrand DamageAPT (Advanced Persistent Threat)APT (Advanced Persistent Threat)

Se aprovechan de vulnerabilidades desconocidas oficialmente, el principal fin de este ataque es el espionaje empresarial, gubernamental y militar.Son diseados para mantenerse oculto en el sistema atacado, utilizan tcnicas de ingeniera social muy concretas.El atacante es mucho mas paciente, suelen tener mayor motivacin econmica.

EtapasEn nuestro caso, el atacante envi dos correos electrnicos de phishing diferentes durante un perodo de dos das. Estos correos electrnicos fueron enviados a dos pequeos grupos de empleados. Cuando nos fijamos en la lista de usuarios que fueron dirigidos, no se ve ningn indicio evidente, nada que explique los objetivos de alto perfil o de alto valor. La lnea del asunto del correo electrnico era "Plan de Reclutamiento 2011". Esto era suficientemente intrigante para que uno de los empleados saque efectivamente el correo electrnico fuera de su caja de basura y haga doble clic en el archivo adjunto de correo electrnico, queera unahoja declculoexceltitulado 2011Recruitmentplan.xlsLa hoja de clculo contiene un exploit de da cero que instala una puerta trasera a travs de la vulnerabilidad de Adobe Flash (CVE-2011-0609). Adobe ya ha lanzado un parche de emergencia para el da cero. El exploit inyecta cdigo malicioso en la PC del empleado, permitiendo el pleno acceso a la mquina. El atacante en este caso instala una herramienta personalizada de administracin remota conocida como una variante RAT Poison Ivy, si usted est familiarizado con APT reconocer Poison Ivy, ya que ha sido ampliamente utilizado en muchos otros ataques, incluyendo GhostNet.La siguiente fase de una APT es moverse lateralmente dentro de la red una vez que estn comprometidas algunas de las PCs de los empleados. La cosa es que los puntos de entrada iniciales no son suficientemente estratgico para los atacantes, sino que necesitan usuarios ms accesos, ms derechos de administrador a los servicios pertinentes y servidores, etc.En la cuarta etapa de la APT, el objetivo es extraer lo que pueda. El atacante, en el caso de RSA estableci acceso a los servidores de almacenamiento intermedio en puntos de agregacin clave, lo que hizo para prepararse para la extraccin. Luego entr en los servidores de inters, elimin datos y se traslad a los servidores internos de parada donde los datos se agregan, se comprimen y se cifran para la extraccin.El atacante utiliz FTP para transferir muchos archivos RAR de contraseas protegidas desde el servidor de archivos RSA a un servidor de almacenamiento intermedio fuera de una externa mquina comprometida de un proveedor de hosting. Los archivos fueron retirados posteriormente por el atacante y se eliminaron del host externo comprometido para quitar cualquier rastro del ataque.1ra2ra3ra4ra5ra