‘Só um governo’ pode ter realizado ataque hacker, diz RSA

“Só podemos concluir que foi um ataque patrocinado por algum governo”, afirmou o presidente da RSA Tom Heiser durante a RSA Conference em Londres. Heiser se referia ao ataque sofrido pela companhia em março e que acabou vazando informações sobre o segredo de geração de chaves dos tokens SecurID, fabricados pela empresa.

O ataque, descrito como “sofisticado” pelo executivo, teria sido realizado por dois grupos hackers que “normalmente não trabalham juntos“.

Os invasores tinham conhecimento sobre a rede interna da RSA, incluindo as configurações de Active Directory, e criaram ferramentas específicas para o ataque. Para Heiser, os recursos, o trabalho em equipe e a sofisticação seriam sinais de que uma entidade governamental estaria patrocinando o ataque.

O SecurID é usado pela fabricante de armas Lockheed Martin. Após a invasão da RSA, a Lockheed Martin também foi atacada. A fabricante de armas confirmou o ataque, mas negou que qualquer informação sigilosa tenha sido obtida pelos invasores.

A RSA também inicialmente negou que o ataque fosse motivo de preocupação. Após a tentativa de invasão à Lockheed Martin, a RSA comunicou que estaria substituindo os tokens de diversas empresas.

E-mail de duas frases

Em agosto, especialistas encontraram o e-mail que teria começado a invasão. A mensagem foi enviada ao departamento de recursos humanos da RSA.

O e-mail tinha apenas duas frases: “Estou encaminhando o arquivo para sua revisão. Por favor, abra e visualize-o”.

Uma planilha do Excel supostamente contendo uma lista de candidatos na verdade executava um arquivo em Flash que explorava uma brecha ainda sem correção no plugin da Adobe. A partir desse ataque, outros computadores na rede foram sendo comprometidos, até que as informações sigilosas puderam ser copiadas.