Interessanterweise hat dieser insgesamt doch recht spektakuläre Angriff aus dem letzten Jahr in den deutschen Medien weitaus weniger Wellen geschlagen als in den USA. Dabei ist die Marktverbreitung der Token von RSA im deutschen Unternehmens- und Behördenumfeld absolut vergleichbar. Aber mehr hierzu später.
Das eigentliche Ziel
Eigentliches Ziel ist vermutlich Wirtschaftsspionage bei Lockhead Martin. Doch als großer Rüstungskonzern und Lieferant für Sicherheitsarchitekturen an die US Regierung ist dies kein leichtes Angriffsziel. Die größte Wahrscheinlichkeit einen erfolgreichen Angriff auf das Unternehmen durchzuführen, führt aufgrund der starken Sicherheitsinfrastruktur über das Kompromittieren eines erlaubten Zugriffs. Bei normalen Anwendern wäre dies das Herausfinden oder Erraten des Kennwortes. Im Fall Lockhead Martins werden jedoch sogenannte 2-Faktor-Token eingesetzt. Ein Kennwort alleine genügt nicht, zusätzlich wird der Token benötigt, um eine Authentifizierung durchzuführen. Doch die eingesetzten Token des Herstellers RSA (aus dem Konzern EMC) haben aufgrund ihrer Architektur ein Problem: die Sicherheit der Token hängt an sogenannten „Seeds“ und der jeweils aktuellen Uhrzeit. Diese Seeds, oder auch Ursprungsschlüssel, werden beim Herstellungsprozess auf die Token aufgebracht, sie sind dem Hersteller somit bekannt.
Was zuerst geschah
Im März 2011 erhalten Mitarbeiter von RSA, dem Hersteller der bei Lockhead Martin im Einsatz befindlichen 2-Faktor-Token, eine E-Mail mit dem Anhang „2011 Recruitment plan.xls“ und dem einfachen Text "I forward this file to you for review. Please open and view it". Beim Öffnen der Microsoft Excel-Datei wird automatisch ein darin eingebundenes Adobe Flash-Objekt ausgeführt. Dieses Flash-Objekt nutzt eine zu diesem Zeitpunkt noch nicht behobene Schwachstelle in dem Adobe Flashplayer aus, um ein sogenanntes „Backdoor“ zu installieren, also ein im Hintergrund unsichtbar arbeitendes Programm zur Fernsteuerung des Rechners.
Über das Backdoor ist es dem Angreifer nun weiterhin möglich, in Ruhe von dem kompromittierten System das Netzwerk innerhalb des Unternehmens RSA von einem vertrauenswürdigen Rechner aus zu analysieren – auch wenn der Anwender die E-Mail als vermeintlichen Irrläufer ignoriert.
Für den Laien mag dieses Vorgehen bereits spektakulär klingen, allerdings handelt es sich hier tatsächlich noch um einen Standard-Angriff aus der Retorte, einzig die frühe Ausnutzung der nicht behobenen Flash-Lücke ist anspruchsvoller. Den Angreifern ist es gelungen gleich zwei Systeme zu kompromittieren und so von zwei getrennten Bereichen im Netzwerk aus zu agieren.
Das Versteckspiel
Jetzt kommt der interessantere Teil der Geschichte. Als Security-Hersteller besitzt auch RSA ein sogenanntes Security Response Team, welches bei Anomalien im Netzwerk aktiv wird und versucht, den Angreifer zu überführen und Schaden abzuwenden. Wenn ein Angreifer anfängt im Netzwerk zu wühlen oder unerlaubte Zugriffe durchzuführen, werden Alarmmeldungen generiert.
Aber ähnlich wie man das Handy-Klingeln auf einem Rock-Konzert kaum noch wahrnimmt sind auch die Angreifer vorgegangen: Während über den einen kompromittierten Rechner laut Rock‘n‘Roll gespielt wurde, sind die zarten Analysen des anderen Rechners in der Lautstärke untergegangen. Da das Security Response Team genauere Informationen des Angreifers herausfinden wollte, ist die Verbindung nicht sofort gekappt worden, sondern man hat Aktivitäten beobachtet sowie eine Rückverfolgung zur Quelle gestartet.
Etappensieg für die Angreifer
Genauere Details über das Wie sind nicht bekannt, aber es ist den Angreifern durch dieses Ablenkungsmanöver gelungen den Algorithmus der 2-Faktor-Token von RSA zu erbeuten, und viel entscheidender noch auch die Ursprungsschlüssel im Umlauf befindlicher Token, den sogenannten Seeds, aus der zentralen Datenbank zu extrahieren. Damit können die Angreifer nun eine virtuelle Kopie der Token auf dem Computer simulieren.
Der nächste Schritt
Nun können die Angreifer die vermeintlich zusätzliche Sicherheit der Token aushebeln. Alles was sie noch wissen müssen, um die virtuelle Identität eines Mitarbeiters anzunehmen, ist das Kennwort eines Anwenders sowie die ihm zugewiesene Seriennummer des Tokens. Lockhead Martin hat bezüglich der weiteren Details des Angriffs keinerlei Informationen veröffentlicht. Vermutlich wurden hier Phishingmails verwendet, in denen die Mitarbeiter aufgefordert wurden, ihr Kennwort aufgrund von Sicherheitsmaßnahmen zu ändern, dabei wurde die Token-Nummer gleich mit abgefragt - und eine Änderung des Kennworts war auch nur bei gültiger Token-Nummer möglich, denn die Prüfung auf Gültigkeit konnten die Angreifer durch die erbeuteten Algorithmen ebenfalls durchführen.
Reaktion von RSA/EMC
RSA hat seitdem begonnen „auf Anfrage“ die Token ihrer Kunden auszutauschen. Dieses Vorgehen lässt sich am besten mit dem Ruf des Gefängniswärters vergleichen: „Sie haben die Tür aus den Angeln gehoben, lasst uns schnell eine neue Tür einsetzen“. Anstatt also das Verfahren grundlegend zu reformieren geht nun das gleiche Spiel von vorne los.
Das eigentliche Ziel
Eigentliches Ziel ist vermutlich Wirtschaftsspionage bei Lockhead Martin. Doch als großer Rüstungskonzern und Lieferant für Sicherheitsarchitekturen an die US Regierung ist dies kein leichtes Angriffsziel. Die größte Wahrscheinlichkeit einen erfolgreichen Angriff auf das Unternehmen durchzuführen, führt aufgrund der starken Sicherheitsinfrastruktur über das Kompromittieren eines erlaubten Zugriffs. Bei normalen Anwendern wäre dies das Herausfinden oder Erraten des Kennwortes. Im Fall Lockhead Martins werden jedoch sogenannte 2-Faktor-Token eingesetzt. Ein Kennwort alleine genügt nicht, zusätzlich wird der Token benötigt, um eine Authentifizierung durchzuführen. Doch die eingesetzten Token des Herstellers RSA (aus dem Konzern EMC) haben aufgrund ihrer Architektur ein Problem: die Sicherheit der Token hängt an sogenannten „Seeds“ und der jeweils aktuellen Uhrzeit. Diese Seeds, oder auch Ursprungsschlüssel, werden beim Herstellungsprozess auf die Token aufgebracht, sie sind dem Hersteller somit bekannt.
Was zuerst geschah
Im März 2011 erhalten Mitarbeiter von RSA, dem Hersteller der bei Lockhead Martin im Einsatz befindlichen 2-Faktor-Token, eine E-Mail mit dem Anhang „2011 Recruitment plan.xls“ und dem einfachen Text "I forward this file to you for review. Please open and view it". Beim Öffnen der Microsoft Excel-Datei wird automatisch ein darin eingebundenes Adobe Flash-Objekt ausgeführt. Dieses Flash-Objekt nutzt eine zu diesem Zeitpunkt noch nicht behobene Schwachstelle in dem Adobe Flashplayer aus, um ein sogenanntes „Backdoor“ zu installieren, also ein im Hintergrund unsichtbar arbeitendes Programm zur Fernsteuerung des Rechners.
Über das Backdoor ist es dem Angreifer nun weiterhin möglich, in Ruhe von dem kompromittierten System das Netzwerk innerhalb des Unternehmens RSA von einem vertrauenswürdigen Rechner aus zu analysieren – auch wenn der Anwender die E-Mail als vermeintlichen Irrläufer ignoriert.
Für den Laien mag dieses Vorgehen bereits spektakulär klingen, allerdings handelt es sich hier tatsächlich noch um einen Standard-Angriff aus der Retorte, einzig die frühe Ausnutzung der nicht behobenen Flash-Lücke ist anspruchsvoller. Den Angreifern ist es gelungen gleich zwei Systeme zu kompromittieren und so von zwei getrennten Bereichen im Netzwerk aus zu agieren.
Das Versteckspiel
Jetzt kommt der interessantere Teil der Geschichte. Als Security-Hersteller besitzt auch RSA ein sogenanntes Security Response Team, welches bei Anomalien im Netzwerk aktiv wird und versucht, den Angreifer zu überführen und Schaden abzuwenden. Wenn ein Angreifer anfängt im Netzwerk zu wühlen oder unerlaubte Zugriffe durchzuführen, werden Alarmmeldungen generiert.
Aber ähnlich wie man das Handy-Klingeln auf einem Rock-Konzert kaum noch wahrnimmt sind auch die Angreifer vorgegangen: Während über den einen kompromittierten Rechner laut Rock‘n‘Roll gespielt wurde, sind die zarten Analysen des anderen Rechners in der Lautstärke untergegangen. Da das Security Response Team genauere Informationen des Angreifers herausfinden wollte, ist die Verbindung nicht sofort gekappt worden, sondern man hat Aktivitäten beobachtet sowie eine Rückverfolgung zur Quelle gestartet.
Etappensieg für die Angreifer
Genauere Details über das Wie sind nicht bekannt, aber es ist den Angreifern durch dieses Ablenkungsmanöver gelungen den Algorithmus der 2-Faktor-Token von RSA zu erbeuten, und viel entscheidender noch auch die Ursprungsschlüssel im Umlauf befindlicher Token, den sogenannten Seeds, aus der zentralen Datenbank zu extrahieren. Damit können die Angreifer nun eine virtuelle Kopie der Token auf dem Computer simulieren.
Der nächste Schritt
Nun können die Angreifer die vermeintlich zusätzliche Sicherheit der Token aushebeln. Alles was sie noch wissen müssen, um die virtuelle Identität eines Mitarbeiters anzunehmen, ist das Kennwort eines Anwenders sowie die ihm zugewiesene Seriennummer des Tokens. Lockhead Martin hat bezüglich der weiteren Details des Angriffs keinerlei Informationen veröffentlicht. Vermutlich wurden hier Phishingmails verwendet, in denen die Mitarbeiter aufgefordert wurden, ihr Kennwort aufgrund von Sicherheitsmaßnahmen zu ändern, dabei wurde die Token-Nummer gleich mit abgefragt - und eine Änderung des Kennworts war auch nur bei gültiger Token-Nummer möglich, denn die Prüfung auf Gültigkeit konnten die Angreifer durch die erbeuteten Algorithmen ebenfalls durchführen.
Reaktion von RSA/EMC
RSA hat seitdem begonnen „auf Anfrage“ die Token ihrer Kunden auszutauschen. Dieses Vorgehen lässt sich am besten mit dem Ruf des Gefängniswärters vergleichen: „Sie haben die Tür aus den Angeln gehoben, lasst uns schnell eine neue Tür einsetzen“. Anstatt also das Verfahren grundlegend zu reformieren geht nun das gleiche Spiel von vorne los.
