Як китайцям вдалося зламати захист та вкрасти секрети найбільших виробників зброї - Lockheed-Martin та Northrop-Grumman

Оцінка статті на цей момент: +2/-0
Читати Не читати Коментувати
  • 2147 Перегляди
  • 0 Коментарі
  • 26/08/2011Дата публікації

Все почалося з скромного е-мейлу, який отримав один із пересічних працівників компанії EMC/RSA. Справа у тому, що RSA розробила технологію підсиленого захисту мереж, яка називається RSA SecurID. Саме нею були захищені внутрішні мережі компаній Lockheed-Martin та Northrop-Grumman, відомих своїм виробництвом авіа та ракетної техніки для потреб ВПК США.

Тобто китайці (практично ніхто не сумніваєьтся, що це були вони - причому не просто поодинокі хакери, а спецслужби), здійснили класичний обхідний маневр. Вони не могли подолати RSA SecurID і знайшли інше слабке місце - внутрішню мережу власне компанії RSA. Саме туди, одразу на чотирьох працівників, був надісланий е-мейл.

Що саме було в е-мейлі з'ясувалося лише днями, коли фахівці фірми з комп'ютерної безпеки після довгих пошуків знайшли його на сайті, де перевіряють файли на наявність вірусів. (Постраждалі компанії не ділилися інформацією про деталі атаки )

Е-мейл містив лише одну стрічку: "Я переслав тобі файл для перегляду. Будь ласка, відкрий і подивись". Лист було підроблено так, щоб відправником був відомий сервіс по набору персонала beyond.com, темою листа - було "план по прийому на роботу на 2011 рік". Працівник перевірив файл на віруси на згаданому сервісі, однак нічого не знайшов - тому що шкідлива програма, яка містилася в атачменті, використовувала вразливість Windows, про яку майже ніхто ще не знав на той момент (це так звана zero day вразливість)

Подивіться відео нижче, що відбувалося далі:

Файл відкрився у Excel, і ця програма запустила вбудований в файл флеш-об'єкт (навіщо Excel це робить - інше питання ). Той використав діру в системі, і записав на комп'ютер програму-троян. Яка в свою чергу з'єдналася з конкретною адресою в інтернеті, після чого оператор з цієї адреси мав повний контроль над зараженим компом і всіма приєднаними мережевими дисками, що ними користувався працівник, який необачно відкрив файл. Після цього нападники змогли розширити дірку в обороні далі, і вкрали достатньо даних про RSA SecurID, щоб потім зламати мережі Lockheed-Martin та Northrop-Grumman.

Масштаби і наслідки цього зламу - що було украдено - ці компанії вважають за краще не оглошувати. У принципі, подібний сценарій може статися з будь-яким користувачем Windows.

Оцінка статті на цей момент: +2/-0
Читати Не читати Коментувати
 
 

Коментарі 0

Для того, щоб писати свої коментарі, залогіньтесь! Якщо ви не маєте логіну, тоді спочатку зареєструйтесь, щоб його отримати!