Як китайцям вдалося зламати захист та вкрасти секрети найбільших виробників зброї - Lockheed-Martin та Northrop-Grumman
Все почалося з скромного е-мейлу, який отримав один із пересічних працівників компанії EMC/RSA. Справа у тому, що RSA розробила технологію підсиленого захисту мереж, яка називається RSA SecurID. Саме нею були захищені внутрішні мережі компаній Lockheed-Martin та Northrop-Grumman, відомих своїм виробництвом авіа та ракетної техніки для потреб ВПК США.
Тобто китайці (практично ніхто не сумніваєьтся, що це були вони - причому не просто поодинокі хакери, а спецслужби), здійснили класичний обхідний маневр. Вони не могли подолати RSA SecurID і знайшли інше слабке місце - внутрішню мережу власне компанії RSA. Саме туди, одразу на чотирьох працівників, був надісланий е-мейл.
Що саме було в е-мейлі з'ясувалося лише днями, коли фахівці фірми з комп'ютерної безпеки після довгих пошуків знайшли його на сайті, де перевіряють файли на наявність вірусів. (Постраждалі компанії не ділилися інформацією про деталі атаки )
Е-мейл містив лише одну стрічку: "Я переслав тобі файл для перегляду. Будь ласка, відкрий і подивись". Лист було підроблено так, щоб відправником був відомий сервіс по набору персонала beyond.com, темою листа - було "план по прийому на роботу на 2011 рік". Працівник перевірив файл на віруси на згаданому сервісі, однак нічого не знайшов - тому що шкідлива програма, яка містилася в атачменті, використовувала вразливість Windows, про яку майже ніхто ще не знав на той момент (це так звана zero day вразливість)
Подивіться відео нижче, що відбувалося далі:
Файл відкрився у Excel, і ця програма запустила вбудований в файл флеш-об'єкт (навіщо Excel це робить - інше питання ). Той використав діру в системі, і записав на комп'ютер програму-троян. Яка в свою чергу з'єдналася з конкретною адресою в інтернеті, після чого оператор з цієї адреси мав повний контроль над зараженим компом і всіма приєднаними мережевими дисками, що ними користувався працівник, який необачно відкрив файл. Після цього нападники змогли розширити дірку в обороні далі, і вкрали достатньо даних про RSA SecurID, щоб потім зламати мережі Lockheed-Martin та Northrop-Grumman.
Масштаби і наслідки цього зламу - що було украдено - ці компанії вважають за краще не оглошувати. У принципі, подібний сценарій може статися з будь-яким користувачем Windows.
