• Tweet

Tras varios meses de búsqueda, investigadores de seguridad han logrado obtener la copia del APT usada contra la seguridad de RSA y encontraron que se utilizó una variante del troyano de puerta trasera Poison Ivy.

En marzo, la intrusión a RSA Security, la cual resultó en el robo de datos relacionado al popular producto de autenticación de dos factores de la compañía SecurID,  fue ampliamente cubierta por los medios de comunicación.

Esto fue debido parcialmente por el silencio de RSA tras la violación y el hecho que resultó en ataques contra Lockhedd Martin y posiblemente contra otros contratistas militares de Estados Unidos. 

Finalmente, la compañía ofreció remplazar todos los tokens de SecurID para sus clientes, lo cual representa un estimado de 40 millones, pues ya se han reportado pérdidas de $60 millones como resultado de este incidente.

RSA previamente revelo que el ataque involucró un correo enviado a sus empleados, el cual contenía un archivo Excel llamado “Plan de Reclutamiento 2011”. Este archivo incluía un exploit de Día Cero de Flash Player.

Los investigadores de seguridad llevan meses tratando de localizar el archivo en cuestión, y finalmente hace una semana, Timo Hirvonene, un analista de malware de F-Secure, tuvo un gran avance.

Escribió una herramienta que analiza muestras de malware para objetos Flash probablemente asociados con un exploit de esta vulnerabilidad. Una de las muestras identificadas fue un archivo Outlook. Cuando Hirvoen lo abrió, se dio cuenta que era el mismo correo enviado a los empleados de RSA.

El asunto del correo fue “Plan de Reclutamiento 2011”, el contenido decía “Te reenvóo este archivo para revisión. Por favor ábrelo y revísalo”. El archivo adjunto se llamaba “Plan de Reclutamiento 2011.xls”.

Este es un ataque de correo electrónico estándar y directo. No hay nada excepcional en ello y es desconcertante que un empleado de una firma de seguridad, quien debió recibir entrenamiento, haya caído.

Aun más desconcertante es que el malware instalado por el exploit es impresionante, una variante de una herramienta de administración remota (RAT) llamada Poison Ivy. Esta puerta trasera es conocida desde 2006.

Sin embargo, el hecho de que el ataque usara un exploit de día cero y se enfocara a los clientes de un proveedor de seguridad, puede considerarse avazada. “Si alguien hackea a un proveedor de seguridad para obtener acceso a los sistemas de sus clientes, diríamos que el ataque es avanzado, aún si las medidas provisionales no erán complicadas”, dijo el jefe de investigación de F-Secure, Mikko Hypponen.