Karyawan RSA telah mengakhiri perjanjian kerahasiaan (NDA) 10 tahun mereka, sehingga mereka akhirnya dapat membicarakan peristiwa yang terjadi pada tahun 2011 . Peristiwa ini mengubah lanskap industri keamanan informasi global selamanya. Yakni, itu adalah serangan rantai pasokan pertama yang menyebabkan keprihatinan serius di antara badan intelijen Amerika.



Apa itu serangan rantai pasokan? Jika Anda tidak dapat langsung menyerang musuh yang kuat seperti NSA atau CIA, maka Anda menemukan pasangan mereka - dan menyusup ke produk mereka. Salah satu peretasan semacam itu memberikan akses ke ratusan organisasi yang sangat terlindungi sekaligus. Ini terjadi baru-baru ini dengan SolarWinds.... Tetapi mantan karyawan RSA melihat ke SolarWinds dan memiliki rasa déjà vu. Memang, pada tahun 2011, peretas tak dikenal memperoleh akses ke hal paling berharga di RSA - gudang benih (vektor generasi). Mereka digunakan untuk menghasilkan kode otentikasi dua faktor dalam token perangkat keras SecurID, yang merupakan puluhan juta pengguna di lembaga pemerintah dan militer, kontraktor pertahanan, bank, dan perusahaan yang tak terhitung jumlahnya di seluruh dunia.



Namun, tentang segala hal secara berurutan.



Andy Greenberg dari Wired berbicara dengan beberapa mantan karyawan RSA. Salah satunya adalah Todd Leetham, "seorang analis botak dan berjanggut dari departemen respons insiden yang disebut mesin peretas karbon." Dialah yang pertama kali mencurigai ada sesuatu yang salah, mencatat bahwa salah satu pengguna online bukan dari komputernya dan dengan hak non-standar. Dia melihat log pengguna ini selama beberapa hari - dan menjadi jelas bahwa ada peretasan. Para peretas telah menggali diri mereka sendiri ke dalam jaringan internal.



Yang terburuk, mereka berhasil mencapai gudang benih. Secara teknis, server ini harus offline, terputus dari Internet dan dari jaringan lainnya - perlindungan celah udara. Namun dalam praktiknya, itu dilindungi oleh firewall dan terhubung setiap 15 menit untuk memberikan kumpulan baru benih terenkripsi, yang dibakar ke CD dan diberikan kepada klien. Mereka kemudian tetap berada di penyimpanan sebagai cadangan.



Berdasarkan vektor pembangkitan ini, kode otentikasi dua faktor dibuat pada token SecurID, yang didistribusikan ke karyawan klien. Artinya, token dan server RSA secara independen menghasilkan kode yang sama.

Algoritma untuk mendapatkan kode token

SecurID, 128- — (). . - — RSA , . - , .



- ( ). , -. , , . , , . , PIN, , - , .

Jika seseorang masuk ke repositori seed, maka itu membahayakan token SecurID di semua klien. Karena ini adalah bisnis utama RSA, dalam skenario terburuk, perusahaan dapat ditutup sama sekali ...



Setelah memeriksa log jaringan, Leitham menyimpulkan bahwa "kunci kerajaan" RSA ini memang telah dicuri.



Dia membaca dengan ngeri di log saat peretas secara metodis memompa benih dari penyimpanan selama sembilan jam dan mengirimnya melalui FTP ke server yang diretas di penyedia cloud Rackspace. Tapi kemudian dia melihat sesuatu yang memberi secercah harapan: kredensial yang dicuri, nama pengguna dan kata sandi untuk server yang diretas ini menyelinap melalui log. Leitham dengan cepat terhubung ke mesin Rackspace jarak jauh dan memasukkan kredensial yang dicuri. Dan ini dia: direktori di server masih berisi seluruh koleksi benih yang dicuri sebagai file .rar terkompresi.



Menggunakan akun yang diretas untuk masuk ke server yang dimiliki oleh perusahaan lain, dan mengutak-atik data di sana, menurut Leitham, paling banter adalah langkah yang tidak ortodoks, dan paling buruk merupakan pelanggaran serius terhadap undang-undang AS tentang akses tidak sah ke informasi. Tapi melihat RSA suci yang dicuri di server Rackspace ini, dia tidak ragu-ragu: "Saya siap dengan konsekuensinya," katanya. "Bagaimanapun, saya tidak bisa memberikan file kami," dan dia memasukkan perintah untuk menghapus file dan menekan Enter.



Beberapa saat kemudian, tanggapan datang ke konsol: "File tidak ditemukan." Dia memeriksa kembali isi server. Folder itu kosong. Peretas mengambil basis data dari server beberapa detik sebelum dia mencoba menghapusnya!



Dia memburu peretas selama beberapa hari, siang dan malam, dan sekarang dia hampir mencengkeram lengan baju pencuri yang melarikan diri. Tapi dia benar-benar menyelinap melalui jari-jarinya, bersembunyi di kabut dengan informasi paling berharga (seperti yang ditunjukkan penyelidikan lebih lanjut, ini bisa jadi peretas dari unit intelijen cyber APT1 dari Tentara Pembebasan Rakyat China yang berbasis pada unit militer 61398 di pinggiran kota Shanghai . mereka).





Lokasi unit militer 61398, sumber



Beberapa hari kemudian, RSA terpaksa mengumumkan peretasan tersebut. Dan itu benar-benar telah mengubah lanskap keamanan siber. Serangan rantai pasokan pertama yang berhasil, menargetkan ribuan organisasi, agensi paling aman di dunia, dan kontraktor militer. Tidak sampai sepuluh tahun kemudian hal serupa terjadi pada worm NotPetya, dan kemudian pada sistem SolarWinds (18.000 pelanggan di seluruh dunia), tetapi pada saat itu, sejarah RSA belum pernah terjadi sebelumnya. Hampir tidak ada yang membayangkan bahwa melakukan serangan dengan cara ini - melalui "proxy" dalam rantai pasokan dapat dilakukan.



“Ini membuka mata saya untuk serangan rantai pasokan,” kata Mikko Hipponen, kepala ilmuwan di F-Secure, yang menerbitkan analisis independen atas insiden RSA. "Dan itu mengubah pandangan saya tentang dunia: jika Anda tidak dapat menembus target, maka Anda menemukan teknologi yang digunakan korban, dan sebaliknya, Anda menembusnya."



Rekannya, Timo Hirvonen, mengatakan insiden itu merupakan demonstrasi mengkhawatirkan dari meningkatnya ancaman dari kelas baru peretas. Dari spesialis berkualifikasi tinggi yang melaksanakan perintah intelijen asing. RSA adalah perusahaan keamanan dunia maya dan bisnisnya adalah melindungi orang lain . Jika dia bahkan tidak bisa melindungi dirinya sendiri, bagaimana dia bisa melindungi seluruh dunia?



Pertanyaannya cukup literal. Pencurian vektor generasi berarti bahwa pertahanan 2FA yang kritis telah dikompromikan pada ribuan klien RSA. Setelah mencuri vektor generasi, penyerang dapat memasukkan kode dari token SecureID di hampir semua sistem.



Sepuluh tahun kemudian, NDA dari banyak eksekutif utama RSA telah kedaluwarsa - dan kami dapat mengetahui detail insiden ini. Saat ini, peretasan RSA dipandang sebagai pertanda era ketidakamanan digital kita saat ini dan aktivitas luar biasa dari peretas pemerintah di banyak bidang kehidupan publik, termasuk media sosial, media, dan politik. Meretas RSA adalah pelajaran tentang bagaimana musuh yang gigih dapat merusak apa yang paling kita percayai . Dan karena Anda tidak harus mempercayai apa pun.



Analisis insiden tersebut mengungkapkan bagaimana serangan itu dimulai - dengan e-mail tidak bersalah yang diterima oleh seorang karyawan Australia, dengan baris subjek "Rencana perekrutan untuk 2011" dan spreadsheet Excel terlampir. Di dalamnya ada skrip yang mengeksploitasi kerentanan 0day di Adobe Flash, menginstal Poison Ivy Trojan yang terkenal di komputer korban .



Titik masuk ke jaringan RSA adalah implementasi yang sangat umum yang tidak akan berfungsi jika korban menjalankan versi Windows atau Microsoft Office yang lebih baru atau memiliki akses terbatas untuk menginstal program di komputernya, seperti yang direkomendasikan oleh sysadmin di banyak jaringan perusahaan dan pemerintah .



Tetapi setelah infiltrasi ini, para penyerang mulai menunjukkan kemampuan mereka yang sebenarnya. Faktanya, analis menyimpulkan bahwa setidaknya dua grup beroperasi secara bersamaan di jaringan. Satu kelompok memperoleh akses ke jaringan, dan kelompok kedua yang terdiri dari spesialis berkualifikasi tinggi menggunakan akses ini, mungkin tanpa sepengetahuan kelompok pertama. Serangan kedua jauh lebih maju.



Di komputer karyawan Australia, seseorang menggunakan alat yang mengekstrak kredensial dari memori. Dia kemudian menggunakan akun ini untuk masuk ke mesin lain. Kemudian memori komputer baru ini dipindai untuk mencari akun baru - dan seterusnya, hingga login dari administrator yang memiliki hak istimewa ditemukan. Pada akhirnya, para peretas sampai ke server yang berisi kredensial ratusan pengguna. Teknik pencurian kredensial ini umum saat ini. Namun pada tahun 2011, analis terkejut melihat peretas bergerak di seluruh web: "Itu benar-benar cara paling brutal untuk mengeksploitasi sistem kami yang pernah saya lihat," kata Bill Duane, insinyur perangkat lunak berpengalaman dan pengembang algoritme RSA.



Biasanya, insiden seperti itu ditemukan beberapa bulan setelah peretas pergi. Tapi peretasan 2011 itu istimewa: dalam beberapa hari, para penyelidik, pada kenyataannya, "menangkap" para peretas dan menyaksikan tindakan mereka. “Mereka mencoba membobol sistem, kami menemukannya setelah satu atau dua menit, dan kemudian mereka mematikan sistem sepenuhnya atau mengaksesnya,” kata Duane. "Kami bertarung seperti binatang buas dalam waktu nyata."



Di tengah pertempuran sengit inilah Leitham menangkap para peretas yang mencuri benih dari lemari besi pusat, yang seharusnya menjadi prioritas utama mereka. Alih-alih koneksi biasa setiap 15 menit, Leitham melihat ribuan permintaan terus menerus setiap detik di log. Peretas mengumpulkan vektor generasi bukan pada satu, tetapi pada tiga server yang disusupi, meneruskan permintaan melalui mesin lain yang terhubung. Mereka membagi koleksi benih menjadi tiga bagian, memindahkannya ke server Rackspace jarak jauh, dan kemudian menggabungkannya ke dalam database repositori RSA lengkap. "Saya pikir, ini luar biasa," kata Litham. - Aku mengaguminya. Tetapi pada saat yang sama saya menyadari bahwa kita benar-benar dalam masalah. "



Ketika Leitham sadar bahwa pengumpulan benih telah disalin, dan setelah melakukan upaya yang terlambat untuk menghapus file dari server, peristiwa dahsyat itu mengejutkannya: dia benar-benar mengira RSA telah berakhir.

Panik

Larut malam, petugas keamanan mengetahui bahwa lemari besi itu telah dirampok. Bill Duane membuat panggilan peringatan bahwa mereka secara fisik akan memutuskan koneksi jaringan sebanyak yang diperlukan untuk membatasi kerusakan dan menghentikan pencurian data lebih lanjut. Mereka berharap dapat melindungi informasi pelanggan yang memetakan ke vektor generasi tertentu. Selain itu, mereka ingin mencegah pencurian kunci enkripsi pribadi yang diperlukan untuk mendekripsi benih. Duane dan manajernya memasuki pusat data dan mulai mencabut kabel Ethernet satu per satu, mematikan semua server dan bahkan situs web perusahaan. “Saya benar-benar menutup bisnis RSA,” katanya. "Saya melumpuhkan perusahaan untuk menghentikan potensi rilis data lebih lanjut."



Keesokan harinya, CEO RSA Art Coviello membuat pengumuman publik bahwa peretasan sedang berlangsung. Skala invasi meningkat karena lebih banyak detail terungkap. Pada awalnya, tidak diketahui tentang peretasan penyimpanan benih SecurID, tetapi ketika fakta ini terungkap, manajemen harus membuat keputusan. Beberapa menyarankan untuk menyembunyikan fakta ini dari klien (di antaranya layanan khusus, intelijen, tentara AS). Namun demikian, mereka memutuskan untuk mengungkapkan informasi tersebut - untuk secara pribadi menelepon setiap klien dan mengganti lebih dari 40 juta token. Tetapi RSA tidak mendekati memiliki begitu banyak token ... Hanya dalam beberapa minggu perusahaan dapat melanjutkan produksi, dan kemudian dalam jumlah yang lebih kecil.



Sekelompok hampir 90 karyawan RSA mengambil alih ruang konferensi dan memulai panggilan beberapa minggu ke semua pelanggan. Mereka bekerja dengan skrip, memandu pelanggan melalui langkah-langkah perlindungan seperti menambahkan atau memperpanjang PIN sebagai bagian dari login SecurID untuk mempersulit peretas untuk mereplikasi. Dalam banyak kesempatan, pelanggan mulai berteriak, kenang David Castignola, mantan direktur penjualan RSA untuk Amerika Utara. Masing-masing melakukan ratusan panggilan ini, bahkan manajer puncak dan manajemen harus berurusan dengan ini (klien terlalu penting).



Pada saat yang sama, paranoia mulai menyebar ke seluruh perusahaan. Castignola ingat bagaimana pada malam pertama dia melewati sebuah ruangan kecil dengan peralatan jaringan - dan tiba-tiba sejumlah orang yang tidak masuk akal mulai keluar darinya, lebih dari yang dia bayangkan akan muat. "Siapakah orang-orang ini?" Dia bertanya kepada pemimpin lain, yang berdiri di dekatnya. "Ini pemerintah," jawabnya samar-samar.



Faktanya, pada saat itu, NSA dan FBI sudah mengirim orang-orang mereka untuk menyelidiki perusahaan, serta kontraktor pertahanan Northrop Grumman dan perusahaan tanggap insiden Mandiant (kebetulan, karyawan Mandiant sudah berada di lokasi pada saat istirahat- di, memasang sensor untuk sistem keamanan di jaringan RSA).



Karyawan RSA mulai mengambil tindakan tegas. Khawatir bahwa sistem telepon dapat dikompromikan, perusahaan mengalihkan operator dari AT&T ke Verizon. Para pemimpin bahkan tidak mempercayai telepon baru, mereka mengadakan pertemuan tatap muka dan menyerahkan salinan dokumen kertas. FBI, takut akan adanya tahi lalat di RSA karena tingkat pengetahuan penyerang yang jelas tentang sistem perusahaan, mulai memeriksa biografi semua karyawan.



Beberapa kantor eksekutif dan ruang konferensi telah ditutup dengan lapisan kertas coklat untuk mencegah mata-mata imajiner menguping di sekitar hutan dengan mikrofon laser, seperti histeria Sindrom Havana saat ini.... Bangunan itu diperiksa bugnya. Beberapa eksekutif menemukan beberapa bug, meskipun beberapa di antaranya sudah sangat tua sehingga baterainya mati. Tetapi tidak jelas apakah ini ada hubungannya dengan insiden tersebut.



Sementara itu, tim keamanan RSA dan spesialis dari luar yang didatangkan untuk membantu mulai "merobohkan gedung ke tanah", seperti yang mereka katakan. Disk diformat di setiap mesin yang disentuh peretas, dan bahkan di mesin tetangga. “Kami secara fisik berjalan di sekitar semuanya, dan jika ada peretas di komputer, kami menghapus semuanya,” kata Sam Curry, mantan direktur keamanan di RSA. "Jika Anda kehilangan data Anda, sayang sekali."

Gelombang kedua

Pada akhir Mei 2011, sekitar dua bulan setelah kejadian tersebut diumumkan, RSA masih dalam proses pemulihan dan meminta maaf kepada pelanggan. Tapi di sini gelombang kedua dimulai.



Blogger teknologi berpengaruh Robert Kringley menerbitkan rumor kontraktor pertahanan utama diretas karena token SecureID yang disusupi. Semua karyawan perusahaan harus mengganti token.



Dua hari kemudian, Reuters mengungkapkan nama kontraktor yang diretas: Lockheed Martin , tambang emas untuk spionase industri.





Lockheed Martin F-35 Lightning II Generasi Kelima Pembom Tempur Serbaguna



Di hari-hari berikutnya dalam berita kontraktor pertahanan Northrop Grumman dan L-3 Communications disebutkan, peretas dengan vektor generasi untuk token SecurID disebutkan, meskipun tidak ada yang memberikan bukti spesifik, untuk alasan yang jelas, karena kita berbicara tentang kontraktor militer (lihat 100 kontraktor teratas pemerintah AS ).



Namun, pada Juni 2011, Kepala Eksekutif RSA mengakui bahwa benih yang dicuri itu memang digunakan dalam penyerangan terhadap Lockheed Martin. Sepuluh tahun kemudian, dia sudah melepaskan kata-katanya. Kini, mantan eksekutif perusahaan mengatakan penggunaan bibit RSA tidak pernah terbukti.



Meski pada 2013, perwakilan Lockheed Martin di forum Kaspersky Security Analyst Summit di Puerto Rico menceritakan secara detailbagaimana peretas menggunakan vektor pembuatan kode untuk token SecurID sebagai batu loncatan untuk menembus jaringan.



Sumber Lockheed Martin kini membenarkan temuan investigasi itu. Menurutnya, perusahaan melihat bagaimana peretas memasukkan kode SecurID secara real time, sementara pengguna tidak kehilangan tokennya. Setelah mengganti token ini, peretas terus tidak berhasil memasukkan kode dari token lama.



NSA, pada bagiannya, tidak pernah benar-benar mempertanyakan peran RSA dalam peretasan berikutnya. Saat pengarahandi Komite Angkatan Bersenjata Senat setahun setelah peretasan, Direktur Jenderal NSA Keith Alexander mengatakan peretasan RSA "mengakibatkan setidaknya satu kontraktor pertahanan Amerika menjadi korban seseorang yang memegang ID palsu," dan Departemen Pertahanan terpaksa mengganti semua Token RSA.



Ketika keterlibatan APT1 terungkap, Bill Duane mencetak foto kantor pusat mereka di Shanghai dan menempelkannya ke papan panah di kantornya.



Duane meninggalkan RSA pada 2015 setelah lebih dari 20 tahun bersama perusahaan. Penulis kabel Andy Greenberg mengajukan pertanyaan ini kepadanya: "Menurut Anda, kapan peretasan RSA benar-benar berakhir setelah server di pusat data dimatikan? Atau ketika NSA, FBI, Mandiant dan Northrop menyelesaikan penyelidikan mereka dan pergi? " Insinyur itu menjawab, “Kami yakin serangan itu tidak akan pernah berakhir. Kami tahu mereka telah meninggalkan pintu belakang dan akan dapat menyusup ke jaringan kapan pun mereka mau. ”



Pengalaman menyedihkan Duane dan RSA seharusnya mengajarkan kita semua bahwa "setiap jaringan itu kotor," katanya. Sekarang dia menyarankan perusahaan untuk mensegmentasi sistem dan mengisolasi data yang paling berharga sehingga tidak dapat diakses bahkan oleh musuh yang telah menembus perimeter.



Adapun Todd Leitham, dia telah menyaksikan kegagalan SolarWinds selama enam bulan terakhir dengan perasaan gelap déjà vu. Dia menarik kesimpulan dari sejarah RSA dalam istilah yang lebih tajam daripada rekannya. Menurutnya, jarang ada bukti betapa rapuhnya sistem keamanan informasi global saat ini: "Ini adalah rumah kartu sebelum tornado," katanya.



Dia berpendapat bahwa SolarWinds telah menunjukkan betapa tidak dapat diandalkannya struktur ini. Bagi Leitham, dunia keamanan secara membabi buta mempercayai sesuatu di luar model ancamannya. Tidak ada yang membayangkan bahwa musuh dapat mengkompromikannya. Dan lagi, musuh mengeluarkan sebuah kartu yang berdiri di bagian paling bawah dari rumah kartu - dan semua orang mengira itu adalah tanah yang kokoh.