RSAの従業員は、10年間の機密保持契約（NDA）を終了したため、2011年に発生したイベントについて最終的に話すことができ ます。これらの出来事は、世界の情報セキュリティ業界の展望を永遠に変えました。つまり、それは穏やかに言えば、アメリカの諜報機関の間で深刻な懸念を引き起こした初めてのサプライチェーン攻撃でした。



サプライチェーン攻撃とは何ですか？ NSAやCIAなどの強力な敵を直接攻撃できない場合は、そのパートナーを見つけて、その製品に潜入します。そのようなハッキングの1つは、高度に保護された何百もの組織へのアクセスを一度に提供します。これ は最近SolarWindsで起こりました。..。しかし、RSAの元従業員はSolarWindsに目を向けており、既視感を持っています。実際、2011年に、未知のハッカーがRSAで最も価値のあるもの（シード（生成ベクトル）のリポジトリ）にアクセスできるようになりました。これらは、SecurIDハードウェアトークンで2要素認証コードを生成するために使用されます。これは、世界中の政府機関や軍事機関、防衛関連の請負業者、銀行、および無数の企業の数千万人のユーザーです。



しかし、すべてを順番に。



WiredのAndyGreenberg は、RSAの元従業員数名と話をしました。そのうちの1人は、「カーボンハッカーマシンと呼ばれたインシデント対応部門のハゲでひげを生やしたアナリスト」のトッドリーサムです。何かがおかしいと最初に疑ったのは彼であり、ユーザーの1人が自分のコンピューターからではなく、非標準の権限でオンラインに接続したことを指摘しました。彼はこのユーザーのログを数日間調べましたが、ハッキングがあったことが明らかになりました。ハッカーは内部ネットワークを掘り下げました。



何よりも悪いことに、彼らはシードボールトにたどり着きました。技術的には、このサーバーはオフラインで、インターネットおよびネットワークの他の部分から切断されている必要があります-エアギャップ保護。しかし実際には、ファイアウォールで保護され、15分ごとに接続されて、暗号化されたシードの新しいバッチが配布され、CDに書き込まれてクライアントに提供されました。 その後、バックアップとしてストレージに残りました。



これらの生成ベクトルに基づいて、2要素認証コードがSecurIDトークンで生成され、クライアントの従業員に配布されました。つまり、トークンとRSAサーバーの両方が独立して同じコードを生成しました。

トークンコードを取得するためのアルゴリズム

SecurID, 128- — (). . - — RSA , . - , .



- ( ). , -. , , . , , . , PIN, , - , .

誰かがシードリポジトリにアクセスすると、すべてのクライアントのSecurIDトークンが侵害されました。これはRSAの主な事業であるため、最悪の場合、会社は完全に閉鎖される可能性があります...



ネットワークログを調べた後、Leithamは、RSAのこれらの「王国への鍵」が実際に盗まれたと結論付けました。



彼は、ハッカーが9時間ストレージからシードを系統的に送り出し、FTP経由でクラウドプロバイダーRackspaceのハッキングされたサーバーに送信したときに、ログを恐怖で読みました。しかし、その後、彼は希望の光を与える何かに気づきました。盗まれた資格情報、このハッキングされたサーバーのユーザー名とパスワードがログをすり抜けました。 LeithamはすぐにリモートRackspaceマシンに接続し、盗まれた資格情報を入力しました。サーバー上のディレクトリには、盗まれたシードのコレクション全体が圧縮された.rarファイルとして含まれていました。



レイサム氏によると、ハッキングされたアカウントを使用して別の会社が所有するサーバーにログインし、そこでデータをいじくり回すことは、せいぜい非正統的な動きであり、最悪の場合、情報への不正アクセスに関する米国の法律の重大な違反です。しかし、このRackspaceサーバーで盗まれたRSA至聖所を見て、彼は躊躇しませんでした。「私は結果に備えていました」と彼は言います。 「いずれにせよ、ファイルを渡すことができませんでした」と彼はファイルを削除するコマンドを入力し、Enterキーを押しました。



しばらくすると、コンソールに「ファイルが見つかりません」という応答が返されました。彼はサーバーの内容をもう一度調べました。フォルダーは空でした。ハッカーは、データベースを削除しようとする数秒前に、サーバーからデータベースを取得しました。



彼は昼夜を問わず数日間ハッカーを探し、今では逃げる泥棒を袖でつかむところだった。しかし、彼は文字通り指をすり抜け、最も価値のある情報で霧の中に隠れていました（さらなる調査が示したように、これらは上海郊外の軍事ユニット61398に基づく中国人民解放軍のAPT1サイバーインテリジェンスユニットからのハッカーである可能性があります 。それら）。





軍事ユニット61398の場所、出典



数日後、RSAはハッキングの発表を余儀なくされました。そして、それはサイバーセキュリティの展望を本当に変えました。何千もの組織、世界で最も安全な機関、軍事請負業者を標的とした、最初の成功したサプライチェーン攻撃。 NotPetyaワーム、そしてSolarWindsシステム（世界中で18,000人の顧客）に同様のことが起こったのは10年後のことでしたが、当時、RSAの歴史は前例のないものでした。サプライチェーンの「プロキシ」を介して、この方法で攻撃を行うことが可能であるとは、ほとんど誰も想像していませんでした。



「サプライチェーン攻撃に目を向けました」と、RSAインシデントの独立した分析を発表したF-SecureのチーフサイエンティストであるMikkoHipponen氏は述べています。 「そしてそれは私の世界観を変えました。もしあなたが標的に侵入できないなら、あなたは犠牲者が使っている技術を見つけ、代わりにあなたはそこに侵入します。」



彼の同僚であるティモ・ヒルボネン氏は、この事件は、新しいクラスのハッカーによる脅威の高まりを心配するデモであったと述べています。外国の諜報命令を実行する高度な資格を持つ専門家から。 RSAはサイバーセキュリティ会社であり、そのビジネスは 他者を保護することです。彼女が自分自身を守ることさえできないのなら、どうすれば彼女は他の世界を守ることができるでしょうか？



質問は非常に文字通りでした。生成ベクトルの盗難は、重要な2FA防御が何千ものRSAクライアントで危険にさらされたことを意味しました。攻撃者は、生成ベクトルを盗んだ後、ほとんどすべてのシステムでSecureIDトークンからコードを入力する可能性があります。



10年後、RSAの主要な幹部の多くのNDAが期限切れになりました。そして、この事件の詳細を知ることができます。今日、RSAハッキングは、デジタル不安の現在の時代と、ソーシャルメディア、メディア、政治など、公共生活の多くの分野における政府のハッカーの驚くべき活動の前触れと見なされてい ます。 RSAのハッキングは 、断固とした敵が私たちが最も信頼しているものをどのように損なう可能性があるかについての教訓です。そして、あなたは何も信頼する必要がないからです。



事件の分析により、攻撃がどのように始まったかが明らかになりました。オーストラリアの従業員1人が、件名に「2011年の採用計画」とExcelスプレッドシートを添付した無実の電子メールを受信しました。内部には、Adobe Flashのゼロデイ脆弱性を悪用して、被害者のコンピューターに有名なPoison IvyTrojanをインストールするスクリプトが含まれていました 。



RSAネットワークへのエントリポイントは、被害者が新しいバージョンのWindowsまたはMicrosoft Officeを実行している場合、または多くの企業および政府ネットワークのシステム管理者が推奨するように、コンピューターにプログラムをインストールするためのアクセスが制限されている場合は機能しない、完全にありふれた実装です。 。



しかし、この侵入の後、攻撃者は彼らの本当の能力を発揮し始めました。実際、アナリストは、少なくとも2つのグループがネットワーク上で同時に動作していると結論付けました。 1つのグループがネットワークにアクセスし、高度な資格を持つ専門家の2番目のグループが、おそらく最初のグループの知識がなくても、このアクセスを使用しました。 2回目の攻撃ははるかに進んだ。



オーストラリアの従業員のコンピューターで、誰かがメモリから資格情報を抽出するツールを使用していました。次に、これらのアカウントを使用して他のマシンにログインします。次に、これらの新しいコンピュータのメモリがスキャンされ、新しいアカウントが検索されます。以下同様に、特権管理者のログインが見つかるまで続きます。結局、ハッカーは何百人ものユーザーの資格情報を含むサーバーにたどり着きました。このクレデンシャル盗難の手法は、今日では一般的です。しかし2011年、アナリストはハッカーがWeb上を移動するのを見て驚いた。「これは、私が今まで見た中で最も残酷なシステムを悪用する方法でした」と、経験豊富なソフトウェアエンジニアでRSAアルゴリズムの開発者であるBillDuaneは言います。



通常、このようなインシデントは、ハッカーが去った数か月後に発見されます。しかし、2011年のハッキングは特別なものでした。実際、捜査官は数日以内にハッカーに「追いつき」、彼らの行動を監視しました。 「彼らはシステムに侵入しようとしましたが、1、2分後に発見し、システムを完全にシャットダウンするか、システムにアクセスしました」とDuane氏は言います。 「私たちはリアルタイムで野獣のように戦った。」



レイサムが中央の金庫室から種を盗むハッカーを捕まえたのは、この熱狂的な小競り合いの真っ只中にありました。これはおそらく彼らの最優先事項でした。 Leithamは、15分ごとの通常の接続の代わりに、ログに毎秒何千もの継続的な要求を確認しました。ハッカーは、1つではなく、3つの侵害されたサーバーで生成ベクトルを収集し、接続された別のマシンを介して要求を渡しました。彼らはシードコレクションを3つの部分に分割し、それらをリモートRackspaceサーバーに移動してから、完全なRSAリポジトリデータベースにマージしました。 「これはすごいことだと思いました」とLithamは言います。 -ちょっと感心しました。しかし同時に、私たちは完全にたわごとにあることに気づきました。」



シードコレクションがコピーされたことがLeithamに夜明けし、サーバーからファイルを削除しようと遅れて試みた後、イベントの巨大さが彼を襲いました。彼は本当にRSAが終わったと思っていました。

パニック

深夜、警備員は金庫が奪われたことを知りました。 Bill Duaneは、損傷を制限し、さらなるデータの盗難を防ぐために、必要な数のネットワーク接続を物理的に切断することを警告しました。彼らは、特定の世代ベクトルにマッピングされる顧客情報を保護することを望んでいました。さらに、シードを復号化するために必要な秘密暗号化キーの盗難を防ぎたいと考えていました。 Duaneとマネージャーはデータセンターに入り、イーサネットケーブルを1本ずつ抜き始め、すべてのサーバーと会社のWebサイトさえもシャットダウンしました。「私は実際にRSAビジネスをシャットダウンしました」と彼は言います。 「私は会社を不自由にして、それ以上のデータリリースの可能性を阻止しました。」



翌日、RSAのCEOであるArt Covielloは、ハッキングが進行中であることを公表しました。詳細が明らかになるにつれ、侵略の規模は拡大した。当初、SecurIDシードストレージのハッキングについては知られていませんでしたが、この事実が明らかになったとき、経営陣は決定を下さなければなりませんでした。この事実をクライアントから隠すようにアドバイスする人もいました（その中には、特別なサービス、諜報機関、米軍）。しかし、それにもかかわらず、彼らは情報を開示することを決定しました-各クライアントに個人的に電話をかけ、4000万を超えるトークンをすべて交換するためです。しかし、RSAはそれほど多くのトークンを持っていることに近づいていませんでした...会社が生産を再開できるのはほんの数週間で、その後は少量になります。



90人近くのRSA従業員のグループが会議室を引き継ぎ、すべての顧客に数週間の電話をかけ始めました。彼らはスクリプトを作成し、SecurIDログインの一部としてPINを追加または拡張するなどの保護手段を通じて顧客を導き、ハッカーが複製しにくくしました。多くの場合、顧客は怒鳴り始めました、とRSAの北米の元営業部長であるDavidCastignolaは回想します。彼らはそれぞれ100回の電話をかけ、トップマネージャーや経営陣でさえこれに対処しなければなりませんでした（クライアントはあまりにも重要でした）。



同時に、パラノイアは会社全体に広がり始めました。 Castignolaは、最初の夜にネットワーク機器のある小さな部屋を通り過ぎたときのことを思い出します。突然、想像以上に多くの人がそこから出てきました。 「これらの人々は誰ですか？」彼は近くに立っていた別のリーダーに尋ねた。 「これは政府です」と彼は漠然と答えた。



実際、その時までに、NSAとFBIはすでに彼らの人々を会社を調査するために送り、防衛産業の請負業者であるノースロップ・グラマンと事件対応会社のマンディアント（偶然にもマンディアントの従業員は休憩の時にすでに現場にいました-で、RSAネットワークにセキュリティシステム用のセンサーをインストールします）。



RSAの従業員は決定的な行動を取り始めました。電話システムが危険にさらされる可能性があることを懸念して、同社はキャリアをAT＆TからVerizonに切り替えました。指導者たちは新しい電話さえ信用せず、対面の会議を開き、文書の紙のコピーを手渡した。 FBIは、攻撃者が会社のシステムに関する明らかなレベルの知識を持っているためにRSAのモグラを恐れて、すべての従業員の経歴をチェックし始めました。 現在のハバナ症候群のヒステリーの



ように、架空のスパイがレーザーマイクを使って周囲の森に盗聴するのを防ぐために、一部の事務局や会議室は茶色の紙の層で覆われています 。..。建物にバグがないかチェックしました。何人かの幹部はいくつかのバグを発見しましたが、それらのいくつかは非常に古く、バッテリーが切れていました。しかし、これらが事件と関係があるかどうかは明らかではありませんでした。



その間に、RSAセキュリティチームと外部の専門家が助けに来て、彼らが言ったように「建物を地面に取り壊す」ことを始めました。ディスクは、ハッカーが触れたすべてのマシンで、さらには隣接するマシンでもフォーマットされていました。「私たちはすべてを物理的に歩き回りました。コンピューターにハッカーがいた場合は、すべてを消去しました」と、RSAの元セキュリティディレクターであるSamCurry氏は述べています。「データを失った場合、それは残念です。」

第二波

インシデントが発表されてから約2か月後の2011年5月末時点で、RSAはまだ回復しており、お客様に謝罪していました。しかし、ここで第二の波が始まりました。



影響力のある技術ブロガーのRobertKringleyは、SecureIDトークンが侵害されたために主要な防衛産業の 請負業者がハッキングされたという噂を発表しました。会社のすべての従業員はトークンを変更する必要がありました。



2日後、ロイターはハッキングされた請負業者の名前を明らかにしました。 ロッキードマーティンは、産業スパイの金鉱です。





ロッキードマーティンF-35ライトニングII第5世代多目的戦闘爆撃機



ニュースの次の日に 防衛産業の請負業者であるノースロップグラマンとL-3コミュニケーションズが言及され、SecurIDトークンの生成ベクトルを持つハッカーが言及されましたが、軍事請負業者について話しているため、明白な理由で具体的な証拠は提供されませんでした（米国政府の上位100の請負業者を参照） ）。



しかし、2011年6月、RSAの最高経営責任者は、盗まれたシードが実際にロッキードマーティンへの攻撃に使用されたことを認めました。 10年後、彼はすでに彼の言葉をあきらめています。現在、元企業幹部は、RSAシードの使用が証明されたことは一度もないと述べています。



2013年に、プエルトリコで開催されたカスペルスキーセキュリティアナリストサミットフォーラムのロッキードマーティンの代表者が 詳細に語りました。ハッカーがネットワークに侵入するための足がかりとしてSecurIDトークンのコード生成ベクトルをどのように使用したか。



ロッキードマーティンの情報筋は現在、その調査の結果を確認しています。彼によると、同社は、ユーザーがトークンを失うことなく、ハッカーがSecurIDコードをリアルタイムで入力する方法を確認しました。これらのトークンを置き換えた後、ハッカーは古いトークンからコードを挿入できませんでした。



NSAは、その一部として、その後のハッキングにおけるRSAの役割に実際に疑問を呈したことはありません。で ブリーフィングハッキングの1年後の上院軍事委員会で、NSAのキースアレクサンダー長官は、RSAのハッキングにより、「少なくとも1人のアメリカの防衛請負業者が偽のIDを保持している誰かの犠牲になった」と述べ、国防総省はすべてを置き換えることを余儀なくされましたRSAトークン。



APT1の関与が明らかになったとき、ビルデュアンは上海にある本社の写真を印刷し、彼のオフィスのダーツボードに貼り付けました。



Duaneは、会社に20年以上在籍した後、2015年にRSAを去りました。有線の作者であるAndyGreenbergは、彼に次の質問をしました。「データセンターのサーバーがシャットダウンした後、RSAハッキングが本当に終了したのはいつだと思いますか。それとも、NSA、FBI、マンディアント、ノースロップが調査を終えて去ったのはいつですか？」エンジニアは、「攻撃は決して終わっていないと信じていました。彼らがバックドアを置き去りにし、いつでもネットワークに侵入できることを私たちは知っていました。」



DuaneとRSAの悲しい経験は、彼が言ったように、「すべてのネットワークが汚れている」ことを私たち全員に教えてくれるはずです。現在、彼は企業にシステムをセグメント化し、最も価値のあるデータを分離して、すでに境界を突破した敵にもアクセスできないようにするようアドバイスしています。



Todd Leithamに関しては、彼は過去6か月間、既視感の暗い感覚でSolarWindsの大失敗を見てきました。彼は、RSAの歴史から、同僚よりも鋭い言葉で結論を導き出します。彼の意見では、今日のグローバルな情報セキュリティシステムがいかに脆弱であるかを示すまれな証拠でした。「これは竜巻の前のカードの家です」と彼は言います。



彼は、SolarWindsがこの構造の信頼性がいかに低いかを示していると主張しています。レイサムにとって、セキュリティの世界は、脅威モデル以外の何かを盲目的に信頼していました。敵がそれを危うくすることができると誰も想像しませんでした。そして再び、敵はカードの家の一番下に立っていたカードを引き出しました-そして誰もがそれが堅固な地面であると思いました。