Qualche tempo dopo le polemiche scaturite dall’ attacco al dongle SecurID per l’autenticazione a doppio fattore, RSA esce allo scoperto e rende pubblici i particolari di come gli ignoti cyber-criminali siano riusciti a violare i segreti meglio custoditi dalla società.
Alla base dell’attacco, dice ora RSA, c’è stata una mini-campagna di phishing concentrata su due piccoli gruppi di impiegati dal basso livello di sicurezza: le email spedite agli impiegati contenevano un allegato malevolo in formato Excel, pensato per sfruttare una vulnerabilità di Adobe Flash – ora corretta – con un exploit zero-day e la conseguente installazione di un malware con funzionalità backdoor.
Una volta “piantata” la backdoor sul PC aziendale – specificatamente una variante del noto trojan Poison Ivy , dice RSA – i cyber-criminali hanno sfruttato l’accesso segreto per portare a termine nuovi attacchi per la compromissione di account di più alto livello .
Neanche a dirlo, gli attacchi sono andati a segno, e a quel punto si è semplicemente trattato di recuperare informazioni sensibili sulla sicurezza dei prodotti RSA, compattarle in archivi RAR protetti da password, spostare gli archivi sui server compromessi ed “estrarli” verso hosting esterni tramite protocollo FTP.
RSA descrive l’attacco che ha colpito gli asset aziendali con una buona dovizia di particolari, ma se l’intento era quello di rassicurare o professare trasparenza il fallimento è doppio: l’azienda continua a nascondere quali e quante informazioni siano state rubate dai cyber-assalitori , spingendo clienti e osservatori esterni a temere il peggio.
Alfonso Maruccia