De aanval op systemen van RSA waarbij informatie over de werking van SecurID-sleutelgenerators werd buitgemaakt, is terug te voeren op twee groepen. Dat stelt RSA-topman Art Coviello. Een regering zou achter de aanval zitten.
De hack op systemen van RSA in maart is terug te leiden naar twee groepen, stelt Art Coviello, die de dagelijkse leiding over het bedrijf heeft. Bij de aanval werd informatie over de werking van SecurID-sleutelgenerators buitgemaakt. SecurID-sleutelgenerators worden gebruikt voor two-factor-authentication, waarbij naast een wachtwoord ook een willekeurig gegenereerde cryptografische sleutel moet worden ingevoerd, en zijn er zowel in software- als in hardwarevorm. Op de RSA Conference in Londen, waar Tweakers.net aanwezig is, gaven Coviello en medetopman Tom Heiser meer informatie over de SecurID-hack.
De twee groepen zouden in opdracht van een staat hebben gehandeld. Volgens Coviello wijzen de ernst van de aanval en de 'verfijnde' manier waarop deze is uitgevoerd daarop, evenals de hulpmiddelen die de hackers tot hun beschikking hadden. Ook zou informatie van de Amerikaanse opsporingsdiensten wijzen op betrokkenheid van een buitenlandse regering. Coviello wil niet zeggen om welk land het zou gaan, maar al langer wordt vermoed dat de Chinese overheid achter de aanval zit.
De twee groepen zouden zijn geïdentificeerd door de manier waarop ze te werk gingen en zijn bekenden van de autoriteiten, maar het was nog niet bekend dat ze ook samenwerkten. "Bij de aanval hield de ene groep de andere de hand boven het hoofd", aldus Heiser. De aanval van de ene groep was 'zichtbaar aanwezig', terwijl de andere groep in het geheim zijn gang ging. De aanvallers zouden hebben geweten hoe het RSA-netwerk in elkaar zat.
Het is nog altijd onbekend welke informatie precies is buitgemaakt bij de aanval. Heiser en Coviello zeggen dat dat geheim blijft, onder meer omdat er nog een onderzoek loopt. Beiden willen ook niet aangeven hoeveel sleutelgenerators moesten worden vervangen na het beveiligingsincident. "Maar ik kan wel zeggen dat het een relatief klein aantal was", stelt Coviello. "En inmiddels zijn alle generators die moesten worden vervangen, ook daadwerkelijk vervangen." Eerder kwam juist in het nieuws dat een groot deel van de gebruikte tokens zou worden vervangen.
Volgens Heiser was RSA niet het doel van de aanval, maar een middel om ergens anders binnen te komen. De hackers zouden echter niet genoeg informatie hebben gehad om een aanval uit te voeren. "Er is slechts één aanvalspoging op een ander bedrijf geweest en die was zonder succes", stelt Heiser. Mogelijk gaat het om vliegtuigbouwer Lockheed Martin, die in mei met beveiligingsproblemen kampte en externe toegang tot zijn netwerk uitschakelde.
"Bij de aanval werden twee phishing-mails gebruikt om binnen te komen bij het bedrijf", zegt Heiser. Het was al bekend dat phishing werd gebruikt om binnen te komen; beveiligingsbedrijf F-Secure claimde de hand te hebben gelegd op het desbetreffende mailtje. De hackers hadden volgens F-Secure een Excel-bestand met een malafide Flash-object gebruikt om binnen te komen. RSA geeft enkel toe dat een Excel-bestand is gebruikt.
RSA kreeg van zijn klanten kritiek omdat het bedrijf direct nadat het lek werd ontdekt naar de media stapte. "Op dat moment was dat echter de juiste beslissing", zegt Heiser. Klanten zeiden liever vooraf te zijn ingelicht, maar dat zou een ondoenlijke operatie zijn geweest. "We hebben tienduizenden klanten", aldus de topman.