Кража секретных данных, связанных с токенами RSA SecurID, используемыми 40 миллионами работников для получения доступа к закрытым сетям, началась с электронного письма, состоящего из 13 слов.

"Я предлагаю Вам этот файл на рассмотрение", - говорилось в письме, которое было разослано работникам головной компании RSA – EMC. "Пожалуйста, откройте и прочитайте его".

Никогда ранее не встречавшееся письмо было обнаружено Тимо Хирвоненом, исследователем из компании F-secure, более 5 месяцев назад после того, как кто-то взломал защиту RSA и украл закрытую информацию, касающуюся SecurID. Атака вызвала массу вопросов у специалистов в области вредоносного ПО, т.к. затем последовали хакерские атаки на Lockheed Martin и, возможно, других клиентов RSA.

Ранее RSA заявляла, что преступники рассылали 2 разных письма, адресованных небольшой группе не высокопоставленных сотрудников в течение двухдневного периода. Сообщения были достаточно заманчивы, чтобы заставить "одного из сотрудников извлечь письмо из папки нежелательных писем и открыть прикрепленный файл Excel", заявляют RSA. Компания говорит, что вредоносные файл выглядел как документ под названием "План комплектования штата 2011.xls", который содержал в себе вредоносный скрипт Adobe Flash, однако специалисты RSA не раскрывали его содержание исследователям, не задействованным в расследовании.

Хирвонен был одним из большого количества исследователей, кто бился над этим вредоносным файлом Excel. В конце концов он написал приложение, которое анализировало вредоносные объекты во Flash. Инструмент показал файл, прикрепленный к сообщению в Outlook, которое и являлось письмом, адресованным четверым сотрудникам EMC, отправленным третьего марта.

С двоичным кодом в руках, исследователь вскоре обнаружил, что кто-то загружал его на Virustotal 19 марта, двумя неделями после атаки и днем позже того, когда RSA обнаружили атаку. Это означало, что файл, над поиском которого специалисты бились так долго, находился у них под носом в течение 5 месяцев.

При открытии файла на машину жертвы устанавливался бекдор Poison Ivy. Как показано в видео, ничего не вызывает каких-либо подозрений.

Единственное, что было сложным в этой атаке, как считают в F-Secure, это эксплуатация раннее неизвестной уязвимости Flash (впоследствии Adobe пропатчил ее). Все остальное основывалось на нескольких примитивных принципах социальной инженерии, которые заставили сотрудника одной из наиболее надежных компаний в мире безопасности кликнуть на вредоносный объект.