Zu dem Einbruch in RSA-Server wurden nun von RSA Details zu der Art des Angriffs bekannt gegeben.

Zwei Phishing-Mails wurden über einen Zeitraum von zwei Tagen an eine kleine Gruppe von Mitarbeitern von RSA gesendet. Der Betreff lautete „2011 Recruitment Plan“. Die Mail war gut geschrieben, sodass diese aus dem Spam-Ordner geholt wurde. Im Anhang fand sich ein Excel-Dokument „2011 Recruitment plan.xls“.

In dieses war eine Flash-Anwendung eingebettet, die das Programm Adobe über einen Zero-Day-Exploit angriff. Auf Computern wurde als Trojanisches Pferd die Fernwartungssoftware (oder auch Trojanerbaukasten) „Poison Ivy“ installiert. Über Priviledge-Escalation wurde Zugriff auf die Benutzerkonten (Administratorkonten) mit höheren Rechten möglich. Dies ermöglicht es Angreifen, die Rechte quasi zu eskalieren. Über ein Benutzerkonto mit wenigen Rechten kann somit durch die Ausnutzung von Sicherheitslücken auf das System mit Administratorrechten zugegriffen werden.

Die Daten wurden gepackt und verschlüsselt und per FTP vom Server auf einen anderen geknackten Server kopiert. Danach wurden die Daten vom Angreifer auf seinen Rechner kopiert und die Daten am Server gelöscht, um die Spuren zu verschleiern.

Artikel von theregister.co.uk, 04.04.2011: RSA explains how attackers breached its systems
Artikel von v3.co.uk, 02.04.2011: RSA provides details of SecureID attack methodology