חוקר אבטחה מסביר: כך התבצעה הפריצה למחשבי לוקהיד-מרטין

אימייל באורך של 13 מילים (באנגלית) הוא שהוביל, בסופו של דבר, לפריצה למערכות הרגישות של חברת מטוסי הקרב לוקהיד-מרטין - כך עולה מחקירת הנושא. ההאקרים גנבו מידע חסוי הקשור לאסימוני SecurID של חברת האבטחה RSA, שבהם משתמשים 40 מיליון איש כדי לקבל גישה לרשתות רגישות, בהם גם עובדי לוקהיד.

"אני מעביר לכם את המסמך הזה לעיון", נכתב באימייל הלא חתום שנשלח לארבעה עובדים בחברת האחסון EMC, חברת האם של RSA. "בבקשה פתחו אותו ועברו עליו".

האימייל נחשף בידי תימו הירבונן, חוקר בספקית תוכנת האנטי-וירוס F-Secure, כחמישה חודשים לאחר שנפרצו ההגנות של RSA ונגנב מידע סודי בנוגע ל- SecurID. ההתקפה משכה תשומת לב רבה מצד מומחי אבטחה, מכיוון שהיא הובילה לא רק לפריצה ללוקהיד-מרטין, אלא ככל הנראה גם ללקוחות אחרים של RSA, שמחזיקים במידע מסווג רב.

RSA מסרה בעבר כי התוקפים שלחו שני אימיילים שונים שהיוו, למעשה, הונאת פישינג. הם יועדו לקבוצות קטנות של עובדים בדרגות נמוכות, ונשלחו לאורך תקופה של יומיים. "ההודעות תוכננו בצורה מדויקת כדי להונות את אחד העובדים כך שיוציא אותה מתיקיית דואר הזבל, ויפתח את מסמך האקסל שצורף אליה", מסרה החברה. לפי RSA, צורף לאימיילים גיליון אלקטרוני בשם "2011 תכניות גיוס", שהכיל אובייקט פלאש זדוני. עם זאת, היא סירבה לחלוק את קוד הגליונות עם חוקרים יצוניים.

הירבונן היה בין שורת החוקרים שחיפשו אחר המסמך, והצליח ליצור אפליקציה שמנתחת תוכנות זדוניות המושתלות באובייקטי פלאש. האפליקציה חשפה הודעה באאוטלוק, שהתגלתה כאימייל שנשלח לארבעה עובדים של EMC ב-3 במרץ. ההודעה הכילה את הגיליון האלקטרוני המדובר, כולל האובייקט הזדוני. לפי הירבונן, מידע זה ישב ממש מתחת לאפם של החוקרים במשך חמישה חודשים.

המסקנה של F-Secure היתה שהחלק המתוחכם היחיד בהתקפה היה ניצול הפגיעות של פלאש, שאז עוד לא היתה ידועה (אדובי תיקנו זאת מאז). כל השאר התבסס על כמה מהדרכים הבסיסיות ביותר להונות עובדים, שהצליחו לפגוע גם באחת מחברות האבטחה המהימנות ביותר בעולם.