F-secure: RSA gekraakt via Excel-bestand en Flash-exploit
Inmiddels heeft F-secure het mailtje waarin het Excel-bestand is opgenomen in handen gekregen. De e-mail was in maart naar de dienst Virus Total gestuurd om gescand te worden op malware. F-secure denkt dat het bestand door een medewerker van EMC, het moederbedrijf van RSA, naar Virus Total is verzonden.
Omdat alle verstuurde bestanden naar Virus Total voor deelnemende beveiligingsbedrijven zijn te bekijken, kwam F-secure de betreffende mail op het spoor. Het blijkt te gaan om een e-mail met inderdaad een Excel-bestand. Zodra het Excel-bestand wordt geopend, is uitsluitend één checkbox zichtbaar. Vervolgens wordt via een embedded Flash-object een zero day-exploit toegepast waardoor de Poison Ivy-backdoor op het systeem wordt geïnstalleerd. Na installatie van de malware is een systeem geheel in handen van de aanvaller en kan het gebruikt worden als springplank naar de rest van het systeem.
F-secure stelt dat de gebruikte exploit 'geavanceerd' is, mede omdat het doelgericht is ingezet bij een aanval op een gerenomeerd beveiligingsbedrijf. F-secure stelt dat RSA deze aanval niet kon tegenhouden met alleen het up-to-date houden van beveiligingssoftware.