O pesquisador Timo Hirvonen, da fabricante de antivírus F-Secure, pode ter descoberto a mensagem que iniciou a invasão dos sistemas da EMC, dona da empresa de segurança RSA. “Estou encaminhando o arquivo para sua revisão. Por favor, abra e visualize-o” é o conteúdo de duas frases da mensagem, que tem entre seus destinatários três funcionários da EMC e um anexo em formato Excel chamado “2011 Recruitment Plan” (Plano de Recrutamento 2011).
A RSA não confirmou a autenticidade do e-mail. A empresa deu poucos detalhes técnicos sobre o ataque que sofreu, limitando-se a informar que a mensagem havia sido “forjada bem o suficiente para convencer um funcionário a retirá-la da pasta de spam e abrir o arquivo Excel anexado”. Um executivo já havia dito em abril, no entanto, que o anexo do e-mail se chamava “2011 Recruitment Plan” e que ele estava no formato Excel.
No remetente da mensagem havia um endereço do site de empregos Beyond.com.
Hirvonen realiza buscas pela mensagem desde que o ataque foi anunciado, em março. Ele encontrou o e-mail no banco de dados do site VirusTotal, que analisa arquivos gratuitamente em cerca de 40 softwares antivírus e, em contrapartida, encaminha tudo que for enviado às empresas antivírus. Haveria ainda um segundo e-mail, que ainda não foi encontrado.
O ataque à RSA serviu para obter dados sobre o gerador de senha SecurID, usado por fabricantes de armas para o exército norte-americano e que eram, possivelmente, o objetivo final da série de ataques.
Entre as companhias atacadas devido à brecha na RSA estão a Lockheed Martin, fabricante dos caças F-22, e a Northrop Grumman, que fabrica porta-aviões para o exército norte-americano e também aviões bombardeiros como o B-2. As empresas confirmaram que foram atacadas, mas negaram que qualquer informação sigilosa tenha sido obtida pelos invasores.
Falha desconhecida
Arquivos do Excel normalmente são seguros, exceto quando usam uma brecha de segurança no programa. A suposta planilha enviada à RSA na verdade continha um arquivo no formato Adobe Flash que explorava uma falha até então desconhecida no software. Mesmo que a RSA tivesse seus sistemas atualizados, o ataque ainda teria funcionado.
Depois de obter o controle do sistema, o código instalava um software capaz de enviar informações para um site controlado pelos criminosos e também receber comandos. Teria sido a partir disso que o ataque avançou dentro da rede da RSA, eventualmente obtendo informações sigilosas sobre o SecurID e que forçaram a companhia a substituir os geradores de senhas de alguns clientes.
A falha no Flash já foi corrigida. A F-Secure produziu um vídeo mostrando o que acontece quando o arquivo é aberto em um computador vulnerável.