Как выяснилось, кража технологических секретов RSA, которая заставила изрядно поволноваться всех клиентов крупнейшего производителя средств интернет-защиты, стала возможна благодаря неосторожности одного из сотрудников компании, открывшему и тем самым запустившему вредоносный файл, полученный в спаме. По свидетельству экспертов, это был яркий пример целевой атаки, использующей приемы социальной инженерии и эксплойт 0-day. Атак осуществлялась по следующему сценарию: неизвестные злоумышленники разослали ряд спам-сообщений, адресованных разным группам служащих RSA среднего звена. По всей видимости, этому предшествовал сбор личной информации сотрудников, опубликованной в интернете ― в первую очередь, в социальных сетях. Авторам целевой спам-рассылки удалось заинтриговать лишь одного из получателей, но как показала данная ситуация- этого оказалось достаточно. «План расширения кадрового состава в 2011 году» с аттачем был извлечен нерадивым сотрудником из мусорной корзины почтового клиента, куда его направил защитный спам-фильтр, и зараженная xls-таблица открыта.

В результате отработки эксплойта, внедренного в Excel- файл, в систему был установлен бэкдор ― один из вариантов Poison Ivy. Чтобы не светить командный трафик, программа удаленного администрирования сама подключалась к центру управления для получения дальнейших инструкций. Проникнув во внутреннюю сеть RSA через эту брешь, хакеры начали поиск нужной информации и сотрудников с соответствующим уровнем доступа. Все, что удалось найти и скопировать из корпоративных хранилищ, киберворы вывели по ftp-каналам на сторонние  сервера, скачали и замели следы. Следует отметить, что с момента проникновения во внутреннюю сеть RSA незваные гости действовали очень оперативно. Защитные механизмы компании зафиксировали кибератаку, но оказались не в состоянии предотвратить кражу. RSA не преминула поставить клиентов в известность о неприятном инциденте и начатом расследовании, а также заверить их, что принимает все надлежащие меры по усилению защиты своей ИТ-инфраструктуры. Представитель компании пояснил, что украденная информация касается технологии, заложенной в линейку продуктов SecurID ― генераторов одноразовых паролей, карт персонального доступа к защищенным данным и прочих средств многоуровневой аутентификации. По мнению экспертов, последствия в виде целевых атак против систем SecurID на местах маловероятны. Тем не менее, похищенные данные потенциально могут быть использованы для подавления конкретного механизма двухуровневой авторизации в ходе комплексной кибератаки.