Een e-mail met de tekst "I forward this file to you for review. Please open and view it", is mogelijk de boosdoener waardoor aanvallers bij beveiligingsbedrijf RSA wisten in te breken en zeer vertrouwelijke gegevens buitmaakten. Met de gestolen gegevens werden vervolgens verschillende grote Amerikaanse defensiebedrijven, zoals Lockheed Martin, L-3 en Northrop Grumman aangevallen.

RSA liet weten dat dat er naar de HR-afdeling een e-mail was gestuurd met een Excel bestand genaamd "2011 Recruitment plan.xls." In dit bestand zat een exploit verstopt die een onbekend beveiligingslek in Adobe Flash Player misbruikte om de computer te infecteren. Vandaar werd de rest van het netwerk geïnfiltreerd.

VirusTotal
Een onderzoeker van het Finse anti-virusbedrijf F-Secure heeft maandag een e-mail ontdekt die zeer waarschijnlijk het bericht was waardoor de aanvallers bij RSA wisten binnen te komen. Timo Hirvonen vond de e-mail in de database van VirusTotal, de gratis dienst waar internetgebruikers bestanden op malware kunnen scannen. Gescande bestanden worden echter onder de deelnemende anti-virusbedrijven gedeeld.

"Het was lastig om deze te vinden", aldus Hirvonen. "We moesten echt ons best doen." Via een speciale tool die de VirusTotal database doorzocht, vond de Fin een Microsoft Outlook .msg-bestand. Toen Hirvonen het bestand opende ontdekte hij een e-mail met als onderwerp "2011 Recruitment plan", afkomstig van recruitmentbureau Beyond. De e-mail had als tekst "I forward this file to you for review. Please open and view it" en had als bijlage "2011 Recruitment plan.xls".

Bijlage
De naam kwam overeen met de omschrijving van RSA zelf en ook de gebruikte Flash exploit was identiek aan degene die tegen het beveiligingsbedrijf werd gebruikt. De gebruikte Poison Ivy malware maakte verbinding naar hetzelfde IP-adres als dat van de RSA aanvaller. De e-mail was naar EMC werknemers gestuurd en leek afkomstig van webmaster@beyond.com. Het adres was echter gespooft. F-Secure denkt dat dit één van de twee spear-phishingberichten is die naar RSA werden gestuurd. Van de vier werknemers die het bericht ontvingen, opende één de bijlage.

RSA bestempelde het incident altijd als een "zeer geraffineerde cyberaanval", maar volgens Alex Stamos van iSec is het helemaal niet zo geraffineerd als het beveiligingsbedrijf doet voorkomen. "Dat is een behoorlijk gênant voorbeeld voor RSA", laat Stamos weten. "Het laat zien dat in elk redelijk groot bedrijf, waaronder een beveiligingsbedrijf, er altijd wel iemand is die iets stoms doet." RSA wilde niet bevestigen of de door F-Secure gevonden e-mail ook daadwerkelijk was gebruikt voor de aanval.

F-Secure maakte onderstaande video die laat zien wat er gebeurt als de e-mail wordt geopend.