Кітайскіх хакераў на абыходзе двухфактарнай аўтарызацыі, але гэта не дакладна. Ніжэй будуць выкладзены здагадкі галандскай кампаніі Fox-IT, якая спецыялізуецца на кансалтынгавых паслугах па кібербяспецы. Мяркуецца, чаму няма прамых доказаў, што на кітайскія ўрадавыя структуры працуе група хакераў, якая атрымала імя APT20.
Упершыню хакерскую дзейнасць, якая прыпісваецца групе APT20, выявілі ў 2011 годзе. У 2016-2017 гадах група знікла з поля зроку спецыялістаў, і толькі нядаўна Fox-IT выявіла сляды ўмяшання APT20 у сетцы аднаго са сваіх кліентаў, які папрасіў расследаваць парушэнні ў кібербяспецы.
На думку Fox-IT, на працягу апошніх двух гадоў група APT20 займалася ўзломам і доступам да дадзеных дзяржаўных структур, буйных кампаній і пастаўшчыкоў паслуг у ЗША, Францыі, Германіі, Італіі, Мексікі, Партугаліі, Іспаніі, Вялікабрытаніі і Бразіліі. Таксама хакеры з APT20 былі актыўныя ў такіх галінах, як авіяцыя, ахова здароўя, фінансы, страхаванне, энергетыка і нават у такіх сферах, як азартныя гульні і электронныя замкі.
Звычайна хакеры з APT20 для ўваходу ў сістэмы ахвяр выкарыстоўвалі ўразлівасці ў вэб-серверах і, у прыватнасці, у платформе карпаратыўных прыкладанняў Jboss. Пасля доступу і ўсталёўкі абалонак хакеры пранікалі па сетках ахвяр ва ўсе магчымыя сістэмы. Знойдзеныя ўліковыя запісы дазвалялі зламыснікам красці дадзеныя з дапамогай стандартных прылад, без усталёўкі зловредов. Але галоўная непрыемнасць заключаецца ў тым, што гурт APT20 нібыта змог абысці двухфактарную аўтарызацыю з дапамогай токенаў.
Даследнікі сцвярджаюць, што знайшлі сляды таго, што хакеры падлучыліся да уліковых запісаў VPN, абароненым двухфактарнай аўтарызацыяй. Як гэта адбылося, адмыслоўцы Fox-IT могуць толькі будаваць здагадкі. Найбольш верагоднае з іх, што хакеры змаглі выкрасці з узламанай сістэмы праграмны токен RSA SecurID. З дапамогай скрадзенай праграмы ў далейшым хакеры маглі генераваць аднаразовыя коды для абыходу двухфактарнай абароны.
У звычайных умовах гэта зрабіць немагчыма. Праграмны токен не працуе без падлучэння да лакальнай сістэмы апаратнага токена. Без яго праграма RSA SecurID выдае памылку. Праграмны токен ствараецца для канкрэтнай сістэмы і, маючы доступ да "жалезу" ахвяры, можна атрымаць спецыфічны лік для запуску праграмнага токена.
Адмыслоўцы Fox-IT сцвярджаюць, што для запуску (скрадзенага) праграмнага токена зусім не трэба мець доступ да кампутара і апаратнага токена ахвяры. Увесь комплекс пачатковай праверкі праходзіць толькі пры імпарце пачатковага вектара генерацыі ― выпадковага 128-бітнага ліку, які адпавядае пэўнаму токену (). Гэты лік не мае дачынення да пачатковага ліку, якое затым адносіцца да генерацыі фактычнага праграмнага токена. Калі праверку SecurID Token Seed можна нейкім чынам прапусціць (прапатчыць), то нішто ў далейшым не перашкодзіць генераваць коды для двухфактарнай аўтарызацыі. У кампаніі Fox-IT заяўляюць, што абыход праверкі можна забяспечыць зменай за ўсё ў адной інструкцыі. Пасля гэтага сістэма ахвяры будзе поўнасцю і легальна адкрыта зламысніку без выкарыстання спецыяльных утыліт і абалонак.
Крыніца: 3dnews.ru