Кітайскіх хакераў
Упершыню хакерскую дзейнасць, якая прыпісваецца групе APT20, выявілі ў 2011 годзе. У 2016-2017 гадах група знікла з поля зроку спецыялістаў, і толькі нядаўна Fox-IT выявіла сляды ўмяшання APT20 у сетцы аднаго са сваіх кліентаў, які папрасіў расследаваць парушэнні ў кібербяспецы.
На думку Fox-IT, на працягу апошніх двух гадоў група APT20 займалася ўзломам і доступам да дадзеных дзяржаўных структур, буйных кампаній і пастаўшчыкоў паслуг у ЗША, Францыі, Германіі, Італіі, Мексікі, Партугаліі, Іспаніі, Вялікабрытаніі і Бразіліі. Таксама хакеры з APT20 былі актыўныя ў такіх галінах, як авіяцыя, ахова здароўя, фінансы, страхаванне, энергетыка і нават у такіх сферах, як азартныя гульні і электронныя замкі.
Звычайна хакеры з APT20 для ўваходу ў сістэмы ахвяр выкарыстоўвалі ўразлівасці ў вэб-серверах і, у прыватнасці, у платформе карпаратыўных прыкладанняў Jboss. Пасля доступу і ўсталёўкі абалонак хакеры пранікалі па сетках ахвяр ва ўсе магчымыя сістэмы. Знойдзеныя ўліковыя запісы дазвалялі зламыснікам красці дадзеныя з дапамогай стандартных прылад, без усталёўкі зловредов. Але галоўная непрыемнасць заключаецца ў тым, што гурт APT20 нібыта змог абысці двухфактарную аўтарызацыю з дапамогай токенаў.
Даследнікі сцвярджаюць, што знайшлі сляды таго, што хакеры падлучыліся да уліковых запісаў VPN, абароненым двухфактарнай аўтарызацыяй. Як гэта адбылося, адмыслоўцы Fox-IT могуць толькі будаваць здагадкі. Найбольш верагоднае з іх, што хакеры змаглі выкрасці з узламанай сістэмы праграмны токен RSA SecurID. З дапамогай скрадзенай праграмы ў далейшым хакеры маглі генераваць аднаразовыя коды для абыходу двухфактарнай абароны.
У звычайных умовах гэта зрабіць немагчыма. Праграмны токен не працуе без падлучэння да лакальнай сістэмы апаратнага токена. Без яго праграма RSA SecurID выдае памылку. Праграмны токен ствараецца для канкрэтнай сістэмы і, маючы доступ да "жалезу" ахвяры, можна атрымаць спецыфічны лік для запуску праграмнага токена.
Адмыслоўцы Fox-IT сцвярджаюць, што для запуску (скрадзенага) праграмнага токена зусім не трэба мець доступ да кампутара і апаратнага токена ахвяры. Увесь комплекс пачатковай праверкі праходзіць толькі пры імпарце пачатковага вектара генерацыі ― выпадковага 128-бітнага ліку, які адпавядае пэўнаму токену (
Крыніца: 3dnews.ru