Китайски хакери са хванати да заобикалят двуфакторната автентификация

китайски хакери уловен за заобикаляне на двуфакторното удостоверяване, но това не е сигурно. По-долу са предположенията на холандската компания Fox-IT, която е специализирана в консултантски услуги в областта на киберсигурността. Предполага се, за което няма преки доказателства, че група хакери, наречена APT20, работи за китайски правителствени агенции.

Хакерската дейност, приписвана на групата APT20, беше открита за първи път през 2011 г. През 2016-2017 г. групата изчезна от вниманието на специалистите и едва наскоро Fox-IT откри следи от намеса на APT20 в мрежата на един от своите клиенти, който поиска да разследва нарушения на киберсигурността.

Според Fox-IT през последните две години групата APT20 е хаквала и е имала достъп до данни от правителствени агенции, големи компании и доставчици на услуги в САЩ, Франция, Германия, Италия, Мексико, Португалия, Испания, Обединеното кралство и Бразилия. Хакерите на APT20 също са били активни в области като авиацията, здравеопазването, финансите, застраховането, енергетиката и дори в области като хазарта и електронните брави.

Обикновено хакерите на APT20 са използвали уязвимости в уеб сървърите и по-специално в платформата за корпоративни приложения Jboss, за да влязат в системите на жертвите. След достъп и инсталиране на черупки, хакерите проникват в мрежите на жертвите във всички възможни системи. Откритите акаунти са позволили на нападателите да откраднат данни с помощта на стандартни инструменти, без да инсталират зловреден софтуер. Но основният проблем е, че групата APT20 уж е успяла да заобиколи двуфакторното удостоверяване с помощта на токени.

Изследователите казват, че са открили доказателства, че хакерите са се свързвали с VPN акаунти, защитени с двуфакторно удостоверяване. Как се е случило това, специалистите на Fox-IT могат само да предполагат. Най-вероятната възможност е хакерите да са успели да откраднат софтуерния токен RSA SecurID от хакната система. Използвайки открадната програма, хакерите могат след това да генерират еднократни кодове, за да заобиколят двуфакторната защита.

При нормални условия това е невъзможно. Софтуерният токен не работи без хардуерен токен, свързан към локалната система. Без него програмата RSA SecurID генерира грешка. Създава се софтуерен токен за конкретна система и при достъп до хардуера на жертвата е възможно да се получи конкретен номер за стартиране на софтуерния токен.

Специалистите от Fox-IT твърдят, че за да стартирате (откраднат) софтуерен токен, не е необходимо да имате достъп до компютъра и хардуерния токен на жертвата. Целият комплекс от първоначална проверка преминава само при импортиране на вектора за първоначално генериране - произволно 128-битово число, съответстващо на конкретен токен (SecurID Token Seed). Този номер няма връзка със семето, което след това се отнася до генерирането на действителния софтуерен токен. Ако SecurID Token Seed проверката може по някакъв начин да бъде пропусната (закърпена), тогава нищо няма да ви попречи да генерирате кодове за двуфакторна авторизация в бъдеще. Fox-IT твърди, че заобикалянето на проверката може да бъде постигнато чрез промяна само на една инструкция. След това системата на жертвата ще бъде напълно и законно отворена за нападателя без използването на специални помощни програми и черупки.

Източник: 3dnews.ru