Китайски хакери Заобикаляйки двуфакторното удостоверяване, това не е сигурно. По-долу са предположенията на холандската консултантска фирма за киберсигурност Fox-IT. Те предполагат, въпреки че няма преки доказателства, че хакерска група, наречена APT20, работи за китайското правителство.
Хакерска активност, приписвана на групата APT20, е открита за първи път през 2011 г. Групата изчезва от радара на експертите през 2016-2017 г. и едва наскоро Fox-IT открива следи от проникване на APT20 в мрежата на един от своите клиенти, който е поискал разследване на нарушения в киберсигурността.
Според Fox-IT, през последните две години групата APT20 е хаквала и е осъществявала достъп до данни от правителствени агенции, големи компании и доставчици на услуги в Съединените щати, Франция, Германия, Италия, Мексико, Португалия, Испания, Обединеното кралство и Бразилия. Хакерите на APT20 са били активни и в сектори като авиация, здравеопазване, финанси, застраховане, енергетика и дори хазарт и електронни брави.
Хакерите на APT20 обикновено са използвали уязвимости в уеб сървърите, по-специално платформата за корпоративни приложения Jboss, за да получат достъп до системите на жертвите. След като са получили достъп и са инсталирали защитни обвивки, хакерите са прониквали във всички възможни системи през мрежите на жертвите. Откритите акаунти са позволявали на нападателите да крадат данни, използвайки стандартни инструменти, без да инсталират зловреден софтуер. Но най-тревожният аспект е, че групата APT20 е успяла да заобиколи двуфакторното удостоверяване, използвайки токени.
Изследователи твърдят, че са открили доказателства, че хакери са се свързвали с VPN акаунти, защитени с двуфакторно удостоверяване. Специалистите от Fox-IT могат само да спекулират как се е случило това. Най-вероятното обяснение е, че хакерите са откраднали софтуерен токен RSA SecurID от компрометираната система. Използвайки откраднатия софтуер, хакерите са могли да генерират еднократни кодове, за да заобиколят двуфакторното удостоверяване.
При нормални обстоятелства това е невъзможно. Софтуерен токен няма да работи без хардуерен токен, свързан с локалната система. Без него програмата RSA SecurID връща грешка. Софтуерен токен се създава за конкретна система и с достъп до хардуера на жертвата може да се получи специфичен номер за стартиране на софтуерния токен.
Специалистите на Fox-IT твърдят, че достъпът до компютъра и хардуерния токен на жертвата не е необходим за стартиране на (откраднат) софтуерен токен. Целият процес на първоначална проверка се извършва само след импортиране на вектора за първоначално генериране – произволно 128-битово число, съответстващо на конкретен токен (). Това число не е свързано със seed-а, който след това се използва за генериране на действителния софтуерен токен. Ако проверката на SecurID Token Seed може по някакъв начин да бъде заобиколена (закърпена), тогава нищо няма да попречи на последващото генериране на двуфакторни кодове за удостоверяване. Fox-IT твърди, че заобикалянето на проверката може да се постигне чрез промяна само на една инструкция. След това системата на жертвата ще бъде напълно и легално достъпна за нападателя, без да е необходимо използването на специални инструменти или обвивки.
Източник: 3dnews.ru
