Čínští hackeři
Aktivita hackerů připisovaná skupině APT20 byla poprvé objevena v roce 2011. V letech 2016-2017 skupina zmizela z pozornosti specialistů a teprve nedávno Fox-IT objevil stopy po rušení APT20 v síti jednoho ze svých klientů, který požádal o prošetření narušení kybernetické bezpečnosti.
Podle Fox-IT skupina APT20 za poslední dva roky hackovala a přistupovala k datům vládních agentur, velkých společností a poskytovatelů služeb v USA, Francii, Německu, Itálii, Mexiku, Portugalsku, Španělsku, Velké Británii a Brazílii. APT20 hackeři byli také aktivní v oblastech, jako je letectví, zdravotnictví, finance, pojišťovnictví, energetika, a dokonce i v oblastech, jako jsou hazardní hry a elektronické zámky.
Hackeři APT20 obvykle používali zranitelnosti webových serverů a zejména platformy podnikových aplikací Jboss ke vstupu do systémů obětí. Po přístupu a instalaci shellů hackeři pronikli do sítí obětí do všech možných systémů. Nalezené účty umožňovaly útočníkům krást data pomocí standardních nástrojů, aniž by instalovali malware. Hlavní problém je ale v tom, že skupina APT20 údajně dokázala obejít dvoufaktorovou autentizaci pomocí tokenů.
Vědci tvrdí, že našli důkazy, že se hackeři připojovali k účtům VPN chráněným dvoufaktorovou autentizací. Jak se to stalo, mohou odborníci Fox-IT jen spekulovat. Nejpravděpodobnější možností je, že hackeři byli schopni ukrást softwarový token RSA SecurID z napadeného systému. Pomocí ukradeného programu by pak hackeři mohli generovat jednorázové kódy, aby obešli dvoufaktorovou ochranu.
Za normálních podmínek je to nemožné. Softwarový token nefunguje bez hardwarového tokenu připojeného k místnímu systému. Bez něj program RSA SecurID vygeneruje chybu. Softwarový token je vytvořen pro konkrétní systém a po přístupu k hardwaru oběti je možné získat konkrétní číslo pro spuštění softwarového tokenu.
Specialisté Fox-IT tvrdí, že ke spuštění (ukradeného) softwarového tokenu nepotřebujete mít přístup k počítači a hardwarovému tokenu oběti. Celý komplex prvotního ověření projde pouze při importu vektoru počátečního generování - náhodného 128bitového čísla odpovídajícímu konkrétnímu tokenu (
Zdroj: 3dnews.ru