Čínští hackeři obejít dvoufaktorovou autentizaci, ale to není jisté. Níže jsou uvedeny předpoklady nizozemské společnosti Fox-IT, která se specializuje na poradenské služby v oblasti kybernetické bezpečnosti. Předpokládá se, pro což neexistují žádné přímé důkazy, že skupina hackerů s názvem APT20 pracuje pro čínské vládní agentury.
Aktivita hackerů připisovaná skupině APT20 byla poprvé objevena v roce 2011. V letech 2016-2017 skupina zmizela z pozornosti specialistů a teprve nedávno Fox-IT objevil stopy po rušení APT20 v síti jednoho ze svých klientů, který požádal o prošetření narušení kybernetické bezpečnosti.
Podle Fox-IT skupina APT20 za poslední dva roky hackovala a přistupovala k datům vládních agentur, velkých společností a poskytovatelů služeb v USA, Francii, Německu, Itálii, Mexiku, Portugalsku, Španělsku, Velké Británii a Brazílii. APT20 hackeři byli také aktivní v oblastech, jako je letectví, zdravotnictví, finance, pojišťovnictví, energetika, a dokonce i v oblastech, jako jsou hazardní hry a elektronické zámky.
Hackeři APT20 obvykle používali zranitelnosti webových serverů a zejména platformy podnikových aplikací Jboss ke vstupu do systémů obětí. Po přístupu a instalaci shellů hackeři pronikli do sítí obětí do všech možných systémů. Nalezené účty umožňovaly útočníkům krást data pomocí standardních nástrojů, aniž by instalovali malware. Hlavní problém je ale v tom, že skupina APT20 údajně dokázala obejít dvoufaktorovou autentizaci pomocí tokenů.
Vědci tvrdí, že našli důkazy, že se hackeři připojovali k účtům VPN chráněným dvoufaktorovou autentizací. Jak se to stalo, mohou odborníci Fox-IT jen spekulovat. Nejpravděpodobnější možností je, že hackeři byli schopni ukrást softwarový token RSA SecurID z napadeného systému. Pomocí ukradeného programu by pak hackeři mohli generovat jednorázové kódy, aby obešli dvoufaktorovou ochranu.
Za normálních podmínek je to nemožné. Softwarový token nefunguje bez hardwarového tokenu připojeného k místnímu systému. Bez něj program RSA SecurID vygeneruje chybu. Softwarový token je vytvořen pro konkrétní systém a po přístupu k hardwaru oběti je možné získat konkrétní číslo pro spuštění softwarového tokenu.
Specialisté Fox-IT tvrdí, že ke spuštění (ukradeného) softwarového tokenu nepotřebujete mít přístup k počítači a hardwarovému tokenu oběti. Celý komplex prvotního ověření projde pouze při importu vektoru počátečního generování - náhodného 128bitového čísla odpovídajícímu konkrétnímu tokenu (). Toto číslo nemá žádný vztah k semínku, které se pak vztahuje ke generování skutečného softwarového tokenu. Pokud se dá kontrola SecurID Token Seed nějak přeskočit (oplatit), pak vám nic nebrání v budoucnu generovat kódy pro dvoufaktorovou autorizaci. Fox-IT tvrdí, že obejití kontroly lze dosáhnout změnou pouze jedné instrukce. Poté bude systém oběti zcela a legálně otevřen útočníkovi bez použití speciálních nástrojů a shellů.
Zdroj: 3dnews.ru