Hacwyr Tsieineaidd
Darganfuwyd gweithgaredd hacio a briodolir i'r grŵp APT20 gyntaf yn 2011. Yn 2016-2017, diflannodd y grŵp o sylw arbenigwyr, a dim ond yn ddiweddar y darganfu Fox-IT olion ymyrraeth APT20 yn rhwydwaith un o'i gleientiaid, a ofynnodd am ymchwilio i droseddau seiberddiogelwch.
Yn ôl Fox-IT, dros y ddwy flynedd ddiwethaf, mae grŵp APT20 wedi bod yn hacio ac yn cyrchu data gan asiantaethau’r llywodraeth, cwmnïau mawr a darparwyr gwasanaeth yn yr Unol Daleithiau, Ffrainc, yr Almaen, yr Eidal, Mecsico, Portiwgal, Sbaen, y DU a Brasil. Mae hacwyr APT20 hefyd wedi bod yn weithgar mewn meysydd fel hedfan, gofal iechyd, cyllid, yswiriant, ynni, a hyd yn oed mewn meysydd fel hapchwarae a chloeon electronig.
Yn nodweddiadol, roedd hacwyr APT20 yn defnyddio gwendidau mewn gweinyddwyr gwe ac, yn benodol, yn y llwyfan cais menter Jboss i fynd i mewn i systemau dioddefwyr. Ar ôl cyrchu a gosod cregyn, treiddiodd hacwyr rwydweithiau dioddefwyr i bob system bosibl. Roedd y cyfrifon a ddarganfuwyd yn caniatáu i ymosodwyr ddwyn data gan ddefnyddio offer safonol, heb osod malware. Ond y brif drafferth yw yr honnir bod y grŵp APT20 wedi gallu osgoi dilysu dau ffactor gan ddefnyddio tocynnau.
Dywed ymchwilwyr eu bod wedi dod o hyd i dystiolaeth bod hacwyr sy'n gysylltiedig â chyfrifon VPN wedi'u diogelu gan ddilysu dau ffactor. Sut y digwyddodd hyn, ni all arbenigwyr Fox-IT ond dyfalu. Y posibilrwydd mwyaf tebygol yw bod hacwyr wedi gallu dwyn tocyn meddalwedd RSA SecurID o'r system hacio. Gan ddefnyddio'r rhaglen wedi'i dwyn, gallai hacwyr wedyn gynhyrchu codau un-amser i osgoi amddiffyniad dau ffactor.
O dan amodau arferol, mae'n amhosibl gwneud hyn. Nid yw tocyn meddalwedd yn gweithio heb docyn caledwedd sy'n gysylltiedig â'r system leol. Hebddo, mae rhaglen RSA SecurID yn creu gwall. Mae tocyn meddalwedd yn cael ei greu ar gyfer system benodol ac, o gael mynediad at galedwedd y dioddefwr, mae'n bosibl cael rhif penodol i redeg y tocyn meddalwedd.
Mae arbenigwyr Fox-IT yn honni, er mwyn lansio tocyn meddalwedd (wedi'i ddwyn), nad oes angen i chi gael mynediad at docyn cyfrifiadur a chaledwedd y dioddefwr. Dim ond wrth fewnforio'r fector cenhedlaeth gychwynnol y mae cyfadeilad cyfan y dilysu cychwynnol yn mynd heibio - rhif 128-did ar hap sy'n cyfateb i docyn penodol (
Ffynhonnell: 3dnewyddion.ru