Hiina häkkerid
APT20 grupile omistatud häkkimistegevus avastati esmakordselt 2011. aastal. Aastatel 2016-2017 kadus rühmitus spetsialistide tähelepanu alt ning alles hiljuti avastas Fox-IT ühe oma kliendi võrgust APT20 häirete jälgi, kes palus uurida küberturvalisuse rikkumisi.
Fox-IT andmetel on APT20 grupp viimase kahe aasta jooksul häkkinud ja pääsenud ligi USA, Prantsusmaa, Saksamaa, Itaalia, Mehhiko, Portugali, Hispaania, Ühendkuningriigi ja Brasiilia valitsusasutuste, suurettevõtete ja teenusepakkujate andmetele. APT20 häkkerid on olnud aktiivsed ka sellistes valdkondades nagu lennundus, tervishoid, rahandus, kindlustus, energeetika ja isegi sellistes valdkondades nagu hasartmängud ja elektroonilised lukud.
Tavaliselt kasutasid APT20 häkkerid ohvrite süsteemidesse sisenemiseks turvaauke veebiserverites ja eelkõige Jbossi ettevõtte rakendusplatvormis. Pärast kestadele juurdepääsu ja installimist tungisid häkkerid ohvrite võrkudesse kõigisse võimalikesse süsteemidesse. Leitud kontod võimaldasid ründajatel tavaliste tööriistade abil andmeid varastada ilma pahavara installimata. Peamine häda on aga selles, et APT20 grupp suutis väidetavalt žetoonide abil kahefaktorilisest autentimisest mööda minna.
Teadlased väidavad, et on leidnud tõendeid selle kohta, et häkkerid ühenduvad kahefaktorilise autentimisega kaitstud VPN-kontodega. Kuidas see juhtus, võivad Fox-IT spetsialistid vaid oletada. Kõige tõenäolisem on, et häkkerid suutsid häkitud süsteemist varastada RSA SecurID tarkvaramärgi. Varastatud programmi kasutades saavad häkkerid seejärel luua ühekordseid koode, et kahefaktorilisest kaitsest mööda minna.
Tavatingimustes on seda võimatu teha. Tarkvara token ei tööta ilma kohaliku süsteemiga ühendatud riistvaramärgita. Ilma selleta genereerib programm RSA SecurID tõrke. Tarkvara token luuakse konkreetse süsteemi jaoks ja omades juurdepääsu ohvri riistvarale, on võimalik hankida konkreetne number tarkvara tokeni käitamiseks.
Fox-IT spetsialistid väidavad, et (varastatud) tarkvara tokeni käivitamiseks ei pea te omama juurdepääsu ohvri arvuti- ja riistvaramärgile. Kogu esmase kontrollimise kompleks läbib ainult esialgse genereerimisvektori importimisel - juhuslik 128-bitine arv, mis vastab konkreetsele märgile (
Allikas: 3dnews.ru