Txinako hackerrak bi faktoreko autentifikazioa saihesteko, baina hori ez da ziurra. Jarraian, zibersegurtasuneko aholkularitza zerbitzuetan espezializatutako Fox-IT Herbehereetako konpainiaren hipotesiak daude. Suposatzen da, eta horretarako ez dago froga zuzenik, APT20 izeneko hacker talde bat Txinako gobernu agentzietarako lanean ari dela.
APT20 taldeari egotzitako hacking jarduera 2011n aurkitu zen lehen aldiz. 2016-2017an, taldea espezialisten arretatik desagertu zen, eta duela gutxi Fox-IT-ek APT20 interferentziaren aztarnak aurkitu zituen bere bezeroetako baten sarean, zibersegurtasunaren urraketak ikertzeko eskatu baitzuen.
Fox-IT-en arabera, azken bi urteotan, APT20 taldea AEBetako, Frantziako, Alemaniako, Italiako, Mexiko, Portugal, Espainia, Erresuma Batuko eta Brasilgo gobernu-agentzien, enpresa handien eta zerbitzu-hornitzaileen datuak hackeatzen eta sartzen aritu da. APT20 hacker-ek abiazioan, osasungintzan, finantzak, aseguruak, energia bezalako alorretan ere aktibo egon dira, eta baita jokoak eta sarraila elektronikoak bezalako alorretan ere.
Normalean, APT20 hacker-ek ahultasunak erabiltzen zituzten web zerbitzarietan eta, bereziki, Jboss enpresa-aplikazioen plataforman biktimen sistemetan sartzeko. Shell-ak sartu eta instalatu ondoren, hackerrak biktimen sareetan sartu ziren sistema posible guztietan. Aurkitutako kontuei esker, erasotzaileei datuak lapurtzeko tresna estandarrak erabiliz, malwarerik instalatu gabe. Baina arazo nagusia da APT20 taldeak ustez bi faktoreko autentifikazioa saihestu ahal izan zuela tokenak erabiliz.
Ikertzaileek esan dutenez, hackerrak bi faktoreko autentifikazioarekin babestuta dauden VPN kontuetara konektatzen diren frogak aurkitu dituzte. Nola gertatu zen hori, Fox-IT-eko espezialistek espekulatu baino ezin dute egin. Litekeena da hacker-ek RSA SecurID software-tokena hackeatutako sistematik lapurtu ahal izatea. Lapurtutako programa erabiliz, hackerrek behin-behineko kodeak sor ditzakete bi faktoreko babesa saihesteko.
Baldintza normaletan ezinezkoa da hori egitea. Software token batek ez du funtzionatzen tokiko sistemara konektatuta dagoen hardware tokenrik gabe. Hori gabe, RSA SecurID programak errore bat sortzen du. Sistema jakin baterako software-token bat sortzen da eta, biktimaren hardwarerako sarbidea izanda, zenbaki zehatz bat lor daiteke software-tokena exekutatzeko.
Fox-IT-eko espezialistek diotenez (lapurtutako) software-token bat abiarazteko, ez duzu biktimaren ordenagailurako eta hardware-tokenerako sarbidea izan beharrik. Hasierako egiaztapenaren konplexu osoa hasierako belaunaldiko bektorea inportatzean bakarrik igarotzen da - token zehatz bati dagokion ausazko 128 biteko zenbaki bat (). Zenbaki honek ez du erlaziorik haziarekin, eta gero benetako software-tokenaren sorrerarekin erlazionatzen da. SecurID Token Seed egiaztapena nolabait saltatu badaiteke (adabakia), orduan ezerk ez dizu eragotziko etorkizunean bi faktoreko baimenerako kodeak sortzea. Fox-IT-ek dio egiaztapena saihestea instrukzio bakarra aldatuz lor daitekeela. Horren ondoren, biktimaren sistema guztiz eta legez irekita egongo da erasotzaileari, utilitate berezirik eta maskorrak erabili gabe.
Iturria: 3dnews.ru