Txinako hackerrak
APT20 taldeari egotzitako hacking jarduera 2011n aurkitu zen lehen aldiz. 2016-2017an, taldea espezialisten arretatik desagertu zen, eta duela gutxi Fox-IT-ek APT20 interferentziaren aztarnak aurkitu zituen bere bezeroetako baten sarean, zibersegurtasunaren urraketak ikertzeko eskatu baitzuen.
Fox-IT-en arabera, azken bi urteotan, APT20 taldea AEBetako, Frantziako, Alemaniako, Italiako, Mexiko, Portugal, Espainia, Erresuma Batuko eta Brasilgo gobernu-agentzien, enpresa handien eta zerbitzu-hornitzaileen datuak hackeatzen eta sartzen aritu da. APT20 hacker-ek abiazioan, osasungintzan, finantzak, aseguruak, energia bezalako alorretan ere aktibo egon dira, eta baita jokoak eta sarraila elektronikoak bezalako alorretan ere.
Normalean, APT20 hacker-ek ahultasunak erabiltzen zituzten web zerbitzarietan eta, bereziki, Jboss enpresa-aplikazioen plataforman biktimen sistemetan sartzeko. Shell-ak sartu eta instalatu ondoren, hackerrak biktimen sareetan sartu ziren sistema posible guztietan. Aurkitutako kontuei esker, erasotzaileei datuak lapurtzeko tresna estandarrak erabiliz, malwarerik instalatu gabe. Baina arazo nagusia da APT20 taldeak ustez bi faktoreko autentifikazioa saihestu ahal izan zuela tokenak erabiliz.
Ikertzaileek esan dutenez, hackerrak bi faktoreko autentifikazioarekin babestuta dauden VPN kontuetara konektatzen diren frogak aurkitu dituzte. Nola gertatu zen hori, Fox-IT-eko espezialistek espekulatu baino ezin dute egin. Litekeena da hacker-ek RSA SecurID software-tokena hackeatutako sistematik lapurtu ahal izatea. Lapurtutako programa erabiliz, hackerrek behin-behineko kodeak sor ditzakete bi faktoreko babesa saihesteko.
Baldintza normaletan ezinezkoa da hori egitea. Software token batek ez du funtzionatzen tokiko sistemara konektatuta dagoen hardware tokenrik gabe. Hori gabe, RSA SecurID programak errore bat sortzen du. Sistema jakin baterako software-token bat sortzen da eta, biktimaren hardwarerako sarbidea izanda, zenbaki zehatz bat lor daiteke software-tokena exekutatzeko.
Fox-IT-eko espezialistek diotenez (lapurtutako) software-token bat abiarazteko, ez duzu biktimaren ordenagailurako eta hardware-tokenerako sarbidea izan beharrik. Hasierako egiaztapenaren konplexu osoa hasierako belaunaldiko bektorea inportatzean bakarrik igarotzen da - token zehatz bati dagokion ausazko 128 biteko zenbaki bat (
Iturria: 3dnews.ru