Sineeske hackers te omgean twa-faktor autentikaasje, mar dit is net wis. Hjirûnder steane de oannames fan it Nederlânske bedriuw Fox-IT, dat spesjalisearre is yn cybersecurity-advystsjinsten. Der wurdt oannommen, dêr't gjin direkte bewiis foar is, dat in groep hackers mei de namme APT20 wurket foar Sineeske oerheidsynstânsjes.
Hackingaktiviteit taskreaun oan 'e APT20-groep waard foar it earst ûntdutsen yn 2011. Yn 2016-2017 ferdwûn de groep út 'e oandacht fan spesjalisten, en pas koartlyn ûntdekte Fox-IT spoaren fan APT20-ynterferinsje yn it netwurk fan ien fan har kliïnten, dy't frege om cybersecurity-oertredings te ûndersykjen.
Neffens Fox-IT hat de APT20-groep yn 'e ôfrûne twa jier hacking en tagong ta gegevens fan oerheidsynstânsjes, grutte bedriuwen en tsjinstferlieners yn' e FS, Frankryk, Dútslân, Itaalje, Meksiko, Portugal, Spanje, UK en Brazylje. APT20-hackers hawwe ek aktyf west yn gebieten lykas loftfeart, sûnenssoarch, finânsjes, fersekering, enerzjy, en sels yn gebieten lykas gokken en elektroanyske slûzen.
Typysk brûkten APT20-hackers kwetsberens yn webservers en, yn it bysûnder, yn it Jboss-bedriuwapplikaasjeplatfoarm om de systemen fan slachtoffers yn te fieren. Nei tagong en ynstallaasje fan skelpen penetrearre hackers netwurken fan slachtoffers yn alle mooglike systemen. De fûnen akkounts lieten oanfallers gegevens stelle mei standert ark, sûnder malware te ynstallearjen. Mar it wichtichste probleem is dat de APT20-groep soe wêze kinne om twa-faktor autentikaasje te omgean mei tokens.
Undersikers sizze dat se bewiis fûn hawwe dat hackers ferbûn binne mei VPN-akkounts beskerme troch twa-faktora-autentikaasje. Hoe't dit barde, kinne Fox-IT-spesjalisten allinich spekulearje. De meast wierskynlike mooglikheid is dat hackers it RSA SecurID-softwaretoken fan it hacked systeem stelle koene. Mei help fan it stellen programma koene hackers dan ienmalige koades generearje om twa-faktor beskerming te omgean.
Under normale omstannichheden is dit net te dwaan. In software token wurket net sûnder in hardware token ferbûn mei it lokale systeem. Sûnder it genereart it programma RSA SecurID in flater. In softwaretoken wurdt makke foar in spesifyk systeem en, mei tagong ta de hardware fan it slachtoffer, is it mooglik om in spesifyk nûmer te krijen om it softwaretoken út te fieren.
Fox-IT-spesjalisten beweare dat om in (stolen) softwaretoken te lansearjen, jo gjin tagong hoege te hawwen ta de kompjûter- en hardwaretoken fan it slachtoffer. It hiele kompleks fan inisjele ferifikaasje giet allinich troch by it ymportearjen fan de earste generaasjefektor - in willekeurich 128-bit nûmer dat oerienkomt mei in spesifyk token (). Dit nûmer hat gjin relaasje mei it sied, dat dan relatearret oan de generaasje fan it eigentlike softwaretoken. As de SecurID Token Seed-kontrôle op ien of oare manier kin wurde oerslein (patched), dan sil neat jo foarkomme om koades te generearjen foar twa-faktor-autorisaasje yn 'e takomst. Fox-IT beweart dat it omgean fan de kontrôle kin wurde berikt troch mar ien ynstruksje te feroarjen. Hjirnei sil it systeem fan it slachtoffer folslein en juridysk iepen wêze foar de oanfaller sûnder it brûken fan spesjale nutsfoarsjenningen en skulpen.
Boarne: 3dnews.ru
