Hackers chineses para evitar a autenticación de dous factores, pero isto non é seguro. A continuación móstranse os supostos da empresa holandesa Fox-IT, especializada en servizos de consultoría en ciberseguridade. Suponse, para o que non hai probas directas, que un grupo de hackers chamado APT20 está a traballar para as axencias gobernamentais chinesas.
A actividade de hackers atribuída ao grupo APT20 foi descuberta por primeira vez en 2011. En 2016-2017, o grupo desapareceu da atención dos especialistas e só recentemente Fox-IT descubriu rastros de interferencia APT20 na rede dun dos seus clientes, quen pediu investigar as violacións da ciberseguridade.
Segundo Fox-IT, durante os últimos dous anos, o grupo APT20 estivo pirateando e accedendo a datos de axencias gobernamentais, grandes empresas e provedores de servizos en Estados Unidos, Francia, Alemaña, Italia, México, Portugal, España, Reino Unido e Brasil. Os piratas informáticos APT20 tamén estiveron activos en áreas como a aviación, a saúde, as finanzas, os seguros, a enerxía e mesmo en áreas como os xogos de azar e os bloqueos electrónicos.
Normalmente, os piratas informáticos APT20 usaban vulnerabilidades nos servidores web e, en particular, na plataforma de aplicacións empresariais Jboss para entrar nos sistemas das vítimas. Despois de acceder e instalar shells, os hackers penetraron nas redes das vítimas en todos os sistemas posibles. As contas atopadas permitían aos atacantes roubar datos usando ferramentas estándar, sen instalar malware. Pero o principal problema é que o grupo APT20 supostamente puido evitar a autenticación de dous factores usando tokens.
Os investigadores din que atoparon probas de que os piratas informáticos se conectaron a contas VPN protexidas mediante autenticación de dous factores. Como pasou isto, os especialistas de Fox-IT só poden especular. A posibilidade máis probable é que os hackers puidesen roubar o token do software RSA SecurID do sistema pirateado. Usando o programa roubado, os hackers poderían xerar códigos únicos para evitar a protección de dous factores.
En condicións normais, isto é imposible. Un token de software non funciona sen un token de hardware conectado ao sistema local. Sen el, o programa RSA SecurID xera un erro. Créase un token de software para un sistema específico e, tendo acceso ao hardware da vítima, é posible obter un número específico para executar o token de software.
Os especialistas de Fox-IT afirman que para lanzar un token de software (roubado), non é necesario ter acceso ao ordenador e ao token de hardware da vítima. Todo o complexo da verificación inicial pasa só ao importar o vector de xeración inicial: un número aleatorio de 128 bits correspondente a un token específico (). Este número non ten relación coa semente, que logo se relaciona coa xeración do token de software real. Se a comprobación SecurID Token Seed se pode omitir (parchada), nada impedirá xerar códigos para a autorización de dous factores no futuro. Fox-IT afirma que se pode evitar a comprobación cambiando só unha instrución. Despois diso, o sistema da vítima estará completamente e legalmente aberto ao atacante sen o uso de utilidades e shells especiais.
Fonte: 3dnews.ru