kineski hakeri za zaobilaženje dvofaktorske autentifikacije, ali to nije sigurno. U nastavku su pretpostavke nizozemske tvrtke Fox-IT, specijalizirane za usluge savjetovanja o kibernetičkoj sigurnosti. Pretpostavlja se, za što nema izravnih dokaza, da skupina hakera pod nazivom APT20 radi za kineske vladine agencije.
Hakerska aktivnost koja se pripisuje skupini APT20 prvi put je otkrivena 2011. godine. U 2016.-2017. grupa je nestala iz pozornosti stručnjaka, a tek je nedavno Fox-IT otkrio tragove smetnji APT20 u mreži jednog od svojih klijenata, koji je zatražio istragu kršenja kibernetičke sigurnosti.
Prema Fox-IT-u, tijekom posljednje dvije godine grupa APT20 hakirala je i pristupala podacima vladinih agencija, velikih kompanija i pružatelja usluga u SAD-u, Francuskoj, Njemačkoj, Italiji, Meksiku, Portugalu, Španjolskoj, Velikoj Britaniji i Brazilu. APT20 hakeri također su bili aktivni u područjima kao što su zrakoplovstvo, zdravstvo, financije, osiguranje, energija, pa čak i u područjima kao što su kockanje i elektroničke brave.
Tipično, APT20 hakeri su koristili ranjivosti u web poslužiteljima i, posebno, u platformi poslovnih aplikacija Jboss za ulazak u sustave žrtava. Nakon pristupa i instaliranja školjki, hakeri su prodrli u mreže žrtava u sve moguće sustave. Pronađeni računi omogućili su napadačima krađu podataka korištenjem standardnih alata, bez instaliranja zlonamjernog softvera. Ali glavni problem je što je grupa APT20 navodno uspjela zaobići dvofaktorsku autentifikaciju pomoću tokena.
Istraživači kažu da su pronašli dokaze da su se hakeri povezali s VPN računima zaštićenim dvofaktorskom autentifikacijom. Kako se to dogodilo, Fox-IT stručnjaci mogu samo nagađati. Najvjerojatnija je mogućnost da su hakeri uspjeli ukrasti softverski token RSA SecurID iz hakiranog sustava. Koristeći ukradeni program, hakeri bi tada mogli generirati jednokratne kodove kako bi zaobišli dvofaktorsku zaštitu.
U normalnim uvjetima to je nemoguće učiniti. Softverski token ne radi bez hardverskog tokena povezanog s lokalnim sustavom. Bez njega RSA SecurID program generira pogrešku. Softverski token kreira se za određeni sustav i, imajući pristup hardveru žrtve, moguće je dobiti određeni broj za pokretanje softverskog tokena.
Fox-IT stručnjaci tvrde da za pokretanje (ukradenog) softverskog tokena ne morate imati pristup žrtvinom računalu i hardverskom tokenu. Cijeli kompleks početne provjere prolazi samo pri uvozu vektora početne generacije - slučajnog 128-bitnog broja koji odgovara određenom tokenu (). Ovaj broj nema nikakve veze sa seedom, koji se onda odnosi na generiranje stvarnog softverskog tokena. Ako se SecurID Token Seed provjera može nekako preskočiti (zakrpati), tada vas ništa neće spriječiti da u budućnosti generirate kodove za dvofaktorsku autorizaciju. Fox-IT tvrdi da se zaobilaženje provjere može postići promjenom samo jedne instrukcije. Nakon toga, sustav žrtve bit će potpuno i legalno otvoren za napadača bez upotrebe posebnih uslužnih programa i školjki.
Izvor: 3dnews.ru