Չինացի հաքերներ շրջանցել երկգործոն նույնականացումը, բայց դա հաստատ չէ: Ստորև ներկայացնում ենք հոլանդական Fox-IT ընկերության ենթադրությունները, որը մասնագիտացած է կիբերանվտանգության խորհրդատվական ծառայություններում։ Ենթադրվում է, որ ուղղակի ապացույցներ չկան, որ APT20 կոչվող հաքերների խումբն աշխատում է Չինաստանի պետական կառույցների համար։
APT20 խմբին վերագրվող հաքերային գործունեությունը առաջին անգամ հայտնաբերվել է 2011 թվականին: 2016-2017 թվականներին խումբն անհետացավ մասնագետների ուշադրությունից, և միայն վերջերս Fox-IT-ը հայտնաբերեց APT20 միջամտության հետքեր իր հաճախորդներից մեկի ցանցում, ով խնդրել էր հետաքննել կիբերանվտանգության խախտումները։
Ըստ Fox-IT-ի՝ վերջին երկու տարիների ընթացքում APT20 խումբը կոտրել և մուտք է գործել ԱՄՆ, Ֆրանսիայի, Գերմանիայի, Իտալիայի, Մեքսիկայի, Պորտուգալիայի, Իսպանիայի, Մեծ Բրիտանիայի և Բրազիլիայի պետական գործակալությունների, խոշոր ընկերությունների և ծառայություններ մատուցողների տվյալները: APT20 հաքերները նաև ակտիվ են եղել այնպիսի ոլորտներում, ինչպիսիք են ավիացիան, առողջապահությունը, ֆինանսները, ապահովագրությունը, էներգետիկան և նույնիսկ այնպիսի ոլորտներում, ինչպիսիք են մոլախաղերը և էլեկտրոնային կողպեքները:
Որպես կանոն, APT20 հաքերներն օգտագործում էին խոցելիություններ վեբ սերվերներում և, մասնավորապես, Jboss ձեռնարկատիրական հավելվածների հարթակում՝ զոհերի համակարգեր մուտք գործելու համար: Ռումբերն մուտք գործելուց և տեղադրելուց հետո հաքերները ներթափանցեցին զոհերի ցանցերը բոլոր հնարավոր համակարգերի մեջ։ Հայտնաբերված հաշիվները թույլ են տվել հարձակվողներին գողանալ տվյալները՝ օգտագործելով ստանդարտ գործիքներ՝ առանց չարամիտ ծրագրեր տեղադրելու: Բայց հիմնական խնդիրն այն է, որ APT20 խումբը, իբր, կարողացել է շրջանցել երկգործոն նույնականացումը՝ օգտագործելով նշաններ:
Հետազոտողները ասում են, որ գտել են ապացույցներ, որ հաքերները միացված են VPN հաշիվներին, որոնք պաշտպանված են երկգործոն նույնականացման միջոցով: Ինչպես է դա տեղի ունեցել, Fox-IT մասնագետները կարող են միայն ենթադրություններ անել։ Ամենահավանական հավանականությունն այն է, որ հաքերները կարողացել են կոտրված համակարգից գողանալ RSA SecurID ծրագրային նշանը: Օգտագործելով գողացված ծրագիրը՝ հաքերները կարող են այնուհետև ստեղծել մեկանգամյա կոդեր՝ շրջանցելու երկգործոնային պաշտպանությունը:
Նորմալ պայմաններում դա անհնար է անել։ Ծրագրային նշանը չի աշխատում առանց տեղական համակարգին միացված ապարատային նշանի: Առանց դրա, RSA SecurID ծրագիրը առաջացնում է սխալ: Ծրագրային նշանը ստեղծվում է որոշակի համակարգի համար և, մուտք ունենալով զոհի ապարատին, հնարավոր է ստանալ որոշակի համար՝ ծրագրային նշանը գործարկելու համար:
Fox-IT-ի մասնագետները պնդում են, որ (գողացված) ծրագրային նշան գործարկելու համար անհրաժեշտ չէ մուտք ունենալ զոհի համակարգչին և ապարատային նշանին: Սկզբնական ստուգման ամբողջ համալիրն անցնում է միայն սկզբնական սերնդի վեկտորը ներմուծելիս՝ պատահական 128-բիթանոց համար, որը համապատասխանում է կոնկրետ նշանին () Այս թիվը որևէ առնչություն չունի սերմի հետ, որն այնուհետև վերաբերում է իրական ծրագրային նշանի առաջացմանը: Եթե SecurID Token Seed ստուգումը կարող է ինչ-որ կերպ բաց թողնել (կարկատել), ապա ոչինչ չի խանգարի ձեզ ապագայում երկգործոն թույլտվության համար կոդեր ստեղծել: Fox-IT-ը պնդում է, որ չեկը շրջանցելուն կարելի է հասնել ընդամենը մեկ հրահանգ փոխելով։ Դրանից հետո զոհի համակարգը լիովին և օրինական կերպով բաց կլինի հարձակվողի համար՝ առանց հատուկ կոմունալ ծառայությունների և պարկուճների օգտագործման:
Source: 3dnews.ru