peretas Tiongkok
Aktivitas peretas yang dikaitkan dengan grup APT20 pertama kali ditemukan pada tahun 2011. Pada 2016-2017, grup tersebut menghilang dari perhatian para spesialis, dan baru-baru ini Fox-IT menemukan jejak gangguan APT20 di jaringan salah satu kliennya, yang meminta untuk menyelidiki pelanggaran keamanan siber.
Menurut Fox-IT, selama dua tahun terakhir, kelompok APT20 telah meretas dan mengakses data dari lembaga pemerintah, perusahaan besar, dan penyedia layanan di AS, Prancis, Jerman, Italia, Meksiko, Portugal, Spanyol, Inggris, dan Brasil. Peretas APT20 juga aktif di berbagai bidang seperti penerbangan, perawatan kesehatan, keuangan, asuransi, energi, dan bahkan di bidang-bidang seperti perjudian dan kunci elektronik.
Biasanya, peretas APT20 menggunakan kerentanan di server web dan, khususnya, di platform aplikasi perusahaan Jboss untuk memasuki sistem korban. Setelah mengakses dan menginstal shell, peretas menembus jaringan korban ke semua sistem yang memungkinkan. Akun yang ditemukan memungkinkan penyerang mencuri data menggunakan alat standar, tanpa memasang malware. Namun masalah utamanya adalah grup APT20 diduga mampu melewati otentikasi dua faktor menggunakan token.
Para peneliti mengatakan mereka telah menemukan bukti bahwa peretas terhubung ke akun VPN yang dilindungi oleh otentikasi dua faktor. Bagaimana ini bisa terjadi, pakar Fox-IT hanya bisa berspekulasi. Kemungkinan yang paling mungkin adalah peretas dapat mencuri token perangkat lunak RSA SecurID dari sistem yang diretas. Dengan menggunakan program yang dicuri, peretas kemudian dapat membuat kode satu kali untuk melewati perlindungan dua faktor.
Dalam kondisi normal hal ini tidak mungkin dilakukan. Token perangkat lunak tidak berfungsi tanpa token perangkat keras yang terhubung ke sistem lokal. Tanpanya, program RSA SecurID menghasilkan kesalahan. Token perangkat lunak dibuat untuk sistem tertentu dan, dengan memiliki akses ke perangkat keras korban, dimungkinkan untuk memperoleh nomor tertentu untuk menjalankan token perangkat lunak.
Spesialis Fox-IT mengklaim bahwa untuk meluncurkan token perangkat lunak (yang dicuri), Anda tidak perlu memiliki akses ke komputer dan token perangkat keras korban. Seluruh kompleks verifikasi awal hanya terjadi ketika vektor generasi awal diimpor - nomor 128-bit acak yang sesuai dengan token tertentu (
Sumber: 3dnews.ru